YB - stock.adobe.com
Die EU-DSGVO und die Verschlüsselung von E-Mails
Unternehmen sollten kritische E-Mails verschlüsseln. Schon heute ist dies laut BDSG für Nachrichten mit personenbezogenen Daten Pflicht. Die DSGVO verschärft die Situation.
Der Stichtag naht: Ab dem 25. Mai 2018 gilt die neue Datenschutz-Grundverordnung (DSGVO) verbindlich in allen europäischen Mitgliedsstaaten. Sie betrifft jedes Unternehmen – denn zumindest in der Personalabteilung haben alle mit personenbezogenen Daten zu tun.
Doch was ist jetzt genau zu tun? Viele Unternehmen fühlen sich im Hinblick auf die DSGVO verunsichert. Schließlich drohen bei Datenschutzverletzungen künftig hohe Bußgelder. Eine Maßnahme, die in Artikel 32 der neuen Verordnung explizit als Schutzmaßnahme genannt wird, ist die Verschlüsselung. Wer eine entsprechende Lösung einsetzt, hat also schon einmal einen wichtigen Teil der DSGVO-Baustelle abgedeckt.
Außerdem bringt Verschlüsselung einen Vorteil bei der Benachrichtigungspflicht. Laut Artikel 33 und 34 der DSGVO müssen Unternehmen Datenschutzverletzungen künftig innerhalb von 72 Stunden bei der zuständigen Aufsichtsbehörde melden. Auch die betroffenen Personen sind zu verständigen, sofern ein hohes Risiko für sie besteht. Letzteres ist jedoch nicht erforderlich, wenn die kompromittierten Daten verschlüsselt waren. Damit sparen sich Unternehmen viel Aufwand und schützen ihren guten Ruf.
Nicht neu – aber oft noch unklar
Im Grunde ändert die DSGVO in Bezug auf den E-Mail-Verkehr nichts. Schon heute sind deutsche Unternehmen laut Bundesdatenschutzgesetz verpflichtet, Nachrichten mit personenbezogenen Daten zu verschlüsseln. Wer das nicht tut, geht das Risiko ein, dass sensible Daten in falsche Hände gelangen. Denn Unbefugte können bei der E-Mail-Übertragung dann problemlos mitlesen. Informationen zu Mandanten oder zum Gesundheitszustand von Patienten wären damit genauso öffentlich, als würde man eine Postkarte verschicken.
Selbst unter Rechtsanwälten scheint es über die Verschlüsselungspflicht allerdings noch Unklarheiten zu geben. Das geht aus einem Beitrag von Dr. Inge Rötlich auf dem Portal Anwalt24.de hervor. Sie fordert ihre Kollegen zur Verschlüsselung auf und stellt fest: „Die Auffassung vieler Rechtsanwaltskammern zu diesem Thema ist nicht haltbar.“ Dabei zitiert sie Sachsens Datenschutzbeauftragten Andreas Schurig. Er schreibt in seinem 8. Tätigkeitsbericht für den nicht-öffentlichen Bereich, dass eine E-Mail-Kommunikation im Klartext für Geheimnisträger als datenschutzwidrig einzuordnen sei. Ein Anwalt, der etwa Schriftsätze unverschlüsselt verschickt, verstoße seiner Ansicht nach gegen Paragraf 203 des Strafgesetzbuches.
Die richtige Verschlüsselung wählen
Grundsätzlich unterscheidet man bei der E-Mail-Verschlüsselung die sogenannte Transportverschlüsselung und die Inhaltsverschlüsselung. Bei der Transportverschlüsselung werden Nachrichten durch einen verschlüsselten Tunnel geschickt. Beim Absender und Empfänger, und gegebenenfalls auch auf den dazwischenliegenden Knoten, liegen sie jedoch im Klartext vor und können mitgelesen werden.
