DsiN-Blog

Der IT-Sicher­heitsblog für den Mit­tel­stand

Themen

Tipp des Monats

Machen Sie in nur zehn Minuten den IT-Sicher­heits­check von Deutschland sicher im Netz. Der Test liefert Hand­lungs­emp­feh­lungen, mit denen Sie die eigene IT-Sicher­heitslage ver­bessern können.

News­letter

Um neue Bei­träge regel­mäßig zu erhalten, können Sie hier unseren News­letter abon­nieren:

Digitale Gesell­schaft — E-Mail-Sicherheit

Unter dem Schlüssel der Ver­trau­lichkeit

Niemand würde bri­sante Details aus dem Pri­vat­leben auf einer Post­karte ver­senden. Doch gemäß einer aktu­ellen BITKOM-Befragung ver­schlüsseln nur 15 Prozent aller Nutzer in Deutschland ihre E-Mails.

Das Ergebnis belegt, dass viele Men­schen die Risiken des unver­schlüs­selten E-Mail-Ver­sands unter­schätzen. Denn aus sicher­heits­tech­ni­scher Sicht ist dieser ver­gleichbar mit einer her­kömm­lichen Post­karte, die während des Trans­port­weges jeder lesen kann. Doch sowohl bei pri­vaten als auch bei geschäft­lichen E-Mails sollte der Inhalt zwi­schen Sender und Emp­fänger ver­traulich bleiben. Das gilt ins­be­sondere auch für kleine und mit­tel­stän­dische Unter­nehmen (KMUs), die inno­vative Lösungen ent­wi­ckeln oder seit Jahren bewährte Pro­zesse ver­wenden und somit über besonders schüt­zens­wertes geis­tiges Eigentum ver­fügen. Trotzdem ver­wenden sie oftmals E-Mail-Lösungen ohne Ver­schlüs­selung und ver­zichten auf besondere Sicher­heits­maß­nahmen.

Der Wunsch nach ver­trau­licher Infor­ma­ti­ons­über­mittlung ist keine Folge der neu­zeit­lichen Digi­ta­li­sierung. Die Ursprünge moderner Krypto-Ver­fahren reichen weit in die Geschichte der mensch­lichen Zivi­li­sation zurück. Doch gerade die Digi­ta­li­sierung kann ihr Wert­schöp­fungs­po­tenzial nur ent­falten, wenn not­wendige Sicher­heits­maß­nahmen zum Schutz von Unter­nehmen ergriffen werden. Daher hat die Bun­des­re­gierung das Ziel aus­ge­rufen, Deutschland zum „Ver­schlüs­se­lungs-Standort Nummer 1“ zu machen. Dazu soll, so die digitale Agenda der Bun­des­re­gierung, unter anderem „die Ver­schlüs­selung (…) in der Breite zum Standard werden“.

Ver­schiedene Methoden

Grund­sätzlich unter­scheidet man zwei Ver­schlüs­se­lungs­ver­fahren. Bei sym­me­tri­schen Ver­fahren ver­wenden Sender und Emp­fänger den­selben Schlüssel zum Ver- und Ent­schlüsseln. Doch gerät er beim Aus­tausch in falsche Hände, kann die Kom­mu­ni­kation ent­schlüsselt und mit­ge­lesen werden. Deshalb wurde das asym­me­trische Ver­fahren ent­wi­ckelt, mit unter­schied­lichen Schlüsseln zum Ver- und Ent­schlüsseln. Bei E-Mails wird dann nur der öffent­liche Teil des Schlüssels aus­ge­tauscht, der zum Ver­schlüsseln not­wendig ist. Den zweiten Dechif­frier-Schlüssel behält jeder Nutzer nur bei sich, damit bleibt er geheim.

Bislang sind aber E-Mail-Anbieter, die von Hause aus Ende-zu-Ende ver­schlüsseln, noch Man­gelware. Die meisten großen Portale trans­por­tieren codierte Nach­richten nur vom Kun­den­system zu ihrem Server sowie von dort zum Server eines anderen Anbieters. Die Ver­schlüs­selung ist aber nicht wirklich durch­gehend vom Absender bis zum Emp­fänger sicher­ge­stellt. Damit eine solche durch­ge­hende E-Mail-Ver­schlüs­selung Standard wird, sollte sie ohne Zutun des Nutzers funk­tio­nieren – und zwar im Ide­alfall auf allen Platt­formen, die man heute zur E-Mail-Kom­mu­ni­kation ein­setzt, vom Web­browser am PC bis zum E-Mail-Client auf dem Smart­phone.

Ver­schlüs­se­lungs­standort Nr. 1“ 

Um das Thema Ver­schlüs­selung in Deutschland zu fördern, haben sich Ver­treter aus Politik, For­schung und IT-Wirt­schaft zusam­men­ge­schlossen und sich in der „Charta zur Stärkung der ver­trau­ens­wür­digen Kom­mu­ni­kation“ unter Feder­führung des Bun­des­mi­nis­te­riums des Innern zu ein­fachen, trans­pa­renten Ver­schlüs­se­lungs­lö­sungen ver­pflichtet. Diese Anbieter stellen eine „echte“ Ende-zu-Ende Ver­schlüs­selung – vom Post­ausgang des Senders bis zum Post­eingang des Emp­fängers – zur Ver­fügung. Der Anwender muss diesen Schutz nur noch akti­vieren bezie­hungs­weise im E-Mail-Pro­gramm ein­richten.

Weitere Initia­tiven wie die „Volks­ver­schlüs­selung“ ziehen nach – Alli­anzen, die das BSI begrüßt. Die Behörde legt mit tech­ni­schen Richt­linien und fach­lichen Vor­gaben die kryp­to­gra­fi­schen Grund­lagen, auf denen die ange­bo­tenen Ver­schlüs­se­lungs­lö­sungen zur Gewähr­leistung einer nach dem Stand der Technik sicheren Ver­schlüs­selung auf­setzen. Zudem infor­miert sie kleine und mit­tel­stän­dische Unter­nehmen darüber, wie sie ihre E-Mail-Kom­mu­ni­kation mit ein­fachen Mitteln schnell und effektiv schützen können.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Thomas Caspers, BSI

Thomas Caspers ist Leiter des Fach­be­reichs Eva­lu­ierung und Betrieb von Krypto­sys­temen im Bun­desamt für Sicherheit in der Infor­ma­ti­ons­technik (BSI)

 

Koope­ra­ti­ons­partner

Für DATEV sind Daten­schutz und Daten­si­cherheit seit Gründung des Unter­nehmens zen­trale Ele­mente in der Geschäfts­po­litik. Daher enga­giert sich DATEV mit dem Blog für mehr IT-Sicherheit im Mit­tel­stand.