Um die E-Mail-Sicherheit ist es auch ein Jahr nach Bekanntwerden der NSA-Abhöraktivitäten schlecht bestellt: Zwei Drittel der Beschäftigten können E-Mails nicht verschlüsseln und nur jeder siebte Berufstätige verschickt verschlüsselte Mails. Dabei gibt es bereits einfache Möglichkeiten für die Verschlüsselung.
Als Edward Snowden vor gut einem Jahr das massenhafte Ausspähen von Internetdaten und E-Mail-Kommunikation durch Geheimdienste ans Licht brachte, sah es so aus, als ob das die Umsetzung von E-Mail-Verschlüsselung und anderen Datenschutzmaßnahmen in Unternehmen fördern würde.
Doch während private E-Mails inzwischen meist verschlüsselt transportiert werden, ist der verschlüsselte Versand von beruflichen E-Mails noch die große Ausnahme, wie eine aktuelle Umfrage des Verbandes BITKOM ergab.
- 65 Prozent der befragten Berufstätigen, die dienstliche E-Mails verschicken, können an ihrem Arbeitsplatz keine Verschlüsselung für die Nachrichten nutzen.
- Weitere 19 Prozent geben an, dass es zwar die technischen Voraussetzungen für E-Mail-Verschlüsselung gibt, sie diese aber grundsätzlich nicht einsetzen.
- Gerade einmal 16 Prozent verschlüsselt zumindest hin und wieder berufliche E-Mails.
BITKOM-Sicherheitsexperte Marc Fliehe sieht in der Spähaffäre weiterhin großen politischen Aufklärungs- und Handlungsbedarf. Unabhängig davon sollten Unternehmen die bestehenden Möglichkeiten zum Schutz ihrer Daten wie E-Mail-Verschlüsselung umfassend nutzen. Der Schutz von Firmen- und Kundendaten sei nicht nur wegen möglicher Ausspähungen durch Geheimdienste wichtig, sondern vor allem auch mit Blick auf Cyberkriminelle.
So können Sie E-Mails sicher verschlüsseln
E-Mails enthalten so gut wie immer personenbezogene Daten. Diese Daten müssen nach § 9 BDSG und dessen Anlage durch geeignete technische und organisatorische Maßnahmen geschützt werden. Am wirkungsvollsten ist eine Verschlüsselung der E-Mails. Dafür stehen mehrere Möglichkeiten zur Verfügung:
- Verschlüsselung der gesamten E-Mail
Dies ist der klassische und meist empfohlene Weg. Dazu werden Programme wie PGP, GnuPG oder andere Software eingesetzt, die auf die Standards S/MIME oder OpenPGP zurückgreifen. Die gesamte E-Mail samt Anhängen wird verschlüsselt. Zusätzlich kann sie auch signiert werden. Allerdings müssen vor der Benutzung technische Voraussetzungen erfüllt sein: Nicht nur der Absender, sondern auch der Empfänger muss dieselbe Verschlüsselungssoftware installiert haben.
Das Verfahren ist etwas umständlich und konnte sich daher noch nicht auf breiter Front durchsetzen. Es bietet insgesamt aber die derzeit höchstmögliche Sicherheitsstufe - wenn die Kommunikationspartner bereit sind, die gleiche Software einzusetzen.
- Verschlüsselung nur des E-Mail-Anhangs
Einfacher ist es, die sensiblen Informationen in einer separaten Datei zu speichern (z. B. PDF- oder Microsoft-Word-Format) und nur diese zu verschlüsseln. Dazu können sowohl Bordmittel des Programms eingesetzt werden wie auch Zip-Archivierer mit Passwort-Unterstützung oder Datei-Verschlüsselungsprogramme. Nach dem Verschlüsseln wird die Datei als Anhang einer unverschlüsselten E-Mail verschickt.
Vorteil: Der Empfänger benötigt in der Regel keine spezielle Entschlüsselungssoftware, sondern nur ein Passwort, das natürlich immer getrennt von der Mail weitergegeben werden muss!
- Datei-Verschlüsselungsprogramme
Daneben können Dateien auch über Verschlüsselungsprogramme geschützt werden. Kostenfreie Software wie AxCrypt oder Sophos Free Encryption verschlüsseln beliebige Dateien. Dabei kann auch eine selbstextrahierende Datei erzeugt werden, für die der Empfänger keine Entschlüsselungssoftware installieren muss.
Der Einsatz von Verschlüsselungslösungen in Unternehmen sollte Bestandteil der IT-Sicherheitsrichtlinien sein. Ganz wichtig ist, dass Mitarbeiter entsprechend informiert und geschult werden.