Bei der Inhaltsverschlüsselung wird dagegen der Inhalt einer E-Mail verschlüsselt. Allerdings bleiben Meta-Informationen wie Absender, Empfänger oder Betreff einer Nachricht lesbar. Um für größtmögliche Sicherheit zu sorgen, empfiehlt es sich daher, Transportverschlüsselung und Inhaltsverschlüsselung zu kombinieren. Dabei sollten Unternehmen auf Standardprotokolle setzen. Für die Inhaltsverschlüsselung sind das S/MIME und OpenPGP. Noch kein Standard, aber durchaus verbreitet sind die Microsoft Rights Management Services (RMS). Es gibt sie für den On-Premises-Einsatz und für die Azure Cloud. Das Standardprotokoll für die Transportverschlüsselung ist TLS (Transport Layer Security), das vielen auch noch unter dem vorherigen Namen SSL (Secure Socket Layer) bekannt ist.
Darauf sollten Unternehmen achten
Neben Transportverschlüsselung und Inhaltsverschlüsselung mit Standardprotokollen gibt es eine Reihe von weiteren Anforderungen, die eine Verschlüsselungslösung für das Unternehmensumfeld erfüllen sollte. Wichtig sind zum Beispiel Schnittstellen zu Sicherheitssoftware wie Virenscannern und Data Loss Prevention Tools.
Denn sonst können diese den Inhalt einer Nachricht nicht scannen und sind gegenüber Gefahren blind. Gleiches gilt für ein Archivsystem: Es muss auf den Klartext zugreifen können, um E-Mails zu indizieren. Ansonsten sind Nachrichten später nur schwer wieder auffindbar. Außerdem sollten Unternehmen darauf achten, dass sich auch interne und automatisiert verschickte Nachrichten verschlüsseln lassen.
“Neben allen genannten Kriterien dürfen Unternehmen dabei eines nicht vergessen: die Benutzerfreundlichkeit. Denn die beste Technik bringt nichts, wenn Mitarbeiter sie nicht gerne einsetzen.”
Marcel Mock, Totemo
Viele ERP- oder HR-Systeme versenden heute zum Beispiel selbstständig E-Mails, etwa Lohnabrechnungen oder Bestellungen, die bei der Verschlüsselung berücksichtigt werden sollten. Für E-Mails mit größter Geheimhaltungsstufe sollte die Lösung Ende-zu-Ende-Verschlüsselung unterstützen. Nur der Absender und der Empfänger können die Nachricht dann lesen. Dieser Modus ist jedoch sparsam einzusetzen. Denn auch Virenscanner oder DLP-Tools sind gegenüber E-Mails mit Ende-zu-Ende-Verschlüsselung blind. Unverzichtbar ist zudem, dass die Lösung auf mobilen Endgeräten läuft. Im Idealfall unterstützt sie beliebige Plattformen sowie alle gängigen E-Mail-Clients und Server. So bleiben Unternehmen flexibel und für die Zukunft gerüstet, auch wenn sie ihre Infrastruktur einmal ändern.
Spätestens ab dem 25. Mai 2018 kann es sich kein Unternehmen mehr leisten, auf E-Mail-Verschlüsselung zu verzichten. Wer noch keine geeignete Lösung am Start hat, sollte sich jetzt darum kümmern. Neben allen genannten Kriterien dürfen Unternehmen dabei eines nicht vergessen: die Benutzerfreundlichkeit. Denn die beste Technik bringt nichts, wenn Mitarbeiter sie nicht gerne einsetzen. Eine gute E-Mail-Verschlüsselungslösung arbeitet unbemerkt im Hintergrund und beeinträchtigt Mitarbeiter nicht in ihren gewohnten Arbeitsabläufen. Zudem sollte sie auch Wege zur sicheren Kommunikation mit externen Partnern bieten, die sich mit Verschlüsselung nicht auskennen. Wer all dies berücksichtigt, ist der Umsetzung der DSGVO schon einen erheblichen Schritt nähergekommen.
Über den Autor:
Marcel Mock ist CTO und Mitbegründer von Totemo.
Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!