Verschlüsselung ist ein Aspekt des Internets und der Datensicherheit, der zunehmend an Wichtigkeit gewinnt. Wenn Sie regelmäßig E-Mails versenden (wie nahezu jeder Mensch auf dieser Welt), dann sollten Sie wissen, was E-Mail-Verschlüsselung ist und wie Sie sie nutzen können, um Ihre E-Mails vor neugierigen Augen zu schützen...
Würden Sie auf die Idee kommen, private oder sensible Informationen auf eine Postkarte zu schreiben und so an den Empfänger zu senden? Vermutlich nicht. Sie denken, eine E-Mail ist sicherer? Falsch gedacht! Eine regulär versandte Mail kann auf ihrem Weg im Grunde genauso leicht mitgelesen werden, wie eine Postkarte. Wer die Daten in einer E-Mail schützen möchte, vor ungebetenen Mitlesern, sollte sie deshalb verschlüsseln.
Unter E-Mail-Verschlüsselung versteht man ein Verfahren, bei dem E-Mail-Inhalte verschlüsselt werden, um sicherzustellen, dass sie nur von dem gewünschten Empfänger gelesen werden können. Die Verschlüsselung verhindert, dass Dritte E-Mails lesen können, die nicht für sie bestimmt sind. E-Mail-Verschlüsselung ist somit ein wichtiges Werkzeug, um die Sicherheit von (geschäftlicher) Kommunikation zu gewährleisten.
Wenn es um Mail-Verschlüsselung geht, gibt es zahlreiche verschiedene Ausprägungen und Formen. Besonders weit verbreitet in der Praxis ist eine Ende-zu-Ende-Verschlüsselung, bei der die Nachricht auf dem Weg vom Endgerät des Absenders bis zum Endgerät des Empfängers (Client-to-Client) verschlüsselt übertragen wird.
Alternativ dazu gibt es auch eine serverbasierte Mail-Verschlüsselung, bei der ein Verschlüsselungs-Gateway zum Einsatz kommt. Dies hat den Vorteil, dass die einzelnen Mitarbeiter einer Organisation sich mit dem Thema Verschlüsselung nicht weiter auseinandersetzen müssen. Zentrale Compliance- und Sicherheitsvorgaben, hinsichtlich der Mail-Kommunikation innerhalb von Unternehmen, lassen sich also durch die serverbasierte Verschlüsselung besser sicherstellen als durch eine clientbasierte Verschlüsselungsmethode. Aber Achtung: Der Weg vom Mail-Client zum Verschlüsselungsgateway muss unbedingt gesichert werden, ansonsten sind alle Sicherheitsbemühungen obsolet!
Egal, ob die Verschlüsselung nun server- oder clientbasiert erfolgt – was es zudem braucht, um den Mail-Verkehr zu sichern, ist eine Public-Key-Infrastruktur (PKI). In der Vergangenheit hat sich vor allem die S/MIME-Methode (Secure / Multipurpose Internet-Mail Extensions) als PKI-basierte E-Mail-Verschlüsselung durchgesetzt. Als weiterer Standard ist aber auch OpenPGP (Open Pretty Good Privacy) weit verbreitet. Bei der PKI-basierten E-Mail-Verschlüsselung wird unterschieden zwischen symmetrischer und asymmetrischer Verschlüsselung:
Beim Verschlüsseln einer E-Mail wird der lesbare Text in chiffrierten Text umgewandelt. Nur der Empfänger, der über den Schlüssel verfügt, kann den kodierten Text wieder in lesbaren Inhalt dekodieren. Jeder, der nicht über den entsprechenden Schlüssel verfügt, kann nur einen kryptisch verschlüsselten Text sehen – als würde man auf einer Postkarte eine Geheimsprache verwenden, die nur der Empfänger versteht.
Die am weitesten verbreitete Methode zur Verschlüsselung von Mails ist aktuell eine client- oder serverbasierte S/MIME-Verschlüsselung. Um die S/MIME-Verschlüsselung verwenden zu können, müssen Absender und Empfänger über eine E-Mail-Anwendung verfügen, die den S/MIME-Standard unterstützt. Outlook und die meisten gängigen Mail-Programme unterstützen den S/MIME-Standard.
Tipp: Wollen Sie mit der Mail-Verschlüsselung starten, lassen Sie ihren öffentlichen Schlüssel von einer Zertifizierungsstelle offiziell signieren. Die Zertifizierungsstelle prüft, ob die Person, die den Schlüssel verwenden möchte, tatsächlich die ist, die sie vorgibt zu sein. Nach positiver Prüfung wird ein Zertifikat des Schlüssels von der Zertifizierungsstelle ausgestellt, indem ein geheimer Signaturschlüssel als eine Art Unterschrift fungiert.
