Schlagwortarchiv für: Mail

Lesedauer: ca. 7 Minuten

Die Aufforderung zur Kontobestätigung der Sparkasse, die Aktualisierung persönlicher Zugangsdaten bei PayPal – sogenannte Phishing Mails, gefälschte Nachrichten mit dem Ziel des Datenklaus, werden immer raffinierter. Mittlerweile sind diese selbst von Experten nur noch schwerlich von echten Nachrichten zu unterscheiden.

Gleichzeitig werden im Geschäftsalltag tagtäglich vertrauliche Informationen per Mail versendet – oft ohne Gedanken daran, dass diese Informationen nach dem Versand ebenfalls in falsche Hände gelangen können. Denn neben Phishing gibt es noch etliche weitere Techniken von Hackern, um an vertrauliche Daten wie Passwörter, Kreditkarteninformationen etc. zu gelangen.

Mit anderen Worten: Elektronische Nachrichten sind nicht (mehr) sicher.

Sicherheit mit Brief und Siegel

Eine Möglichkeit zur Beseitigung dieses Problems ist die elektronische Mail-Signatur. Nicht zu verwechseln mit der Auflistung der Kontaktinformationen am Ende des schriftlichen Inhaltes einer Nachricht, handelt es sich hierbei um eine Art Briefsiegel: Die elektronische Signatur sorgt dafür, dass der Empfänger klar feststellen kann, wer der Absender der Mail ist und ob der Inhalt auch genauso ankommt, wie er verschickt wurde.

Ist der Absender tatsächlich der, der er vorgibt zu sein? Kann ausgeschlossen werden, dass die Inhalte der Mail auf dem Weg vom Absender zu mir als Empfänger aufgehalten und manipuliert wurden? Mithilfe einer elektronischen Unterschrift landen mehr Mails im Posteingang, bei denen die Antwort auf diese Fragen ‚Ja‘ lautet.

Technisch betrachtet handelt es sich bei der elektronischen Signatur, die auch als digitale Unterschrift bezeichnet wird, um ein Zertifikat, welches zusammen mit der normalen Mail versendet wird.

Von Ämtern zu Wirtschaftsunternehmen

Anfangs wurde die elektronische Signatur vor allem in der öffentlichen Verwaltung eingesetzt. Die immer größere Verbreitung von E-Commerce-Konzepten förderte dann den Einsatz in der Privatwirtschaft. Immer mehr Unternehmen verwenden die elektronische Unterschrift zudem für ganz spezielle Anwendungsfälle, beispielsweise wenn für elektronisch zu unterzeichnende und verschickende Policen.

Ausgangspunkt für den gegenwärtigen Stand der Technik bei der digitalen Unterschrift ist im Übrigen die sog. ‚Signaturrichtlinie‘ der Europäischen Union. Jene regelt, welche Bedingungen erfüllt sein müssen, damit eine digitale Signatur vor Gericht als rechtswirksam anerkannt wird. Diese Bedingungen wurden im vorangegangenen Absatz beschrieben: Der eindeutig bestimmbare Absender sowie der garantiert unveränderte Inhalt.

So erstellt man eine digitale Unterschrift

Will man eine Mail elektronisch unterzeichnen, gibt es zwei Standards, welche sich bewährt haben: S/MIME und OpenPGP. Die Verfahrensweisen agieren beide nach dem gleichen Prinzip (auf der Grundlage von Hashwerten gepaart mit einem Public-Private-Key-Verfahren, siehe unten), verwenden aber verschiedene Datenformate. Bedeutsam für die Auswahl einer Methode ist die Unterstützung durch den zutreffenden Mail Client, denn etliche Softwarelösungen fördern entweder das eine oder das andere Verfahren, aber nicht alle beide gleichzeitig.

Technisch betrachtet ist eine digitale Unterschrift eine Form der asymmetrischen Verschlüsselung. Das bedeutet: Im Zuge des Mailversandes werden zwei Schlüssel mit verschickt – ein privater und ein öffentlicher. Wichtig dabei: Das Schlüsselpaar muss von einer offiziellen Zertifizierungsstelle verifiziert werden. Wird nun eine Mail verschickt, passiert Folgendes: Durch Hashfunktion wird der Text mit einer Prüfsumme ausgestattet, welche nochmals mit dem nicht-öffentlichen Schlüssel verschlüsselt und der Mail-Nachricht ebenfalls angehängt wird. Trifft die Mail nun beim Empfänger ein, wird anhand des Schlüssels die Prüfsumme entschlüsselt und obendrein nochmals errechnet. Entspricht die frisch errechnete Prüfsumme der verschlüsselt mitgesendeten Prüfsumme, ist sichergestellt, dass der Inhalt unberührt geblieben ist. Und der öffentliche Schlüssel? Der kann beispielsweise auch mit der Mail mitgesendet oder alternativ vom Empfänger über ein öffentlich zugängliches Register eingeholt werden.

