Verschlüsselte E-Mail – darum ist es so wichtig

Verschlüsselte E-Mails

Warum eine verschlüsselte E-Mail? Welche Möglichkeiten gibt es? Wann ist es wichtig?

Haben Sie sich schon einmal Gedanken gemacht, ob jemand Ihre E-Mails mitlesen kann? Gerade wenn es sich um vertrauliche Daten handelt, kann es fahrlässig sein, E-Mails unverschlüsselt zu versenden. Denn bei diesen Mails ist es ein leichtes, Daten abzugreifen und für eigene Zwecke zu missbrauchen. Sie können sich eine E-Mail wie eine Postkarte vorstellen, jeder der diese auf ihrem Weg zum Ziel in den Händen hält, kann mitlesen. Daher kann eine verschlüsselte E-Mail eine Lösung sein.

Nicht nur Privatpersonen, sondern auch Unternehmen gehen mit dem E-Mail-Versand recht sorglos um. So versenden nach einer Auswertung von TÜV Süd 52 Prozent zumindest manchmal unverschlüsselte E-Mails und 21 Prozent verschlüsseln ihre E-Mails nie. Gerade im Hinblick auf die gerade gültig gewordene DSGVO und der immer wiederkehrenden Datenskandale ist das fatal. Und seinen wir mal ehrlich, niemand möchte, dass seine sensiblen Daten, wie z.B. die Kontoverbindung oder das Geburtsdatum irgendwo durch das Internet geistern.

Gerade auch im Zuge des DSGVO Artikels 32 sind Unternehmen verpflichtet, als Verantwortliche und Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen zu etablieren, um für personenbezogene Daten ein entsprechendes Schutzniveau zu gewährleisten. Daher sollten E-Mails mit vertraulichen Daten verschlüsselt werden. Zum einen, um als Unternehmen weiterhin seriös wahrgenommen zu werden, zum anderen, um keine rechtlichen Konsequenzen befürchten zu müssen.

Welche Möglichkeiten gibt es?

Um E-Mails sicher zu versenden, empfiehlt es sich auf standardisierte Systeme zu setzen. Die Verwendung dieser Kommunikationssysteme bietet den großen Vorteil der Kompatibilität zu anderen Systemen, wie die Ihrer Kunden und Partner. Zudem sind diese oft schon in bestehende E-Mail-Lösungen integriert.

Transportverschlüsselung SSL/TLS

Bei der Transportverschlüsselung wird nicht die E-Mail selbst verschlüsselt, sondern der Transportweg durch das Internet. Dies ist möglich mit dem Transport Layer Security (TLS) beziehungsweise dessen Vorgänger Secure Socket Layer (SSL). Bei dieser Technologie bauen Absender und Empfänger einer E-Mail gemeinsam einen verschlüsselten Tunnel auf. Die Server beider Seiten bilden dabei jeweils eine Zwischenstation. Bei TLS handelt es sich um eine Kombination des symmetrischen Verschlüsselungsverfahrens, bei welchem Sender und Empfänger einen gemeinsamen, geheimen Schlüssel, mit asymmetrischen Algorithmen verwenden. Dadurch wird eine abgesicherte und zuverlässige Datenübertragung garantiert. Der Nachteil ist allerdings, dass der Versender nur die Verschlüsselung auf dem Weg von ihm zum Server und von Server zu Server garantieren kann. Daher ist es möglich, dass die Übertragung vom Server zum Empfänger unverschlüsselt erfolgt. Zudem kommt hinzu, dass die E-Mail auf dem jeweiligen Server unverschlüsselt vorliegt. Damit bleibt ein gewisses Restrisiko, dass Hacker durch Manipulationen doch noch an die Inhalte gelangen.

Auch der EMM versendet alle Mails standartmäßig per TLS, damit wird auch für Marketing-Mails der bestmögliche Schutz gewährleistet.

End-to-End-Verschlüsselung

Bei der End-to-End-Verschlüsselung gibt es zwei gebräuchliche Protokolle,  S/MIME (Secure / Multipurpose Internet Mail Extensions) und PGP (Pretty Good Privacy). Bei diesem Verfahren besitzt jede Person einen eignen Schlüssel, der auf die jeweilige E-Mail-Adresse ausgestellt ist. Die E-Mail wird bereits vor dem Versand zum Provider durch den Mailclient verschlüsselt. Sowohl der eigene, als auch der Provider des Empfängers, kann somit nicht auf den Inhalt der E-Mail zugreifen.

S/MINE und PGP bieten damit ein hohes Maß an Sicherheit. Allerdings sind diese Verschlüsselungsverfahren aufwendiger, da sowohl Sender als auch Empfänger daran teilnehmen müssen. Zudem muss jeder Beteiligte eigene Schlüssel generieren und sicher austauschen. Um dies möglichst einfach zu gestalten, gibt es mittlerweile einige Softwarelösungen, um bei der End-to-End-Verschlüsselung den Austausch der Schlüssel zu automatisieren und die Ver- und Entschlüsselung zentral auf dem Mail-Server ablaufen zu lassen.

S/MIME

Das S/MIME Protokoll bietet neben der sicheren Verschlüsselung eine Signaturfunktion. Diese Signatur ist vergleichbar mit einer händischen Unterschrift. Der Empfänger kann damit sicher sein, dass die E-Mail auch tatsächlich vom entsprechenden Absender stammt. Um S/MIME zu implementieren, ist ein offizielles Zertifikat notwendig, welches von den sogenannten Trust Centern ausgestellt wird. Die Zertifikate gibt es mit unterschiedlichen Sicherheitsstufen, die von der Prüfung der Existenz einer E-Mail-Adresse bis hin zu einem persönlichen Erscheinen mit Originaldokumenten bei der Zertifizierungsstelle reichen. Um eine mit S/MIME verschlüsselte Mail öffnen zu können, müssen Sender und Empfänger ihre Zertifikate austauschen. Diese enthalten den öffentlichen Schlüssel, mit dem die E-Mail verschlüsselt wird. Das Entschlüsseln der E-Mail erfolgt mit dem privaten Schlüssel.

