E-Mail-Verschlüsselung? – Brauche ich nicht! Das mag so manches kleinere oder mittelgrosse Unternehmen denken. Was habe ich schon zu verbergen? Wer so argumentiert, begibt sich jedoch auf gefährliches Terrain. Denn es ist gesetzlich vorgeschrieben, E-Mails mit personenbezogenen Daten zu verschlüsseln – und das nicht erst seit der Einführung der neuen EU-Datenschutzgrundverordnung (DSVGO) im Jahr 2018, welche die Regelungen auch in der Schweiz verschärft hat. Denn auch hiesige Unternehmen müssen sich an die DSGVO halten, wenn sie personenbezogene Daten von natürlichen Personen, die sich in der EU befinden, verarbeiten. Sobald ein Unternehmen diesen Personen Waren oder Dienstleistungen anbietet (auch kostenfrei), muss die DSGVO zwingend eingehalten werden. Zudem kommt die Verordnung zum Zug, wenn das Verhalten dieser Personen festgehalten wird.

Auch in der Schweiz gilt, dass das unverschlüsselte Versenden einer E-Mail weniger sicher ist als das Verschicken einer Postkarte. Denn eine E-Mail kann mit geringem technischem Wissen abgefangen, mitgelesen oder verändert werden. Zudem können E-Mails im Gegensatz zur Postkarte auch einfach nach Schlüsselbegriffen durchsucht werden. Besonders bei schützenswerten Angaben ist eine Verschlüsselung dringend angezeigt. Es handelt sich dabei gemäss dem Eidgenössischen Datenschutzgesetz (DSG) um Informationen über die Religion, den Gesundheitszustand, die Intimsphäre und die ethnische Zugehörigkeit einer Person. Ebenfalls als schützenswert gelten genetische und biometrische Daten, Angaben über Leistungen und Massnahmen der sozialen Hilfe sowie Informationen über strafrechtliche und disziplinarische Verfahren und Sanktionen.

Heute drohen bei Datenschutzverletzungen im Rahmen der DSGVO drastische Sanktionen von bis zu 20 Millionen Euro oder vier Prozent des weltweiten Jahresumsatzes. Ausserdem müssen Unternehmen Vorfälle innerhalb von 72 Stunden bei der zuständigen Aufsichtsbehörde melden. Besteht für die betroffenen Personen ein erhöhtes Risiko, sind auch sie zu verständigen. Wer E-Mails verschlüsselt, ist von dieser Benachrichtigungspflicht entbunden und vor Sanktionen gefeit. Denn Artikel 32 der DSGVO nennt Verschlüsselung ausdrücklich als adäquate Massnahme nach aktuellem Stand der Technik, um personenbezogene Daten zu schützen.

Noch immer hat E-Mail-Verschlüsselung allerdings den Ruf, kompliziert und umständlich zu sein. Das schreckt gerade Unternehmen ab, deren Mitarbeiter technisch weniger versiert sind. Mit OpenPGP und S/MIME gibt es verschiedene Verschlüsselungsstandards, die nicht miteinander kompatibel sind. Auch das Schlüsselmanagement überfordert viele Anwender. Es gibt jedoch Lösungen, die all das automatisch im Hintergrund erledigen. Solche Verschlüsselungs-Gateways beherrschen die gängigen Verschlüsselungsmethoden und übernehmen das Schlüsselmanagement. Möchte ein Anwender eine Nachricht verschlüsseln, muss er lediglich in seinem E-Mail-Programm auf den entsprechenden Button klicken – alles Weitere passiert von allein. Dafür ist noch nicht einmal die Installation eines Plug-ins nötig. Denn die gängigen E-Mail-Clients haben bereits Verschlüsselung auf Basis von S/MIME integriert.

Und was ist, wenn mein Kommunikationspartner eine andere Verschlüsselungsmethode verwendet als ich? Viele Unternehmen meinen, dass ihre externen Partner die gleiche Verschlüsselungsmethode anwenden müssten. Das ist jedoch nicht nötig. Wenn ein Verschlüsselungs-Gateway alle etablierten Verschlüsselungsstandards beherrscht, kann jeder Partner die Methode einsetzen, die er möchte. Auch wer viel mit Privatpersonen oder Unternehmen kommuniziert, die selbst keine Verschlüsselung einsetzen können oder wollen, muss nicht auf sichere E-Mails verzichten. Für solche Fälle gibt es zum Beispiel die Möglichkeit, Nachrichten über ein Webportal bereitzustellen. Dort kann der Empfänger die für ihn verschlüsselte E-Mail lesen, nachdem er sich authentifiziert hat.

