Wie sicher sind Ihre E-Mails?
Artikel erschienen in Swiss IT Magazine 2007/19
Täglich werden in unseren Büros massenweise E-Mails versandt und empfangen. Neben Newslettern, Werbemails und viel Spam beinhalten diese Mitteilungen in vielen Fällen auch vertrauliche Business-, Kunden-, oder Mitarbeiterdaten. In der Regel sausen diese Nachrichten ohne irgendwelche Sicherheitsvorkehrungen im Netz quer durch die ganze Welt.
Dass wichtige Firmeninfos so unterwegs problemlos gelesen oder verändert werden können, ist den meisten Absendern wohl nicht bekannt. Sonst würden sie ihre Daten bestimmt besser schützen, zum Beispiel durch Verschlüsselungen (siehe Kasten auf folgender Seite). Damit kann man garantieren, dass nur die gewünschte Person die Nachricht lesen kann und sie unterwegs unverändert bleibt. Insbesondere in der modernen Arbeitswelt, mit Remote-Usern und Outsourcing, sollte diesem Sicherheitsaspekt eine grosse Bedeutung zukommen.
Im Jahr 2002 stellte eine Studie von Frost und Sullivan, für die 200 IT-Manager befragt wurden, fest, dass der Europamarkt für E-Mail-Verschlüsselungssysteme ein enormes Potential birgt. Bis heute blieb das jedoch unausgeschöpft, wie eine weitere europäische Studie des Marktforschungsinstituts Vanson Bourne vom Januar 2007 zeigt:
Demnach verschlüsseln nur rund 40 Prozent aller Unternehmen ihre E-Mails. Rund zwei von drei Firmen schicken ihre sensitiven Daten also ungesichert umher und glauben auch, eine Verschlüsselung sei nicht notwendig. Das erstaunt Mathias Kummer, Informatikjurist und CEO des Juristen-Portals Weblaw, nicht. Er hat 2005 einen Leitfaden zum Thema E-Mail-Verschlüsselung verfasst. «Ich habe damals festgestellt, dass es nur wenige geeignete Anbieter für KMU und noch weniger kundenfreundliche Verschlüsselungsprogramme gibt», berichtet er. Daher rühre wohl die Skepsis bei KMU. Er empfiehlt aber dennoch, sensible E-Mail-Nachrichten unbedingt zu verschlüsseln.
Rechtlich gesehen fehlt es unverschlüsselten Nachrichten an Vertraulichkeit, die in vielen Vertragsbeziehungen überhaupt die Basis der Zusammenarbeit ist. Ärzte und Rechtsanwälte stehen zum Beispiel ganz besonders in der Pflicht, ihre Daten vertraulich zu behandeln, aber auch jeder andere Unternehmer. Denn wer will schon, dass der grösste Konkurrent erfährt, welches neue Produkt man gerade plant? Eine unverschlüsselte E-Mail könnte, sofern sie personenbezogen ist, auch datenrechtliche Folgen haben.
Also heisst das, ich verschlüssle und habe nichts mehr zu befürchten? «Sofern Ihre Methode als sicher angesehen wird, haben Sie damit eine angemessene technische Massnahme zur Vertraulichkeit Ihres Meldungsinhalts ergriffen», erklärt Mathias Kummer. Selbstverständlich besteht weiterhin die theoretische Möglichkeit, dass eine verschlüsselte E-Mail von einem unberechtigten Dritten geknackt wird. «Dieses Risiko ist aus meiner Warte aber minim und kann in Kauf genommen werden. Sonst wären die Kommunikation und deren Mittel als solche in Frage gestellt – denn Telefone kann man ja auch abhören …», so Informatikjurist Kummer. Für ihn stellt sich deshalb die Frage, ob man in einem Bereich mit ganz sensiblen Daten (z.B. Gesundheitsdaten oder Geschäftsgeheimnisse) sogar vollständig auf das Benutzen von E-Mails verzichten und stattdessen auf besonders gesicherte Umgebungen setzen sollte.
Nun wissen wir, wieso man verschlüsseln soll, aber noch nicht wie. Am einfachsten ginge das bestimmt mit einer direkt in das Standard-Mail-Programm integrierten Applikation. Outlook und Outlook Express bieten sogar noch mehr und unterstützen von Haus aus S/MIME, ein asymmetrisches Verschlüsselungsverfahren. Um damit jedoch verschlüsselte Nachrichten senden und empfangen zu können, braucht es ein Zertifikat zum Signieren (siehe Kasten auf nächster Seite). Wer das nicht hat oder nicht möchte, muss nach einer anderen Lösung suchen. Funktionieren würde die Outlook-Lösung jedoch sehr einfach: Beim Verfassen der Mail wird die gewünschte Option (Signieren und/oder Verschlüsseln) einfach über die Menüleiste aktiviert.
Zur E-Mail-Verschlüsselung gibt’s auch externe Programme, die sich in die Mail-Clients integrieren lassen und so trotzdem einen schnellen Arbeitsablauf ermöglichen. PGP (Pretty Good Privacy), weltweit eines der am meisten benutzten Programme zur Verschlüsselung, lässt sich zum Beispiel in Outlook, Outlook Express, Eudora, Lotus Notes oder Pegasus Mail integrieren. Allerdings ist es nicht kostenlos. Neben PGP sehr beliebt ist deshalb GnuPG, das auf dem OpenPGP-Standard basiert und frei benutzt, geändert und weitergegeben werden kann. Ausserdem existieren viele weitere OpenPGP-Produkte wie EasyBytes Cryptocx, ASPG MegaCryption, Veridis Open-PGP oder Alliance PGP Encryption. Natürlich findet man im Markt auch einige selbstentwickelte Verschlüsselungsprogramme, wie beispielsweise Secured eMail von Cryptzone oder Ciphire Mail von Ciphire Labs.
