Logo systematik GmbH - Member of BBES-GROUP

Data-Security Blog über   Managed File Transfer (MFT) ifms Clearswift Data Loss Prevention (DLP) Automate Termine & Webinare u.v.m.

  +49 (0) 5251 / 13 42 – 0

Teilen:    

Unterschiedliche eMail Encryption Methoden

eMail Encryption ist wichtiger denn je - Verschiedene Methoden vorgestellt

Zugegeben: Das Thema „Encryption“ in der E-Mail-Kommunikation ist nicht neu. Ein komplett unverschlüsseltes Versenden von Nachrichten dürfte kaum in der Praxis anzutreffen sein. Dennoch gibt es wichtige Unterschiede bei den Möglichkeiten, eine Verschlüsselung zu implementieren. Wenn personenbezogene Daten ins Spiel kommen, macht Ihnen auch der Gesetzgeber in Form der Datenschutzgrundverordnung (DSGVO) gewisse Vorgaben. Angesichts steigender Fallzahlen im Bereich der Cyberkriminalität und -spionage scheint dies keinesfalls unbegründet zu sein. Die Kommunikation per E-Mail spielt als Angriffsvektor eine zentrale Rolle, etwa in Form von Phishing oder als Einfallstor für Schadsoftware.

Encryption-Standards: Transport oder End-to-End

Wichtig ist es, dem Anwender die Unterschiede zwischen den Verfahren nahezubringen. Nur dann können Sie auf Verständnis hoffen, wenn Sie erklären, warum es trotz Transport-Verschlüsselung keine gute Idee ist, sensible Dokumente als unverschlüsselte Mail-Anhänge zu versenden.

1. Transportverschlüsselung mittels SSL/TLS

Die zur Verschlüsselung verwendeten Keys werden bei dieser Methode vor Beginn der Übertragung zwischen Client und Server ausgetauscht. Zwar sind die Inhalte auf dem Transportweg nicht lesbar. Jedoch ist Voraussetzung, dass die Verbindung zum richtigen Server aufgebaut wurde. Zudem besteht beim Mail-Provider die Möglichkeit, Daten zu entschlüsseln und zu lesen. In der Analogie einer verschließbaren Kassette mit wichtigen Dokumenten, die per Paket zu versenden wäre, entspräche dies der Situation, dass weder Sie noch der Empfänger im Besitz des Schlüssels wären. Dieser läge nur bei der Annahmestelle und in jeder Verteilstation vor. Insofern taugt Transportverschlüsselung nur, wenn Sie absolutes Vertrauen in die Infrastruktur haben. Spätestens bei der Kommunikation über das Firmennetzwerk hinaus dürfte die dafür notwendige Kontrolle fehlen.

2. End-to-End-Verschlüsselung durch PGP und S/MIME

Eine End-to-End-Encryption gilt grundsätzlich als sicher. Hier wird der gesamte Mailinhalt vor dem Versand beim Absender verschlüsselt. Erst der Empfänger hat die Möglichkeit, eine Entschlüsselung vorzunehmen. Dies bedingt jedoch Zusatzaufwand bei der Übertragung des Keys. In der Regel kommen hierfür asymmetrische Verfahren zur Anwendung, bei denen ein öffentlicher und ein privater Schlüssel genutzt werden. Viele Unternehmen verwenden das S/MIME-Verfahren. Es fallen allerdings Kosten an, da in der Regel das Zertifikat einer Autorisierungsstelle erforderlich ist. Kostenfrei aber etwas unkomfortabler sind Methoden mittels PGP. Dies ist insbesondere bei Organisationen wie Universitäten häufig anzutreffen. Mit beiden Verfahren können natürlich nicht nur Inhalte geschützt werden. Sie sind auch zur Signierung der gesamten Mail nutzbar, indem ein Hashwert davon gebildet und übertragen wird. Hierdurch haben Empfänger die Möglichkeit zur Verifizierung von Absender und Inhalt. Zur Wahrheit gehört allerdings auch, dass es Sicherheitsforschern in der Vergangenheit bei beiden Methoden gelungen ist, sich durch einen „Efail“ getauften Angriff die Inhalte einer abgefangenen E-Mail anzeigen zu lassen.

Die DSGVO: Besonderer Schutz für personenbezogene Daten

Sofern Sie gewerblich personenbezogene Daten verarbeiten, haben Sie mit Einführung der DSGVO aktiv für deren Schutz zu sorgen. Artikel 32 verlangt auszugsweise folgende Maßnahmen:
  • Pseudonymisierung und Verschlüsselung personenbezogener Daten
  • Sicherstellung der Verfügbarkeit, Integrität und Vertraulichkeit von Systemen zur Datenverarbeitung
  • Verfahren zur regelmäßigen Überprüfung der Wirksamkeit von getroffenen Schutzmaßnahmen
Dabei ist explizit gefordert, dass die Maßnahmen dem aktuellen Stand der Technik entsprechen. Verantwortliche des Unternehmens haften bei Verstößen. Unter Umständen sogar, wenn sie gar keinen Einfluss auf Ursachen haben. Dies sollte besonders bei der Nutzung von E-Mail-Providern außerhalb der Europäischen Union bedacht werden. Dort gelten in der Regel abweichende Rechtsstandards.

Ganzheitlicher Ansatz mit Managed File Transfer

Wenn Sie regelmäßig sehr sensible Daten zu versenden haben, kann eine geschlossene Lösung die Alternative sein. Software für den Managed File Transfer (MFT) bietet unterschiedliche Ansätze zur sicheren Übertragung. Dies umfasst auch die Absicherung des E-Mail-Verkehrs. Die Spezialisten von systematik helfen Ihnen gerne dabei, die optimale Lösung im Bereich Mail-Encryption für Ihr Unternehmen zu finden.

Weitere Fragen?

Rufen Sie uns gerne an: +49 (0) 5251 / 13 42 – 0

Oder schreiben Sie uns direkt:

Inspiriert durch folgende Artikel:

EU-DSGVO

EU-DSGVO Art. 32

GoAnywhere: Datenschutzbehörden veröffentlichen neuen Leitfaden für eMail-Verschlüsselung

Ähnliche Blogartikel:

Folgen Sie uns in den Netzwerken:    

Linkedin Xing
Rubriken
über uns
Data Security
Data Loss Prevention (DLP)
Managed File Transfer
Webinare
Downloads

Downloads

In unserem Downloadbereich finden Sie weiteres Infomaterial
zum Download
kostenlos
Termine & Webinare
Newsletter

Blog Updates

Interessante Blog-Beiträge frei Haus zustellen lassen. Verpassen Sie keine Fachthemen mehr!
Anmelden
kostenlos
Logo systematik GmbH MFT

Am Hoppenhof 32

D – 33104 Paderborn

info@systematik.de

  +49 (0) 5251 / 13 42 – 0

© ‍  systematik GmbH

Folgen Sie uns in den Netzwerken:    

Linkedin Xing