E-Mail-Verschlüsselung – Eine Handreichung von TeleTrusT

E-Mail-Verschlüsselung - Eine Handreichung von TeleTrusT

TeleTrusT

 

Zusammenfassung des Berichts: “E-Mail-Verschlüsselung – Eine Handreichung von TeleTrusT”

Einleitung

Die vorliegende Handreichung des Bundesverbands IT-Sicherheit e.V. (TeleTrusT) aus dem Jahr 2020 behandelt umfassend die Thematik der E-Mail-Verschlüsselung. Sie richtet sich an Unternehmen und Organisationen, die ihre E-Mail-Kommunikation sicherer gestalten möchten, und bietet praktische Anleitungen zur Implementierung und zum Management von Verschlüsselungstechnologien. Die Handreichung betont, dass E-Mail-Verschlüsselung ein essenzieller Bestandteil der IT-Sicherheitsstrategie ist, insbesondere vor dem Hintergrund zunehmender Cyberbedrohungen und strengerer gesetzlicher Vorgaben.

Motivation und Bedrohungslage

E-Mail-Kommunikation wird in Unternehmen und Organisationen täglich genutzt und ist essenziell für das Tagesgeschäft. Ohne Verschlüsselung entspricht der Versand einer E-Mail jedoch dem Versand einer Postkarte, die von Dritten mitgelesen oder manipuliert werden kann. Die Handreichung verdeutlicht, dass sowohl die Bedrohungslage durch Hackerangriffe als auch gesetzliche Vorgaben wie die Datenschutz-Grundverordnung (DSGVO) und das IT-Sicherheitsgesetz (ITSiG) eine Verschlüsselung von E-Mails erforderlich machen. Besonders betont wird die Notwendigkeit, sensible Daten, wie Kunden- und Finanzdaten, vor Industriespionage und Missbrauch zu schützen.

Verschlüsselungsverfahren

Der Bericht stellt zwei primäre Standards für die E-Mail-Verschlüsselung vor: S/MIME (Secure/Multipurpose Internet Mail Extensions) und OpenPGP (Pretty Good Privacy). Beide Verfahren basieren auf der Public-Key-Kryptographie, unterscheiden sich jedoch in der Zertifizierung der öffentlichen Schlüssel und den zugrunde liegenden Vertrauensmodellen. S/MIME setzt auf ein hierarchisches Modell mit Zertifizierungsstellen (CAs), während OpenPGP auf ein dezentralisiertes “Web of Trust” setzt.

  • S/MIME: Hier werden X.509-Zertifikate genutzt, die von CAs ausgestellt werden. Dieses Modell ist besonders im geschäftlichen Umfeld weit verbreitet, da es eine hohe Vertrauenswürdigkeit der Zertifikate durch zentralisierte Kontrolle bietet.
  • OpenPGP: Bei diesem Ansatz signieren Nutzer gegenseitig ihre öffentlichen Schlüssel, wodurch ein flexibles, aber weniger zentralisiertes Vertrauensnetzwerk entsteht. Es bietet Vorteile in der Benutzerfreundlichkeit und Flexibilität, ist jedoch weniger verbreitet als S/MIME.

Praktische Umsetzung der Verschlüsselung

Die Handreichung betont die Wichtigkeit der Wahl des richtigen Verschlüsselungsverfahrens, das an die Bedürfnisse der Organisation angepasst ist. Sie beschreibt zwei Hauptansätze:

  1. Client-basierte Verschlüsselung: Hier erfolgt die Verschlüsselung direkt auf dem Endgerät des Nutzers, was eine durchgängige Verschlüsselung bis zum Empfänger ermöglicht. Diese Methode bietet ein Höchstmaß an Sicherheit, erfordert jedoch ein gutes Management der Schlüssel durch die Nutzer.
  2. Server-basierte Verschlüsselung über Secure E-Mail Gateways: Diese Lösung zentralisiert die Verschlüsselung, indem sie die E-Mails auf dem Server verschlüsselt, bevor sie das Netzwerk verlassen. Diese Methode ist für den Nutzer transparenter und ermöglicht eine einfachere Administration, allerdings kann es bei der Umverschlüsselung zu Sicherheitslücken kommen.

Die Handreichung diskutiert auch die Integration von Verschlüsselung in bestehende IT-Infrastrukturen, wie die Verwendung von Transport Layer Security (TLS) zur Absicherung des Übertragungsweges zwischen E-Mail-Servern.

