E-Mail-Verschlüsselung rückt in den Fokus

E-Mail-Verschlüsselung rückt in den Fokus

Jedes zweite deutsche Unternehmen beabsichtigt, künftig E-Mails zu verschlüsseln. Die Chancen für eine schnelle Umsetzung dieser Pläne stehen gut. Wichtiger Treiber für die sichere Mail ist die Datenschutz-Grundverordnung (DSGVO). Das ergab eine repräsentative Umfrage der Bundesdruckerei, die im Rahmen der Initiative "Mittelstand verschlüsselt!“ durchgeführt wurde. Fünf Praxistipps können Unternehmen dabei helfen, eigene Verschlüsselungsprojekte zu planen und umzusetzen.

Einfallstor E-Mail

E-Mails sind im geschäftlichen Bereich die wichtigste Form der elektronischen Kommunikation. Laut Digitalverband Bitkom landen durchschnittlich 21 Mails täglich im beruflichen Postfach. Das sind drei mehr als noch vor vier Jahren.

Unter diesen Mails befinden sich immer mehr Nachrichten mit kriminellen Absichten. Somit ist die E-Mail zu einem Haupteinfallstor für Datendiebstahl und Wirtschaftsspionage geworden. Gleichzeitig steigen die rechtlichen Vorgaben an den Schutz von personenbezogenen Daten. Verstöße im Umgang mit Mitarbeiter- und Kundendaten ahndet die Datenschutz-Grundverordnung (DSGVO) mit Bußgeldern von bis zu 20 Millionen Euro oder vier Prozent des weltweiten Jahresumsatzes.

Vor diesem Hintergrund hat die Bundesdruckerei eine Umfrage zum Stand und zur Zukunft der E-Mail-Verschlüsselung in Auftrag gegeben: „Die verschlüsselte E-Mail-Kommunikation hat sich zwar in der Breite noch nicht durchgesetzt, jedoch steht das Thema derzeit weit oben auf der Agenda der IT- und Business-Entscheider“, folgert Dr. Kim Nguyen, Geschäftsführer der D-Trust, dem Vertrauensdiensteanbieter der Bundesdruckerei.

Aus der Nische in den Fokus

Laut Umfrage werden die Inhalte der E-Mails von jedem fünften Unternehmen in Deutschland verschlüsselt (22 Prozent). Vorreiter bei dieser sogenannten Inhaltsverschlüsselung sind der Finanzsektor (36 Prozent) und die Industrie (28 Prozent). Nachholbedarf haben der Handel (8 Prozent) und die öffentliche Verwaltung (13 Prozent). Die Hälfte der deutschen Unternehmen will in Zukunft ihre Verschlüsselungsaktivitäten intensivieren – und das über alle Branchen hinweg. Ein wichtiger Antriebsfaktor sind dabei die neuen gesetzlichen Datenschutzanforderungen. Fast 30 Prozent der deutschen Unternehmen spüren einen starken oder sehr starken Einfluss der DSGVO auf ihren Umgang mit personenbezogenen Daten und verschlüsselter E-Mail-Kommunikation. Fast 40 Prozent der befragten Unternehmen sprechen von einem spürbaren Einfluss. Die Mehrheit der Befragten hat mittlerweile die organisatorische Grundlage für die Einführung der sicheren Mail geschaffen. Gemäß der Umfrage gibt es bei sieben von zehn Unternehmen bereits konkrete Regeln zum Verschlüsseln von Mails. Diese geben zum Beispiel vor, unter welchen Voraussetzungen und auf welche Weise Kunden- und Mitarbeiterdaten per Mail verschickt werden dürfen. Nguyen: „Die Umfrage zeigt: Deutsche Unternehmen sind für das Thema sensibilisiert, doch jetzt ist es wichtig, aus den Plänen konkrete Projekte aufzusetzen.“

 

Fünf Praxistipps für die sichere E-Mail

Dabei helfen unsere fünf Praxistipps:

Praxistipp 1: Ganzheitliches Konzept erarbeiten

Wichtig für den Erfolg von Verschlüsselungsprojekten ist ein ganzheitlicher Ansatz, der technische und organisatorische Maßnahmen optimal aufeinander abstimmt. Im Rahmen einer Bedarfsanalyse identifiziert das Unternehmen diejenigen Prozesse, die für eine E-Mail-Verschlüsselung essentiell sind. Auf der Basis konkreter Anwendungsfälle werden die Ziele formuliert, geeignete Verschlüsselungsverfahren definiert und damit zusammenhängend die Software und die benötigten Dienstleistungen ausgewählt. Schulungen klären die Mitarbeiter über Sicherheitsgefahren beim Umgang mit E-Mails auf und vermitteln die technischen Grundlagen der eingesetzten Lösung.

