E-Mail-Verschlüsselung für Unternehmen

Warum sich nach der Pflicht die Kür lohnt

16.11.2015
Von 


Marcel Mock ist CTO und Mitbegründer des Schweizer Sicherheitsexperten totemo. In dieser Funktion verantwortet er das gesamte technologische Portfolio und berät vorwiegend Großkunden. Davor war er als Head of Software Development bei WebSemantix AG tätig sowie als Consultant bei IBM Deutschland. Er ist Inhaber mehrerer Patente zum Thema E-Mail-Verschlüsselung.
Eines gleich vorab: Ja, E-Mail-Verschlüsselung ist Pflicht. Aber wie? Das zeigen fünf häufige Anwendungsszenarien und deren technische Umsetzung.

Deutsche Unternehmen müssen ihren E-Mail-Verkehr verschlüsseln, wenn er personenbezogene Daten enthält. Darunter fallen zum Beispiel Name, Telefonnummer, E-Mail- und IP-Adresse. Diese Verpflichtung ergibt sich aus § 9 des Bundesdatenschutzgesetzes. Doch welche Schutzmaßnahmen gehören zur Pflicht, welche zur Kür? Die Antwort hängt von der IT-Infrastruktur, den geltenden Compliance-Vorgaben und der Sicherheitsstrategie ab. Um den richtigen Weg für die eigene Organisation zu finden, hilft es, die unterschiedlichen Anwendungsfälle in der Praxis und deren spezifische Herausforderungen zu betrachten.

E-Mails sind aus der Kommunikation im Geschäftsverkehr nicht wegzudenken.
E-Mails sind aus der Kommunikation im Geschäftsverkehr nicht wegzudenken.
Foto: winui - shutterstock.com

Der einfachste Weg, den E-Mail-Verkehr abzusichern, ist die Transportverschlüsselung via STARTTLS. Allerdings ist in diesem Fall die Nachricht höchstens auf dem Weg vom Mailserver des Absenders zum Mailserver des Empfängers verschlüsselt. Davor und danach liegt die Information in Klartext vor. Davon abgesehen ist dieser Weg meist nicht so direkt wie viele Unternehmen glauben: Der Übertragungskanal führt fast immer über zusätzliche Infrastruktur. Dort endet der Schutz durch TLS.

Deswegen fordern die Datenschutzbeauftragten des Bundes und der Länder für den elektronischen Austausch besonderer personenbezogener Daten, unter anderem Gesundheitsdaten oder Personalinformationen, eine Ende-zu-Ende-Verschlüsselung. Diese lässt sich zum Beispiel mit einem E-Mail-Verschlüsselungs-Gateway erreichen. Was damit möglich ist und worauf hier zu achten ist, zeigen die folgenden Szenarien:

1. Verschlüsselung mit mobilen Geräten

Ein Großteil der Mitarbeiter nutzt für den E-Mail-Versand auch mobile Geräte. Daher müssen die IT-Verantwortlichen einen Weg finden, die mobil versendeten Nachrichten genauso abzusichern wie auf den Büro-Rechnern. In der Regel sind Mobilgeräte über das Exchange Active Sync Protocol an die Unternehmensserver angebunden. Unter Einsatz einer Lösung, die mit dem Active-Sync-Protokoll umgehen kann, gelingt es, E-Mails auf dem Mobiltelefon entschlüsselt darzustellen und verschlüsselte Nachrichten zu versenden und zwar ganz transparent für jeden E-Mail-Client.

2. Verschlüsselte Archivierung

Eine weitere gesetzliche Vorgabe, die sich aus dem Handelsgesetzbuch (HGB) und der Abgabenordnung (AO) ergibt, betrifft die Archivierung elektronischer Nachrichten. Demnach müssen alle relevanten E-Mails und deren Dateianhänge vollständig, manipulationssicher und jederzeit verfügbar aufbewahrt werden. Zudem müssen die Daten maschinell auswertbar sein. Eine alleinige Aufzeichnung auf Mikrofilm oder Papier ist nicht ausreichend.

Grundsätzlich kann jedes Standard-System E-Mails archivieren. Das gilt auch für verschlüsselte E-Mails. Das Problem: In diesem Fall kann der Inhalt nicht eingesehen werden. Damit sind die Informationen zwar vollständig und manipulationssicher aufbewahrt, allerdings nicht jederzeit verfügbar und maschinell auswertbar. Denn dies würde den Besitz des Schlüssels voraussetzen. Hier kann ein Proxy Abhilfe schaffen, der das Archivsystem mit der Mailbox auf dem Mailserver verbindet, die archivierte Nachricht in Echtzeit entschlüsselt und sie dem Archiv über einen TLS-Tunnel zur Verfügung stellt (sh. Grafik 1).

