sdecoret - stock.adobe.com
EU-DSGVO-Vorgaben und die E-Mail-Verschlüsselung
Die Datenschutz-Grundverordnung macht Vorgaben zu einem sicheren Datenaustausch. So muss – im Falle von sensiblen Informationen – der E-Mail-Verkehr verschlüsselt erfolgen.
Seit Ende Mai 2018 ist die europäische Datenschutz-Grundverordnung (EU-DSGVO) wirksam. Dennoch haben noch längst nicht alle Unternehmen ihren Datenschutz an die neue Verordnung angepasst. Vor allem kleine und mittlere Unternehmen tun sich mit der Umstellung schwer. Denn nach wie vor besteht in der korrekten Auslegung zahlreicher Verordnungspunkte Unklarheit.
Abmahnungen ließen dennoch nicht lange auf sich warten. Kaum drei Tage war die neue Verordnung in Kraft, da wurden in mehreren EU-Staaten bereits die ersten Beschwerden eingereicht. Laut dem Bundesverband Digitale Wirtschaft sollen mittlerweile rund fünf Prozent der deutschen Unternehmen eine Abmahnung erhalten haben – die Dunkelziffer nicht mitgerechnet. Die Unternehmen reagieren bereits.
Einer Studie des Marktforschungsunternehmens Gartner zufolge, werden im Jahr 2019 rund ein Drittel aller Unternehmen in Beratungen und Lösungen zur Anpassung ihres Datenschutzes an die neuen Vorgaben der EU-DSGVO investieren. Viel ist hier noch zu tun. Ein Punkt, auf den die Investitionen sich werden konzentrieren müssen: die Verschlüsselung der Daten – zu der auch die Verschlüsselung des E-Mail-Verkehrs zu zählen ist.
Die Vorzüge der Verschlüsselung
Seit dem 25. Mai 2018 regelt Artikel 32 der EU-DSGVO die Verschlüsselungspflicht in Europa tätiger Unternehmen. Kommen sie ihrer Verpflichtung nach, setzen sie sich im Fall eines erfolgreichen Datendiebstahls oder einer Datenmanipulation einem deutlich geringeren Risiko auf ein Bußgeld aus. Wichtiger noch: verschlüsseln Unternehmen ihre Nutzerdaten, greift eine Sonderregelung der Artikel 33 und 34. Unternehmen sind verpflichtet, Datenschutzverletzungen innerhalb von 72 Stunden bei einer zuständigen Aufsichtsbehörde zu melden.
Wenn zudem ein erhöhtes Risiko des Missbrauchs der entwendeten Daten besteht, sind sie zusätzlich verpflichtet, die betroffenen Kunden, Partner und Mitarbeiter zu informieren. Der Ruf des Unternehmens kann hierbei verständlicherweise erheblichen Schaden erleiden. Wurden die kompromittierten Daten jedoch verschlüsselt, kann auf eine Benachrichtigung des betroffenen Personenkreises verzichtet werden, da kein erhöhtes Risiko eines Missbrauchs besteht. Diese Vorgaben zur Verschlüsselung gelten selbstverständlich auch für den internen und externen Datenaustausch von Unternehmen: ihre E-Mail-Kommunikation.
Ende-zu-Ende-Verschlüsselung meist nicht zielführend
Eine Möglichkeit, den E-Mail-Verkehr zu verschlüsseln, liegt in der Einrichtung einer Ende-zu-Ende-Verschlüsselung. Hierbei werden die einzelnen zum E-Mail-Austausch bestimmten Rechner mit sicheren E-Mail-Clients mit Kryptographie-Funktion ausgestattet. Eine zentrale Public-Key-Infrastruktur versorgt diese dann mit eigenen und fremden Schlüsseln, die dezentral auf den Rechnern verwaltet werden. So ausgestattet, können die Rechner eine sichere Ver- und Entschlüsselung der E-Mail-Kommunikation gewährleisten.
Gerade für kleine Unternehmen, die nicht die Ressourcen für eine aufwendigere E-Mail-Verschlüsselung besitzen, kann dies eine sinnvolle Lösung sein. Jedoch muss dabei beachtet werden, dass eine Kontrolle der Inhalte und des Datenflusses so nicht möglich ist. Und, was noch weit mehr ins Gewicht fällt: häufig ist den Mitarbeitern und ihren Kommunikationspartnern diese Verschlüsselungstechnik zu aufwendig und kompliziert, was einer konsequenten Durchsetzung der E-Mail-Verschlüsselung im Wege steht.
