Zum Hauptinhalt springen

E-Mail – aber sicher

Die Methode zum Übermitteln von E-Mails stammt noch aus den Anfängen des Internets. Damals war Datenschutz noch kein Thema. Das Protokoll (SMTP) wurde sehr einfach gehalten, die Daten werden unverschlüsselt übertragen. Das hat zur Folge, dass sowohl die Adressdaten (an wen geht das E-Mail, wer ist der Absender) als auch der Inhalt an verschiedenen Stellen auf dem Übertragungsweg mitgelesen werden können.

E-Mail Zertifikate

Digitale Zertifikate werden verwendet, um kryptografische Schlüssel zu verwalten. Diese Schlüssel können dann verwendet werden, um zum Beispiel E-Mails zu verschlüsseln oder diese digital zu unterschreiben.

Im Zertifikat wird dieser Schlüssel mit den Informationen zu dessen Eigentümer verbunden. Damit diese Verbindung nicht manipuliert werden kann, wird das Zertifikat von einer sogenannten Zertifizierungsstelle (trust center) ausgestellt. Diese prüft, ob die Person, die ein Zertifikat beantragt, wirklich die ist, als die sie sich ausgibt. Dies erfolgt z.B. auf Basis einer Passkopie. Die Vertrauensstelle fügt dann den Schlüssel mit der Identität (z.B. E-Mail Adresse, Name, Vorname, Firma) in einer Art zusammen, die nicht manipulierbar ist.

E-Mail verschlüsseln

Soll verhindert werden, dass Dritte den Inhalt eines E-Mails lesen können, muss dieses verschlüsselt werden. Dazu wird der Schlüssel des Empfängers benötigt. Nur dieser kann dann das verschlüsselte E-Mail wieder entschlüsseln und somit lesen. Es wird nur der Inhalt des E-Mails verschlüsselt, Empfänger und Absender werden im Klartext übermittelt (sonst könnte das E-Mail gar nicht zugestellt werden).

Die Frage stellt sich jetzt, wie man in den Besitz des Schlüssels des Empfängers kommt. Siehe dazu E-Mail digital unterzeichnen.

E-Mail digital unterzeichnen

Mit einer digitalen Unterschrift kann der Absender eine E-Mail so kennzeichnen, dass einwandfrei klar ist, dass diese von ihm stammt. Im Unterschied zu einer handschriftlichen Unterschrift kann auch noch sichergestellt werden, dass der Inhalt des E-Mails nicht verändert wurde.

Wenn man eine digital signierte E-Mail erhält kann man also davon ausgehen, dass diese wirklich vom im E-Mail aufgeführten Absender stammt. Digital signierte E-Mails haben somit eine hohe Vertrauenswürdigkeit.

Um die digitale Unterschrift zu erzeugen, wird wiederum das Zertifikat verwendet. Dieses wird dann auch mit der E-Mail mitgeschickt. Dadurch gelangt der Empfänger zum Zertifikat und kann in der Folge auch verschlüsselte E-Mails zurückschicken (siehe E-Mail verschlüsseln).

Herausforderung

Moderne E-Mail Programme wie Outlook beherrschen die Funktionen zum Signieren und Verschlüsseln von E-Mails. Es gibt auch verschiedene Anbieter von E-Mail Zertifikaten. Leider ist das Ganze ziemlich komplex und die Erfahrung zeigt, dass die meisten Anwender mit diesen Funktionen überfordert sind. Insbesondere die Verwaltung der Zertifikate erfordert einen erheblichen Aufwand, auch weil für jeden Mitarbeiter ein solches bereitgestellt und regelmässig erneuert werden muss.

Zudem sind einige wichtige Punkte zu beachten, damit der E-Mail Austausch weiterhin einwandfrei funktioniert:

  • Zertifikate müssen auf allen Endgeräten, mit denen man E-Mails lesen und verschicken will, installiert sein. Verschlüsselte E-Mails können nur auf Geräten gelesen werden, auf denen das Zertifikat vorhanden ist.
  • Verschlüsselte E-Mails werden von Outlook verschlüsselt abgelegt. Wird ein Zertifikat gelöscht oder geht es verloren, können diese verschlüsselten E-Mails nie mehr gelesen werden – sie sind definitiv verloren.
  • Damit man jemandem eine verschlüsselte E-Mail schicken kann, braucht man dessen Zertifikat. Das Ganze funktioniert somit nur, wenn sowohl Absender als auch Empfänger ein E-Mail Zertifikat besitzen und korrekt eingerichtet haben. In der Praxis ist das die grösste Hürde.
Alternative Cloud Service

Anstelle von individuellen Zertifikaten kann ein Cloud Service genutzt werden, der die E-Mail Sicherheit gewährleistet. Dieser Ansatz ist für den Benutzer transparent, er kann weiterhin mit E-Mails arbeiten, wie er es sich gewohnt ist.

Der Cloud Service wird so in den E-Mail Datenfluss eingebunden, dass ein- und ausgehende E-Mails durch den Service geschleust werden. Dieser sorgt dann dafür, dass ausgehende E-Mails digital unterschrieben und, sofern der Absender dies wünscht, verschlüsselt werden. Eingehende verschlüsselte E-Mails werden vom Service automatisch entschlüsselt und erreichen die Mailbox des Empfängers unverschlüsselt. Die Verbindung vom Cloud Service zum eigenen Mailserver ist sicher verschlüsselt.

Die benötigten E-Mail Zertifikate werden vom Service automatisch beschafft und bei Bedarf erneuert. Der Anwender merkt davon nichts und muss auch nicht selbst aktiv werden.

Für Empfänger ohne Zertifikat gibt es eine Art Web Mail System, damit diese verschlüsselte E-Mails auch ohne Zertifikat empfangen und versenden können. Um die Sicherheit zu gewährleisten wird beim ersten Mal ein Passwort über SMS oder telefonisch übermittelt.

Fazit

Viele Firmen sind sich durchaus bewusst, dass bei der E-Mail Sicherheit Handlungsbedarf besteht. Gerade bei der Übermittlung sensitiver Daten besteht ein erhebliches Risiko von Datenschutzverletzungen. Mit der EU Datenschutzgrundverordnung, die auch in Liechtenstein gilt, sind die Anforderungen an den Datenschutz erheblich gestiegen und bei Verstössen drohen Sanktionen, die durchaus schmerzen können.

Technische Lösungen, die auf reine End-zu-End Verschlüsselung auf dem Mailprogramm (Outlook) basieren, sind komplex und sehr aufwändig in Unterhalt und Betrieb.

Mit einer Cloudlösung wie Cleanmail kann die E-Mail Sicherheit auf ein Datenschutz konformes Niveau angehoben werden, ohne das grosser Administrations- und Schulungsaufwand entsteht. Zudem ist die Reichweite viel grösser, da nicht beide Seiten eine auf Zertifikaten basierte Lösung einsetzen müssen.

Durch die digitale Signatur von E-Mails erhöht sich auch die Reputation einer Firma, da sie dadurch zeigen kann, dass sie den Datenschutz ernst nimmt.

Interessiert? Schauen Sie sich unsere Lösung für sicheres E-Mail an.

Thomas Gusset

Über den Autor

Thomas Gusset

Thomas Gusset hat über 25 Jahre Erfahrung in Netzwerksicherheit und ist CEO & CTO der NetSec.co AG

Cookieinformation

Diese Seite verwendet Cookies. Details siehe Datenschutzerklärung.

 

Back to top