PGP

Bei der PGP-Verschlüsselung wird anders als bei S/MIME das Schlüsselpaar selbst erzeugt. PGP beruht grundsätzlich auf dem gegenseitigen Vertrauen der beiden Kommunikationspartner und kommt ohne zentrale Zertifizierungsstelle aus.

Bei der PGP-Verschlüsselung werden bei der Installation zwei Schlüsselpaare erzeugt. Mit dem ersten öffentlichen Schlüssel, den jeder kennen darf, können E-Mails verschlüsselt werden, aber nicht entschlüsselt. Diesen öffentlichen Schlüssel benötigen sowohl Sender als auch Empfänger. Ihn darf aber prinzipiell jeder kennen, da der Absender diesen auf seiner Webseite veröffentlichen, auf öffentlich abfragbaren Keyservern hochladen sowie versenden kann. Der öffentliche Schlüssel hat darüber hinaus noch eine Signaturfunktion, um die Echtheit zu bestätigen. Der zweite private und geheime Schlüssel, ist nur für den Empfänger bestimmt, der damit die E-Mail entschlüsseln kann.

Vorteile S/MIME und PGP

Das spricht für eine Nutzung von S/MIME und PGP

  • E-Mails werden vor dem Lesen Unbefugter geschützt
  • Die Identität des Absenders kann geprüft werden
  • Die E-Mail lässt sich auf Unversehrtheit prüfen bzw. eine Manipulation ist nachträglich erkennbar

Weitere Möglichkeiten

Neben den bekannten standardisierten Verfahren gibt es weitere Möglichkeiten der Verschlüsselung bzw. der sicheren Übermittlung von Daten, wie das Pull-Verfahren. Bei diesem meldet sich der Empfänger im System des Absenders an und erhält nach einer Autorisierung die entsprechende Benachrichtigung. Beim Push-Verfahren hingegen wird die E-Mail konvertiert, verschlüsselt und dem Empfänger als Anhang z.B. PDF, Zip oder HTML einer Träger-E-Mail zugesendet.

Wo sind verschlüsselte E-Mails besonders wichtig und wo nicht?

Nicht nur für die rechtskonforme Anwendung der DSGVO ist ein verschlüsselter Versand bei vertraulichem Inhalt wichtig, sondern auch für viele Kunden und Partner. Allerdings kommt es auch immer auf den Einzelfall an. So ist z.B. eine generelle Verschlüsselung bei Bestellbestätigungen nicht erforderlich. Aber gerade bei spezielleren Bestellungen ist es dem ein oder anderen Kunden sicher ganz recht, dass nicht unbedingt nachvollziehbar ist, was bestellt wurde. Auch die Korrespondenz in wichtigen persönlichen Angelegenheiten, z.B. mit einem Anwalt, kann eine Verschlüsselung erfordern. Orientieren sollte man sich hier am Art. 32 der DSGVO, in dem von der  „Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen“  die Rede ist.

Erforderlich ist eine Verschlüsselung der E-Mail hingegen bei der Übertragung von größeren Datenmengen. Hier kann aber alternativ auch über einen gesicherten Datentransfer über andere Kanäle nachgedacht werden.

Alternativen zu verschlüsselten Mails

Neben der Übertragung von Daten per E-Mail, gibt es auch noch die Möglichkeit, Daten über sogenannte Filehosting bzw. Cloud Storage Dienste zu teilen. Dabei handelt es sich um einen Speicherplatz in einer Cloud. Bekannte Beispiele hierfür sind Dropbox (öffentliche Cloud) und ownCloud (private Cloud). Diese Dienste bieten die Möglichkeit, zu kommunizierende Inhalte auf einem Cloud Server abzulegen, auf den erst mal nur der Ersteller Zugriff hat. Es besteht aber die Möglichkeit, Ordner und Dokumente auch für andere Personen zugänglich zu machen. Hierfür muss der Ordner der berechtigten Person freigegeben werden. Diese erhält dann über einen automatisch generierten Link den Zugriff. Der Zugriff per Link kann dabei nur für 1 oder 2 Tage gültig sein oder der Teilnehmer muss sich selbst noch in die Cloud einloggen. Hackern wird somit der Zugriff erschwert.

Weitere Vorteile sind, dass sich Daten über Filehosting Systeme schnell und einfach austauschen lassen. Zudem kann der Ersteller eingeladenen Personen Rechte zuweisen und es erfolgt bei einer Bearbeitung von Dokumenten eine automatische Synchronisation.

 

Sollte das Thema für Sie interessant sein, dann finden Sie sicher auch diese weiteren Beiträge spannend:

Mehr Sicherheit durch Forward Secrecy

Alles mit rechten Dingen?

EU-DSGVO-konforme Newsletter-Anmeldung

Über die Autorin:Sophie Schneider

Sophie Schneider
Sophie Schneider ist seit 2017 Marketing Manager bei der AGNITAS AG. Die studierte Medienwirtschaftlerin und Ökonomin schreibt regelmäßig Blogbeiträge rund um die Themen E-Mail-Marketing, Kampagnen, Recht, Sicherheit und alles was unsere Leser sonst noch interessiert. Darüber hinaus betreut Sophie unsere Social-Media-Auftritte und den Messe- und Eventbereich.