Vielen Anwendern ist nicht bewusst, welchen Gefahren die E-Mail-Kommunikation ausgesetzt sein kann.

Die E-Mail ist heute der wohl meistgenutzte Kommunikationskanal. Mehr als 100 Milliarden elektronische Nachrichten werden derzeit pro Tag weltweit zu geschäftlichen Zwecken gesendet und empfangen. Obwohl dabei teils auch vertrauliche und geschäftskritische Informationen verschickt werden, hat ein großer Teil der Nutzer noch keine Vorkehrungen getroffen, um deren Vertraulichkeit zu schützen. Dabei lässt sich an dieser Stelle bereits mit wenig Aufwand ein großes Risiko vermeiden.

Laut einer aktuellen Studie zur IT-Sicherheit im Mittelstand, die der Verein Deutschland sicher im Netz (DsiN) in Kooperation mit der Nürnberger DATEV eG veröffentlicht hat, haben lediglich 44 Prozent der mittelständischen Unternehmen in Deutschland Vorkehrungen zur E-Mail-Sicherheit getroffen. Diese Zahl verdeutlicht, dass vielen Anwendern nicht bewusst ist, welchen Gefahren die E-Mail-Kommunikation ausgesetzt sein kann. Offensichtlich herrscht die Meinung vor, mit einem Schutz vor Schadsoftware aus dem Internet – den inzwischen nahezu alle Unternehmen realisiert haben – seien alle Gefahren eingedämmt.

Das ist aber leider nicht so: Internet-Schutzmaßnahmen sichern zwar die eigenen Systeme vor Angriffen durch Schadsoftware, auch wenn diese E-Mails als Träger nutzen. Aber Informationen, die via einfacher E-Mail verschickt werden, sind in ihrer Vertraulichkeit völlig schutzlos, sobald sie das gesicherte Netzwerk verlassen. Hier fehlt es oft noch an der nötigen Sensibilität.

Standard-E-Mail: Vergleichbar mit einer Postkarte

Das Internet bietet prinzipiell keinerlei Schutz gegen unbefugtes Mitlesen oder die Modifikation der Daten. Da die Sicherheitsstandards Firewall und Virenprüfung auf dem Weg zum Kunden, Lieferanten oder Geschäftspartner nicht mehr greifen, können die Daten, die eigentlich nur der Adressat zu sehen bekommen soll, unterwegs abgefangen, ausgespäht und sogar verändert werden. Authentifizierung oder Verschlüsselung sind beim E-Mail-Standard SMTP (Simple Mail Transfer Protocol) nicht vorgesehen und die Echtheit der Daten, die vom Absender geliefert werden, wird vom Mailserver nicht geprüft. Deshalb lässt sich der Vertraulichkeitsstatus einer normalen E-Mail in etwa mit dem einer Postkarte vergleichen. Während niemand einen wichtigen Auftrag oder gar einen Vertrag per Postkarte versenden würde, macht sich beim elektronischen Postweg kaum jemand Gedanken um einen sicheren „Umschlag“.

Dass jeder Nutzer die Vertraulichkeit seiner geschäftlichen Kommunikation ernst nehmen sollte, ist nicht erst seit den jüngsten geheimdienstlichen Enthüllungen offensichtlich. Internetbasierte Wirtschaftsspionage ist längst ein einträglicher Wirtschaftszweig. Dies betrifft zwar in erster Linie die Unternehmen. Aber auch im behördlichen E-MailVerkehr sind für „zwielichtige Gestalten“ vielfältige, oft vertrauliche Informationen zu finden, die für deren bösartige Zwecke nutzbar gemacht werden können.

Angriffe werden professioneller

Die Angriffe werden zunehmend gezielter, komplexer und professioneller, wie einschlägige Umfragen von Sicherheitsanbietern wie Symantec oder der Wirtschaftsprüfungs- und Beratungsgesellschaft KPMG belegen. Laut KPMG war in den Jahren 2011 und 2012 in Deutschland jedes vierte Unternehmen schon einmal Opfer von Cyber-Kriminalität, wobei ein Schaden von mehr als einer Million Euro pro Vorfall nicht ungewöhnlich ist.

