Die E-Mail ist und bleibt fester Bestandteil im Privat- wie Berufsleben und das meist ohne Verschlüsselung. Für Hacker ist das Nachrichtenformat jedoch der bevorzugte Angriffsvektor für ihre kriminellen Aktivitäten. Zu dieser Einschätzung kommt der Industrieversicherer AIG in seinem Report „Cyber-Schaden 2019“, über den die Süddeutsche Zeitung berichtete. Demnach standen Business E-Mail Compromise (BEC)-Angriffe, also Phishing-E-Mails, 2018 zum ersten Mal mit 23 Prozent an der Spitze der Cyber-Schadenmeldungen.

Ohne Verschlüsselung keine DSGVO-Konformität

Gegen die Bedrohung schützen sich nur die Nutzer angemessen, die ihre E-Mails verschlüsseln. Eine Empfehlung dafür lässt sich auch aus der Datenschutz-Grundverordnung (DSGVO) herauslesen, die den Umgang persönlicher Daten von EU-Bürgern regelt. Die DSGVO formuliert keine direkten technischen Schutzmaßnahmen, sondern empfiehlt im Artikel 32, personenbezogene Daten zu verschlüsseln. Diese Angaben sowie Interna und geistiges Eigentum sind besonders schützenswert und deshalb sollten sich Nutzer darüber in ihrer geschäftlichen E-Mail-Kommunikation ausschließlich verschlüsselt austauschen.

Das Ziel ist eine durchgehende Ende-zu-Ende-Verschlüsselung, die darauf basiert, Übertragungs- und Inhaltsverschlüsselung zu kombinieren. Dafür kommen das Protokoll “Transport Layer Security” (TLS) sowie symmetrische oder asymmetrischen Algorithmen zum Einsatz. Der symmetrische Ansatz, wie der AES (Advanced Encryption Standard), beruht auf zwei wesentlichen Aspekten: Sender und Empfänger nutzen denselben Schlüssel, den sie über einen sicheren, zweiten Kanal austauschen.

Überforderte Nutzer zeigen den großen Bedarf

Die asymmetrische Verschlüsselung nutzt die Standardprotokolle S/MIME (Secure/Multipurpose Internet Mail Extensions) und PGP (Pretty Good Privacy) beziehungsweise OpenPGP. Der Sender verschlüsselt hierbei den Inhalt mit dem öffentlichen Schlüssel des Empfängers. Der Adressat entschlüsselt die erhaltende Nachricht mit seinem geheim gehaltenen privaten Schlüssel. Obwohl S/MIME oder PGP-Plug-ins für die gängigen E-Mail-Programme bereitstehen, überfordert es die meisten Nutzer, ihre Nachrichten zu verschlüsseln. So schreibt das Fachmagazin Security Insider, dass ein Verschlüsseln mit OpenPGP oder S/MIME faktisch nicht stattfindet.

Wer jedoch weiterhin unverschlüsselt per E-Mail kommuniziert, geht ein hohes Risiko ein. Insbesondere Berufsgeheimnisträger – beispielsweise Steuerberater, die mit ihren Mandanten per E-Mail kommunizieren – benötigen eine Verschlüsselung, die sie intuitiv und damit schnell routiniert im Alltag einsetzen können. Den Bedarf haben auch andere Dienstleister, die sensible Daten verwalten, wie Rechtsanwälte, Ärzte oder Apotheker. Weitere mittelstandgeprägte Branchen wie die Medien mit ihren Verlagen, Grafik- oder Werbeagenturen müssen regelmäßig große Datenmengen teilen und benötigen eine Lösung für den sicheren Datentransfer. Selbst Behörden und öffentliche Einrichtungen müssen verschlüsselt kommunizieren können, ohne bestimmte Arbeitsabläufe unnötig zu behindern oder zu verkomplizieren.

Umsetzen von Integrität und Authentizität

Um jederzeit die Kontrolle über den Datenfluss im Unternehmen oder in der Behörde zu behalten, ist eine Lösung zum einfachen und vor allem sicheren Datentransfer heute ein Muss. Eine solche Lösung muss nicht nur sicher und einfach sein, sondern sich auch schnell in wichtige Kommunikationsprozesse integrieren lassen. Nur dann wird sie vom Anwender akzeptiert und verwendet.

Überall dort, wo Sicherheit und die Nachvollziehbarkeit bei der Übertragung vertraulicher Daten gefragt sind, kommen Behörden an einer Ende-zu-Ende-Verschlüsselung der Daten nicht vorbei. Sie umfasst eine sichere Verschlüsselung des Transportweges sowie die Verschlüsselung der Nachricht und der angehängten Dateien.

Verschlüsselung als Weg zum Erfolg

Dabei spielt die eingesetzte Verschlüsselungstechnologie eine wichtige Rolle. Bei der Auswahl einer optimalen Lösung sollte darauf geachtet werden, dass wichtige Kriterien erfüllt werden: Die Ende-zu-Ende-Verschlüsselung muss BSI-konform und der verwendete Algorithmus als sicher eingestuft sein. Zudem muss sie eine dem aktuellen Standard entsprechende Schlüssellänge verwenden.

Neben einer hochsicheren Ende-zu-Ende-Verschlüsselung und der einfachen Bedienbarkeit gibt es noch weitere wichtige Kriterien, die eine Softwarelösung für den sicheren Datentransfer in einer Behörde erfüllen muss. Sie sollte sich unbedingt nahtlos in bestehende Systeme integrieren lassen, individuell an die Erfordernisse der Behörde anpassbar, nachvollziehbar und kostentransparent sein sowie die Übertragung hoher Datenmengen ohne Größenlimit sicherstellen. Zudem garantiert eine optimale Lösung einen geringen Verwaltungsaufwand und entlastet die IT-Administratoren.