Gängige Verschlüsselungslösungen für E-Mails basieren auf einem symmetrischen Algorithmus, den entweder das OpenPGP- oder S/MIME-Protokoll umsetzt. Allerdings wird hierbei die intuitive und einfache Handhabung dem Sicherheitsgewinn geopfert. Mit dem symmetrischen Ansatz lässt sich nun eine
einfache, verständliche – also nutzerfreundliche – sowie sichere und rechtskonforme E-Mail-Verschlüsselung verwirklichen, die genau den Bedarf von KMU adressiert.
Ein umfassendes Bild, welcher Gefahr Cloud-E-Mail-Services von Microsoft (Office 365, Exchange Online, One-Drive for Business, SharePoint Online) und Google (Gmail und Google Drive) ausgesetzt sind, liefert der «Cloud App Security Report 2019» von Trend Micro. Aus diesem geht hervor, dass das Sicherheitsunternehmen 2019 12.7 Millionen hoch riskante E-Mail-Bedrohungen blockiert hat. In 89 Prozent der Fälle wurde so Phishing unterbunden, dessen Versuche gegenüber dem Vorjahr um 35 Prozent zunahmen.
An Informationen, seien es Interna, geistiges Eigentum oder persönlichen Daten, können
Unbefugte jedoch gar nicht erst gelangen, wenn Mitarbeiterinnen und Mitarbeiter ihre E-Mails verschlüsseln. Die EU-Datenschutz-Grundverordnung (DSGVO), die den Umgang
persönlicher Daten von EU-Bürgern regelt, empfiehlt sogar indirekt in Artikel 32, personenbezogene Daten zu verschlüsseln.
Überfordernde Situation
Grundsätzlich unterscheidet man bei der E-Mail-Verschlüsselung in Übertragungsund
Inhaltsverschlüsselung. So baut das Protokoll «Transport Layer Security» (TLS) eine verschlüsselte Verbindung zwischen E-Mail-Programm und dem Server auf. Auf den Knoten dazwischen und beim E-Mail- Provider liegt die Nachricht ungeschützt im Klartext vor. Eine Ende-zu-Ende-Verschlüsselung lässt sich nur erreichen, wenn symmetrische oder asymmetrische Algorithmen zum Einsatz kommen. Beim asymmetrischen Ansatz verschlüsselt der Sender den Inhalt mit dem öffentlichen Schlüssel des Empfängers. Der Adressat entschlüsselt die erhaltende Nachricht mit seinem geheim gehaltenen privaten Schlüssel.
Für die Umsetzung haben sich S/MIME (Secure/Multipurpose Internet Mail Extensions)
und PGP (Pretty Good Privacy) beziehungsweise OpenPGP als Standard-Protokolle etabliert. Plug-ins zu beiden Verfahren stehen für die gängigen E-Mail-Programme zur Verfügung. Der private Schlüssel verbleibt beim Empfänger und muss nicht übertragen werden. Beim symmetrischen Ansatz, etwa mit AES (Advanced Encryption Standard), nutzen Sender
und Empfänger denselben Schlüssel. Der Schlüsseltausch muss daher über einen sicheren Kanal erfolgen. Die asymmetrische Verschlüsselung ist allerdings komplex und überfordert viele Anwender, obwohl es detaillierte Anleitungen gibt. Hinzu kommt, dass sich Nutzer für OpenPGP oder S / MIME entscheiden müssen, da diese Protokolle nicht kompatibel sind. Die Folge davon ist: Nur 60 Prozent der EMails werden im Geschäftsalltag transportverschlüsselt (TSL) übertragen. Der Anteil verschlüsselter E-Mails, die mittels
OpenPGP oder S/MIME verschickt werden, geht sogar gegen null, schreibt das
Fachmagazin Security-Insider.
Vertraulicher E-Mail-Verkehr
Allein mit einer technisch ausgefeilten Lösung lässt sich der E-Mail-Verkehr eines Unternehmens nicht absichern und schützen. Erst das Zusammendenken und -bringen
von Menschen, Prozessen und Technologie führt zu Anwendungen, die Mitarbeiterinnen
und Mitarbeiter tatsächlich annehmen und einsetzen. Wie lässt sich nun eine nutzerfreundliche Verschlüsselung umsetzen? Die Antwort lautet: «Mit dem symmetrischen Algorithmus AES (Advanced Encryption Standard), der 256-Bit-lange Schlüssel verwendet.