Wer will, kann zur Verschlüsselung auch eine Hosted-Variante in Betracht ziehen. Damit ist keine Software- oder Hardware-Installation vor Ort notwendig. Das Schweizer Unternehmen ZOE-One GmbH bietet ein derartiges Produkt an: Hosted Seppmail. Sie lesen richtig, Sepp existiert noch beziehungsweise wieder. Die ZOE-One GmbH hat die Technik und das Know-how der 2005 Konkurs gegangenen Onaras übernommen
und die Mail-Appliance Sepp neu lanciert.
Es gibt auch User, die nicht auf E-Mail-Programme à la Outlook setzen und mit einem webbasierten E-Mail-Dienst arbeiten. Auch hier gibt es Anbieter, die eine digitale Verschlüsselung erlauben. Zu ihnen gehört beispielsweise FreeMail von Web.de. Die Web-Verschlüsselungen sind jedoch nicht hundertprozentig sicher, da die Nachrichten auf dem Weg zum und vom Webpostfach unverschlüsselt sind.
Lösungen zur E-Mail-Verschlüsselung sind also da, nur werden sie noch nicht von vielen benutzt, wie wir eingehend anhand der Studie des Marktforschungsinstituts Vanson Bourne bereits erläutert haben. Für viele IT-Experten ist diese Sicherheitsvorrichtung heutzutage jedoch unumgänglich im geschäftlichen E-Mail-Verkehr.
Eine Verschlüsselung allein ist allerdings wie erwähnt noch nicht die Garantie für einen komplett sicheren Nachrichtenversand. Ein elementarer Zusatz dazu sind bestimmt Zertifikate (siehe Kasten links). Und nicht zu vergessen ist, dass zu einem sicheren E-Mail-Verkehr auch ein Antivirenprogramm, das vor Malware wie Trojanern schützt, gehört.
Grundsätzlich sollten diese Sicherheitsvorkehrungen im Kommunikationsbereich aber nur ein Teil eines grossen IT-Sicherheitskonzeptes sein. Denn die Verschlüsselung nützt wenig, wenn sensible Daten zum Beispiel auf dem Desktop selbst ungeschützt und frei zugänglich sind.
Wichtig, neben den vielen technischen Möglichkeiten, ist aber wie immer auch der User selbst: Er muss einen vertrauensvollen Umgang mit E-Mails pflegen und sollte sich über deren sichere sowie unsichere Komponenten im Klaren sein.
Meine E-Mails soll nicht jeder lesen können, deshalb verschlüssle ich sie. Verschlüsseln heisst, ich verwandle den lesbaren Text, Klartext genannt, in einen Geheimtext mit ganz abstrakten Zeichenfolgen. Dieser Geheimtext kann dann nur mit Hilfe eines dazugehörigen Passworts beziehungsweise Schlüssels wieder lesbar gemacht werden.
Es gibt zwei Möglichkeiten, wie verschlüsselt werden kann: symmetrisch und asymmetrisch. Schütze ich meine Mails durch eine symmetrische Verschlüsselung, wird zum Ver- und Entschlüsseln ein und dasselbe Passwort benutzt. Dieses muss zuvor auf sicherem Weg (zum Beispiel per Post) ausgetauscht und geheimgehalten werden.
Dieser Weg ist aber recht aufwendig und in der Praxis selten. Standard ist deshalb die asymmetrische Verschlüsselung, die auf zwei verschiedenen Schlüsseln basiert, einem öffentlichen und einem geheimen. Als E-Mail-User generiere ich also zwei Schlüssel. Den privaten behalte ich für mich, den öffentlichen verschicke ich an alle meine Kommunikationspartner. Diese schreiben nun ihre Nachricht und verschlüsseln sie mit dem öffentlichen Schlüssel.
Nun ist die Nachricht nur noch mit dem privaten Schlüssel zu öffnen, und der ist einzig in meinem Besitz. Der Nachteil dieser Methode: Da der öffentliche Schlüssel eben grundsätzlich frei zugänglich ist, kann ich nicht immer davon ausgehen, dass die eintreffende Nachricht wirklich von dem ist, von dem ich es annehme. Dazu bräuchte es dann noch eine digitale Signatur mit Hilfe von Zertifikaten.
Der öffentliche Schlüssel bei einer asymmetrischen Verschlüsselung ist grundsätzlich frei zugänglich. Um sicherzugehen, dass die eintreffende Nachricht wirklich von dem Absender stammt, von dem ich es annehme, braucht es Zertifikate bzw. eine elektronische Signatur. Man könnte ein Zertifikat in anderen Worten auch als digitale Unterschrift bezeichnen. Am weitesten verbreitet ist der Standard X.509, der unter anderem auch bei der S/MIME-Verschlüsselungsmethode verwendet wird.
In PGP können Zertifikate des RFC-2440-Standards verwendet werden. Wichtig: Bei uns in der Schweiz braucht es, im Gegensatz zur EU, für eine gesetzeskonforme elektronische Signatur ein Zertifikat eines anerkannten Zertifizierungsdienstes. Anerkannt sind derzeit zum Beispiel Zertifikate von Unternehmen wie Swisscom Solutions, QuoVadis Trustlink Schweiz, der SwissSign AG der Schweizerischen Post und des Bundesamtes für Informatik und Telekommunikation (BIT).