Ganz im Vertrauen per Mail

Viele Unternehmen verschlüsseln wichtige E-Mails nicht (Foto: Imago)

Selbst streng vertrauliche Informationen verschicken Unternehmen oft per E-Mail. Verschlüsselungsprogramme sind ihnen zu kompliziert.







Zum Durchklicken - Die neun gängigsten Tricks der Spione
Zum Durchklicken - Sicher im Internet: Die 14 besten Tipps
Tipps - Auf diese Sicherheitsmaßnahmen sollten Sie achten
Download - WISO: Sicher im Web

Anzeige

Vertrauliches wird oft per E-Mail verschickt

Manches, das in Unternehmen passiert, ist geheim. Und das soll möglichst auch so bleiben. Warum also werden vertrauliche Informationen in ungesicherten E-Mails verschickt, fragt Norbert Pohlmann, Informatikexperte der Fachhochschule Gelsenkirchen. Denn Mails laufen auf dem Weg durch das Internet über zahlreiche Server und können theoretisch an jeder Stelle gelesen, kopiert und verändert werden. Wer E-Mails nicht sichert, riskiert Industriespionage und Fälschungen. Einer Studie des Marktforschungsinstituts Ponemon zufolge wird jedes dritte Unternehmen in Deutschland Opfer eines Informationslecks.

Fahrlässige Chefs

Nur 30 Prozent aller deutschen Firmen verschlüsseln ihren elektronischen Briefverkehr, obwohl jedes zweite Unternehmen auch hochsensible Daten mit Kunden und Geschäftspartnern austauscht. "In den Chefetagen herrscht eine gewisse Fahrlässigkeit", sagt Burkhard Wiegel, Geschäftsführer des Berliner Verschlüsselungsspezialisten Zertificon.

Gateway-Lösung in großen Unternehmen

"Man erzielt nicht mehr Umsatz und gewinnt keine neuen Kunden, das macht das Verschlüsseln zumindest für kleine und mittlere Firmen uninteressant." Große Unternehmen setzen bei der E-Mail-Verschlüsselung meist auf die Gateway-Lösung. Die als Software und als Hardware erhältlichen Systeme agieren an der virtuellen Firmenpforte wie ein Filter. Anhand zentral vorgegebener Regeln chiffriert und signiert der Server alle ausgehenden E-Mails. So kann etwa festgelegt werden, dass Mails an Adressen mit bestimmter Endung (zum Beispiel "...ftd.de") verschlüsselt werden müssen. Entsprechend decodiert und verifiziert die virtuelle Poststelle auch den eingehenden E-Mail-Verkehr.

Download - eBook Der IT-Sicherheitsleitfaden
Download - eBook Schutz für den PC – So sichern Sie Ihren Rechner richtig ab

Schnelle, flexible und bedarfsgerechte Sicherheit

Der Gateway-Schutz sorgt für "schnelle, flexible und bedarfsgerechte Sicherheit", sagt Informatikexperte Pohlmann. Das gilt jedoch nur, wenn die Empfänger die verschlüsselte Mail auch dechiffrieren können. Daran hapert es noch, sagt Zertificon-Chef Wiegel. "Die Situation ähnelt der Anfangsphase der Faxgeräte: Ich habe ein Fax, doch mein Geschäftspartner noch nicht, also stehe ich auf dem Schlauch." Das Problem lässt sich umgehen, indem Empfängern ein PDF-Anhang geschickt wird, der mit einem Passwort geschützt wird.

Nur eine Notfalllösung

"Das Problem dabei ist, dass das Passwort irgendwie weitergegeben werden muss", sagt Pohlmann. Zum Austausch des Codeworts ist direkter Kontakt zwischen Sender und Empfänger notwendig - per Telefon, Brief, Fax oder auch per E-Mail. "Kompliziert und unsicher, daher eine Notfalllösung", urteilt der Fachmann.

Schwachpunkt der Gateways

Andere IT-Experten sehen den entscheidenden Schwachpunkt der Gateways bei der Sicherheit innerhalb eines Unternehmens. "Gateways sind ganz nett, aber sie können interne Angriffe nicht abwehren", sagt Johannes Buchmann, Leiter des Darmstädter Zentrums für Internetsicherheit. Genau darin besteht allerdings die größte Gefahr, wie eine Umfrage unter IT-Managern enthüllt: 44 Prozent nennen interne Datenlecks als Hauptproblem im elektronischen Postverkehr. "Studien zeigen, dass die meisten Angriffe intern passieren", bestätigt Buchmann.

Individuelle Verschlüsselung

Um E-Mails vor unerlaubtem Zugriff im firmeneigenen Netzwerk zu schützen, setzen sehr sicherheitsbewusste Unternehmen daher auf die individuelle Verschlüsselung. Dabei entscheidet jeder einzelne Mitarbeiter darüber, was von seinem PC aus verschlüsselt das Haus verlässt. Vor allem Branchen mit strengen Datenschutzregeln arbeiten mit der sogenannten Ende-zu-Ende-Methode. Diese Client-Ansätze sind jedoch weder bequem noch billig. Individuelle Verschlüsselungssysteme müssen verwaltet werden; die Anwender brauchen meist eine Schulung.

