Aktuell werden täglich weltweilt mehr als 100 Milliarden E-Mails mit geschäftlichem Inhalt versendet und empfangen. Auch wenn diese teilweise auch vertrauliche und geschäftskritische Informationen enthalten, haben viele deutsche Unternehmen oftmals noch keine Vorkehrungen getroffen, um deren Vertraulichkeit zu gewährleisten. Angesichts der mittlerweile bekannt gewordenen Überwachung des elektronischen Datenverkehrs durch die Nachrichtendienste hat sich die Situation noch weiter zugespitzt. Der Telekommunikationsdienstleister DATEV eG hat inzwischen Methoden präsentiert, wie man eine sichere E-Mail-Kommunikation mit geringem Aufwand realisieren kann.
Entsprechend einer aktuellen Studie zur IT-Sicherheit im Mittelstand, die der Deutschland sicher im Netz e. V. (DsiN) in Zusammenarbeit mit der DATEV eG veröffentlicht hat, haben bislang nur 44 Prozent der mittelständischen Unternehmen in Deutschland Vorkehrungen zur E-Mail-Sicherheit getroffen. Für Professor Dieter Kempf, Vorstandsvorsitzender der DATEV eG, wird durch diese Zahl verdeutlicht, dass vielen Anwendern nicht bewusst sei, welchen Gefahren die E-Mail-Kommunikation ausgesetzt sein könnte. Dieter Kempf teilte mit, dass offensichtlich die Meinung vorherrscht, dass mit einem Schutz vor der Schadsoftware aus dem Internet – den zwischenzeitlich fast alle Unternehmen realisiert haben – sämtliche Gefahren eingedämmt seien. Faktisch würden die Internet-Schutzmaßnahmen zwar die eigenen Systeme vor den Angriffen durch die Schadsoftware schützen, obwohl diese die E-Mails als Träger nutzen. Die Informationen, die mittels einer einfachen E-Mail versendet werden, sind jedoch in ihrer Vertraulichkeit vollkommen ungeschützt, sobald diese das gesicherte Netzwerk verlassen. Dieter Kempf hat weiterhin ausgeführt, dass es diesbezüglich definitiv noch an der erforderlichen Sensibilität mangelt.
Ein unsicherer Transportweg
Das Internet bietet prinzipiell keinen effektiven Schutz gegen das unbefugte Mitlesen oder die Modifikation der Daten. Nachdem die weitverbreiteten Sicherheitslösungen, wie Firewall und Virenprüfung, auf dem Weg zu dem Kunden, dem Lieferanten oder dem Geschäftspartner nicht mehr greifen, können die Daten, die grundsätzlich ausschließlich der Adressat zu sehen bekommen soll, unterwegs abgefangen, ausspioniert und sogar verändert werden. Die Methoden wie die Authentifizierung oder die Verschlüsselung sind beim E-Mail-Standard SMTP (Simple Mail Transfer Protocol) nicht vorgesehen und die Echtheit der Daten, die vom Absender geliefert werden, wird durch den Mailserver nicht überprüft. Dementsprechend lässt sich die Vertraulichkeit einer unverschlüsselten E-Mail mit der einer Postkarte vergleichen. Während kein Unternehmen einen wichtigen Auftrag oder gar einen Vertrag per Postkarte versenden würde, denkt beim elektronischen Postweg kaum jemand über die Datensicherheit der Informationen nach.
Dass sich jeder Unternehmer um die Vertraulichkeit seiner geschäftlichen Kommunikation kümmern sollte, ist nicht erst seit den jüngsten Enthüllungen zu den behördlichen Überwachungsszenarien offensichtlich. Die internetbasierte Wirtschaftsspionage stellt längst einen profitablen Wirtschaftszweig dar. Die Angriffe werden immer gezielter, komplexer und professioneller, wie dies durch die Umfragen der Sicherheitsanbieter, wie Symantec oder auch dem Wirtschaftsprüfungs- und Beratungsunternehmen KPMG AG, bewiesen wird. Entsprechend der KPMG AG war jedes vierte Unternehmen in Deutschland in den Jahren 2011 und 2012 schon einmal Opfer von Cyberkriminalität, wobei ein Schaden von mehr als einer Million Euro pro Vorfall nicht ungewöhnlich ist.
Dieter Kempf sagte, dass die ungeschützten E-Mails den Spionen und den Betrügern das Mitlesen besonders leicht machen und dass der verschlüsselte Versand von E-Mails demzufolge für jedes mittelständische Unternehmen zumindest bei den geschäftskritischen Informationen und Daten verpflichtend sein sollte.
