Themen
Tipp des Monats
Machen Sie in nur zehn Minuten den IT-Sicherheitscheck von Deutschland sicher im Netz. Der Test liefert Handlungsempfehlungen, mit denen Sie die eigene IT-Sicherheitslage verbessern können.
Newsletter
Um neue Beiträge regelmäßig zu erhalten, können Sie hier unseren Newsletter abonnieren:
E‑Mail-Verschlüsselung
Sie nutzen E‑Mails permanent im Geschäftsalltag. Haben Sie auch schon von E‑Mail-Verschlüsselung gehört, bislang aber nicht umgesetzt? Ob Sie sich damit auseinandersetzen müssen, erfahren Sie hier.
Was ist eigentlich eine E‑Mail?
E‑Mails sind aus dem Geschäftsalltag heute nicht mehr wegzudenken. Sie sind schnell und flexibel. Seit dem Siegeszug der Smartphones erreichen sie uns per Weiterleitung auch überall. Allerdings wird die E‑Mail heute so genutzt wie früher ein Postbrief: Alle möglichen Informationen finden sich in E‑Mails, besonders gerne werden Dateianhänge genutzt um Dokumente abzustimmen, vertrauliche Daten zu übertragen etc.
Vielleicht kennen Sie es schon: E‑Mails sind aber leider nur vergleichbar mit einer Postkarte. Der Inhalt einer E‑Mail wird offen und leicht lesbar durch das Internet geschickt. Auf dem Weg durch das Internet passiert die E‑Mail eine Vielzahl von Internet-Servern. Wie viele oder wessen Internet-Server betroffen sind kann weder vor dem Versand einer E‑Mail festgelegt noch im Nachhinein sicher überprüft werden. Der Zugriff auf die E‑Mail und damit das Lesen der E‑Mail ist dabei prinzipiell allen Beteiligten problemlos möglich. Die Postkarte wird dagegen typischerweise nur von einem Unternehmen (zumindest bei der Inlandspost) entgegengenommen und transportiert.
Zudem liegt eine E‑Mail elektronisch vor und kann schnell kopiert werden. Das nutzen u.a. viele E‑Mail-Dienstleister und führen zur Erhöhung der Ausfallsicherheit Sicherheitskopien von E‑Mails durch. Stellen Sie sich vor, die Post würde alle Postkarten sicherheitshalber kopieren und archivieren!
Meiner Meinung nach ist die Postkarte deutlich besser geschützt und damit deutlich vertraulicher als eine E‑Mail.
Möglichkeiten der Verschlüsselung
Wie kann die E‑Mail nun besser geschützt werden? Dazu müssen wir die E‑Mail in einen (elektronischen) Briefumschlag stecken, d.h. wir müssen die E‑Mail verschlüsseln.
Die sichersten Methoden der E‑Mail-Verschlüsselung sind momentan Verschlüsselungen mit dem S/MIME- oder PGP-Verfahren. Bei beiden Verfahren wird die E‑Mail (Inhalt inkl. aller Dateianhänge) mit einem „Schlüssel“ des Empfängers verschlüsselt. Nur der Empfänger kann die Nachricht wieder entschlüsseln und damit lesbar machen. Nachteil bei beiden Verfahren: Ihr Kommunikationspartner muss das gleiche Verfahren wie Sie einsetzen (oder umgekehrt) und beide Kommunikationspartner müssen die Voraussetzungen für die Verschlüsselung durch die Installation von Softwareprogrammen erst schaffen.
Eine einfachere, mit meist schon vorhandenen Mitteln umsetzbare Möglichkeit ist zumindest die Verschlüsselung von Dateianhängen. Aktuelle Programme zur PDF-Erzeugung bieten die Möglichkeit in den Einstellungen, die erzeugten PDF-Dateien zu verschlüsseln und mit einem Passwort zu schützen. Ein Programm zum Öffnen von PDF-Dokumenten hat heute jeder EDV-Anwender auf seinem System installiert. Trotzdem müssen Sie sich auch bei diesem Verfahren mit Ihrem Kommunikationspartner einigen, nämlich auf ein Passwort. Der tatsächliche Schutz steht und fällt dabei mit der Sicherheit des Passwortes. Mindestens 10 Stellen und Komplexität (d.h. Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen) sind auf alle Fälle zu raten. Bedenken Sie, dass dieses Verfahren nur PDF-Dateianhänge schützt, der Text der E‑Mail bleibt weiterhin lesbar.
Gesetzliche Grundlagen
Eine generelle und grundsätzliche Rechtspflicht zur Verschlüsselung von E‑Mails besteht nicht. Allerdings schreibt Nr. 4 der Anlage zu § 9 Bundesdatenschutzgesetz (BDSG) vor, dass der Versender Maßnahmen zu treffen hat, die gewährleisten, dass vertrauliche Daten bei der elektronischen Übertragung nicht unbefugt gelesen werden können. Dies wird insbesondere durch den Einsatz aktueller Verschlüsselungsverfahren sichergestellt. Das BDSG gilt für personenbezogene Daten. Nach § 9 BDSG sind Maßnahmen nur dann zu treffen, wenn deren Aufwand in einem angemessenen Verhältnis zum angestrebten Schutzzweck steht.
Bei der Übermittlung von vertraulichen personenbezogenen Daten kann man also durchaus von einer gesetzlichen Pflicht zur Verschlüsselung ausgehen. Ein Beispiel: Versand von Lohnabrechnungsdaten Ihrer Mitarbeiter an ein Lohnbüro.
Stellen Sie sich einfach die Frage: Würden Sie die Informationen, die Sie gerade per E‑Mail versenden möchten, per Post als Postkarte versenden? Wenn die Antwort darauf „Nein“ lautet, gibt es nur zwei Alternativen: Verschlüsselung der E‑Mail bzw. zumindest der Dateianhänge oder Verzicht auf den Versand per E‑Mail!
Abschluss der Ausbildung mit dem zweiten juristischen Staatsexamen 1997. Seitdem in unterschiedlichen Bereichen bei der DATEV eG in Nürnberg tätig. Praktische Erfahrung im IT-Umfeld hat er insbesondere in seiner zehnjährigen Tätigkeit in der Softwareentwicklung gesammelt. Hierbei war er u.a. mit der Einrichtung und Aktualisierung von Netzwerkumgebungen in Steuerberater- und Rechtsanwaltskanzleien betraut. Seit fünf Jahren ist Bernd Bosch als externer Datenschutzberater für Kanzleien tätig.
Für DATEV sind Datenschutz und Datensicherheit seit Gründung des Unternehmens zentrale Elemente in der Geschäftspolitik. Daher engagiert sich DATEV mit dem Blog für mehr IT-Sicherheit im Mittelstand.
Neueste Kommentare