Aktuelles
29. Juli 2014

Sicheres Versenden von E-Mails

Eine verschickte Mail kann von Dritten ohne größeren Aufwand gelesen werden. Es sei denn, man trifft Vorkehrungen. Sven Scharioth, stellvertretender Geschäftsführer von „Deutschland sicher im Netz e.V.“, erläutert im Familienunternehmer-News-Interview, worauf Unternehmen achten sollten.

Eine Studie von „Deutschland sicher im Netz“ hat herausgefunden, dass Firmen kräftig in die Internet-, aber nicht in E-Mail-Sicherheit investieren. Inwieweit wird das Gefahrenpotenzial beim Versenden von Mails unterschätzt?

Sven Scharioth: Aus unseren Gesprächen mit vielen Unternehmern wissen wir, dass sie sich der Gefahren, die von Mails ausgehen können, häufig nicht bewusst sind. Das mag einerseits daran liegen, dass Mails als etwas Alltägliches angesehen werden. Andererseits herrscht nach wie vor der Irrglaube vor, dass Firewalls und Virenscanner in diesem Bereich einen wirkungsvollen Schutz bieten würden. Doch Internetsicherheit und Mailsicherheit sind zwei verschiedene paar Schuhe. Dieser recht sorglose Umgang nach dem Motto „Uns ist ja noch nie was passiert“, öffnet Datendieben Tür und Tor.

Welche Gefahren können von abgefangenen Mails ausgehen?

Unvorsichtige Unternehmen setzen sich einem nicht zu unterschätzenden juristischen und finanziellen Risiko aus. Schnell kommen Haftungsfragen ins Spiel, wenn etwa vertrauliche Kundendaten in die Hände Unbefugter gelangen. Nicht zu vergessen ist ein erheblicher Imageschaden, wenn bekannt wird, dass das Unternehmen den Datenschutz nicht gewährleisten kann. Firmen müssen sich daher immer im Klaren sein, dass eine Mail wie eine Postkarte ist, die ungeschützt ohne größere Mühe von Datendieben gelesen und deren Inhalt zum Nachteil der Firma beliebig genutzt werden kann.

Was ist beim Mailen wichtiger Daten zu beachten?

E-Mail-Sicherheit besteht aus einer technischen und einen organisatorischen Komponente. Der technische Teil bezieht sich auf Verschlüsselungstechnologien und Signaturen. Wer professionelle Verschlüsselungslösungen einsetzt, ist hier auf der sicheren Seite. Möglich sind so genannte clientbasierte und serverbasierte Lösungen. Bei einer clientbasierten Lösung übernimmt das Endgerät des Absenders Verschlüsselung und Signatur der Nachricht, während Entschlüsselung und Signaturprüfung vom Empfänger vorgenommen werden. Das setzt ein gewisses Know-how der jeweiligen Anwender voraus. Für viele kleinere Unternehmen empfiehlt sich eine serverbasierte Lösung. Dabei übernimmt vereinfacht gesagt ein zwischengeschalteter Mailserver diese Aufgaben. Vorteil: Er kann zentral von einem Administrator gewartet werden, die Anwender benötigen kein besonders Know-how. Bei der organisatorischen Komponente geht es darum, Mitarbeiter zu sensibilisieren und festzulegen, was genau sensible Daten sind beziehungsweise welche immer verschlüsselt gehören. Generell rate ich hier zur Datensparsamkeit: Sensible Daten sollten nur, wenn es sein muss, per Mail versendet werden.

Wie aufwändig ist eine Verschlüsselung von Mails beziehungsweise des Anhangs?

Einen Anhang zu verschlüsseln ist sehr einfach und braucht wenig Zeit. Das Schutzniveau ist natürlich nicht so hoch wie bei einer Komplettverschlüsselung. So ist aber zumindest ein gewisser Grundschutz gewährleistet. Server- und clientbasierte Lösungen, die alles verschlüsseln, lassen sich ebenfalls sehr leicht in den betrieblichen Alltag integrieren. Unternehmen müssen hier aber im Vorfeld Zeit investieren, um Know-how aufzubauen oder müssen eine professionelle Lösung einkaufen, sprich, Geld in die Hand nehmen. Gemessen an dem möglichen Schaden für ein Unternehmen sind die Kosten vergleichsweise gering. Eine solche Investition lohnt sich.

Wie sicher sind diese Lösungen wirklich – speziell die in Deutschland angepriesene De-Mail?

Grundsätzlich ist es so, dass es einen 100-prozentigen Schutz nicht gibt. Die angebotenen Lösungen, die eine Mail komplett verschlüsseln, kommen aber sehr nahe dran. De-Mail ist eine vom Bundesinnenministerium entwickelte Lösung für eine vertrauliche und rechtssichere Kommunikation mit Behörden per Mail. Die Verschlüsselung ist nur ein Nebenprodukt und nicht das Hauptziel. Der Lösung fehlt eine durchgängige Ende-zu-Ende-Verschlüsselung: Das System entschlüsselt in einem Zwischenschritt die Mail, um zu überprüfen, ob Schadsoftware enthalten ist. Anschließend wird die Nachricht wieder verschlüsselt und an den Empfänger weitergeleitet. Viele Experten sehen hier ein erhebliches Sicherheitsrisiko. -hf

www.sicher-im-netz.de/unternehmen/e-mail-sicherheit

Tipp: Lesen Sie mehr über das Thema Datensicherheit in der November-Ausgabe von DIE NEWS.