• +49 (0)89 - 45 22 094 0
  • Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!

 

3 - 5 Minuten Lesezeit

Unternehmen verschlüsseln ihre E-Mail-Kommunikation unzureichend. Auch nach dem Inkrafttreten der EU-DSGVO. Warum? Unsere Vermutung: Die meisten Entscheider sind einem Irrtum aufgesessen: Transportverschlüsselung von E-Mails wird als ausreichend angesehen. Das ist nicht korrekt, wie wir nachfolgend aufzeigen.

Kurz der Hinweis: Wenn wir von verschlüsselten E-Mails sprechen, wie in unserem Praxis-Guide E-Mail-Verschlüsselung, dann meinen wir stets die integrierte Ende-zu-Ende-Verschlüsselung.

Weiter mit der Fragestellung Transportverschlüsselung und ihrer Bedeutung für die E-Mail-Sicherheit.





 

Transportverschlüsselung und Ende-zu-Ende-Verschlüsselung: Was ist der Unterschied?

Auch Experten für IT-Sicherheit gehen wie selbstverständlich davon aus, Transportverschlüsselung sei für die Sicherheit der E-Mail-Kommunikation ausreichend. Dabei handelt es sich um einen weit verbreiteten Irrglauben.

Was ist Transportverschlüsselung?

Die in der Transportverschlüsselung genutzte Standard-Technologie, Transport Layer Security (TLS) – in der ersten Version bereits 1994 erschienen – verschlüsselt beim Versand von E-Mails ausschließlich den Kanal der Übertrag. Nicht aber den Inhalt, der übertragen wird.

 
Was ist Transportverschluesselung?
 

Das bedeutet: Nur auf dem Weg(!) zwischen jeweils zwei SMTP-Servern besteht der Schutz durch Verschlüsselung. Nicht aber beim Absender und Empfänger. Hier liegen die Daten (zumindest kurzzeitig) jeweils im Klartext vor.

Das lässt sich vergleichen mit einem Gepäckstück, das am Flughafen aufgegeben wird. Während des Fluges ist es unwahrscheinlich, dass etwas mit dem Gepäck passiert. Schließlich befindet sich das Gepäck geschützt im Rumpf des Flugzeugs. Dort ist es während des Fluges nicht erreichbar. Das Problem: Beim Abflug und bei der Ankunft wiederum kann mit dem Gepäck am Flughafen alles Mögliche passieren.

Waren Sie schon einmal am Flughafen in Singapur? Dann kennen Sie die vielen Warnungen vor dem Problem des Drogenschmuggels am Flughafen. Hinweisschilder warnen vor der Manipulation Ihrer Gepäckstücke durch Dritte. Wenn etwas gefunden wird, sind Sie verantwortlich.

Was bedeutet das für E-Mails? Experten sind sich einig: Für den integren Austausch von Daten und Informationen via E-Mail (aucht entlang der DSGVO) ist Transport- bzw. Kanalverschlüsselung nicht ausreichend.

Wer es ganz genau wissen will: Die Empfehlungen des BSI zur Verwendung von Transport Layer Security (TLS) lesen Sie in der technischen BSI-Richtlinie BSI-TR-02102-2

Was ist Ende-zu-Ende-Verschlüsselung?

Bei der Ende-zu-Ende-Verschlüsselung ist eine E-Mail nicht nur auf dem Weg des Transports verschlüsselt, sondern darüber hinaus. Von dem einen Ende bis zum anderen Ende, also vom Absender bis zum Empfänger, wird die E-Mail durchgehend geschützt. Ende-zu-Ende eben.

 
Was ist Ende-zu-Ende-Verschluesselung?
 

Bleiben wir bei unserem Gepäckstück am Flughafen: Beim Abflug packen Sie Ihr Gepäck in ein sicheres Behältnis, das sich erst wieder beim Auspacken öffnen lässt. Dadurch stellen Sie sicher, dass nicht nur auf dem Flug, sondern auch bereits vorher und nachher definitiv keine Einsicht und keine Manipulation stattfinden kann.

Für das Verschließen und Öffnen – also bei E-Mails das Verschlüsseln und Entschlüsseln – ist eine spezielle Technologie erforderlich. Bezogen auf die Kommunikation mit E-Mails handelt es sich dabei um openPGP und S/MIME.

