In fünf Schritten zur vertrauenswürdigen E-Mail-Kommunikation

ECSM 2018 In fünf Schritten zur vertrauenswürdigen E-Mail-Kommunikation

Am 1. Oktober startet der European Cyber Security Month 2018 (ECSM) – eine Initiative der europäischen Cybersicherheitsagentur ENISA. In Deutschland wird der Aktionsmonat vom Bundesamt für Sicherheit in der Informationstechnik (BSI) koordiniert. Wir als Bundesdruckerei sensibilisieren Sie in einer vierteiligen Artikelserie für die Veränderungen, die das digitale Leben mit sich bringt und geben Tipps, wie man Gefahren minimieren kann.

Daten und E-Mails verschlüsseln

Der IT-Basisschutz steht in der nächsten Woche im Fokus des ECSM. Dazu zählt etwa, dass Unternehmen ihre Daten und E-Mails verschlüsseln. Dies trägt dazu bei, das geistige Eigentum von Unternehmen gegen Wirtschaftsspionage abzusichern und Unternehmens- und Kundendaten vor Missbrauch zu schützen.

Gerade kleine und mittlere Unternehmen (KMU) haben hier noch Nachholbedarf. Zwar haben einer Studie1 zufolge 94 Prozent der befragten KMU inzwischen ein hohes Bewusstsein für die Bedeutung von Verschlüsselung entwickelt. Mehr als die Hälfte von ihnen (56 Prozent) verfügen jedoch nicht über ausreichende Kompetenzen, um Verschlüsselungslösungen auch zu implementieren.

Mit wenig Aufwand Cyberangriffe abwehren

Investitionen in die IT-Sicherheit lohnen sich. Denn bereits jedes fünfte Industrieunternehmen (19 Prozent) gibt zu, dass ihre Informations- und Produktionssysteme oder Betriebsabläufe digital sabotiert wurden2. Weitere 28 Prozent vermuten, dass es solch einen Vorfall bei ihnen gab. Bei elf Prozent wurde die digitale Kommunikation ausgespäht, beispielweise E-Mails oder Messenger-Dienste.

Laut der Initiative „Deutschland sicher im Netz“3 können über 80 Prozent der Cyberangriffe durch grundlegende Schutzvorkehrungen und eine aktiv gelebte IT-Sicherheitskultur abgewehrt werden. Die Maßnahmen sind leicht und mit wenigen Ressourcen anzustoßen. Einzige Voraussetzung: Unternehmen müssen bereit sein, kleine Anpassungen im betrieblichen Ablauf vorzunehmen.

Über 80 Prozent der Cyberangriffe können durch grundlegende Schutzvorkehrungen und eine aktiv gelebte IT-Sicherheitskultur abgewehrt werden.
Deutschland sicher im Netz

So werden Ihre E-Mails vertrauenswürdig

Wir geben Ihnen hier Tipps, wie Sie in fünf Schritten die wichtigsten Grundlagen für eine sichere und vertrauenswürdige E-Mail-Kommunikation schaffen:

Schritt 1: Problembewusstsein schaffen

96 Prozent aller deutschen Unternehmen nutzen E-Mails für geschäftliche Zwecke. Zunehmend werden auch vertrauliche und geschäftskritische Informationen auf diesem Weg übermittelt, wie Rechnungen, Patente und Verträge. Und so sind nicht nur große Konzerne von Cyberkriminalität betroffen, sondern auch der innovationsfreudige Mittelstand. Ein weiterer Irrtum: Viele Unternehmen verwechseln Internetschutz mit E-Mail-Sicherheit. Firewalls, Virenscanner oder Spamschutz decken die wichtigsten Schutzbereiche der E-Mail-Kommunikation nicht ab. Um zu verhindern, dass E-Mails unberechtigt mitgelesen oder Mail-Inhalte manipuliert werden, sind dezidierte Maßnahmen zur Verschlüsselung von E-Mails erforderlich.

Schritt 2: Bedarf analysieren und Konzept entwickeln

Bei einer Bedarfsanalyse werden alle Prozesse identifiziert, die für eine E-Mail-Verschlüsselung essenziell sind. Dazu gehört beispielsweise, die entscheidenden fünf bis zehn Prozent der Daten zu bestimmen, die zu den „Kronjuwelen“ eines Unternehmens gehören. Für diese Daten sollten Unternehmen Verschlüsselungsverfahren auf höchstem Sicherheitsniveau wählen. Auf Basis konkreter Anwendungsfälle werden dann die Ziele formuliert, geeignete Verschlüsselungsverfahren definiert und die passende Software sowie die benötigten Dienstleistungen ausgewählt. Bei der Umsetzung kann es hilfreich sein, eine externe Beratung in Anspruch zu nehmen.

