DsiN-Blog

Der IT-Sicher­heitsblog für den Mit­tel­stand

Themen

Tipp des Monats

Machen Sie in nur zehn Minuten den IT-Sicher­heits­check von Deutschland sicher im Netz. Der Test liefert Hand­lungs­emp­feh­lungen, mit denen Sie die eigene IT-Sicher­heitslage ver­bessern können.

News­letter

Um neue Bei­träge regel­mäßig zu erhalten, können Sie hier unseren News­letter abon­nieren:

Die E‑Mail könnte so sicher sein

erste E-Mail in Deutschland

Die Umfrage unter 1.368 mit­tel­stän­di­schen Unter­nehmen zu ihrem IT-Sicher­heits­­­niveau ergab, dass 54% dieser Teil­nehmer keine Vor­keh­rungen treffen, um die Inhalte Ihrer E‑Mails zu schützen, dies sind erschre­cken­der­weise sogar 4% weniger als im Vorjahr.

In den 80er Jahren war es möglich über ver­schiedene Systeme, z.B. BTX, Nach­richten zwi­schen Com­putern aus­zu­tau­schen. Die erste richtige E‑Mail in Deutschland erhielt 1984 Michael Rotert an seine E‑Mail-Adresse rotert%germany@csnet-relay.csnet aus Cam­bridge (Mas­sa­chu­setts). Herr Prof. Rotert  ist heute Vor­stands­vor­sit­zender des „Eco — Verband der deut­schen Inter­net­wirt­schaft e.V.“ und Bei­rats­mit­glied bei DsiN.

Authen­ti­zität von E‑Mails
Mitt­ler­weile ist der Nach­rich­ten­aus­tausch per E‑Mail nicht mehr Wis­sen­schaftlern vor­be­halten. Tau­sende von Mails werden jeden Tag Jahr in Deutschland ver­sendet. In Büros ist es keine Sel­tenheit, dass der elek­tro­nische Post­eingang mehr als 20mal täglich geprüft wird. Tele­gramme, die zur Jugendzeit unserer Eltern und Groß­eltern zur Über­mittlung drin­gender Bot­schaften üblich waren, sind über­flüssig geworden. Auch der Aufbau der E‑Mail etwas struk­tu­rierter. Während im soge­nannten Header der E‑Mail Emp­fänger und Betreff ein­ge­tragen werden, ist der soge­nannte Body der eigent­lichen Mit­teilung vor­ent­halten. Diese ist im Geschäfts­verkehr übli­cher­weise durch eine Signatur ergänzt, welche Adress­in­for­ma­tionen zum Absender gibt. Sie stellt eine elek­tro­nische Signatur im Sinne des Signa­tur­ge­setzes dar und gewähr­leistet die Authen­ti­zität.

Für den E‑Mail-Versand von Rech­nungen z.B. ist dies nicht aus­rei­chend. Um den Vor­steu­er­abzug geltend zu machen, ist jedes inner­be­trieb­liche Kon­troll­ver­fahren zuge­lassen sowie die qua­li­fi­zierte elek­tro­nische Signatur (§14 Abs. 1 UStG). Diese ist rechtlich der eigen­hän­digen Unter­schrift gleich­ge­stellt. Wer Doku­mente mit der qua­li­fi­zierten Signatur elek­tro­nisch unter­zeichnen will, muss bei einem Zer­ti­fi­zie­rungs­dienst ange­meldet sein, der seine Tätigkeit bei der Bun­des­netz­agentur ange­zeigt hat bzw. frei­willig akkre­di­tiert ist. Diese Dienst­leistung ist in der Regel kos­ten­pflichtig.

Manchmal taucht in einem Footer (Fuß­zeile) einer E‑Mail auch ein werb­licher Hinweis auf. Viel inter­es­santer ist aber die Mög­lichkeit, der E‑Mail Dateien bei­zu­fügen, z.B. auch Fotos, Videos, Musik­da­teien. Während letztere auf­grund ihrer Größe mitt­ler­weile eher über Tausch­börsen ver­breitet werden, sind es im Geschäfts­verkehr häufig Prä­sen­ta­tionen, Rech­nungen, Listen oder Ver­träge. Dar­unter sind oft sen­sible Doku­mente, die per E‑Mail nicht aus­ge­tauscht werden sollten, da E‑Mails sehr leicht durch Dritte ein­sehbar sind. Daten, die das Unter­nehmen nicht ver­lassen dürfen, gehören daher auf gar keinen Fall in eine unge­schützte E‑Mail, dazu zählen z.B. Mit­ar­bei­ter­daten.
 

In Sachen Geschwin­digkeit schlägt die E‑Mail den klas­si­schen Brief um Längen. Unmengen von Papier- und Trans­port­kosten werden ein­ge­spart. Kopien an mehrere Emp­fänger erfolgen ohne zusätz­lichen Zeit­aufwand.

