DsiN-Blog

Der IT-Sicher­heitsblog für den Mit­tel­stand

Themen

Tipp des Monats

Machen Sie in nur zehn Minuten den IT-Sicher­heits­check von Deutschland sicher im Netz. Der Test liefert Hand­lungs­emp­feh­lungen, mit denen Sie die eigene IT-Sicher­heitslage ver­bessern können.

News­letter

Um neue Bei­träge regel­mäßig zu erhalten, können Sie hier unseren News­letter abon­nieren:

Inter­net­schutz erfüllt keine E‑Mail-Sicherheit

Internetschutz ist keine E-Mail-Sicherheit

Laut der aktu­ellen DsiN-Studie 2013  ist das Sicher­heits­be­wusstsein bei vielen Unter­nehmen erfreu­li­cher­weise gestiegen. Das größte „Sor­genkind“ aber ist der Schutz ver­trau­licher E‑Mails. Warum ist das so? – ein Erklä­rungs­versuch.

 

 

 

Die aktuelle DsiN-Studien zeigt, dass das Sicher­heits­be­wusstsein – gemessen an den vor­han­denen Schutz­maß­nahmen — bei vielen Unter­nehmen erfreu­li­cher­weise gestiegen ist.

Grafik 1

Grafik: Vor­handene Schutz­maß­nahmen in den befragten Unter­nehmen

Dies gilt ins­be­sondere hin­sichtlich Benutzer- und Rech­te­ver­waltung, Com­pliance, Sicherung der EDV-Betriebs­­­fä­higkeit, Absi­cherung von Note­books und Daten­si­cherung. Internet-Schutz (99%), Daten­si­cherung (99%) und Sicher­heits­up­dates (97%) sind flä­chen­de­ckend ver­breitet. Das größte „Sor­genkind“ ist der Schutz ver­trau­licher E‑Mails. 

Drin­gendster Hand­lungs­bedarf im Mit­tel­stand besteht bei der sicheren E‑Mail-Kom­­mu­­ni­­kation.

Während also der Inter­net­schutz flä­chen­de­ckend vor­handen und bei den meisten anderen Schutz­maß­nahmen eine Ver­bes­serung erkennbar ist, ist bei der E‑Mail-Sicherheit im Beob­ach­tungs­zeitraum eine Tendenz hin zu einem wei­teren Rückgang der Schutz­maß­nahmen fest­stellbar — obwohl hier die geschäft­liche Nutzung nochmals gestiegen ist.

grafik 2

Warum ist das so?

Ver­mutlich ist das Pro­blem­be­wusstsein bei den Unter­nehmen nicht sehr aus­ge­prägt, weil das Ver­senden von E‑Mails so all­täglich ist, dass Gedanken an die Sicherheit nicht auf­kommen und deren Schutz als zu auf­wändig ange­sehen wird. Viel­leicht fehlen prak­tische Lösungen für KMU.

Oder: Wiegen sich viele Unter­nehmen in Sicherheit, indem Sie annehmen, dass durch den vor­han­denen Internet-Schutz gleich­zeitig auch die E‑Mail-Sicherheit gewähr­leistet ist? Das wäre ein Trug­schluss bzw. nur die halbe Wahrheit.

Internet-Schutz erfüllt keine E‑Mail-Sicherheit!

Denn beim Thema E‑Mail gibt es zwei wesent­liche Sicher­heits­s­spekte:

  • Schutz vor extern ein­ge­henden Gefah­ren­quellen wie z.B. Spam und Phishing-Mails
  • Gewähr­leistung der Sicherheit der aus­ge­henden E‑Mails, vor uner­laubter Ein­sicht­nahme während der Über­mittlung und vor Mani­pu­lation der E‑Mail und deren Inhalte

Während der erste Punkt tat­sächlich durch ent­spre­chende Internet-Security-Lösungen gewähr­leistet werden kann, helfen diese jedoch nicht bei dem zweiten Aspekt. Hier schützen nur spe­zielle E‑Mail-Sicher­heits­­­lö­­sungen ihre ver­trau­lichen Geschäfts­daten.

