DsiN-Blog

Der IT-Sicher­heitsblog für den Mit­tel­stand

Themen

Tipp des Monats

Machen Sie in nur zehn Minuten den IT-Sicher­heits­check von Deutschland sicher im Netz. Der Test liefert Hand­lungs­emp­feh­lungen, mit denen Sie die eigene IT-Sicher­heitslage ver­bessern können.

News­letter

Um neue Bei­träge regel­mäßig zu erhalten, können Sie hier unseren News­letter abon­nieren:

E‑Mail-Ver­­­schlüs­­selung

Sie nutzen E‑Mails per­manent im Geschäfts­alltag. Haben Sie auch schon von E‑Mail-Ver­­­schlüs­­selung gehört, bislang aber nicht umge­setzt? Ob Sie sich damit aus­ein­an­der­setzen müssen, erfahren Sie hier.

Was ist eigentlich eine E‑Mail?
E‑Mails sind aus dem Geschäfts­alltag heute nicht mehr weg­zu­denken. Sie sind schnell und fle­xibel. Seit dem Sie­geszug der Smart­phones erreichen sie uns per Wei­ter­leitung auch überall. Aller­dings wird die E‑Mail heute so genutzt wie früher ein Post­brief: Alle mög­lichen Infor­ma­tionen finden sich in E‑Mails, besonders gerne werden Datei­an­hänge genutzt um Doku­mente abzu­stimmen, ver­trau­liche Daten zu über­tragen etc.


Viel­leicht kennen Sie es schon: E‑Mails sind aber leider nur ver­gleichbar mit einer Post­karte. Der Inhalt einer E‑Mail wird offen und leicht lesbar durch das Internet geschickt. Auf dem Weg durch das Internet pas­siert die E‑Mail eine Vielzahl von Internet-Servern. Wie viele oder wessen Internet-Server betroffen sind kann weder vor dem Versand einer E‑Mail fest­gelegt noch im Nach­hinein sicher über­prüft werden. Der Zugriff auf die E‑Mail und damit das Lesen der E‑Mail ist dabei prin­zi­piell allen Betei­ligten pro­blemlos möglich. Die Post­karte wird dagegen typi­scher­weise nur von einem Unter­nehmen (zumindest bei der Inlandspost) ent­ge­gen­ge­nommen und trans­por­tiert.


Zudem liegt eine E‑Mail elek­tro­nisch vor und kann schnell kopiert werden. Das nutzen u.a. viele E‑Mail-Dienst­­leister und führen zur Erhöhung der Aus­fall­si­cherheit Sicher­heits­kopien von E‑Mails durch. Stellen Sie sich vor, die Post würde alle Post­karten sicher­heits­halber kopieren und archi­vieren!


Meiner Meinung nach ist die Post­karte deutlich besser geschützt und damit deutlich ver­trau­licher als eine E‑Mail.
 

Mög­lich­keiten der Ver­schlüs­selung
Wie kann die E‑Mail nun besser geschützt werden? Dazu müssen wir die E‑Mail in einen (elek­tro­ni­schen) Brief­um­schlag stecken, d.h. wir müssen die E‑Mail ver­schlüsseln.
 

Die sichersten Methoden der E‑Mail-Ver­­­schlüs­­selung sind momentan Ver­schlüs­se­lungen mit dem S/MIME- oder PGP-Ver­­­fahren. Bei beiden Ver­fahren wird die E‑Mail (Inhalt inkl. aller Datei­an­hänge) mit einem „Schlüssel“ des Emp­fängers ver­schlüsselt. Nur der Emp­fänger kann die Nach­richt wieder ent­schlüsseln und damit lesbar machen. Nachteil bei beiden Ver­fahren: Ihr Kom­mu­ni­ka­ti­ons­partner muss das gleiche Ver­fahren wie Sie ein­setzen (oder umge­kehrt) und beide Kom­mu­ni­ka­ti­ons­partner müssen die Vor­aus­set­zungen für die Ver­schlüs­selung durch die Instal­lation von Soft­ware­pro­grammen erst schaffen.
 