Dass eine E‑Mail nur unvoll­ständig bei mir oder dem von mir adres­sierten Emp­fänger ankam, ist mir selten pas­siert. Von meiner Freundin aller­dings erhielt ich schon eine E‑Mail, in der sie mich bat, Ihr 10.000 Euro zukommen zu lassen, da sie in Schottland gestrandet sei – ohne Kre­dit­karte oder Bares. Dabei saß sie in Wirk­lichkeit in London und hatte über­haupt keine Mail geschickt. Tat­sächlich war ihr Postfach gehackt worden und ich war nicht die einzige in Ihrem Adressbuch, die diese Anfrage in Deutsch und Eng­lisch erhielt. Die Wahrung von Authen­ti­zität und Inte­grität ist also nicht so ganz unpro­ble­ma­tisch, im Privat- wie im Geschäfts­be­reich. Denn wer will schon, dass eigene Geschäfts­partner auf­ge­fordert werden, solche Summen her­aus­zu­geben.

Durch Ver­schlüs­selung uner­wünschte Mit­leser ver­meiden
Im Geschäfts­verkehr ist Daten­schutz ein besonders wich­tiger Faktor. Das Mit­lesen durch Dritte auf dem Über­tra­gungsweg ist in jedem Fall zu ver­hindern. Genau dies jedoch ist bei nor­malen E‑Mails einfach. Auf ihrem Weg durchs Internet pas­siert sie ver­schiedene Rechner bis sie am Zielort ange­langt — und überall dort ist sie auch lesbar. Darüber ver­ein­facht ein nach­lässig geschützter E‑Mail-Zugang, das Postfach zu knacken. (Siehe auch Serie zur Pass­wort­si­cherheit)
 

Unter­nehmen die sicher­gehen wollen, dass Inhalt und Anhänge ver­traulich bleiben, müssen ihre E‑Mails daher ver­schlüsseln, damit nur noch die Betreff­zeile lesbar ist. Durch die Kryp­to­logie ver­wandelt man den Text in eine unle­ser­liche und nicht einfach inter­pre­tierbare Zei­chen­folge. Wie das im Detail funk­tio­niert beschreibt eine DsiN-Bro­­schüre zur Kryp­to­logie. Nur wer einen pas­senden Schlüssel hat, kann den Text zurück­ver­wandeln.

Spe­ziell bei kleinen und mitt­leren Unter­nehmen ist der ein­gangs erwähnte Rückgang des E‑Mail-Schutzes dra­ma­tisch, da gleich­zeitig die Ver­breitung von mobilen Kom­mu­ni­ka­ti­ons­ge­räten steigt. Gerade diese Gruppe muss sich mit Daten­schutz, Know-How-Schutz und der Ein­haltung von Com­pliance aus­ein­an­der­setzen, wenn sie den Anschluss nicht ver­lieren will.

Dabei helfen fol­gende Hand­lungs­emp­feh­lungen, die bereits in der DsiN-Studie von 2011 gegeben wurden und dort detail­liert nach­zu­lesen sind:

  • Ver­wenden Sie E‑Mail-Ver­­­schlüs­­selung. Ver­schlüs­selung und digitale Signatur werden bei den gän­gigen E‑Mail-Pro­­­grammen stan­dard­mäßig ange­boten. Infor­mieren Sie sich über zentral gema­nagte, anwen­dungs­freund­liche Ver- und Ent­schlüs­se­lungs­me­thoden
     
  • Schützen Sie ver­trau­liche Anhänge von E‑Mails. PDFs, ZIPS und Office-Doku­­mente lassen sich wirklich leicht durch Pass­wörter schützen.
     
  • Ver­wenden sie sichere, gemeinsame Datei­ab­lagen statt E‑Mails. Gerade für unter­neh­mens­über­grei­fende Pro­jekt­gruppen sind solche „Daten­tresore“ prak­tisch und können durch starke Authen­ti­fi­zie­rungs­me­cha­nismen wie Mobi­leTAN geschützt werden.

Außerdem sei auf die Bro­schüre „Sichere E‑Mail-Kom­­mu­­ni­­kation“ ver­wiesen.

Für die Recherche nach geeig­neten Pro­dukten emp­fiehlt sich auch der Besuch von Messen und auch bran­chen­be­zo­genen Infor­ma­ti­ons­ver­an­stal­tungen, von denen es gerade im Herbst viele gibt, wie in der Rubrik Termine deutlich wird.

Die aktu­ellen Erkennt­nisse zum DsiN-Sicher­heits­­check finden Sie in der Studie “IT-Sicher­heitslage im Mit­tel­stand 2012″ zum Download.

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Katrin Göttel, vormals DsiN

Katrin Göttel stu­dierte an der TU Ilmenau, an der Bauhaus Uni­ver­sität Weimar und in Lyon, Frank­reich. Nach dem erfolg­reichen Abschluss des Stu­diums als Dipl.-Kulturwissenschaftlerin (Medien) war sie als Online-Manager beim Verlag Gruner + Jahr tätig. Ihre Aufgabe bei Deutschland sicher im Netz war es, mit­tel­stän­dische Unter­nehmen und Ver­braucher für IT-Sicherheit zu begeistern.

 

Koope­ra­ti­ons­partner

Für DATEV sind Daten­schutz und Daten­si­cherheit seit Gründung des Unter­nehmens zen­trale Ele­mente in der Geschäfts­po­litik. Daher enga­giert sich DATEV mit dem Blog für mehr IT-Sicherheit im Mit­tel­stand.