E-Mail-Verschlüsselung: So klappt`s problemlos

Soviel steht fest: An der vermeintlichen Komplexität von Installation und Betrieb liegt es nicht, wenn Lösungen zur E-Mail-Verschlüsselung nicht zum Einsatz kommen. Denn binnen eines Tages sind die Lösungen am Start – und helfen dann auch gegen die derzeit beliebte Masche des CEO-Betrugs. Was können die Schutzkomponenten heute noch?

Obwohl seit Jahren auf die Relevanz von E-Mail-Verschlüsselung hingewiesen wird, tun sich viele Organisationen immer noch schwer mit dem Thema. Was erstaunlich ist, angesichts der Einfachheit, mit der moderne Lösungen wie der von Clearswift oder von Zertificon in Betrieb genommen und in Schuss gehalten werden: Die Installation dauert gut eine Stunde, das Aufsetzen der notwendigen Regeln maximal einen Tag. Je nach Größe der Organisation und Komplexität der Regeln. Dabei spielt es kaum eine Rolle, ob ein Unternehmen per PGP (Pretty Good Privacy) oder S/MIME (Secure / Multipurpose Internet Mail Extensions) verschlüsselt und signiert.

Dabei geht es nicht nur ums Verschlüsseln der Nachrichten, die dann von Lauschern in öffentlichen WLANs oder anderen kompromittierten Netzen nicht mehr mitgelesen werden können. Sondern auch ums digitale Signieren der E-Mails, das ebenfalls zu den Standardfunktionen der beiden gängigsten Standards gehört. Nur interne E-Mail-Konten können eine gültige Signatur verwenden, von außen eingeschleusten E-Mails fehlt das entsprechende von der E-Mail-Anwendung wie Microsoft Outlook angezeigte Symbol.

Sicher signiert

Vorteil der Signatur: Mitarbeiter fallen weniger leicht auf Phishing-E-Mails herein und auch der CEO-Betrug wird erheblich schwerer. Bei dieser Masche gibt sich ein Angreifer als Geschäftsführer oder andere Führungskraft aus und trägt einem Buchhaltungsmitarbeiter auf, Geld auf ein fremdes Konto – das vom Angreifer kontrolliert wird – zu überweisen. Die Schäden liegen allein in Deutschland im dreistelligen Millionen Euro-Bereich.

Grundsätzlich funktionieren Lösungen zum Verschlüsseln und Signieren von E-Mails, wie sie von Unternehmen wie Zertificon oder Clearswift angeboten werden, nach dem gleichen Prinzip: Das Endgerät liefert seine E-Mails beim E-Mail-Server ab und dieser leitet die Nachrichten an das Gateway der Anbieter weiter. Dort passiert dann, unsichtbar für E-Mail-Server und Anwender, das Ver- und Entschlüsseln. Es muss auf den mobilen oder stationären Endgeräten also keine Software installiert werden, die Arbeit erledigt das Gateway.

Die Lösungen erkennen auch, ob ein Empfänger überhaupt in der Lage ist, beispielsweise per PGP verschlüsselte Nachrichten zu entschlüsseln. Ist dem nicht so, verschickt das Gateway anhand einer der zuvor erstellten Regeln eine E-Mail mit einem Link zu einem Webportal, auf dem der Empfänger die Nachricht dann abrufen kann. Außerdem können Anwender die Gateways durch Schlüsselwörter in den Betreffzeilen wie „Vertraulich“ per Regel zu bestimmten Aktionen veranlassen.

Inhalte im Blick und die Compliance in der Energiebranche

Eine Besonderheit des Clearswift-Gateways: Es kann die Inhalte der E-Mails beziehungsweise von Attachments auf Schlüsselwörter oder zuvor definierte Wasserzeichen untersuchen. Taucht ein Schlüsselwort oder das Wasserzeichen auf, unterbindet das Gateway den (unverschlüsselten) Versand der Nachricht. Oder es packt den Inhalt, je nach Regel, in eine per Passwort geschützte ZIP-Datei. Das Kennwort teilt der Sender dem Empfänger dann auf anderem Weg wie SMS oder Messenger mit.

Zertificon bringt ebenfalls Besonderes mit: Ein Modul, dass die Compliance der E-Mail-Kommunikation im Energiesektor sicherstellt. In diesem Markt gibt die Regulierungsbehörde inzwischen vor, dass E-Mails zu verschlüsseln sind („EDI@Energy“). Und das Modul befolgt alle in EDI@Energy definierten Auflagen.

Selbst betreiben? Oder den Dienstleister damit betrauen?

An sich können auch IT-Teams in kleinen und mittleren Unternehmen eine E-Mail-Verschlüsselungslösung nach einem kurzen Workshop mit einem Dienstleister wie der Netfox AG selbst betreiben. Die Produkte installieren Sicherheitsupdates automatisch und werden über Weboberflächen bedient – ohne die Kommandozeile.

Alle mit * gekennzeichneten Felder sind Pflichtfelder.