Eine ausführliche und gut verständliche Anleitung, wie man Mails via Outlook verschlüsselt versenden kann, ist im Handbuch von Microsoft zu finden. Outlook verfügt darüber hinaus übrigens noch über eine weitere, Microsoft-spezifische Methode zur Mail-Verschlüsselung, die allerdings voraussetzt, dass der Absender über die Microsoft 365-Nachrichtenverschlüsselung verfügt, die in der Office 365 Enterprise E3 enthalten ist.
Wichtige Vertragsdaten per Mail versenden? Bankdaten übermitteln an Partner? Den noch unveröffentlichten Unternehmensbericht an den Aufsichtsrat senden zur Durchsicht? All dies sind konkrete Beispiele aus der Praxis, in der Mails definitiv verschlüsselt werden sollten.
E-Mail-Verschlüsselung dient der Wahrung der Privatsphäre der Kommunikation und stellt die Integrität des Inhalts der Mail sicher. Vor allem Behörden kommen um Mail-Verschlüsselung gar nicht herum, wenn sie die gesetzlichen Datenschutzvorschriften einhalten wollen. Aber natürlich ist das Thema auch für Unternehmen und für Privatpersonen von zentraler Bedeutung, nutzen doch alleine in Deutschland 80 Prozent der Bevölkerung die E-Mail regelmäßig als Kommunikationsmedium (zum Vergleich: Vor zwanzig Jahren lag der Anteil bei ca. 40 Prozent, wie eine Statista-Erhebung zeigt.
Werden Mails nicht verschlüsselt, ist es möglich, dass Hacker die Nachrichten abfangen und mitlesen, bevor sie den Empfänger erreichen. Enthält die Nachricht vertrauliche Informationen, birgt dies ein erhebliches Sicherheitsrisiko.
Unternehmen, die beginnen wollen, ihre Mails zu verschlüsseln, müssen sich zunächst entscheiden, ob sie eine client- oder eine serverbasierte Methode einsetzen wollen. Jede Situation ist anders, aber generell ist das folgende Szenario ein guter Maßstab als Best Practice:
Gerade für mittelständische Unternehmen bietet es sich an, eine serverbasierte Lösung zu nutzen und dabei eine passwortbasierte E-Mail-Verschlüsselung mit einer PKI-basierten Verschlüsselung via S/MIME oder OpenPGP zu verbinden. Nutzt das Gegenüber, also der Empfänger außerhalb des Unternehmens, weder eine server- noch eine clientbasierte Lösung, ist eine E-Mail-Verschlüsselung zumindest PKI-basiert nicht möglich. Um für diese Fälle zu vermeiden, dass die Inhalte dann nicht unverschlüsselt übermittelt würden, ist es ratsam, wenn neben einer PKI-basierten E-Mail-Verschlüsselung als „Fallback“ auf eine passwortbasierte E-Mail-Verschlüsselung zurückgegriffen werden kann. Alle externen Empfänger, die über eine PKI verfügen, erhalten die Mails entsprechend PKI-basiert verschlüsselt. Bei externen Empfängern, die über keine PKI verfügen, wird hingegen eine klassische passwortbasierte Verschlüsselung als Methode genutzt. So ist man definitiv auf der sicheren Seite. Und dank der serverbasierten Lösung hat der Anwender selbst, der von Verschlüsselung und IT in der Regeln wenig bis gar keine Ahnung hat, auch nichts zu tun.
Tipp Nummer 2 für alle Unternehmen im Hinblick auf Mail-Verschlüsselung: Setzen Sie eine automatisierte Lösung ein. Heißt: Eine automatisierte E-Mail-Verschlüsselung ist in der Lage, alle ausgehenden E-Mails automatisch zu analysieren und zu erkennen, wo sensible, schutzwürdige Inhalte enthalten sind. Diese Inhalte werden dann automatisch verschlüsselt, bevor sie an den intendierten Empfänger verschickt werden. Diese Lösung deckt also nicht alle Mails ab, sondern nur die, die wirklich einer Verschlüsselung bedürfen. Dieses Vorgehen ist vor allem sinnvoll, wenn man eine clientbasierte Methode nutzt.
Der letzte und wichtigste Hinweis in Sachen E-Mail-Verschlüsselung ist, dass Unternehmen sich stets bewusst sein müssen, dass die hier beschriebenen Maßnahmen nur ein Aspekt im Rahmen vieler weiterer Maßnahmen zur E-Mail-Security sein sollten. Weitere Maßnahmen, wie zum Beispiel eine digitale Signatur oder eine Zwei-Faktor-Authentifizierung für den Login ins Mail-Programm, sind unbedingt auch zu berücksichtigen, wenn es um sicheren Mail-Verkehr geht!