Eine ein­fa­chere, mit meist schon vor­han­denen Mitteln umsetzbare Mög­lichkeit ist zumindest die Ver­schlüs­selung von Datei­an­hängen. Aktuelle Pro­gramme zur PDF-Erzeugung bieten die Mög­lichkeit in den Ein­stel­lungen, die erzeugten PDF-Dateien zu ver­schlüsseln und mit einem Passwort zu schützen. Ein Pro­gramm zum Öffnen von PDF-Doku­­menten hat heute jeder EDV-Anwender auf seinem System instal­liert. Trotzdem müssen Sie sich auch bei diesem Ver­fahren mit Ihrem Kom­mu­ni­ka­ti­ons­partner einigen, nämlich auf ein Passwort. Der tat­säch­liche Schutz steht und fällt dabei mit der Sicherheit des Pass­wortes. Min­destens 10 Stellen und Kom­ple­xität (d.h. Groß- und Klein­buch­staben, Zahlen und Son­der­zeichen) sind auf alle Fälle zu raten. Bedenken Sie, dass dieses Ver­fahren nur PDF-Datei­an­hänge schützt, der Text der E‑Mail bleibt wei­terhin lesbar.
 

Gesetz­liche Grund­lagen
Eine gene­relle und grund­sätz­liche Rechts­pflicht zur Ver­schlüs­selung von E‑Mails besteht nicht. Aller­dings schreibt Nr. 4 der Anlage zu § 9 Bun­des­da­ten­schutz­gesetz (BDSG) vor, dass der Ver­sender Maß­nahmen zu treffen hat, die gewähr­leisten, dass ver­trau­liche Daten bei der elek­tro­ni­schen Über­tragung nicht unbefugt gelesen werden können. Dies wird ins­be­sondere durch den Einsatz aktu­eller Ver­schlüs­se­lungs­ver­fahren sicher­ge­stellt. Das BDSG gilt für per­so­nen­be­zogene Daten. Nach § 9 BDSG sind Maß­nahmen nur dann zu treffen, wenn  deren Aufwand in einem ange­mes­senen Ver­hältnis zum ange­strebten Schutz­zweck steht.
 

Bei der Über­mittlung von ver­trau­lichen per­so­nen­be­zo­genen Daten kann man also durchaus von einer gesetz­lichen Pflicht zur Ver­schlüs­selung aus­gehen. Ein Bei­spiel: Versand von Lohn­ab­rech­nungs­daten Ihrer Mit­ar­beiter an ein Lohnbüro.
 

Stellen Sie sich einfach die Frage: Würden Sie die Infor­ma­tionen, die Sie gerade per E‑Mail ver­senden möchten, per Post als Post­karte ver­senden? Wenn die Antwort darauf „Nein“ lautet, gibt es nur zwei Alter­na­tiven: Ver­schlüs­selung der E‑Mail bzw. zumindest der Datei­an­hänge oder Ver­zicht auf den Versand per E‑Mail!

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Bernd Bosch, DATEV eG

Abschluss der Aus­bildung mit dem zweiten juris­ti­schen Staats­examen 1997. Seitdem in unter­schied­lichen Bereichen bei der DATEV eG in Nürnberg tätig. Prak­tische Erfahrung im IT-Umfeld hat er ins­be­sondere in seiner zehn­jäh­rigen Tätigkeit in der Soft­ware­ent­wicklung gesammelt. Hierbei war er u.a. mit der Ein­richtung und Aktua­li­sierung von Netz­werk­um­ge­bungen in Steu­er­be­rater- und Rechts­an­walts­kanz­leien betraut. Seit fünf Jahren ist Bernd Bosch als externer Daten­schutz­be­rater für Kanz­leien tätig.

 

Koope­ra­ti­ons­partner

Für DATEV sind Daten­schutz und Daten­si­cherheit seit Gründung des Unter­nehmens zen­trale Ele­mente in der Geschäfts­po­litik. Daher enga­giert sich DATEV mit dem Blog für mehr IT-Sicherheit im Mit­tel­stand.