Geschäftskommunikation sicherer machen

Einige Mail Clients bieten entsprechende Konfigurationen für elektronische Signaturen an, um die oben erwähnte Vorgehensweise zu automatisieren. Wer allerdings über den unternehmensweiten Gebrauch einer digitalen Signatur nachdenkt, sollte die Signierung mittels Gateway in Erwägung ziehen, welches alle abgehenden Mails zentral signiert. Ansonsten ist der Aufwand äußerst hoch, da man für jeden einzelnen Angestellten ein dediziertes Zertifikat benötigt und im Mail-Programm hinterlegen muss. Außer der vereinfachten Anpassung und zentralen Verwaltung ist der Nutzen eines Gateway zudem, dass die Signaturprüfung eingehender Mails erfolgt, bevor diese auf dem Mail Server landen (und hier womöglich Schaden verursachen).

Aber Achtung: Zwar sind Gateway-Zertifikate, die meist für alle Mailadressen unter einer Domain gelten, international standardisiert. Dennoch können manche Mail Clients diese (noch) nicht korrekt verarbeiten und lösen entsprechend Fehlermeldungen auf Empfängerseite aus. Deshalb kann es durchaus ratsam sein, lediglich einzelne Team-Postfächer wie buchhaltung@… oder bewerbung@… zu zertifizieren – besonders eben die Postfächer, die mit sensiblen Daten arbeiten.

Mails verschlüsseln und signieren – für sicheren Mailverkehr

Mailverschlüsselung und digitale Unterschrift sind zwei verschiedene Paar Schuhe – und beide sind wichtig.

Die Unterschrift kommt wie erwähnt einem Briefsiegel gleich. Zum einen wird sichergestellt, dass der Inhalt unverändert bleibt und zum anderen ist die Identität des Versenders eindeutig gewährleistet.

Dennoch: Besagter Inhalt kann auf dem Versandweg eingesehen werden. Um beim Beispiel zu bleiben, kann man einen versiegelten Brief beispielsweise gegen das (virtuelle) Licht halten, um an inhaltliche Informationen zu gelangen. Deshalb ist eine zusätzliche Verschlüsselung grundsätzlich sinnvoll – sie macht den digitalen Briefumschlag quasi blickdicht.

Für allerhöchste Sicherheitsansprüche: Die qualifizierte digitale Signatur

Zuletzt sei noch erwähnt, dass es nicht nur eine, sondern gleich drei Varianten der elektronischen Signatur gibt: 1. Die allgemeine (AES), 2. die fortgeschrittene (FES) und 3. die qualifizierte elektronische Signatur (QES).

Am hochwertigsten ist die letztgenannte. Diese ist dann nötig und sinnvoll, wenn allerhöchste Sicherheitsstandards gefordert sind – ist sie dem Gesetz (§ 2 Nr. 3 SigG) zufolge doch ebenbürtig mit einer handschriftlich getätigten Unterschrift auf Papier. Entsprechend wird wird sie zur Unterzeichnung von sensibelsten Dokumenten und Verträgen genutzt. Für den alltäglichen Mail-Austausch hingegen ist diese Art der Unterschrift tatsächlich zu viel des Guten, da sie zusätzlich den Gebrauch spezieller Hardware (Chipkarten und dazugehörige Lesegeräte) voraussetzt.

Sie haben Fragen oder Interesse an eletronischer Mail-Signatur? Möchten Sie wissen, welche Art und welcher Grad der digitalen Unterschrift für Ihre geschäftliche Korrespondenz erforderlich ist? Kontaktieren Sie uns unter 0800 4883 338.

Foto © cottonbro von Pexels

Lesedauer: ca. 6 Min

Im Zugeder Nutzung des Kommunikationsmediums E-Mail werden nicht selten personenbezogene und unternehmenskritische Daten versendet. Diese können bei unzulänglichem Schutz abgefangen, ausspioniert und böswillig verändert werden. Aus diesem Grund ist es wichtig, dass Betriebe ihre Kommunikationsdaten mit einer Verschlüsselung absichern. Nachfolgend erfahren Sie, wie Mail-Verschlüsselung gegenwärtig funktioniert, welche Protokolle genutzt werden und wie Sie Mail-Verschlüsselung erfolgreich im Unternehmen implementieren.

Die E-Mail-Kommunikation ist aus unserer massiv vernetzten Businesswelt nicht mehr wegzudenken. Für das Kalenderjahr 2021 hat die Radicati Group ein internationales Email-Volumen im betrieblichen und privaten Umfeld von 319,6 Mrd (Quelle) pro Tag prognostiziert.

Gemäß einer aktuellen Branchenverband-Befragung erhalten Arbeitnehmer hierzulande im Schnitt ca. 26 berufliche Mails pro Tag (Quelle) – angefangen bei Abstimmungen und Terminvereinbarungen über Bestellungen, Vertragsabschlüsse sowie automatisierte Rechnungen bis hin zu vertraulichen Produktinformationen, Gehaltsinformationen oder empfindlichen Unternehmensdaten.

