Unsichere E-Mails gefährden Vertraulichkeit der Daten

Laut einer aktuellen Studie zur IT-Sicherheit im Mittelstand, die der Verein Deutschland sicher im Netz (DsiN) in Zusammenarbeit mit der DATEV veröffentlicht hat, haben derzeit erst 44 Prozent der mittelständischen Unternehmen in Deutschland Vorkehrungen zur E-Mail-Sicherheit getroffen. Für Prof. Dieter Kempf, Vorstandsvorsitzender der DATEV eG, verdeutlicht diese Zahl, dass vielen Anwendern nicht bewusst sei, welchen Gefahren die E-Mail-Kommunikation ausgesetzt sein könne. „Offensichtlich herrscht die Meinung vor, mit einem Schutz vor Schadsoftware aus dem Internet – den inzwischen nahezu alle Unternehmen realisiert haben – seien alle Gefahren eingedämmt“, so Kempf. Tatsächlich würden Internet-Schutzmaßnahmen zwar die eigenen Systeme vor Angriffen durch Schadsoftware schützen, auch wenn diese E-Mails als Träger nutzen. Aber Informationen, die via einfacher E-Mail verschickt werden, seien in ihrer Vertraulichkeit völlig schutzlos, sobald sie das gesicherte Netzwerk verlassen. „Hier fehlt es definitiv noch an der nötigen Sensibilität“, so Kempf weiter.

Unsicherer Transportweg

Das Internet bietet im Prinzip keinen wirksamen Schutz gegen unbefugtes Mitlesen oder die Modifikation der Daten. Da bekannte Sicherheitslösungen wie Firewall und Virenprüfung auf dem Weg zum Kunden, Lieferanten oder Geschäftspartner nicht mehr greifen, können die Daten, die eigentlich nur der Adressat zu sehen bekommen soll, unterwegs abgefangen, ausgespäht und sogar verändert werden. Methoden wie die Authentifizierung oder Verschlüsselung sind beim E-Mail-Standard SMTP (Simple Mail Transfer Protocol) nicht vorgesehen und die Echtheit der Daten, die vom Absender geliefert werden, wird vom Mailserver nicht geprüft. Deshalb lässt sich die Vertraulichkeit einer unverschlüsselten E-Mail mit der einer Postkarte vergleichen. Während kein Unternehmen einen wichtigen Auftrag oder gar einen Vertrag per Postkarte versenden würde, macht sich beim elektronischen Postweg kaum jemand Gedanken um die Datensicherheit der Informationen.

Dass jeder Unternehmer die Vertraulichkeit seiner geschäftlichen Kommunikation ernst nehmen sollte, ist nicht erst seit den jüngsten Enthüllungen zu behördlichen Überwachungsszenarien offensichtlich. Internetbasierte Wirtschaftsspionage ist längst ein einträglicher Wirtschaftszweig. Die Angriffe werden immer gezielter, komplexer und professioneller, wie Umfragen von Sicherheitsanbietern wie Symantec oder auch der Wirtschaftsprüfungs- und Beratungsgesellschaft KPMG belegen. Laut KPMG war in den Jahren 2011 und 2012 in Deutschland jedes vierte Unternehmen schon einmal Opfer von Cyber-Kriminalität, wobei ein Schaden von mehr als einer Million Euro pro Vorfall nicht ungewöhnlich ist.

„Ungeschützte E-Mails machen Spionen und Betrügern das Mitlesen besonders leicht“, sagt Dieter Kempf. „Daher sollte der verschlüsselte Versand von E-Mails für jedes mittelständische Unternehmen zumindest bei geschäftskritischen Informationen und Daten obligatorisch sein.“

Verschlüsselung sorgt für mehr Sicherheit

Gängige Verschlüsselungslösungen bieten den Informationen auf ihrem Weg durchs Netz zum Empfänger einen guten Schutz. Zunächst gibt es die clientbasierten Verschlüsselungsverfahren, bei denen die Endgeräte von Sender und Empfänger selbst das Verschlüsseln, Entschlüsseln, Signieren und die Verifikation von Nachrichten übernehmen. Dieser Ansatz ermöglicht die durchgängige Verschlüsselung einer E-Mail über ihren gesamten Übertragungsweg und wird daher auch als Ende-zu-Ende-Ansatz (End-to-End) bezeichnet. Die E-Mail-Programme von Sender und Empfänger müssen dazu mit einer Verschlüsselungsfunktion ausgestattet sein. Clientbasierte Verschlüsselungsverfahren sind allerdings aufwändig umzusetzen und erfordern entsprechende Fachkenntnisse beim Anwender.

Alternativ können serverbasierte Lösungen eingesetzt werden, die alle E-Mails zentral auf einem so genannten Secure E-Mail Gateway ver- und entschlüsseln. Eine solche „virtuelle Poststelle“ ist kostengünstiger und für den Endanwender komfortabler, da sie keine Software-Installation und keine besonderen Kenntnisse auf Seiten der Nutzer bedingt. Allerdings eignet sich das Verfahren vor allem für größere Unternehmen mit eigener IT-Abteilung, da es zentral administriert werden muss.

Verschlüsselung aus der Cloud

Serverbasierte Verschlüsselungslösungen werden inzwischen auch als Dienstleistung angeboten, sodass auch kleinere Unternehmen und Selbstständige sie ohne größeren Aufwand nutzen können. Der Vorteil: Die komplexe Einrichtung und Wartung eines Ver- und Entschlüsselungsservers entfällt. Ein weiterer Vorteil einer solchen ausgelagerten Lösung ist, dass der Anbieter zentral unterschiedliche Verschlüsselungsverfahren unterstützen kann.

Die E-Mail-Verschlüsselung der DATEV wählt beispielsweise automatisch das geeignete Verfahren (etwa PGP, S/MIME oder Softwarezertifikate) für den jeweiligen Empfänger aus. Hat dieser kein eigenes Verschlüsselungsverfahren im Einsatz, wird die E-Mail in ein PDF-Dokument umgewandelt und mit einem sicheren Passwort geschützt, das der Absender auf anderem Weg – etwa telefonisch – übermittelt. So können auch Empfänger sicher erreicht werden, die keine Lösung zum Schutz von E-Mails bereithalten. Daneben werden auch ankommende verschlüsselte Nachrichten zentral dechiffriert. Dadurch wird eine zentrale Überprüfung auf Schadsoftware und Ablage in Dokumenten-Management-Systemen erst möglich.

E-Mail-Verschlüsselung mit DATEVnet

Die E-Mail-Verschlüsselungslösung der DATEV schützt per E-Mail versendete Daten vor nicht-autorisiertem Zugriff. Die auf DATEVnet basierende Lösung lässt sich ohne Installation zusätzlicher Software mühelos in die Arbeitsabläufe integrieren. Die Art der Verschlüsselung passt sich den technischen Voraussetzungen bei den Empfängern der E-Mails an. Verfügen diese nicht über eine DATEV SmartCard, DATEV mIDentity oder ein vergleichbares System, wird die E-Mail automatisch in ein PDF-Dokument umgewandelt und dieses mit einem Kennwort verschlüsselt. Die Dateianhänge der E-Mail werden im Originalformat an das PDF-Dokument übergeben. Das Kennwort wird an den jeweiligen Absender verschickt und kann dann telefonisch an den Empfänger übermittelt werden.

Verschlüsselte E-Mails an das Unternehmen werden zentral entschlüsselt. Die entschlüsselten E-Mails können darüber hinaus im vorhandenen Dokumenten-Management-System weiterverarbeitet werden.