» Sender und Empfänger nutzen, wie bei anderen symmetrischen Algorithmen, denselben
Schlüssel.
Dieser wird über eine andere Route als die verschlüsselte E-Mail automatisch übermittelt
– ohne zusätzlichen Aufwand für den Nutzer. So wird das aus der E-Mail erzeugte PDF verschlüsselt beziehungsweise entschlüsselt und der Empfänger erhält einen Link zu einer Download-Seite. Der Adressat benötigt lediglich einen gängigen PDF-Reader, damit dieser seine Nachricht lesen kann. Die AES-256- sowie die ebenfalls implementierte TSL-Verschlüsselung, die für den Nutzer automatisch im Hintergrund ablaufen, gewährleisten die Vertraulichkeit der Nachrichten. Eine Legitimationsprüfung stellt, wie eine digitale
Signatur, die Integrität der empfangenen Nachricht sicher. Für jede E-Mail wird ein komplexes Passwort generiert. Ein Nutzer kopiert bei der nächsten Nachricht das
Passwort mit einem Klick und fügt es ein.
Der Klickstart in der Praxis
Unser Start-up AnkhLabs hat dies in der Lösung WeEncrypt Mail bereits umgesetzt. Nutzer installieren und registrieren WeEncrypt Mail mit einem Klick, dann ist ihre E-Mail-Verschlüsselung und ein sicherer Dateientransfer als Add-in nahtlos in Microsoft Outlook integriert und nach fünf Minuten startklar. Genauso einfach erfolgt das Einrichten der mobilen Apps für iOS und Android. Für das Verschlüsseln und den sicheren Dateientransfer müssen User lediglich auf den WeEncrypt-Button in ihrem E-Mail-Programm klicken, um ihre Nachricht Ende-zu-Ende zu verschlüsseln und DSGVO-konform zu verschicken. Der
Empfänger erhält ein Passwort zum Entschlüsseln, zum Lesen der Nachricht öffnet
dieser eine Version des Adobe Acrobat Reader oder einen gängigen Webbrowser.
Kleine und mittelständische Unternehmen (KMU) wollen stressfrei und sicher per E-Mail kommunizieren. Diese Nachfrage bedient die WeEncrypt-Software-Suite exakt. Im nächsten Schritt soll eine DSGVO-konforme Videokonferenzlösung integriert werden. Berufsgeheimnisträger wie Steuerberatende, Rechtsanwälte, Ärztinnen und Ärzte oder Apothekerinnen und Apotheker, aber auch Behörden, Medienhäuser, Grafikerinnen und Grafiker oder Werbeagenturen können das Microsoft Outlook- Add-in 30 Tage kostenlos testen. Anschliessend fällt eine Monats- oder Jahres-Flex-Gebühr pro Nutzer an.
Sicher Verschlüsseln
S/MIME und OpenPGP haben sich zwar als Standards zum Verschlüsseln von E-Mails
etabliert, die Verbreitung ist aber sehr gering. Den Protokollen fehlt jedoch das Mass an
Nutzerfreundlichkeit. Deswegen wird beruflich wie privat noch viel zu wenig verschlüsselt.
Gleichwohl wächst das Bewusstsein in der Wirtschaft, dass digitale Werte ausreichend
geschützt werden müssen.
Die Frage, was in diesem Sinne ihre «Kronjuwelen» sind, können heute viele Unternehmen
klar beantworten. Diejenigen, die konsequent weiterdenken, wissen, dass auch ihre Kundschaft und die Kommunikation mit ihnen einen Teil der Kronjuwelen bilden. Sie verstehen eine Datenpanne, ob selbst verschuldet oder von einer Cyberattacke verursacht, als ernste Gefahr, die teuer wird und die Reputation beschädigt.
Diese Sorge gilt es, den Unternehmen mit einer einfachen Sicherheitslösung zu nehmen. Das gelingt, indem das Nutzerinteresse viel stärker in den Mittelpunkt rückt, so wie es AnkhLabs mit einer AES-256-Verschlüsselung für seine Lösung WeEncrypt Mail umsetzt. So werden Nutzerinnen und Nutzer produktiver, ohne Kompromisse bei Sicherheit und
Compliance einzugehen.