S/MIME: TeleTrusT veröffentlicht Leitfaden zur E-Mail-Verschlüsselung

TeleTrusT, der Bundesverband IT-Sicherheit e. V., betont in einem Leitfaden zur E-Mail-Verschlüsselung, wie wichtig das Verschlüsseln von E-Mails ist. Die Publikation wurde von der TeleTrusT-Arbeitsgruppe „Cloud Security“ erstellt und enthält neben diversen Erklärungen auch illustrierte Handlungsanleitungen.

Auch wir, die PSW GROUP verstehen die E-Mail-Verschlüsselung als einen relevanten und notwendigen Teil der Geschäftskommunikation und der elektronischen Kommunikation im Allgemeinen. Daher haben wir uns der Arbeitsgruppe des TeleTrust angeschlossen. Gemeinsam konnte ein Leitfaden erstellt werden, der Ihnen die Funktionsweise, Relevanz und den technischen Hintergrund der E-Mail-Verschlüsselung darlegt.

TeleTrusT-Leitfaden für E-Mail-Verschlüsselung

Auf mehr als 70 Seiten fasst die Arbeitsgruppe die Wichtigkeit von E-Mail-Verschlüsselung zusammen und gibt konkrete Handlungsempfehlungen. Da die Kommunikation per E-Mail in zahlreichen Organisationen und Unternehmen Kommunikationsmittel Nummer Eins ist, ist die Verschlüsselung von E-Mails einer der wesentlichen Schritte in der Kommunikationssicherheit.

Täglich werden viel zu viele vertrauliche Informationen einschließlich unternehmenskritischer Vorgänge oder sensibler Daten per E-Mail versendet – leider oft unverschlüsselt oder lediglich transportverschlüsselt. Das hat zur Folge, dass solche E-Mails wie Postkarten lesbar sind. Weiter lassen sich solch unverschlüsselte E-Mails auf dem Transportweg abfangen, manipulieren oder gar löschen.

Die neue TeleTrusT-Publikation, die Sie hier herunterladen können (PDF), erläutert Verschlüsselungs- sowie Signaturmechanismen. Als Leserin oder Leser werden Sie in die Lage versetzt, eigenständig einzuschätzen, für welche Situation Sie auf welche Technik setzen können. Weiter erhalten Sie Anleitungen zum Einrichten der wichtigsten Mechanismen und einen kleinen Blick auf mögliche Zukunftstechnologien.

E-Mail-Verschlüsselung – vertrauenswürdige Kommunikation

Mit der E-Mail-Verschlüsselung machen Sie aus einer für alle lesbaren Postkarte einen versiegelten Brief, den nur der berechtigte Empfänger lesen kann. Zwei Motivationen sorgen dafür, dass E-Mail-Verschlüsselung wichtig ist: Zum einen sollen bestimmte Daten und Informationen schlichtweg geheim gehalten werden. Zum Schutz vor Industriespionage oder Manipulation gehören E-Mails verschlüsselt. Zum anderen gilt es, Compliance zu erfüllen. Denn nicht zuletzt mit der Datenschutz-Grundverordnung (DSGVO) macht der Gesetzgeber konkrete Vorgaben zum Umgang mit personenbezogenen Daten. Vorstände, Geschäftsführer und Verantwortliche müssen mit Haftung rechnen. Nationale und internationale Vorgaben ergänzen diese Gesetzgebung.

Die TeleTrusT-Publikation zitiert auf Seite 4 unter 2.2 Bedrohungslage die Studie „Industriespionage 2014 – Cybergeddon der Wirtschaft durch NSA & Co.?“ von Corporate Trust, AON Risk Solutions, der Securiton GmbH sowie der Zurich Gruppe Deutschland. Neben 6.767 deutschen Unternehmen wurden auch 1.396 österreichische Unternehmen zur Bedrohungslage befragt.

Dieser Studie zufolge hatte jedes zweite Unternehmen einen konkreten Spionageangriff oder zumindest Verdachtsfälle zu beklagen. Verglichen mit der Studie aus 2012 bedeutet dies einen Anstieg innerhalb Deutschlands um 5,5 %! Festgestellt wurden am häufigsten Hackerangriffe auf die EDV-Systeme oder Geräte. Am zweithäufigsten war jedoch das Abfangen von elektronischer Kommunikation: In Deutschland stellten 41,1 %, in Österreich 40,0 % solche Aktivitäten fest.

Erschreckend dabei ist, dass lediglich 16 % aller befragten Unternehmen auf E-Mail-Verschlüsselung setzen. Auch 2017 zeigte die Studie, dass mehr als die Hälfte aller Unternehmen Opfer von Angriffen geworden sind. Knappe 30 % betroffener Unternehmen gehen sogar davon aus, dass durch den Angriff Informationen abgeflossen sind.