Schritt 3: Die passende Verschlüsselungslösung auswählen

Im Unternehmensumfeld hat sich das Standardformat S/MIME für die E-Mail-Verschlüsselung fest etabliert. Es basiert auf einem asymmetrischen Verschlüsselungsverfahren mit zwei Schlüsseln. Für Inhalte und Dokumente, die ein sehr hohes Sicherheitsniveau benötigen, empfiehlt sich die clientbasierte Verschlüsselung. Sie ermöglicht die durchgängige Verschlüsselung einer E-Mail während ihrer gesamten Übertragung. Dabei übernehmen die Rechner des Absenders und des Empfängers selbst die Verschlüsselungsaufgaben. Dokumente mit geringem Schutzbedarf hingegen lassen sich zentral auf einem sogenannten sicheren E-Mail-Gateway verschlüsseln und entschlüsseln. Die gesamten Verschlüsselungsvorgänge laufen über einen Server automatisiert im Hintergrund ab.

Schritt 4: Zertifikate in die Prozesse integrieren

Bei der zertifikatsbasierten Verschlüsselung wird ein Schlüsselpaar mit einem digitalen Zertifikat gekoppelt. Es beinhaltet die Identitätsinformationen des Besitzers, etwa Name und E-Mail-Adresse. So kann der in einer Signatur angegebene Absender einer E-Mail zweifelsfrei identifiziert werden. All dies findet statt, ohne dass sich die Kommunikationspartner vorher über ein Passwort oder ein anderes Geheimnis verständigen müssen.

Die technische Einrichtung, die dazu dient, digitale Zertifikate auszustellen, zu verteilen und zu prüfen, wird als Public-Key-Infrastruktur (PKI) bezeichnet. Eine solche PKI aufzubauen und zu pflegen, ist komplex. Deshalb empfiehlt es sich, auf externe Vertrauensdienstanbieter – auch als Trustcenter bezeichnet – zurückzugreifen. Die Bundesdruckerei zum Beispiel bietet ein effizientes Zertifikatsmanagement, das die Erstellung, die Verwaltung und die Prüfung digitaler Zertifikate beinhaltet.

Schritt 5: Vertrauensanker nutzen

Vertrauensdienstanbieter fungieren in der digitalen Welt als Vertrauensanker, indem sie die Identität einander unbekannter Personen zuverlässig beglaubigen und die entsprechenden Daten sicher verwalten. Gleichzeitig stellen sie die Mittel und die Infrastruktur bereit, um E-Mails zu verschlüsseln und Dokumente zu signieren.

Einfallstor schließen

Diese fünf Schritte werden Ihnen dabei helfen, Ihre E-Mail-Kommunikation abzusichern. Damit schließen Sie ein Einfallstor für Datenklau und Wirtschaftsspionage und eliminieren eine der großen Schwachstellen in der IT-Infrastruktur.

 

Mithilfe des Browser-Games „Sicher im Internet“ werden Sie anhand verschiedener Spiele-Episoden zu Themen rund um die sichere digitale Identität sensibilisiert: https://www.sichere-identitaet-bb.de/sicheriminternet

 

[1] BMWi, 2017, https://www.bmwi.de/Redaktion/DE/Publikationen/Studien/einsatz-von-elektronischer-verschluesselung-hemmnisse-fuer-die-wirtschaft.pdf?__blob=publicationFile

[2] Bitkom, 2018, https://www.bitkom.org/Presse/Presseinformation/Attacken-auf-deutsche-Industrie-verursachten-43-Milliarden-Euro-Schaden.html

[3] DsiN, https://www.sicher-im-netz.de/it-sicherheit-guter-basisschutz-ist-und-o

Cyberkriminalität

Der Dieb, der aus der Nähe kam

Cyberkriminalität

„Jeden Tag Zigtausende Angriffe auf das Regierungsnetz“

In unserem Interview spricht BSI-Präsident Arne Schönbohm über die täglich Zigtausenden Angriffe von Cyberkriminellen auf das deutsche Regierungsnetz sowie die zunehmende Professionalisierung solcher Angriffe und nennt seine bislang prägendste Erfahrung als BSI-Präsident.

Cyberkriminalität

Sicherheitslücke E-Mail schließen

Erfahren Sie, wie Sie in fünf Schritten die wichtigsten Grundlagen für eine sichere und vertrauenswürdige E-Mail-Kommunikation schaffen.