Ungeschützte E-Mails machen Spionen und Betrügern das Mitlesen besonders leicht. Daher sollte der verschlüsselte Versand von E-Mails zumindest bei geschäftskritischen, jedenfalls aber bei behördlichen vertraulichen Informationen und Daten obligatorisch sein.

Verschlüsselungslösungen bieten Schutz

Gängige Verschlüsselungslösungen bieten den Informationen auf ihrem Weg durchs Netz zum Empfänger einen guten Schutz. Zunächst gibt es die „clientbasierten“ Verschlüsselungsverfahren, bei der die Endgeräte („Clients“) von Sender und Empfänger selbst das Verschlüsseln, Entschlüsseln, Signieren und die Verifikation von Nachrichten übernehmen. Dieser Ansatz ermöglicht die durchgängige Verschlüsselung einer E-Mail über ihren gesamten Übertragungsweg und wird daher auch als Ende-zu-Ende-Ansatz (End-to-End) bezeichnet. Die E-Mail-Programme von Sender und Empfänger müssen dazu mit einer Verschlüsselungsfunktion ausgestattet sein. Clientbasierte Verschlüsselungsverfahren sind allerdings aufwändig umzusetzen und erfordern entsprechende Fachkenntnisse beim Anwender.

Alternativ können serverbasierte Lösungen eingesetzt werden, die alle E-Mails zentral auf einem sogenannten „Secure E-Mail Gateway“ ver- und entschlüsseln. Eine solche „virtuelle Poststelle“ ist kostengünstiger und für den Endanwender komfortabler, da sie keine Softwareinstallation und keine besonderen Kenntnisse auf Seiten der Nutzer bedingt. Allerdings eignet sich das Verfahren vor allem für größere Einheiten mit eigener IT-Abteilung, da es zentral administriert werden muss.

Verschlüsselung aus der Cloud

Serverbasierte Verschlüsselungslösungen werden inzwischen auch als Dienstleistung angeboten, sodass auch kleinere Organisationseinheiten sie ohne größeren Aufwand nutzen können. Der Vorteil: Die komplexe Einrichtung und Wartung eines Ver- und Entschlüsselungsservers entfällt. Ein weiterer Vorteil einer solchen ausgelagerten Lösung ist, dass der Anbieter zentral unterschiedliche Verschlüsselungsverfahren unterstützen kann.

Die E-Mail-Verschlüsselung der DATEV wählt beispielsweise automatisch das geeignete Verfahren (etwa PGP, S/MIME oder Softwarezertifikate) für den jeweiligen Empfänger aus. Hat dieser kein eigenes Verschlüsselungsverfahren im Einsatz, wird die E-Mail in ein PDF-Dokument umgewandelt und mit einem sicheren Passwort geschützt, das der Absender auf anderem Weg – etwa telefonisch – übermittelt. So können auch Empfänger sicher erreicht werden, die keine Lösung zum Schutz von E-Mails bereithalten. Daneben werden auch ankommende verschlüsselte Nachrichten zentral dechiffriert. Dadurch wird eine zentrale Überprüfung auf Schadsoftware und Ablage in Dokumenten-Management-Systemen erst möglich.

Behördenkommunikation via De-Mail

Durch das jüngst in Kraft getretene E-Government-Gesetz wurde die De-Mail quasi zum Standard der behördlichen E-Mail-Kommunikation erhoben. Allerdings ist primäres Ziel der Lösung, die Authentizität und den Nachweis der rechtswirksamen Zustellung zu gewährleisten. Eine Ende-zu-Ende-Verschlüsselung ist hier zumindest standardmäßig nicht vorgesehen.

Außerdem handelt es sich um ein geschlossenes System, das bewusst nicht mit der herkömmlichen E-Mail-Adresse funktioniert. Der Anwender benötigt eine gesonderte Adresse, die er zusätzlich verwalten und überwachen muss. Insofern dürfte es sicher noch einige Zeit dauern, bis sich De-Mail auf dem Markt etabliert hat und die breite Masse der Bevölkerung darüber erreichbar ist. Bis dahin gilt es in jedem Fall, den konventionellen E-Mail-Verkehr sicherer zu machen.