Wieso E-Mails verschlüsselt werden sollten

Wieso E-Mails verschlüsselt werden sollten

Am 25. Mai 2018 endet im EU-Raum die zweijährige Übergangsfrist für die Datenschutz-Grundverordnung (DSGVO, engl. GDPR) und sie tritt dann definitiv in Kraft. Sie sieht im EU-Raum keine zwingende Verschlüsselung von E-Mails vor. Allerdings ist Verschlüsselung eine wichtige Massnahme beim Schutz für die Vertraulichkeit von sensiblen Daten und der Datensicherheit. In der Schweiz wird das Parlament in einer der nächsten Sessionen über eine entsprechende Änderung des Datenschutzgesetzes (DSG) abstimmen. Die Schweizer Massnahmen sind in der Regel gleich oder sogar strenger als jene in der EU. Wir dürfen also gespannt sein, was uns erwartet.

Der Spruch: "Eine unverschlüsselte E-Mail ist so sicher vor fremden Blicken geschützt, wie eine Postkarte" kommt nicht von ungefähr. Daher ist es erstaunlich wie wenige Firmen in der Schweiz heute Verschlüsselungs-Technologien einsetzen.

Was ist eigentlich Verschlüsselung?
Mit Hilfe der Verschlüsselung lassen sich Daten in eine für unbefugte Dritte nicht lesbare Form umwandeln. Bei der digitalen Verschlüsselung unterscheidet man zwischen symmetrischen oder asymmetrischen Verschlüsselungsverfahren. Die Schlüssel sind Geheimcodes, mit denen Klartext (ein lesbarer Text) in Geheimtext (eine unverständliche Zeichenreihenfolge) und natürlich auch wieder zurück verwandelt werden können. Dieses Verfahren kann nicht nur bei E-Mails angewandt werden, sondern auch bei Zahlungsinformationen, Personendaten und sonstigen heiklen Informationen auf Datenträgern.

Bei symmetrischen Verfahren werden Ver- und Entschlüsselung mit demselben Schlüssel durchgeführt. Sender und Empfänger müssen vorab diesen geheimen Schlüssel vereinbart haben und der Schlüssel muss logischerweise geheim gehalten werden. Die Übergabe des Schlüssels ist bei diesem Verfahren der heikle Punkt. Bei der asymmetrischen Verschlüsselung gibt es zwei Schlüssel zum ver- und entschlüsseln. Einen Öffentlichen, der für jeden zugänglich ist, und einen Privaten, der geheim gehalten werden muss. Mit dem öffentlichen Schlüssel wird eine Information verschlüsselt und kann nur mit dem privaten Schlüssel entschlüsselt werden. Der Schlüssel zum Verschlüsseln muss nicht geheim gehalten werden. Es muss aber sichergestellt werden, dass der öffentliche Schlüssel auch wirklich zu dem Empfänger gehört.

Die Ziele der Verschlüsselung
Mit Verschlüsselung wird die Vertraulichkeit der Daten sichergestellt. Die Verschlüsselung stellt sicher, dass nur berechtigte Personen den Inhalt von sensiblen Daten einsehen können. Sie bleiben somit vertraulich. Mit all den Meldungen über Cyber-Attacken und Sicherheitslücken ist es für mich unerklärlich, wie heute immer noch so viele Unternehmen ohne E-Mail-Verschlüsselung auskommen. Liegt es an den Kosten? Oder ist es der Gedanke, dass die versendeten Informationen nicht wichtig genug sind?

Die elektronische Signatur
Während Verschlüsselung dazu dient den Inhalt einer Nachricht sicher zu übertragen, ist damit die Integrität und die Authentizität noch nicht sichergestellt. Die elektronische Signatur adressiert diese Schwachstelle.

Die Integrität der Daten sorgt dafür, dass es dem Empfänger möglich ist festzustellen, ob eine Manipulation oder Veränderung der Daten stattgefunden hat. Gefälschte Zahlungsanweisungen vom CEO an den CFO wären beim Einsatz von digitalen Signaturen nicht erfolgreich gewesen.

Durch Authentizität wird sichergestellt, dass der E-Mailsender auch wirklich der ist, den er vorgibt zu sein. Es ist also eindeutig überprüfbar, ob Daten aus der angegebenen Quelle stammen.

Mögliche Lösungsansätze
Grundsätzlich kann jede Person ein digitales Zertifikat lösen, z.B. bei Quo Vadis und SwissSign, und auf seinen Geräten installieren. Das Einrichten und Verwalten des Zertifikats weisst jedoch eine gewisse Komplexität auf. Diese Lösung lohnt sich deshalb grundsätzlich erst ab einer Unternehmensgrösse, in welcher dedizierte Personen für die Messaging-Infrastruktur zuständig sind. Auch der Betrieb einer dedizierten Appliance, wie zum Beispiel von SeppMail, fällt in diese Kategorie.

Wir, die first frame networkers ag als Service- Anbieter, haben diese Leistungen in einen Service verpackt, welcher sich first 365 e-mail-encryption nennt. Dieser kann typischerweise auf eine Benutzer- und Monatsbasis eingekauft werden und ist sofort einsetzbar. Dieser Service ist somit ideal für KMU und allenfalls auch für Privatpersonen, welche Ihre E-Mail-Kommunikation optimal schützen wollen.

first 365 e-mail-encryption kommt in zwei Ausführungen. Secure ist nur für die Verschlüsselung von Nachrichten. Der Schlüssel muss dabei telefonisch oder per SMS ausgetauscht werden. Sign & Encryption hingegen basiert auf elektronischen Zertifikaten, womit zusätzlich zu Verschlüsselung auch Authentizität und Integrität der Nachricht sichergestellt sind.

Hier finden Sie weitere Informationen zum Verschlüsselungs-Services von first 365.