Die Umfrage zeigt: Deutsche Unternehmen sind für das Thema sensibilisiert, doch jetzt ist es wichtig, aus den Plänen konkrete Projekte aufzusetzen.
Dr. Kim Nguyen, Geschäftsführer der D-Trust GmbH

Praxistipp 2: Verschlüsselung: Transport und Inhalt miteinander kombinieren

Wenn E-Mails übermittelt werden, empfiehlt sich eine Transportverschlüsslung mittels der Standardprotokolle SSL/TLS (Secure Socket Layer/Transport Layer Security). Diese schützt die E-Mail auf dem Weg zwischen dem eigenen E-Mail-Programm und dem Server des E-Mail-Diensteanbieters. Auf dem Server selbst und im Postfach des Empfängers liegen die Emails hingegen unverschlüsselt vor. Um E-Mails auf der gesamten Strecke vom Sender zum Empfänger zu sichern, ist zusätzlich eine Inhaltsverschlüsselung ratsam. Dabei werden die Inhalte komplett verschlüsselt, sodass nur der Empfänger sie wieder entschlüsseln kann.

Praxistipp 3: Einfach zu bedienende Lösungen sind verfügbar

Bei sogenannten Secure-Mail-Gateways werden die Mails und alle dazugehörigen Anlagen zentral auf einem Unternehmensserver verschlüsselt und entschlüsselt. Dort können die eingehenden Mails auch nach Viren durchsucht, mit Content-Filtern kategorisiert und eine Kopie ins Archiv gelegt werden. All dies geschieht in einem automatisierten Prozess, ohne dass der Mitarbeiter tätig werden muss.

Praxistipp 4: S/MIME ist im Unternehmensumfeld Pflicht

E-Mail-Verschlüsselung basiert auf einer sogenannten Public-Key-Infrastruktur (PKI). Bei dieser werden der öffentliche und private Schlüssel den jeweiligen Identitäten zugeordnet. Je nach eingesetztem Standardformat geschieht dies unterschiedlich. Bei OpenPGP (Pretty Good Privacy) bescheinigen sich die Teilnehmer untereinander ihre Identitäten. Die Beglaubigung durch eine dritte vertrauenswürdige Instanz fehlt. Genau dies ist beim S/MIME-Format vorgesehen. Hier sorgen Vertrauensdiensteanbieter (VDA) dafür, dass die einzelnen Identitäten sorgfältig geprüft und bestätigt werden. Vertrauensdiensteanbieter unterliegen strengen gesetzlichen Regelungen und müssen eine breite Palette an Sicherheitsanforderungen erfüllen. S/MIME hat sich in Behörden und im Unternehmensumfeld als Standard fest etabliert.

Praxistipp 5: Qualifizierte Vertrauensdiensteanbieter bevorzugen

Vertrauensdiensteanbieter spielen bei der Umsetzung von E-Mail-Verschlüsselungslösungen eine wichtige Rolle. Sie beglaubigen zum einen die Identitäten einander unbekannter Personen und stellen zum anderen die Mittel und die Infrastruktur für die verschlüsselte E-Mail-Kommunikation bereit. Die EU-Verordnung über elektronische Identifizierung und Vertrauensdienste (eIDAS) hat deshalb für besonders vertrauenswürdige und kompetente Anbieter den Status eines qualifizierten Vertrauensdiensteanbieters (qVDA) geschaffen. Nur diese erfüllen die verschärften rechtlichen Anforderungen an Sicherheit und Haftung.

Cyberkriminalität

Sicherheitslücke E-Mail schließen

Presse

DSGVO wird Treiber für die sichere E-Mail

Ein Drittel der Unternehmen will zukünftig Mitarbeiter- oder Kundendaten in der E-Mail-Kommunikation verschlüsseln.

Cyberkriminalität

Cyber Security Month 2018 (ECSM)

Nicht nur Großkonzerne, sondern auch Mittelständler werden zunehmend Opfer von digitaler Wirtschaftsspionage und Sabotage. Wir geben Tipps, wie Sie in wenigen Schritten Ihre E-Mail-Kommunikation gegen Angriffe und Missbrauch schützen können.