Themen
Tipp des Monats
Machen Sie in nur zehn Minuten den IT-Sicherheitscheck von Deutschland sicher im Netz. Der Test liefert Handlungsempfehlungen, mit denen Sie die eigene IT-Sicherheitslage verbessern können.
Newsletter
Um neue Beiträge regelmäßig zu erhalten, können Sie hier unseren Newsletter abonnieren:
Internetschutz erfüllt keine E‑Mail-Sicherheit
Laut der aktuellen DsiN-Studie 2013 ist das Sicherheitsbewusstsein bei vielen Unternehmen erfreulicherweise gestiegen. Das größte „Sorgenkind“ aber ist der Schutz vertraulicher E‑Mails. Warum ist das so? – ein Erklärungsversuch.
Die aktuelle DsiN-Studien zeigt, dass das Sicherheitsbewusstsein – gemessen an den vorhandenen Schutzmaßnahmen — bei vielen Unternehmen erfreulicherweise gestiegen ist.
Grafik: Vorhandene Schutzmaßnahmen in den befragten Unternehmen
Dies gilt insbesondere hinsichtlich Benutzer- und Rechteverwaltung, Compliance, Sicherung der EDV-Betriebsfähigkeit, Absicherung von Notebooks und Datensicherung. Internet-Schutz (99%), Datensicherung (99%) und Sicherheitsupdates (97%) sind flächendeckend verbreitet. Das größte „Sorgenkind“ ist der Schutz vertraulicher E‑Mails.
Dringendster Handlungsbedarf im Mittelstand besteht bei der sicheren E‑Mail-Kommunikation.
Während also der Internetschutz flächendeckend vorhanden und bei den meisten anderen Schutzmaßnahmen eine Verbesserung erkennbar ist, ist bei der E‑Mail-Sicherheit im Beobachtungszeitraum eine Tendenz hin zu einem weiteren Rückgang der Schutzmaßnahmen feststellbar — obwohl hier die geschäftliche Nutzung nochmals gestiegen ist.
Warum ist das so?
Vermutlich ist das Problembewusstsein bei den Unternehmen nicht sehr ausgeprägt, weil das Versenden von E‑Mails so alltäglich ist, dass Gedanken an die Sicherheit nicht aufkommen und deren Schutz als zu aufwändig angesehen wird. Vielleicht fehlen praktische Lösungen für KMU.
Oder: Wiegen sich viele Unternehmen in Sicherheit, indem Sie annehmen, dass durch den vorhandenen Internet-Schutz gleichzeitig auch die E‑Mail-Sicherheit gewährleistet ist? Das wäre ein Trugschluss bzw. nur die halbe Wahrheit.
Internet-Schutz erfüllt keine E‑Mail-Sicherheit!
Denn beim Thema E‑Mail gibt es zwei wesentliche Sicherheitssspekte:
- Schutz vor extern eingehenden Gefahrenquellen wie z.B. Spam und Phishing-Mails
- Gewährleistung der Sicherheit der ausgehenden E‑Mails, vor unerlaubter Einsichtnahme während der Übermittlung und vor Manipulation der E‑Mail und deren Inhalte
Während der erste Punkt tatsächlich durch entsprechende Internet-Security-Lösungen gewährleistet werden kann, helfen diese jedoch nicht bei dem zweiten Aspekt. Hier schützen nur spezielle E‑Mail-Sicherheitslösungen ihre vertraulichen Geschäftsdaten.
Verwenden Sie eine zusätzliche E‑Mail-Verschlüsselung
Dringend zu empfehlen ist daher eine E‑Mail-Verschlüsselung zusätzlich zur Internet-Security. Verschlüsselung und digitale Signatur werden bei den gängigen E‑Mail-Programmen standardmäßig angeboten. E‑Mail könnte so einfach und sicher sein.
Auf dem Markt gibt es einige verschiedene, zentral verwaltete, anwendungsfreundliche Ver- und Entschlüsselungsmethoden. Alle diese Lösungen lassen sich einfach und unkompliziert in vorhandene Geschäftsprozesse einbinden.
Ein erster und wirklich leichter Anfang ist zumindest getan, indem Sie vertrauliche Anhänge (PDFs, ZIPS und Office-Dokumente) von E‑Mails durch sichere Passwörter schützen. Infos dazu finden sie hier….
Außerdem sei auf die Broschüre „Sichere E‑Mail-Kommunikation“ verwiesen.
Bilder: © Deutschland sicher im Netz e.V. / www.sicher-im-netz.de
Ein Kommentar zu Internetschutz erfüllt keine E-Mail-Sicherheit
Schreiben Sie einen Kommentar
Stefan Brandl ist seit 1994 bei der DATEV eG in Nürnberg tätig. In der Kommunikation und Vermarktung des Bereichs IT-Lösungen und Security ist er verantwortlich für den DATEV Sicherheitscheck und DATEV-Ansprechpartner für das Handlungsversprechen „Starthilfe Sicherheit für den Mittelstand” vom Verein Deutschland sicher in Netz e.V. (DsiN). U.a. ist er Co-Autor der DsiN-Sicherheitsmonitore „Sicherheitslage im Mittelstand 2011/2012/2013 und 2014”. Seit 2012 betreut er zudem den DsiN-Blog.
Für DATEV sind Datenschutz und Datensicherheit seit Gründung des Unternehmens zentrale Elemente in der Geschäftspolitik. Daher engagiert sich DATEV mit dem Blog für mehr IT-Sicherheit im Mittelstand.
so einfach ist es leider nicht
Die Emailverschlüsselung ist zwar in praktisch jedem Emailprogramm verfügbar und auch zentrale Emailverschlüsselungsgateways für den Firmeneinsatz sind lange verfügbar. Von der flächendeckenden Verbreitung der Emailverschlüsselung sind wir aber trotzdem noch Lichtjahre entfernt.
Eine Email die der Versender verschlüsselt muss auf der Empfängerseite entschlüsselt werden. Damit das flächendeckend funktionieren kann, muss ein umfassendes Schlüsselmanagement, dass alle Kommunikationsteilnehmer einbezieht, etabliert werden.
Solange die, für die Verschlüsselung notwendigen, Zertifikate nicht bei den meisten Teilnehmern an der Emailkommunkation vorhanden und diese Zertifikate für alle Kommunikationsteilnehmer zentral (Stichwort Verzeichnisdienst) zugänglich sind, kann sich die Emailverschlüsselung nicht flächendeckend durchsetzen.
Es gilt durchzusetzen, dass zu jeder Emailadresse ein Schlüsselpaar erzeugt und nutzbar gemacht wird.
Emailprovider werden dazu verpflichtet bei der Einrichtung eines Emailkontos grundsätzlich die zugehörigen Zertifikate mit dem Schlüsselpaar für die S‑Mime-Verschlüsselung zu erzeugen und die öffentlichen Schlüssel in einen zentralen Verzeichnisdienst zu exportieren.
Dass es Länder gibt, die verschlüsselte Emails verboten haben, ist auch nicht besonders hilfreich.
Viele Grüße
Jürgen Scheiderer