• +49 (0)89 - 45 22 094 0
  • Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!

 

2 - 4 Minuten Lesezeit

Zu viele Unternehmen verschlüsseln ihre E-Mails nicht. Auch ein Jahr nach dem Inkrafttreten der EU-DSGVO. Ein Grund: Transportverschlüsselung wird weitläufig als ausreichend angesehen. Fälschlicherweise.

Vorweg sei klar gestellt: Wenn wir z.B. in unserem aktuellen Praxis-Guide E-Mail-Verschlüsselung – gemeinsam ausgearbeitet mit dem Schweizer Secure-Messaging-Spezialisten SEPPmail – von verschlüsselten E-Mails sprechen, dann reden wir immer von integrierter Ende zu Ende-Verschlüsselung.

Transportverschlüsselung und Ende-zu-Ende-Verschlüsselung: Was ist der Unterschied?

Zu viele Unternehmen gehen, wie selbstverständlich, davon aus, das Transportverschlüsselung ausreicht für die Sicherheit der E-Mail-Kommunikation.

Was ist Transportverschlüsselung?

Die in der Transportverschlüsselung genutzte Standardtechnologie, Transport Layer Security (TLS) – in der ersten Version bereits 1994 erschienen – verschlüsselt den Übertragungskanal beim Versand von E-Mails.

 
Was ist Transportverschluesselung?
 

Bedeutet: Nur auf dem Weg zwischen jeweils zwei SMTP-Servern besteht ein Schutz. Beim Absender und Empfänger liegen die Daten (zumindest kurzzeitig) im Klartext vor.

Das ist etwa so, wie mit Gepäckstücken am Flughafen. Während des Fluges ist durchaus unwahrscheinlich, dass etwas mit dem Gepäck passiert. Es befindet sich ja im Rumpf des Flugzeugs, also im Flug unzugänglich. Beim Abflug und bei der Ankunft wiederum, also am Flughafen, kann alles Mögliche mit Ihrem Gepäck passieren.

Wenn Sie schon Mal am Flughafen in Singapur waren, kennen Sie eventuell die Hinweise zum Drug Trafficking. Vor der Manipulation von Gepäckstücken durch Dritte wird ausdrücklich gewarnt. Sie sind verantwortlich.

In der Konsequenz sind sich Experten durchweg einig: Für den integren Austausch von Daten und Informationen via E-Mail ist Transport- bzw. Kanalverschlüsselung nicht ausreichend.

Wer es ganz genau wissen will: Die Empfehlungen des BSI zur Verwendung von Transport Layer Security (TLS) lesen Sie in der technischen BSI-Richtlinie BSI-TR-02102-2

Was ist Ende-zu-Ende-Verschlüsselung?

Bei der Ende-zu-Ende-Verschlüsselung ist eine E-Mail nicht nur auf dem Weg des Transports verschlüsselt, sondern darüber hinaus. Von einem Ende bis zum anderen Ende, also vom Absender bis zum Empfänger, wird die E-Mail durchgehend gesichert.

 
Was ist Ende-zu-Ende-Verschluesselung?
 

Um beim Bild des Gepäckstücks zu bleiben: Beim Abflug packen Sie Ihr Gepäck in ein Behältnis, das sich erst wieder beim Auspacken öffnen lässt. So kann nicht nur auf dem Flug, sondern auch vorher und nachher kein Vertauschen, keine Einsicht und keine Manipulation stattfinden. (Um das Schließen und Öffnen, also das Verschlüsseln und Entschlüsseln ist spezielle Technologie erforderlich. Bezogen auf E-Mails sind das openPGP und S/MIME.)

Nur Ende-zu-Ende-Verschlüsselung garantiert in der E-Mail-Kommunikation den Komplettschutz entlang der drei Prinzipien der Informationssicherheit: Vertraulichkeit, Integrität und Authentizität.

Kein Problem, auch diese Begrifflichkeiten sollen kurz erklärt werden. Im Wirrwarr der Cyber-Security-Buzzwords und Fachtermini bemühen wir uns, so gut es geht Klartext zu sprechen.

 

Nur den Kanal verschlüsseln reicht nicht aus. Transportverschlüselung != E-Mail-Verschlüsselung.
 

Daher noch einmal kurz die zentralen Prinzipien der Informationssicherheit in Bezug auf E-Mail-Kommunikation aufgeschlüsselt:

Was bedeutet Vertraulichkeit der E-Mails?

Sie kennen den Werbe-Slogan "E-Mails sind wie Postkarten"? Er dürfte so alt sein wie die erste versendete E-Mail in Deutschland, nämlich in diesem Jahr bereits 35 Jahre. Was er sagen will: Vertraulichkeit ist erst erreicht, wenn die E-Mail ausschließlich für den angegebenen Empfänger zu lesen ist. Von niemand anderen an keiner Stelle sonst.

Vertraulichkeit von E-Mails ist aus unserer Erfahrung unterbewertet. Statt dies technologisch zu lösen, wird sich mit Disclaimern in E-Mails oder Compliance-Vorgaben, welche die Weitergabe und Veröffentlichung untersagen sollen.

Was bedeutet Authentizität von E-Mails?

Unter der Authentizität einer E-Mail wird die technologisch validierte Bestätigung verstanden, dass der angegebene Absender einer E-Mail die Nachricht auch wirklich auf den Weg gebracht hat. Niemand anders. In Zeiten täuschend echter Phishing-E-Mails ist Authentizität ein immer wichtigerer Baustein der Sicherheit.(s. dazu auch „Wie Sie mit DMARC Ihre E-Mails, Ihre Domain und Ihre Marke schützen“)

Was bedeutet Integrität der E-Mails?

Integrität steht für die Korrektheit oder Unversehrtheit der E-Mail. Gemeint ist, dass die E-Mail (also Inhalt, Anhänge und Metadaten) nicht verändert wurden auf dem Weg vom Absender zum Empfänger. Insbesondere im Austausch mit Geschäftspartnern, sowie bei sensiblen Daten aber auch aus Imagegründen sollte Integrität höchste Bedeutung haben.

Während mancherorts das offizielle Firmenpapier besonders gesichert verwahrt wird, um nur legitimierte Kommunikation im Namen der Unternehmung sicherzustellen, wird die Integrität der E-Mail häufig außen vor gelassen.





 

Finden Sie heraus, welchen Stand Verschlüsselung in Ihrer Organisation hat und haben sollte: im kostenlosen E-Mail-Security-Audit.

Wissenswertes und regelmäßige IT-Security-Updates direkt über E-Mail erhalten?

Wir haben festgestellt, dass Abonnenten unseres Newsletters früher Bescheid wissen, besser informiert sind und rund 46,8% cooler sind.



CYQUEO Newsletter
Please wait

Lassen Sie uns gemeinsam loslegen

Wir unterstützen Sie gerne!

Servus aus München

A gscheids Haferl Kaffee
hat´s hier:

CYQUEO
Kistlerhofstraße 75
D-81379 München

Anrufen

Alle Klarheiten beseitigt?
Rufen Sie uns an! Unser Team berät Sie
qualifiziert und ehrlich zur bestmöglichen
IT-Security für Ihr Unternehmen.

+49 89 45 22 094 - 40

Wir rufen Sie zurück

Ich habe die Datenschutzerklärung gelesen und akzeptiert.