Schlechte Programme

Denn obwohl die Hersteller an möglichst einfachen Lösungen tüfteln, ist es mit einem Mausklick oder Knopfdruck nicht getan. Da E-Mail-Verschlüsselung nach wie vor eher die Ausnahme als die Regel ist und nur wenige Unternehmen verschlüsselte Mails senden und empfangen können, "sind die Programme schlecht", urteilt Pohlmann. Software-Riesen wie Microsoft oder IBM haben keine eigenen Systeme im Angebot. Auch Freemailer wie Web.de oder GMX bieten kaum Optionen.

Nutzung bekannter Verschlüsselungsprogramme

"Das ist das Henne-Ei- Problem", sagt Pohlmann: "Der Markt ist nicht da, weil die Infrastruktur fehlt, und weil es dieses Problem gibt, können auch keine neuen Lösungen entstehen." Die alten Lösungen benutzen bekannte Verschlüsselungsprogramme wie PGP (Pretty Good Privacy) und GnuPG (Gnu Privacy Guard).

Funktionsweise der Programme

Sie stellen jedem Nutzer zwei zusammengehörende Dateien, ein sogenanntes Schlüsselpaar, aus. Der öffentliche Schlüssel wird weitergegeben wie eine Telefonnummer; der private Schlüssel muss geheim bleiben und ist durch einen persönlichen Code geschützt. Wer auf sicherem Weg eine E-Mail verschicken will, chiffriert sie mit dem öffentlichen Schlüssel des Empfängers in einen Wurm aus Buchstaben und Zahlen. Damit sich der Zeichensalat wieder in lesbaren Text verwandelt, muss der Adressat seine persönliche Dechiffrierdatei starten. Ohne diesen passenden privaten Schlüssel lässt sich die codierte E-Mail nicht knacken. Öffentliche Schlüssel werden direkt an Kunden und Geschäftspartner weitergegeben oder auf frei zugänglichen Datenbanken (Keyserver) ins Internet gestellt.

Private Schlüssel geheim halten

In Unternehmen versorgt meist eine zentrale Stelle (Public Key Infrastructure) die Mitarbeiter mit eigenen und fremden Schlüsseln, die jeder Nutzer auf seinem eigenen Rechner verwaltet. Mailprogramme wie Microsoft Outlook oder Mozilla Thunderbird speichern einmal benutzte öffentliche Schlüssel und verwenden sie bei der nächsten Nachricht an den jeweiligen Adressaten von selbst. Entscheidend beim Verschlüsseln ist, dass alle Nutzer ihre privaten Schlüssel geheim halten, nicht über das Internet verschicken und sicher aufbewahren. Teilen sich mehrere Nutzer einen Rechner, sollte jeder den Code für seinen privaten Schlüssel auf Diskette oder USB-Stick speichern, nicht auf dem Computer.

Verschlüsselte Entscheidung

Die Abhängigkeit vom einzelnen Anwender gilt als ein Nachteil der individuellen Verschlüsselung. Vergisst ein Mitarbeiter sein privates Passwort, ist er krank oder macht er Urlaub, können an ihn gerichtete E-Mails nicht gelesen werden. Absolut sicher wird der E-Mail- Verkehr vermutlich nie sein. Schließlich basiert das Prinzip der Verschlüsselung auf einem Geheimnis, das mitgeteilt werden muss - und das damit anzapfbar wird. Wie das am besten verhindert wird, darüber streiten die Experten: Während Pohlmann in Gelsenkirchen in zentralen Gateway- Konzepten die Zukunft sieht, hält sein Darmstädter Kollege Buchmann das Ver- und Entschlüsseln am einzelnen Rechner für die bessere Lösung.

Elektronischer Personalausweis als Speichermedium

Einig sind sich beide Experten darin, dass sich die Methode durchsetzen wird, die ein Minimum an Aufwand garantiert. Noch umgehen Unternehmen das Problem, indem sie externe Dienstleister die öffentlichen Schlüssel ihrer Mitarbeiter verwalten lassen. Pohlmann und Bachmann halten den elektronischen Personalausweis, der demnächst eingeführt wird, für ein geeignetes Speichermedium sowohl für den öffentlichen als auch für den privaten Schlüssel. Denn ohne das Schlüsselpaar zum Verschließen und Aufschließen von E-Mails, da sind sich beide einig, wird auch künftig keine Verschlüsselungsmethode auskommen.

Gateway

Als zentraler Server oder als Aufsatz für vorhandene E-Mail-Systeme verschlüsselt ein Gateway die ausgehende elektronische Post eines Unternehmens. Entsprechend entschlüsselt es den eingehenden E-Mail- Verkehr. Vor Datenmissbrauch innerhalb eines Firmennetzwerks schützt es jedoch nicht.

Clientbasiert

Der einzelne Mitarbeiter verschlüsselt und entschlüsselt E-Mails am eigenen Arbeitsplatz. Die dafür nötigen Schlüssel verwaltet er auf seinem Rechner. Das ist sicherer, jedoch aufwendiger.

Anzeige

Weitere Themen

Business