Ich nutze doch schon SSL/TLS – da brauche ich keine weitere Verschlüsselungslösung. Auch das ist ein weit verbreiteter Irrtum. TLS ist eine Transportverschlüsselung. Sie baut einen sicheren Tunnel zwischen zwei Rechnern auf, durch den die E-Mail geschickt wird. Dadurch kann die Nachricht unterwegs nicht mitgelesen werden. Am Start- und Endpunkt liegt sie jedoch im Klartext vor. Zudem wird die E-Mail auf ihrem Weg durch das Internet über viele Stationen geleitet. Nur, wenn jeder beteiligte Rechner wieder erneut eine verschlüsselte Verbindung herstellt, ist die Nachricht sicher. Darauf hat der Absender jedoch keinen Einfluss. Deshalb ist zusätzlich zur Transportverschlüsselung eine Inhaltsverschlüsselung wichtig. Dafür gibt es zwei Standards: OpenPGP und S/MIME. Sie verschlüsseln das, was in der E-Mail steht. Nur ein Empfänger, der den passenden Schlüssel hat, kann den Inhalt lesen. Im Klartext bleiben allerdings Metadaten wie Absender, Empfänger und Versanddatum. Erst die Kombination aus Inhaltsverschlüsselung und Transportverschlüsselung macht die Kommunikation daher wirklich sicher.

Auch das ist eine Frage, die viele Unternehmen beschäftigt und gegenüber E-Mail-Verschlüsselung skeptisch macht. Schutz vor Viren und Malware ist heute unverzichtbar. Lösungen zur Data Loss Prevention sorgen zudem für die Umsetzung von Richtlinien und unterstützen damit bei der Einhaltung der Compliance. Beide können ihrer Funktion nur nachkommen, wenn sie in der Lage sind, den Inhalt von E-Mails zu untersuchen. Gegenüber verschlüsselten Nachrichten sind sie blind. Es gibt jedoch eine Möglichkeit, solchen Sicherheitssystemen Zugang zum Klartext zu ermöglichen: Das funktioniert über einen hybriden Ansatz mit einem zwischengeschalteten Gateway. Ganz ähnlich lässt sich auch eine Archivlösung über einen Proxy anbinden. So ist sie in der Lage, den Inhalt einer Nachricht zu indexieren, kann sie anschliessend aber verschlüsselt speichern. Auch verschlüsselte E-Mails sind dann im Archiv durchsuchbar und können bei Bedarf schnell aufgefunden werden. Eine solche Lösung bietet totemo, ein unabhängiger Softwarehersteller, der seit 20 Jahren im IT-Markt etabliert ist. Das Schweizer Unternehmen steht für sichere elektronische Kommunikation im geschäftlichen Umfeld und gilt als der Experte für E-Mail-Verschlüsselung.

Wer E-Mail in der Cloud nutzt, denkt sich vielleicht: Mein Cloud-Anbieter verschlüsselt doch bereits, das reicht aus. Das stimmt, wenn man seinem Cloud-Provider grenzenlos vertraut. Unternehmen sollten sich aber darüber im Klaren sein, dass ein Anbieter, der sowohl das E-Mail-Management als auch die -Verschlüsselung übernimmt, auch die zugehörigen Schlüssel hat. Das heisst, er kann alle Nachrichten mitlesen. Möchte man dies vermeiden, sollte man entweder E-Mail-Management und -Verschlüsselung voneinander trennen oder eine Lösung einsetzen, bei der man die Schlüssel selbst speichert.

Die meisten Gründe, warum Unternehmen auf Verschlüsselung verzichten, lassen sich mit einer geeigneten Verschlüsselungslösung widerlegen. Ein Verschlüsselungs-Gateway, das auf Standards setzt, die Komplexität vom Anwender wegnimmt und Schnittstellen zu Archiv-, DLP- und Anti-Virus-Lösungen bietet, macht sichere Kommunikation einfach und praktikabel. Bleibt ein letztes Argument: Eine solche Verschlüsselungs-Lösung, wie sie totemo anbietet, kostet natürlich Geld. Es ist jedoch deutlich günstiger, in Sicherheit zu investieren, als einen Datenschutzvorfall zu riskieren. Denn dann drohen nicht nur drastische Sanktionen – auch der Schaden, der durch den Reputationsverlust entsteht, kann immens sein. Die Frage lautet also nicht: Kann ich mir E-Mail-Verschlüsselung leisten? Sondern vielmehr: Kann ich es mir leisten, darauf zu verzichten?

Mit einer Testlizenz von totemomail können Unternehmen die Lösung mit allen Funktionen kostenlos ausprobieren und sich selber überzeugen, dass die Mythen nur Mythen sind. Für den operativen Betrieb fallen Lizenzkosten pro interner E-Mail-Adresse an. totemomail lässt sich für Microsoft 365 auf Wunsch bei Azure hosten und im Managed Service betreiben. Für welches Modell sich ein Unternehmen auch entscheidet, eins steht vorher fest: Nutzer werden ihre E-Mails mit totemomail durchgehend und nutzerfreundlich verschlüsseln, weil die Sicherheitsmassnahmen im Hintergrund ablaufen.

Interessiert? Erfahren Sie mehr.

Kontaktieren Sie uns, um Ihre ganz individuellen Anforderungen im Zusammenhang mit E-Mail-Verschlüsselung zu besprechen.

Michele Di PippoSenior Sales [email protected] | +41 44 914 99 61