Ver­wenden Sie eine zusätz­liche E‑Mail-Ver­­­schlüs­­selung

Dringend zu emp­fehlen ist daher eine E‑Mail-Ver­­­schlüs­­selung zusätzlich zur Internet-Security. Ver­schlüs­selung und digitale Signatur werden bei den gän­gigen E‑Mail-Pro­­­grammen stan­dard­mäßig ange­boten. E‑Mail könnte so einfach und sicher sein.

Auf dem Markt gibt es einige ver­schiedene, zentral ver­waltete, anwen­dungs­freund­liche Ver- und Ent­schlüs­se­lungs­me­thoden. Alle diese Lösungen lassen sich einfach und unkom­pli­ziert in vor­handene Geschäfts­pro­zesse ein­binden.

Ein erster und wirklich leichter Anfang ist zumindest getan, indem Sie ver­trau­liche Anhänge (PDFs, ZIPS und Office-Doku­­mente) von E‑Mails durch sichere Pass­wörter schützen. Infos dazu finden sie hier….

Außerdem sei auf die Bro­schüre „Sichere E‑Mail-Kom­­mu­­ni­­kation“ ver­wiesen.

Bilder:  © Deutschland sicher im Netz e.V. /  www.sicher-im-netz.de

Ein Kommentar zu Internetschutz erfüllt keine E-Mail-Sicherheit

  • Jürgen Scheiderer sagt:

    so einfach ist es leider nicht
    Die Email­ver­schlüs­selung ist zwar in prak­tisch jedem Email­pro­gramm ver­fügbar und auch zen­trale Email­ver­schlüs­se­lungs­gateways für den Fir­men­einsatz sind lange ver­fügbar. Von der flä­chen­de­ckenden Ver­breitung der Email­ver­schlüs­selung sind wir aber trotzdem noch Licht­jahre ent­fernt.

    Eine Email die der Ver­sender ver­schlüsselt muss auf der Emp­fän­ger­seite ent­schlüsselt werden. Damit das flä­chen­de­ckend funk­tio­nieren kann, muss ein umfas­sendes Schlüs­sel­ma­nagement, dass alle Kom­mu­ni­ka­ti­ons­teil­nehmer ein­be­zieht, eta­bliert werden.

    Solange die, für die Ver­schlüs­selung not­wen­digen, Zer­ti­fikate nicht bei den meisten Teil­nehmern an der Email­kom­munkation vor­handen und diese Zer­ti­fikate für alle Kom­mu­ni­ka­ti­ons­teil­nehmer zentral (Stichwort Ver­zeich­nis­dienst) zugänglich sind, kann sich die Email­ver­schlüs­selung nicht flä­chen­de­ckend durch­setzen.

    Es gilt durch­zu­setzen, dass zu jeder Email­adresse ein Schlüs­selpaar erzeugt und nutzbar gemacht wird.

    Email­pro­vider werden dazu ver­pflichtet bei der Ein­richtung eines Email­kontos grund­sätzlich die zuge­hö­rigen Zer­ti­fikate mit dem Schlüs­selpaar für die S‑Mime-Ver­schlüs­selung zu erzeugen und die öffent­lichen Schlüssel in einen zen­tralen Ver­zeich­nis­dienst zu expor­tieren.

    Dass es Länder gibt, die ver­schlüs­selte Emails ver­boten haben, ist auch nicht besonders hilf­reich.

    Viele Grüße
    Jürgen Schei­derer

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Stefan Brandl, DATEV eG

Stefan Brandl ist seit 1994 bei der DATEV eG in Nürnberg tätig. In der Kom­mu­ni­kation und Ver­marktung des Bereichs IT-Lösungen und Security ist er ver­ant­wortlich für den DATEV Sicher­heits­check und DATEV-Ansprech­partner für das Hand­lungs­ver­sprechen „Start­hilfe Sicherheit für den Mit­tel­stand” vom Verein Deutschland sicher in Netz e.V. (DsiN). U.a. ist er Co-Autor der DsiN-Sicher­heits­mo­nitore „Sicher­heitslage im Mit­tel­stand 2011/2012/2013 und 2014”. Seit 2012 betreut er zudem den DsiN-Blog.

 

Koope­ra­ti­ons­partner

Für DATEV sind Daten­schutz und Daten­si­cherheit seit Gründung des Unter­nehmens zen­trale Ele­mente in der Geschäfts­po­litik. Daher enga­giert sich DATEV mit dem Blog für mehr IT-Sicherheit im Mit­tel­stand.