Rechtliche Aspekte und Compliance

Ein wesentlicher Teil der Handreichung beschäftigt sich mit den rechtlichen Anforderungen an die E-Mail-Verschlüsselung. Die DSGVO schreibt vor, dass Unternehmen ein dem Risiko angemessenes Schutzniveau gewährleisten müssen. Dies beinhaltet die Verpflichtung zur Verschlüsselung, insbesondere wenn personenbezogene Daten verarbeitet werden. Das ITSiG fordert zudem von Betreibern Kritischer Infrastrukturen (KRITIS) die Einhaltung des “Standes der Technik” bei der IT-Sicherheit, was ebenfalls die Implementierung von Verschlüsselungslösungen umfasst.

Herausforderungen und Empfehlungen

Die Handreichung erkennt die Herausforderungen bei der Implementierung von E-Mail-Verschlüsselung, insbesondere in Bezug auf Benutzerfreundlichkeit und Management der Verschlüsselungsschlüssel. Sie empfiehlt, Schulungen und Sensibilisierungsmaßnahmen durchzuführen, um die Akzeptanz und richtige Anwendung der Verschlüsselungstechnologien zu gewährleisten. Zudem wird geraten, regelmäßig Sicherheitsüberprüfungen durchzuführen und die verwendeten Technologien an den aktuellen Stand der Technik anzupassen.

Fazit

Die Handreichung von TeleTrusT bietet eine fundierte Anleitung zur sicheren E-Mail-Kommunikation und stellt klar, dass E-Mail-Verschlüsselung unerlässlich für den Schutz sensibler Daten ist. Unternehmen wird dringend geraten, ihre IT-Infrastruktur entsprechend anzupassen und sowohl technische als auch organisatorische Maßnahmen zur Gewährleistung der E-Mail-Sicherheit zu implementieren.

 



Marktplatz IT-Sicherheit: weitere Angebote
BEITRÄGE IT-SICHERHEIT
newspaper - news - icon
News
IT-Sicherheit-News
artikel paper - artikel - icon
Artikel
IT-Sicherheit-Artikel
Sprechblasen - Blog - Icon
Blog
IT-Sicherheit-Blogeinträge
Büroklammer - Whitepaper - Icon
Whitepaper
IT-Sicherheit-Whitepaper
RATGEBER IT-SICHERHEIT
Glühbirne - Ratgeber - Icon
Cyber-Risiko-Check
Hilfestellungen IT-Sicherheit
Glossar Cyber-Sicherheit - Glossar - Icon
Glossar
Glossar Cyber-Sicherheit
Dokument mit Stern - Studien - Icon
IT-Sicherheitsstudien
IT-Sicherheit-Studien
Buch - Icon
Vorlesung Cyber-Sicherheit
Lehrbuch "Cyber-Sicherheit"
IT-Gesetze Icon
IT-Sicherheitsgesetze
Aktueller Gesetzesrahmen
secaware - icon
IT-Sicherheitszahlen
Aktuelle Kennzahlen
Tools - icon
IT-Sicherheitsthemen
Orientierung in der IT-Sicherheit
FORUM IT-SICHERHEIT
Datenschutz - Icon
Datenschutz
Diskussionsforum
Penetrationstests - Icon
Penetrationstests
Diskussionsforum
NIS2
NIS2
Diskussionsforum
Stand der Technik - icon
Stand der Technik
Diskussionsforum
IT Supply-Chain-Security Icon
IT-Supply Chain Security
Diskussionsforum
IT-COUCH
TS-Couch-Sofa-Icon
Marktplatz Formate
Experten sehen & hören
ts-couch-podcast-icon
IT-Sicherheit-Podcast
IT-Sicherheit zum hören
its-couch-video-icon
Livestream IT-Sicherheit
Events & Material
INTERAKTIVE LISTEN
IT-Notfall
IT-Notfall
IT-Notfall
Penetrationstests
IT-Notfall
Informationssicherheitsbeauftragte (ISB)
IT-Notfall
Security Operations Center (SOC)
IT-Notfall
Datenschutzbeauftragte (DSB)
IT-Notfall
IT-Sicherheitsrecht
Juristische Beratung
IT-SICHERHEITSTOOLS
secaware - icon
Interaktive Awareness-Schulung
Selbstlernangebot IT-Sicherheit
Tools - icon
Tools für IT-Sicherheitschecks
Tools zu verschiedenen Aspekten
ZERTIFIKATE IT-SICHERHEIT
Personenzertifikate - icon
Personenzertifikate
Interaktive Liste
unternehmenzertifikate - icon
Unternehmenszertifikate
Interaktive Liste
Produktzertifikate - icon
Produktzertifikate
Interaktive Liste
VERANSTALTUNGEN
ANBIETERVERZEICHNIS
Skip to content