Eine automatisierte Gateway-Lösung als Ausweg
Mehr Erfolg verspricht eine Lösung mit einer automatisierten, serverseitigen Verschlüsselung: eine Gateway-Lösung. Zwei Bereiche der E-Mail-Kommunikation lassen sich verschlüsseln: der Transportweg und der E-Mail-Inhalt selbst. Bei der Transportverschlüsselung werden E-Mail-Nachrichten durch einen verschlüsselten Tunnel geleitet. Doch hat diese Technik einen Haken. Nicht nur beim Absender und Empfänger, auch auf den dazwischenliegenden Netzwerkknoten liegen die Daten unverschlüsselt vor. Cyberkriminelle können sie hier problemlos einsehen. Bei der Inhaltsverschlüsselung wird der E-Mail-Inhalt selbst verschlüsselt. Damit ist er auch an Netzwerkknoten nicht einsehbar. Doch bleiben hier die sogenannten Metadaten, wie Absender, Empfänger und Betreff der Nachricht, unverschlüsselt. Rückschlüsse auf den E-Mail-Inhalt können gezogen und von Cyberkriminellen missbraucht werden.
„Bei der Auswahl einer solchen automatisierten E-Mail-Verschlüsselung sollte darauf geachtet werden, dass diese für den Anwender weitgehend unbemerkt im Hintergrund abläuft und relativ leicht zu bedienen ist.“
Dr. Guy Bunker, Clearswift RUAG Cyber Security
Am sinnvollsten ist deshalb eine Kombination der beiden Verschlüsselungsarten. Hierbei sollte auf Standard-Verschlüsselungsprotokolle zurückgegriffen werden, die sich in den vergangenen Jahrzehnten bereits bewährt haben. S/MIME oder OpenPGP bieten sich hier für die Inhaltsverschlüsselung an, TLS für die Transportverschlüsselung. Das Management der verschlüsselten E-Mail-Kommunikation übernimmt dann eine zentrale, automatisierte Gateway-Lösung. Das Gateway speichert dabei öffentliche und private Schlüssel der internen Absender und die öffentlichen Schlüssel der externen Empfänger-Zertifikate. Unternehmensinterne Richtlinien teilen dem Gateway mit, wie es konkret mit den einzelnen ein- und ausgehenden E-Mails zu verfahren hat. Automatisch werden ausgehende E-Mails dann verschlüsselt und signiert, eingehende E-Mails entschlüsselt und verifiziert.
Bei der Auswahl einer solchen automatisierten E-Mail-Verschlüsselung sollte darauf geachtet werden, dass diese für den Anwender weitgehend unbemerkt im Hintergrund abläuft und relativ leicht zu bedienen ist. Die Kommunikation mit Mitarbeitern, Partnern und Kunden sollte durch sie nicht behindert werden. Außerdem sollte sie über Schnittstellen verfügen, an die weitere Anwendungen angeschlossen werden können. Sicherheitssoftware, wie ein Virenscanner, muss auf den Datenfluss zugreifen können, um die E-Mails auf Malware zu scannen. Auch das E-Mail-Archiv muss eine Zugriffsmöglichkeit auf die unverschlüsselten E-Mail-Inhalte besitzen. Andernfalls wird es diese nicht indizieren und einem suchenden Endnutzer zugänglich machen können. Und schließlich muss die Verschlüsselungslösung auch auf mobilen Endgeräten, wie einem Smartphone oder einem Tablet, operabel sein. Im Idealfall ist sie gleich so flexibel, dass sie den E-Mail-Verkehr auf unterschiedlichen Betriebssystemen und Plattformen bedienen kann.
Die E-Mail-Verschlüsselung ist Teil der Verschlüsselungspflicht der neuen EU-DSGVO. Mit einer automatisierten Gateway-Lösung können Unternehmen die in Europa gültigen Anforderungen zur E-Mail-Verschlüsselung in vollem Umfang erfüllen.
Über den Autor:
Dr. Guy Bunker ist SVP of Products bei Clearswift RUAG Cyber Security.
Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!