Mit E-Mail-Verschlüsselung digitale Werte schützen
E-Mails enthalten oft sensible Daten, die nicht in falsche Hände geraten dürfen. Verschlüsselung ist da eine Lösung. Hierfür existieren unterschiedliche Möglichkeiten.
Für Hacker sind E-Mails das bevorzugte Medium für ihre kriminellen Machenschaften. So konnte der Versicherungsexperte AIG in seinem Cyber-Schaden 2019-Report feststellen, dass Phishing-E-Mails 2018 mit 23 Prozent ganz oben auf der Liste der Cyberschadenmeldungen standen.
Sicherheitsexperten rechnen damit, dass sich dieser Trend auch weiter fortsetzt. Dennoch sind E-Mails im Geschäftsleben wie auch privat immer noch sehr beliebt: So werden laut Statistischem Bundesamt weltweit täglich 306,4 Milliarden der elektronischen Nachrichten versendet und empfangen. Daher ist es umso wichtiger, dass sich Anwender vor den Attacken der Cyberkriminellen schützen.
Verschlüsselter E-Mail-Verkehr über zwei Wege
Verschlüsselung macht eine Nachricht inklusive aller Anhänge für Unbefugte unlesbar. Sie stellt eine vertrauliche E-Mail-Kommunikation her – und das ist gerade im Geschäftsalltag essenziell. Denn die Nachrichten und Anhänge enthalten oft Informationen wie persönliche Daten, geistiges Eigentum oder andere Unternehmensinterna.
Grundsätzlich kann zwischen Inhalts- und Übertragungsverschlüsselung unterschieden werden. Bei letzterer wird über das TLS-Protokoll (Transport Layer Security) eine verschlüsselte Verbindung zwischen dem Server und dem E-Mail-Programm aufgebaut. Jedoch liegt die Nachricht beim E-Mail-Provider und auf den Knoten dazwischen ungeschützt im Klartext vor.
Um eine durchgängige Ende-zu-Ende-Verschlüsselung zu erreichen, muss daher zudem eine Inhaltsverschlüsselung angewendet werden. Dazu gibt es zwei Methoden: die symmetrische und die asymmetrische Verschlüsselung. Beim symmetrischen Verfahren nutzen sowohl Sender als auch Empfänger den gleichen Schlüssel. Daher muss der Schlüsselaustausch unbedingt über einen sicheren Kanal erfolgen. Die Verschlüsselung findet beim symmetrischen Ansatz überwiegend mit AES (Advanced Encryption Standard) statt.
Asymmetrisch mit Standard-Protokollen verschlüsseln
Bei der asymmetrischen Verschlüsselung nutzt der Sender hingegen für die Verschlüsselung der Inhalte den öffentlichen Schlüssel des Empfängers. Dieser wiederum kann die empfangene Nachricht dann mit seinem geheimen, privaten Key entschlüsseln. Der zweite Schlüssel bleibt dabei beim Empfänger und darf nicht geteilt werden. Als Standard-Protokolle haben sich Secure/Multipurpose Internet Mail Extensions (S/MIME) und Pretty Good Privacy (PGP) oder auch OpenPGP etabliert – und für die meisten E-Mail-Programme stehen Plug-ins zur Verfügung.
„Alle neuen Modelle müssen sich daran messen lassen, wie sie die Produktivität der Nutzer steigern, ohne dabei Kompromisse bei der Sicherheit oder Compliance einzugehen.“
Volkan Yilmaz, AnkhLabs.
Ein wesentlicher Vorteil der asymmetrischen Methode ist die Möglichkeit, E-Mails digital zu signieren. Zum einen sorgt die elektronische Unterschrift für Authentizität und ist zum anderen eine Garantie dafür, dass die Dokumente den Empfänger unverfälscht erreichen. Die Voraussetzung für eine digitale Signatur ist eine Public Key Infrastruktur (PKI). Diese kann über Zertifikate die Gültigkeit der benutzten Schlüssel bestätigen.
Ein Nachteil des asymmetrischen Ansatzes ist seine Komplexität. Daher sind Nutzer häufig überfordert, obwohl es ausführliche Anleitungen gibt. Außerdem müssen sich Anwender entweder für S/MIME oder OpenPGP entscheiden, da beide nicht miteinander kompatibel sind. Zusätzlich wirkt sich der hohe Aufwand zum Nachteil der Geschwindigkeit aus.
Mit Verschlüsselung digitales Kapital schützen
Obwohl sich S/MIME und OpenPGP zum Standard für das Verschlüsseln von E-Mails entwickeln konnten, ist ihre Verbreitung auf Grund der fehlenden Nutzerfreundlichkeit dennoch sehr begrenzt. Daher wird beruflich wie auch privat noch immer viel zu wenig verschlüsselt.
Vor allem bei Unternehmen wächst jedoch das Verständnis dafür, dass digitale Werte geschützt werden müssen, um Unternehmensrisiken zu minimieren. Aber was zählen Unternehmen zu ihrem digitalen Kapital? Diejenigen, die konsequent weiterdenken, verstehen, dass auch ihre Kunden und die Kommunikation mit ihnen ein Teil ihres Kapitals sind. Sie verstehen, welche Folgen eine Datenpanne, egal ob selbst verschuldet oder durch eine Cyberattacke verursacht, haben kann. Seien es die direkten finanziellen Kosten, die daraus entstehen können oder der Schaden für die Reputation des Unternehmens.
Komplexität reduzieren
Um das zu verhindern, bedarf es einer einfachen Sicherheitslösung. Dabei sollte das Nutzerinteresse im Mittelpunkt stehen. Für die Zukunft sind verschiedene Ausprägungen des symmetrischen Kryptographieansatzes vorstellbar. Jedoch müssen sich alle neuen Modelle, auch mögliche Weiterentwicklungen von S/MIME und OpenPGP, daran messen lassen, wie sie die Produktivität der Nutzer steigern, ohne dabei Kompromisse bei der Sicherheit oder Compliance einzugehen.
Über den Autor:
Volkan Yilmaz ist Mitgründer und Geschäftsführer von AnkhLabs.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.
