TeleTrusT
Zusammenfassung des Berichts: “E-Mail-Verschlüsselung – Eine Handreichung von TeleTrusT”
Einleitung
Die vorliegende Handreichung des Bundesverbands IT-Sicherheit e.V. (TeleTrusT) aus dem Jahr 2020 behandelt umfassend die Thematik der E-Mail-Verschlüsselung. Sie richtet sich an Unternehmen und Organisationen, die ihre E-Mail-Kommunikation sicherer gestalten möchten, und bietet praktische Anleitungen zur Implementierung und zum Management von Verschlüsselungstechnologien. Die Handreichung betont, dass E-Mail-Verschlüsselung ein essenzieller Bestandteil der IT-Sicherheitsstrategie ist, insbesondere vor dem Hintergrund zunehmender Cyberbedrohungen und strengerer gesetzlicher Vorgaben.
Motivation und Bedrohungslage
E-Mail-Kommunikation wird in Unternehmen und Organisationen täglich genutzt und ist essenziell für das Tagesgeschäft. Ohne Verschlüsselung entspricht der Versand einer E-Mail jedoch dem Versand einer Postkarte, die von Dritten mitgelesen oder manipuliert werden kann. Die Handreichung verdeutlicht, dass sowohl die Bedrohungslage durch Hackerangriffe als auch gesetzliche Vorgaben wie die Datenschutz-Grundverordnung (DSGVO) und das IT-Sicherheitsgesetz (ITSiG) eine Verschlüsselung von E-Mails erforderlich machen. Besonders betont wird die Notwendigkeit, sensible Daten, wie Kunden- und Finanzdaten, vor Industriespionage und Missbrauch zu schützen.
Verschlüsselungsverfahren
Der Bericht stellt zwei primäre Standards für die E-Mail-Verschlüsselung vor: S/MIME (Secure/Multipurpose Internet Mail Extensions) und OpenPGP (Pretty Good Privacy). Beide Verfahren basieren auf der Public-Key-Kryptographie, unterscheiden sich jedoch in der Zertifizierung der öffentlichen Schlüssel und den zugrunde liegenden Vertrauensmodellen. S/MIME setzt auf ein hierarchisches Modell mit Zertifizierungsstellen (CAs), während OpenPGP auf ein dezentralisiertes “Web of Trust” setzt.
- S/MIME: Hier werden X.509-Zertifikate genutzt, die von CAs ausgestellt werden. Dieses Modell ist besonders im geschäftlichen Umfeld weit verbreitet, da es eine hohe Vertrauenswürdigkeit der Zertifikate durch zentralisierte Kontrolle bietet.
- OpenPGP: Bei diesem Ansatz signieren Nutzer gegenseitig ihre öffentlichen Schlüssel, wodurch ein flexibles, aber weniger zentralisiertes Vertrauensnetzwerk entsteht. Es bietet Vorteile in der Benutzerfreundlichkeit und Flexibilität, ist jedoch weniger verbreitet als S/MIME.
Praktische Umsetzung der Verschlüsselung
Die Handreichung betont die Wichtigkeit der Wahl des richtigen Verschlüsselungsverfahrens, das an die Bedürfnisse der Organisation angepasst ist. Sie beschreibt zwei Hauptansätze:
- Client-basierte Verschlüsselung: Hier erfolgt die Verschlüsselung direkt auf dem Endgerät des Nutzers, was eine durchgängige Verschlüsselung bis zum Empfänger ermöglicht. Diese Methode bietet ein Höchstmaß an Sicherheit, erfordert jedoch ein gutes Management der Schlüssel durch die Nutzer.
- Server-basierte Verschlüsselung über Secure E-Mail Gateways: Diese Lösung zentralisiert die Verschlüsselung, indem sie die E-Mails auf dem Server verschlüsselt, bevor sie das Netzwerk verlassen. Diese Methode ist für den Nutzer transparenter und ermöglicht eine einfachere Administration, allerdings kann es bei der Umverschlüsselung zu Sicherheitslücken kommen.
Die Handreichung diskutiert auch die Integration von Verschlüsselung in bestehende IT-Infrastrukturen, wie die Verwendung von Transport Layer Security (TLS) zur Absicherung des Übertragungsweges zwischen E-Mail-Servern.
Rechtliche Aspekte und Compliance
Ein wesentlicher Teil der Handreichung beschäftigt sich mit den rechtlichen Anforderungen an die E-Mail-Verschlüsselung. Die DSGVO schreibt vor, dass Unternehmen ein dem Risiko angemessenes Schutzniveau gewährleisten müssen. Dies beinhaltet die Verpflichtung zur Verschlüsselung, insbesondere wenn personenbezogene Daten verarbeitet werden. Das ITSiG fordert zudem von Betreibern Kritischer Infrastrukturen (KRITIS) die Einhaltung des “Standes der Technik” bei der IT-Sicherheit, was ebenfalls die Implementierung von Verschlüsselungslösungen umfasst.
Herausforderungen und Empfehlungen
Die Handreichung erkennt die Herausforderungen bei der Implementierung von E-Mail-Verschlüsselung, insbesondere in Bezug auf Benutzerfreundlichkeit und Management der Verschlüsselungsschlüssel. Sie empfiehlt, Schulungen und Sensibilisierungsmaßnahmen durchzuführen, um die Akzeptanz und richtige Anwendung der Verschlüsselungstechnologien zu gewährleisten. Zudem wird geraten, regelmäßig Sicherheitsüberprüfungen durchzuführen und die verwendeten Technologien an den aktuellen Stand der Technik anzupassen.
Fazit
Die Handreichung von TeleTrusT bietet eine fundierte Anleitung zur sicheren E-Mail-Kommunikation und stellt klar, dass E-Mail-Verschlüsselung unerlässlich für den Schutz sensibler Daten ist. Unternehmen wird dringend geraten, ihre IT-Infrastruktur entsprechend anzupassen und sowohl technische als auch organisatorische Maßnahmen zur Gewährleistung der E-Mail-Sicherheit zu implementieren.