TeleTrusT-Leitfaden: Praxisnahe Lösungen

Die TeleTrusT-Arbeitsgruppe zeigt Technologien auf, die das Verschlüsseln von E-Mails ermöglichen. Weiterhin wird sich dann mit Lösungen für die Praxis befasst. Vorgestellt werden die Verschlüsselung direkt im Client des Anwenders sowie Gateway-Lösungen.

Bei der Verschlüsselung über den E-Mail-Client des Users können E-Mail-Zertifikate auf einem Token oder als Softkey vorhanden sein. So lässt sich die Verschlüsselung Ende-zu-Ende realisieren; die verschlüsselten E-Mails liegen auch auf dem Mailserver sowie im internen Unternehmensnetz immer verschlüsselt vor. Die E-Mail-Verschlüsselung über S/MIME wird von gängigen E-Mail-Programmen wie Outlook unterstützt, während für PGP in aller Regel zusätzliche Programme benötigt werden.

Für Verschlüsselungs-Gateways wird zentral konfiguriert, welche E-Mails ausschließlich verschlüsselt übertragen werden. Entsprechende Prozesse innerhalb der IT-Administration nehmen die Komplexität vom einzelnen User weg. Ein Gateway kann sicherstellen, dass bestimmte Kommunikation grundsätzlich verschlüsselt wird, außerdem lassen sich Mail-Inhalte vor dem Verschlüsseln und nach dem Entschlüsseln auf Malware oder kritische Inhalte prüfen.

Welcher dieser Ansätze im rechtlichen, organisatorischen und technischen Kontext für welches Unternehmen geeignet ist, muss jede Organisation für sich entscheiden. Denkbar ist auch ein Mix: Bestimmte Mitarbeiter verschlüsseln am Client, die restliche Belegschaft nutzt die Verschlüsselungsfunktion des Gateways.

Die TeleTrusT-Publikation beschreibt im Folgenden verschiedene Verschlüsselungsverfahren. In Punkt 4.4 wird die Sicherheit beim Zertifikats- und Schlüsselmanagement sehr praxisnah beschrieben, bevor das technische Kompendium mit detaillierten technischen Anleitungen an die Reihe kommt.

Durch die folgenden Lese-Vorschläge können Sie Ihr Wissen rund um die E-Mail-Verschlüsselung weiter vertiefen:

• „E-Mail verschlüsseln: So kommunizieren Sie sicher“: In diesem Beitrag stellen wir Ihnen eine Studie zur E-Mail-Verschlüsselung vor, zeigen Ihnen Gründe auf, warum sich Verschlüsselung empfiehlt, und zeigen verschiedene Verfahren und Funktionsweisen auf.
• „E-Mail-Sicherheit: Abgefangene E-Mails sind eine Gefahr“: Welche Vorteile haben Zertifikate für die E-Mail-Sicherheit? Dieser Frage sind wir in diesem Beitrag auf den Grund gegangen.
• „E-Mail-Verschlüsselung ist sicher – Efail nutzt Schwachstellen in E-Mail-Clients“: Efail, eine Schwachstelle in E-Mail-Clients, hatte es auf verschlüsselte Nachrichten abgesehen. Welche Verfahren betroffen waren und wie Sie sich schützen können, haben wir in diesem Beitrag aufgezeigt.

E-Mail-Verschlüsselung nicht vernachlässigen

In Zeiten von Schwachstellen wie Efail, Industriespionage und Hackerangriffen stellt die verschlüsselte Übertragung von E-Mails einen sehr wichtigen Baustein zur IT-Sicherheit dar. Nur verschlüsselte Kommunikation kann als sicher und vertrauenswürdig angesehen werden. Da gängige E-Mail-Programme die Verschlüsselung unterstützen und mit Gateway-Lösungen der Aufwand nicht beim User, sondern in der IT-Abteilung liegt, gibt es keine Ausreden: E-Mail-Verschlüsselung ist längst nicht mehr so komplex wie häufig angenommen.

In unserem Portfolio finden Sie eine große Auswahl an E-Mail-Zertifikaten – für jeden Bedarf gibt es das passende Produkt. So präsentieren wir Ihnen beispielsweise das E-Mail-Zertifikat „Individual ID“ aus dem Hause Certum für nur 19 Euro pro Jahr, das Sectigo-Zertifikat „CPAC Enterprise“ ab 39 Euro pro Jahr oder Schweizer Sicherheit mit dem SwissSign-Zertifikat EDI Pro. Letzteres nutzt den RSASSA-PSS-Standard sowie den Hash-Algorithmus SHA256. Dank dieser Eigenschaften ist das Zertifikat für Energieversorger besonders gut geeignet.

Haben Sie Fragen zur E-Mail-Verschlüsselung im Allgemeinen oder zu einem bestimmten S/MIME-Zertifikat im Besonderen, freuen wir uns auf den Kontakt mit Ihnen!