YB - stock.adobe.com
Cloud-basierten E-Mail-Verkehr verschlüsseln
E-Mail ist für Unternehmen einer der wichtigsten Kommunikationskanäle. Daher sollte die Kommunikation darüber verschlüsselt erfolgen – auch wenn Cloud-Dienste genutzt werden.
Am 2. März 2021 informierte Microsoft erstmals über eine Sicherheitslücke in verschiedenen Versionen von Microsoft Exchange Server und veröffentlichte ein Sicherheitsupdate. Den Ernst der Lage in Deutschland verdeutlichte das Bundesamt für Sicherheit in der Informationstechnik (BSI), indem es die höchste Alarmstufe ausrief. Nach Angaben des BSI waren Zehntausende Server in Deutschland von den Exchange-Lücken betroffen. Organisationen, die das Cloud-Angebot Microsoft 365 respektive Exchange Online einsetzen, können hingegen beruhigt sein, weil die fraglichen Schwachstellen sie nicht betreffen.
Die Sicherheit von Cloud-Angeboten hinterfragen
Cloud-Angebote verlocken dazu, eine wertvolle Erleichterung zu erwarten: Viele Unternehmen gehen davon aus, dass sich der Anbieter um die Sicherheit kümmert, und schätzen insbesondere, dass Patches für Schwachstellen schnell und automatisch eingespielt werden. Deshalb könnten gerade jetzt noch mehr Unternehmen einen Wechsel von einer On-Premises-Mail-Infrastruktur zu Cloud-Angeboten wie Microsoft 365 in Betracht ziehen. Allerdings stellt sich in der Praxis die Sache nicht immer so dar, wie sich an diesem Beispiel sehen lässt.
Je verbreiteter ein Cloud-Dienst ist, umso mehr steigt die Gefahr, zum lukrativen Angriffsobjekt von Cyberkriminellen zu werden. Daher stehen diese Angebote unter ständiger Beobachtung durch Cyberkriminelle. Bekommt ein Angreifer durch eine Schwachstelle Zugriff auf die gespeicherten E-Mails, sind Unternehmen darauf angewiesen, dass ihr Anbieter schnell reagiert. Bis ein Patch vorhanden ist, können sie wenig unternehmen. Im Fall der E-Mail-Kommunikation hieße es, dass unverschlüsselt auf dem Server liegende E-Mails möglicherweise kopiert und gelesen werden.
Die erste Konsequenz muss daher sein, die E-Mail-Verschlüsselung des Cloud-basierten Kommunikations- oder Office-Dienstes zu aktivieren. Die erbeuteten E-Mails wären dann zunächst nicht im Klartext abzugreifen. Die Erfahrung zeigt allerdings, dass viele Unternehmen selbst das nicht tun.
Die Schlüsselfragen bei der E-Mail-Sicherheit
Microsoft bietet in seinem Cloud-Angebot die Verschlüsselung des Transportwegs von E-Mails per TLS (Transport Layer Security) und des Nachrichteninhalts mit S/MIME (Secure / Multipurpose Internet Mail Extensions) oder MIP (Microsoft Information Protection). Wenn dieser Schutz aktiviert ist, dann werden alle vom Benutzer entsprechend klassifizierten Nachrichten im E-Mail-Client des Absenders verschlüsselt, bevor diese an den Empfänger gehen. Beim Übertragen greift zusätzlich die TLS-Verschlüsselung. Daraus ergibt sich ein hohes Sicherheitsniveau.
Ein Detail sollte jedoch hellhörig machen: Der Cloud-Anbieter besitzt die Schlüssel für die Verschlüsselung. Das kann problematisch sein, weil US-Behörden, wenn sie sich auf den CLOUD Act von 2018 berufen, US-Unternehmen dazu zwingen können, personenbezogene Daten selbst dann herauszugeben, wenn sie auf Servern im Ausland liegen. Tritt dieser Fall ein, ist die Vertraulichkeit der E-Mails nicht mehr gewährleistet. Wer sich darauf einlässt, übergibt einer anderen Person im übertragenen Sinn eine Geldkassette, auf deren Unterseite er noch den Schlüssel geklebt hat.
„Die E-Mail ist und bleibt das universelle Kommunikationssystem, das eine Ende-zu-Ende-Verschlüsselung verlangt, – auch bei Cloud-Diensten.“
Marcel Mock, Totemo
Alternativ können die Nutzer ihre E-Mails selbst per S/MIME verschlüsseln. Der Provider hat dann keinen Zugriff mehr auf den Schlüssel. Die Schlüsselhoheit verlangt vom Anwender jedoch, die Schlüssel selbst zu verwalten. Außerdem muss der Empfänger S/MIME ebenfalls nutzen, um die Nachrichten zu entschlüsseln. Vergisst der Absender seine E-Mails zu verschlüsseln, wird es sicherheitskritisch: Dann liegen diese im Klartext auf dem Cloud-Server und kommen unverschlüsselt beim Empfänger an.
Nach außen und innen sicher kommunizieren
Sicherheit und Nutzerfreundlichkeit lassen sich mit einer zusätzlichen Lösung in Einklang bringen, die eine Gateway-Verschlüsselung nach außen und eine interne Verschlüsselung kombiniert. Diese schirmt die Kommunikation innerhalb einer Firma automatisch mit S/MIME ab. Das Schlüsselmanagement geschieht im Hintergrund, ohne dass der Nutzer aktiv werden muss. So behält das Unternehmen selbst die Hoheit über das Schlüsselmaterial, ohne Zugriff durch den Cloud-Anbieter. Die Cloud fungiert als sicherer E-Mail-Speicher.
Der externe E-Mail-Austausch kann mit S/MIME, OpenPGP, TLS und MIP abgesichert werden. Für Empfänger, die keine dieser Technologien nutzen, stehen alternative Methoden wie WebMail oder Registered Envelope bereit, um verschlüsselt zu kommunizieren. Obwohl intern mit S/MIME verschlüsselt wird, liefert eine zusätzliche Lösung dem externen Empfänger die Nachricht also immer in der für ihn passenden Verschlüsselung aus, sodass die Nutzerfreundlichkeit für Absender wie Empfänger hoch ist. Noch mehr Sicherheit gewinnt eine Firma, die ihre On-Premises-E-Mail-Infrastruktur in die Cloud migriert, wenn sie dafür vor der Datenübertragung alle E-Mails verschlüsselt.
Das Rad intelligenter drehen
Die E-Mail ist und bleibt das universelle Kommunikationssystem, das eine Ende-zu-Ende-Verschlüsselung verlangt, – auch bei Cloud-Diensten. Diese stellen wertvolle Sicherheitsfunktionen zur Verfügung. Allerdings müssen Unternehmen diese auch nutzen und genau hinterfragen, ob diese Funktionen für sie ausreichen und welche weiteren Schwierigkeiten die Angebote mitbringen. Diese können sich beispielsweise aus gesetzlichen Vorgaben ergeben, die der Anbieter nicht umgehen kann. Dann lohnt es sich, selbst aktiv zu werden und ein gutes Angebot noch einmal zu ergänzen. Das Rad muss man nicht immer wieder neu erfinden, aber manchmal hilft es, die bestehenden Sicherheitsstandards intelligenter einzusetzen.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.