Nur Ende-zu-Ende-Verschlüsselung garantiert in der E-Mail-Kommunikation den Komplettschutz entlang der drei zentralen Prinzipien der Informationssicherheit:

  • - Vertraulichkeit,
  • - Integrität
  • - Authentizität.

Was bedeutet Vertraulichkeit, Integrität und Authentizität konkret? Die Begrifflichkeiten sollen kurz erklärt werden.

 

Nur den Kanal verschlüsseln reicht nicht aus. Transportverschlüselung != E-Mail-Verschlüsselung.
 

Die zentralen Prinzipien der Informationssicherheit in Bezug auf E-Mail-Kommunikation:

Vertraulichkeit von E-Mails: Was bedeutet das?

Sie kennen den Werbe-Slogan "E-Mails sind wie Postkarten"? Er dürfte so alt sein wie die erste versendete E-Mail in Deutschland, nämlich in diesem Jahr bereits 35 Jahre. Was er sagen will: Vertraulichkeit ist erst erreicht, wenn die E-Mail ausschließlich für den angegebenen Empfänger zu lesen ist. Von niemand anderen an keiner Stelle sonst.

Vertraulichkeit von E-Mails ist aus unserer Erfahrung unterbewertet. Statt dies technologisch zu lösen, wird sich mit Disclaimern in E-Mails oder Compliance-Vorgaben, welche die Weitergabe und Veröffentlichung untersagen sollen.

Authentizität von E-Mails: Was heißt das?

Unter der Authentizität einer E-Mail wird die technologisch validierte Bestätigung verstanden, dass der angegebene Absender einer E-Mail die Nachricht auch wirklich auf den Weg gebracht hat. Niemand anders. In Zeiten täuschend echter Phishing-E-Mails ist Authentizität ein immer wichtigerer Baustein der Sicherheit.

(s. dazu auch Wie Sie mit DMARC Ihre E-Mails, Ihre Domain und Ihre Marke schützen)

Integrität der E-Mails: Was ist gemeint?

Integrität steht für die Korrektheit oder Unversehrtheit der E-Mail. Gemeint ist, dass die E-Mail (also Inhalt, Anhänge und Metadaten) nicht verändert wurden auf dem Weg vom Absender zum Empfänger. Insbesondere im Austausch mit Geschäftspartnern, sowie bei sensiblen Daten aber auch aus Imagegründen sollte Integrität höchste Bedeutung haben.

Während manche Unternehmen das offizielle Firmenpapier besonders gesichert verwahren, um nur legitimierte Kommunikation im Namen der Unternehmung sicherzustellen, wird die Integrität der E-Mail häufig außen vor gelassen.

 

Zusammenfassend: Ende-zu-Ende-Verschlüsselung ist unzureichend etabliert. Viele Unternehmen setzen in ihrer E-Mail-Verschlüsselung nur auf TLS. Das sehen IT-Security-Experten als unzureichend an. Auch die EU-DSGVO wird entsprechend ausgelegt. Es besteht also ganz konkreter Handlungsbedarf, um E-Mails in Unternehmen richtig abzusichern.





 

Nutzen Sie die CYQUEO-Expertise für eine kostenlose Überprüfung Ihrer E-Mail-Sicherheit: Wir analysieren Ihre IST-Situation und geben praxiserprobte Handlungsempfehlung rund um E-Mail-Verschlüsselung in Ihrer Organisation.

Mehr erfahren im kostenlosen CYQUEO-E-Mail-Security-Audit

Wie gelingt E-Mail-Verschlüsselung in der Praxis: Lesen Sie hier Funktionen, Vorteile und Success Stories zum Secure-E-Mail-Gateway von SEPPmail

Wissenswertes und regelmäßige IT-Security-Updates direkt über E-Mail erhalten?

Wir haben festgestellt, dass Abonnenten unseres Newsletters früher Bescheid wissen, besser informiert sind und rund 46,8% cooler sind.



CYQUEO Newsletter
Please wait

Lassen Sie uns gemeinsam loslegen

Wir unterstützen Sie gerne!

Servus aus München

A gscheids Haferl Kaffee
hat´s hier:

CYQUEO
Kistlerhofstraße 75
D-81379 München

Anrufen

Alle Klarheiten beseitigt?
Rufen Sie uns an! Unser Team berät Sie
qualifiziert und ehrlich zur bestmöglichen
IT-Security für Ihr Unternehmen.

+49 89 45 22 094 - 40

Wir rufen Sie zurück

Ich habe die Datenschutzerklärung gelesen und akzeptiert.