Grafik 1: Ein Proxy sorgt dafür, dass E-Mails zwar verschlüsselt archiviert, aber bei Bedarf in Echtzeit entschlüsselt werden können.
Grafik 1: Ein Proxy sorgt dafür, dass E-Mails zwar verschlüsselt archiviert, aber bei Bedarf in Echtzeit entschlüsselt werden können.
Foto: totemo

3. Applikationen

In vielen Unternehmen arbeiten spezielle Anwendungen auf Basis von E-Mail-Workflows. Typische Beispiele sind Systeme für Customer Relationship Management (CRM), Enterprise Ressource Planning (ERP) oder für die Personalverwaltung, über die etwa Zeiterfassungen oder Lohnabrechnungen bearbeitet werden.
Üblicherweise bleiben die E-Mails für diese Prozesse unverschlüsselt. Auch hier kann ein Proxy die Systeme mit der Mailbox verbinden und die Ver- und Entschlüsselung in Echtzeit vornehmen. Somit ist es möglich, E-Mails, die Auszüge aus dem CRM-System, Lohnabrechnungen oder andere vertrauliche Daten enthalten, auch zu verschlüsseln.

4. Große Dateianhänge

Das E-Mail-Protokoll ist nicht dafür ausgelegt, riesige Datenmengen zu übertragen. Zudem kämpfen viele IT-Verantwortliche mit limitieren Ressourcen ihrer Systeme, was häufig in Größenbeschränkungen für E-Mail-Anhänge resultiert. Der Markt bietet E-Mail-Verschlüsselungs-Gateways, mit denen sich große Dateien vor dem Versand von der E-Mail abtrennen lassen (sh. Grafik 2).

Grafik 2: Mit Hilfe eines E-Mail Encryption Gateways lassen sich große Dateianhänge abtrennen und versenden, ohne den Mailserver zu belasten.
Grafik 2: Mit Hilfe eines E-Mail Encryption Gateways lassen sich große Dateianhänge abtrennen und versenden, ohne den Mailserver zu belasten.
Foto: totemo

Damit können Anwender beliebige Dateigrößen versenden, ohne beim Empfänger die Mailbox zu sprengen. Der Transfer des Anhangs erfolgt über ein anderes Protokoll wie etwa HTTPS, der Empfänger kann die Informationen anschließend ganz einfach herunterladen. Diese Variante schont nicht nur Systemressourcen, sondern erhöht auch die Sicherheit ganz signifikant: Denn die Größenbeschränkung für E-Mail-Anhänge führt oft dazu, dass Mitarbeiter für den Versand großer Dateien auf unsichere und von der IT-Abteilung nicht genehmigte Filesharing-Dienste ausweichen, die sie auch im privaten Alltag nutzen - Stichwort Schatten-IT. Das bereitet vielen Unternehmen Probleme, da wichtige und vertrauliche Dokumente im schlimmsten Fall unverschlüsselt auf eine Vielzahl verschiedener Cloud-Dienste verteilt sind.

5. Ende-zu-Ende-Verschlüsselung mit externen Partnern

Echte Ende-zu-Ende-Verschlüsselung ist im Unternehmenskontext meist nicht erwünscht, da sie zentrale Anti-Virus-Kontrollen oder den Einsatz von DLP-Lösungen verhindert. Für diesen Fall ist der Einsatz eines hybriden E-Mail-Gateways sinnvoll, es verschlüsselt die Nachricht innerhalb des Unternehmens auf dem Weg zum Gateway, wo sie dann auf Viren untersucht und mittels DLP geprüft wird, bevor die Nachricht dann beim Verlassen des Unternehmens auf die Technologie des Empfängers „umgeschlüsselt“ wird (sh. Grafik 3). So ist die E-Mail innerhalb wie außerhalb des Unternehmens vor neugierigen Blicken geschützt und zentrale Anti-Viren-Kontrollen und DLP-Maßnahmen können trotzdem eingesetzt werden.

Grafik 3: Ein hybrides E-Mail Encryption Gateway bietet neben gängigen Standards wie S/MIME oder OpenPGP auch alternative Verschlüsselungstechnologien und verschlüsselt E-Mails innerhalb wie außerhalb des Unternehmens.
Grafik 3: Ein hybrides E-Mail Encryption Gateway bietet neben gängigen Standards wie S/MIME oder OpenPGP auch alternative Verschlüsselungstechnologien und verschlüsselt E-Mails innerhalb wie außerhalb des Unternehmens.
Foto: totemo

Nachdem E-Mails nach wie vor das wichtigste Kommunikationsmittel im Geschäftsverkehr sind, sollte der Austausch von verschlüsselten Nachrichten unkompliziert und ohne zusätzlichen Aufwand erfolgen können – selbst wenn das System des Mailempfängers nicht Standards wie S/MIME oder PGP nutzt. Daher empfiehlt es sich, ein E-Mail-Verschlüsselungs-Gateway einzusetzen, das mit den verschiedenen Standards arbeitet und auch alternative Technologien einsetzt.

Fazit

Nicht nur aufgrund gesetzlicher Vorschriften sollten Unternehmen wichtige Informationen konsequent verschlüsseln und damit vor unberechtigten Zugriffen schützen. Auch mit Blick auf die immer raffinierteren Methoden der Cyber-Kriminellen und dem steigenden Wert der Daten im Zeitalter der Digitalisierung lohnt es sich, in eine umfassende Verschlüsselungslösung zu investieren – und dabei vielleicht neben dem Erfüllen der Pflicht auch die ein oder andere Kür in Betracht zu ziehen. (bw)