E-Mail-Verschlüsselung: sicher, einfach und kostengünstig!

Versenden Sie Ihre E-Mails bereits in verschlüsselter Form? Wenn „ja“, dann sind Sie vielen Unternehmen schon einen großen und sicheren Schritt voraus. Die meisten, besonders mittelständische, Kunden antworten jedoch leider mit „nein“. Oftmals sind es Vorurteile, die E-Mail-Verschlüsselung sei für den User zu kompliziert, die Kosten sind dafür zu hoch und/oder öffentliche Schlüssel (Public Keys) fehlen. Wir möchten Sie im folgenden Blog-Beitrag informieren wie sicher, einfach und kostengünstig dieses Verfahren jedoch in Wirklichkeit ist.

Die Initiative „Mittelstand verschlüsselt“ zeigt auch, dass jeder Geschäftsführer eine Sorgfaltspflicht hat – in Bezug auf das Risikomanagement (unternehmenskritische und/oder personenbezogene Daten) und beim Thema verschlüsselter Versand von elektronischer Post, muss gehandelt werden. Denn über 80 % aller Cyber-Attacken, versuchen über E-Mails einen Einstieg in Ihr Unternehmen zu bekommen.

Wer sich und seine Geschäftspartner wirksam schützen möchte, der setzt auf neue Lösungen. Hinter der Initiative stehen der Anbieter Net at Work mit seiner Gateway-Lösung NoSpamProxy und die Bundesdruckerei. Sie ist jedoch offen für alle Anbieter und hat zum Ziel, die Verbreitung von Verschlüsselungstechnologie in Mittelstandsunternehmen zu fördern. Über die Produkte von NoSpamProxy haben wir bereits in den letzten beiden Blog-Beiträgen „E-Mails: Sicherheit und Effizienz mit NoSpamProxy“ und „E-Mails sind das Einfallstor Nummer 1 für Cyber-Angriffe“ berichtet.

E-Mail-Verschlüsselung ist sicher.

Das Versenden von unverschlüsselten E-Mails gleicht dem Versand einer Postkarte – sie kann auf dem Übertragungsweg von jedem gelesen werden. Mit einer Transport-Verschlüsselung wird zwischen dem E-Mail-Programm und dem Server eine Verbindung aufgebaut und diese z.B. gemäß dem weit verbreiteten Protokoll „Transport Layer Security“ (TLS) verschlüsselt. Eine TLS-Verschlüsselung lässt sich zwar bis zum nächsten E-Mail Gateway erzwingen und die Mail wird nicht versendet, wenn der empfangende Server TLS nicht unterstützt. Wenn dieser die E-Mail jedoch weiterleitet, haben Sie die Kontrolle darüber verloren wer Ihre E-Mails liest oder manipuliert. Wichtig ist daher, dass das E-Mail Security Gateway automatisch sicherstellt, dass keine schwachen Verschlüsselungsalgorithmen verwendet werden.

Der richtige Schlüssel

Wie funktioniert eine Verschlüsselung überhaupt? Für wen das Thema neu ist, der denkt oft, dass der Absender seine Nachricht mit seinem Zertifikat an den Empfänger verschlüsselt. Zur Hälfte liegt er damit bereits richtig: die Nachricht wird verschlüsselt, aber mit dem öffentlichen Schlüssel des Empfängers! Der Absender selbst signiert die Nachricht mit einem Zertifikat, wobei auch der öffentliche Schlüssel mitgesendet wird. Dadurch ermöglicht man, dass die Antwort an einen selbst mit dem zur Verfügung gestellten öffentlichen Schlüssel, verschlüsselt werden kann.

Wurden zuvor keine öffentlichen Schlüssel ausgetauscht, kann folglich keine verschlüsselte Kommunikation stattfinden. In der Regel werden zwischen Geschäftspartnern jedoch zuerst z.B. unverschlüsselt Kontaktdaten o.ä. ausgetauscht, dabei werden auch die öffentlichen Schlüssel mitversendet. Erst nach diesem Vorgang, können vertrauliche Daten verschlüsselt versendet werden.

Die Animation von NoSpamProxy zeigt, wie der Austausch von Schlüsseln funktioniert.

Gateway basierte Verschlüsselung visualisiert

Legende:

Öffentlicher Schlüssel

Privater Schlüssel

Verschlüsselte E-Mail

Entschlüsselte E-Mail

OpenKeys für eine sichere, erste Kommunikation

Wer bereits bei der ersten Kommunikation auf Nummer Sicher gehen möchte, der ist bei openkeys.de richtig. Anwender von NoSpamProxy können ihre öffentlichen Schlüssel beim automatisierten Beantragen eines Zertifikats, in OpenKeys veröffentlichen lassen. Somit kann nach Abfrage dieser Datenbank bereits die erste Kontaktaufnahme verschlüsselt erfolgen.