Die Verschlüsselung sorgt für mehr Sicherheit
Die weitverbreiteten Verschlüsselungslösungen bieten den Informationen auf ihrem Weg durch das Netz zum Empfänger einen ausgezeichneten Schutz. Zunächst existieren die Client-basierten Verschlüsselungsverfahren, bei denen die Endgeräte von Sender und Empfänger die Verschlüsselung, die Entschlüsselung, das Signieren und die Verifikation von Nachrichten selbst übernehmen. Dieser Ansatz ermöglicht die konstante Verschlüsselung einer E-Mail über ihren gesamten Übertragungsweg und wird demzufolge auch als Ende-zu-Ende-Verschlüsselung (End-to-End) bezeichnet. Die E-Mail-Programme von Sender und Empfänger müssen diesbezüglich mit einer Verschlüsselungsfunktion ausgestattet sein. Die Client-basierten Verschlüsselungsverfahren sind jedoch aufwändig zu realisieren und setzen entsprechende Fachkenntnisse beim Anwender voraus.
Alternativ existiert die Möglichkeit, die serverbasierten Lösungen einzusetzen, die sämtliche E-Mails zentral auf einem sogenannten Secure E-Mail-Gateway ver- und entschlüsseln. Eine derartige virtuelle Poststelle ist kostengünstiger und für den Endanwender komfortabler, da diese keine Software-Installation und keine besonderen Kenntnisse seitens der Nutzer voraussetzt. Dieses Verfahren eignet sich jedoch vor allem für die größeren Unternehmen mit eigener IT-Abteilung, da dieses zentral administriert werden muss.
Die Verschlüsselung aus der Cloud
Die serverbasierten Verschlüsselungslösungen werden mittlerweile auch als Dienstleistung zur Verfügung gestellt, sodass die kleineren Unternehmen und die Selbstständigen diese ohne größeren Aufwand ebenfalls nutzen können. Der Vorteil liegt darin, dass sich die komplexe Installation und Wartung eines Ver- und Entschlüsselungsservers erübrigt. Ein weiterer Vorteil einer derartigen ausgelagerten Lösung ist, dass der Anbieter zentral unterschiedliche Verschlüsselungsverfahren unterstützen kann.
Die E-Mail-Verschlüsselung der DATEV eG sucht beispielsweise automatisch das geeignete Verfahren (etwa PGP, S/MIME oder Softwarezertifikate) für den jeweiligen Empfänger heraus. Sollte dieser kein eigenes Verschlüsselungsverfahren im Einsatz haben, wird die E-Mail in ein PDF-Dokument umgewandelt und mit einem sicheren Passwort geschützt, welches der Absender auf anderem Weg – beispielsweise telefonisch – übermittelt. Auf diese Weise können auch die Empfänger sicher erreicht werden, die keine Lösung zum Schutz von E-Mails zur Verfügung haben. Ferner werden auch ankommende verschlüsselte Nachrichten zentral entschlüsselt. Erst hierdurch wird eine zentrale Überprüfung auf die Schadsoftware sowie die Ablage in den Dokumentenmanagementsystemen realisierbar sein.
Die E-Mail-Verschlüsselung mittels DATEVnet
Die E-Mail-Verschlüsselungslösung der DATEV eG schützt die per E-Mail versendeten Daten vor dem unberechtigten Zugriff. Die auf DATEVnet basierende Lösung lässt sich, ohne Installation einer zusätzlichen Software, problemlos in die Arbeitsabläufe integrieren. Die Art der Verschlüsselung passt sich den technischen Voraussetzungen bei den Empfängern der E-Mails an. Sofern diese nicht über eine DATEV SmartCard / DATEV mIDentity oder ein vergleichbares System verfügen, wird die E-Mail automatisch in ein PDF-Dokument umgewandelt und dieses wird mit einem Passwort verschlüsselt. Die Dateianhänge der E-Mail werden im Originalformat an das PDF-Dokument weitergeleitet. Das Passwort wird an den jeweiligen Absender versendet und kann sodann telefonisch an den Empfänger übermittelt werden.
Die verschlüsselten E-Mails an das Unternehmen werden zentral entschlüsselt. Die entschlüsselten E-Mails können sodann im vorhandenen Dokumentenmanagementsystem weiterverarbeitet werden.
Link: www.datev.de