Doch kaum einer denkt darüber nach, dass E-Mails normalerweise im Klartext versendet werden und somit eine eventuelle sowie nicht zu unterschätzende Angriffsfläche für Cyberkriminelle darstellen.

E-Mails als Einfallstor

Nach wie vor wird ein Großteil aller Cyberattacken durch Mails umgesetzt. Dies ist kein Wunder, denn ungesicherte Mails sind wie Postkarten aus Papier – für jeden, der sie in die Finger bekommt, mitlesbar, änderbar und verfälschbar.

Somit ist es vorteilhaft, auf schlagkräftige E-Mail-Verschlüsselungsmethoden zu setzen.  Zum einen können Betriebe mit der Mail-Chiffrierung das Ausspionieren fremder Dritter unterbinden sowie die Integrität einer Email gewährleisten; zum anderen fördert es Betriebe darin, die juristischen Anforderungen zur Sicherung von personenbezogenen Informationen aus der EU DSGVO, deren Verfehlungen mit Geldbußen bis hin zu 20 Millionen Euro geahndet werden, einzuhalten.

Optimale Kommunikation auf Basis von Verschlüsselung

Um E-Mail-Kommunikation wirkungsvoll sichern zu können, müssen prinzipiell drei Bereiche verschlüsselt werden:

1. Chiffrierung des Mail-Transfers

Das nötige Werkzeug für einen zuverlässigen Mail-Transfer ist das allgemein verwendbare Netzprotokoll Transport Layer Security, kurz TLS. Eine E-Mail mit TLS-Chiffrierung – ebenso bekannt als Transportverschlüsselung – besteht darin, dass die Verknüpfung zwischen zwei Webservern im Moment der Übertragung verschlüsselt wird. Der Nachteil: Sowohl beim E-Mail-Provider als ebenso an den Knotenpunkten des Email-Austasches liegen die Emails unverschlüsselt vor, weswegen technisch passend ausgerüstete Internetangreifer einen ‚Man-in-the-Middle-Angriff‘ einleiten könnten, welcher auf diese Angriffspunkte abgestimmt ist.

2. Verschlüsselung der Mail-Nachricht

Um die Unversehrtheit des eigentlichen Textes von E-Mail-Nachrichtensendungen zu garantieren, sollte eine Inhaltschiffrierung stattfinden. Zu den beliebtesten Methoden zählen hier die Verschlüsselung mittels Pretty Good Privacy, kurz PGP, wie auch die Chiffrierung vermittels Secure / Multipurpose Internet Mail Extensions, abgekürzt S/MIME. Bei der Verschlüsselung mithilfe PGP oder S/MIME kann die Mail inbegriffen Attachments nur vom entsprechenden Absender und Adressaten gelesen werden, sofern sie über den notwendigen Key verfügen. Weder die beteiligten Email-Anbieter noch potenzielle Angreifer haben die Option, die E-Mails mitzulesen bzw. zu modifizieren. Dadurch offeriert lediglich diese Technik ein hohes Maß an Schutz.

3. Chiffrierung archivierter Mails

Da erhaltene E-Mails typischerweise nach dem Durchlesen in der Mailbox bzw. im Archiv verbleiben und vor Manipulation Dritter nicht gesichert sind, ist gleichfalls die Verschlüsselung von gespeicherten Mail essenziell. In diesem Zusammenhang ist zu berücksichtigen, dass die Archivierung der Mails nicht client- sondern serverseitig stattfindet, da ersteres u.a. auf Grund der beschränkten Lesbarkeit gegen staatliche Vorschriften verstößt. Hiermit sind die User in die eigentliche Verschlüsselung und Entschlüsselung nicht direkt eingebunden, wodurch die Datensicherstellung sichergestellt wird. Für extra Schutz sorgt ansonsten die Benutzung einer Zwei-Faktor-Identitätsüberprüfung, hauptsächlich bei der Benutzung von Web Clients.

Datenschutzkonforme Mailkommunikation von Anfang an

Im Allgemeinen lässt sich feststellen: Die Verschlüsselung von Mails muss nicht schwierig sein!

Dank unterschiedlicher Techniken und Vorgehensweisen zur Chiffrierung von Mails ist es Unternehmen gegenwärtig möglich, die Diskretion, Originalität und Integrität von E-Mails zu garantieren und die Anforderungen zum Datenschutz gem. Art. 32 Abs. 1 lit. a und lit. b der DSGVO einzuhalten.

Haben Sie noch ergänzende Fragestellungen zum Thema Mail-Chiffrierung oder sind Sie auf der Suche nach einem effektiven Chiffrierungsprogramm für eine verlässliche und rechtssichere E-Mail-Kommunikation? Wir sind jederzeit für Sie da!

Foto © cottonbro von Pexels