Hier ein kleiner Auszug, der ständig wachsenden Anzahl an Institutionen, die ihre öffentlichen Schlüssel über OpenKeys bereitstellen:
> ldap://dir.ebca.de
> ldap://directory.d-trust.de
> ldap://directory.swisssign.net
> ldap://directory.verisign.com
> ldap://ldap.fraunhofer.de
> ldap://ldap.pca.dfn.de
> ldap://ldap.sbca.telesec.de
> ldap://ldap.volksverschluesselung.de
> ldap://x500.bund.de

Fallback auf verschlüsselte PDF

Leider sind Zertifikate zur sicheren E-Mail-Kommunikation weiterhin zu wenig verbreitet. Dennoch müssen regelmäßig Informationen, die unternehmenskritisch oder personenbezogen sind, versendet werden. Manchmal weiß man auch vor dem Versand einfach nicht, ob der Empfänger einen öffentlichen Schlüssel anbietet. In dieser Situation gibt es einen Fallback, mit dem Sie verschlüsselte PDF-Dateien verschicken können. Über ein Outlook-Add-In funktioniert das schnell und reibungslos.

Damit weiß NoSpamProxy, dass diese Nachricht das Unternehmen nicht unverschlüsselt verlassen darf. Um dem Folge zu leisten wird zunächst geprüft, ob bereits ein PGP- (Pretty Good Privacy oder S/MIME-Schlüssel vorliegt oder aber in OpenKeys abgefragt werden kann. Ist dies nicht der Fall, erhält der Empfänger eine Benachrichtigung über Ihren Wunsch eine verschlüsselte Nachricht zu übermitteln, damit dieser Ihnen Zugang gewähren kann.

Benachrichtigung über eine verschlüsselte Nachricht

Hat der Empfänger weder PGP noch S/MIME im Einsatz, kommt der 2. Punkt zum Tragen und er vergibt selbst ein sicheres Kennwort, womit die Nachricht innerhalb einer passwortgeschützten PDF übertragen wird.

Über jeden Vorgang wird sowohl der Absender wie auch der Empfänger in Kenntnis gesetzt -so ist der Ablauf für alle Beteiligten transparent und sicher. Die Optik und der Inhalt der E-Mail-Vorlage können übrigens an Ihr eigenes Corporate Design angepasst werden.

E-Mail-Verschlüsselung ist einfach.

Wie Sie nun gelesen haben, ist die Verschlüsselung von E-Mails der sicherste Weg, um sensible Daten elektronisch zu verschicken. Aber: Wie viel Wissen haben Ihre Mitarbeiter außerhalb der IT-Abteilung, von E-Mail-Verschlüsselung? Wenig? Die gute Nachricht: bei einer modernen Lösung müssen sie das auch nicht! Ein guter Security Gateway sollte Folgendes leisten können:
> Ver- und Entschlüsseln von E-Mails durch die Kommunikation mit dem E-Mail-Programm des Anwenders oder durch Unternehmensrichtlinien, die z.B. durch das Active Directory gesteuert werden.
> Der User sendet und empfängt E-Mails in seinem gewohnten E-Mail-Programm – bei ihm liegen die E-Mails unverschlüsselt vor.
> Anwender können sich ihre E-Mails auch an anderen Clients wie Smartphones oder Tablets anschauen und von diesen versenden.
> E-Mails müssen können wie gewohnt archiviert werden.
> Die zur Ver- und Entschlüsselung erforderlichen Zertifikate der Endanwender können zentral und automatisiert verwaltet werden. Bitte denken Sie auch daran, dass die Zertifikate regelmäßig erneuert werden müssen.
>Falls der E-Mail Empfänger nicht über ein Zertifikat oder einen privaten PGP Key verfügt, wird die Nachricht über einen sicheren und passwortgeschützten Container (PDF) übermittelt. Der Empfänger sollte in der Lage sein, auf gleichem Weg sicher zu antworten.

Für Ihre Mitarbeiter ist die sichere Form des E-Mail-Versands also so gut wie kein Mehraufwand und sie benötigen dazu auch kein Fachwissen.

E-Mail-Verschlüsselung ist kostengünstig.

„Gute Lösungen zur E-Mail-Verschlüsselung sind immer teuer.“ Ja, die Aussage kennen wir, aber wir können sie auch gut widerlegen. Aktuell kostet es 1,55 €, um einen Brief im DIN A4 Format postalisch zu versenden. Für diesen Preis können Sie bzw. einer Ihrer Mitarbeiter aber auch einen Monat lang beliebig viele E-Mails verschlüsseln. Listen mit Geschäftszahlen, Mitarbeiterinformationen, Dateien mit Konstruktionszeichnungen u.v.m. können so gut geschützt übermittelt werden.

Hinzu kommen noch die Kosten für persönliche Zertifikate wie z.B. von D-Trust, GlobalSign oder SwissSign. Sie können natürlich auch selbst ausgestellte, kostenfreie Zertifikate verwenden, allerdings müssen Sie dann mit jedem Kommunikationspartner vereinbaren, dass dieser Ihrem Zertifikat vertraut.

Fazit

Unser Fazit zum Thema E-Mail-Verschlüsselung ist recht kurz: stellen Sie sicher, dass Sie sicher kommunizieren und machen Sie es Kriminellen somit möglichst schwer, in Ihr Unternehmen einzudringen. Mit NoSpamProxy Encryption sind Sie in den besten Händen.