Bildschirmfoto: Posteingang eines Email Programms
Nur 17 Prozent der Unternehmen verschlüsseln ihre E-Mails. Bildrechte: IMAGO

Tag des Datenschutzes E-Mail-Verschlüsselung für viele Firmen zu aufwendig

Spätestens seit dem NSA-Skandal von 2014 ist klar: Kommunikation per E-Mail ist nicht zwingend sicher. Das ist vor allem ein Problem für Unternehmen, die zum Beispiel für die Sicherheit sensibler Daten ihrer Kunden verantwortlich sind. Doch das Verschlüsseln von E-Mails stellt die Unternehmen vor Herausforderungen.

von Luise Binder, MDR AKTUELL

Bildschirmfoto: Posteingang eines Email Programms
Nur 17 Prozent der Unternehmen verschlüsseln ihre E-Mails. Bildrechte: IMAGO

Vor allem Unternehmen schicken mit ihren E-Mails oft sensible Inhalte. Welche Sicherheitsvorkehrungen sie dabei treffen, beobachtet der Verein "Deutschland sicher im Netz". Sascha Wilms vom DsiN sagt: Egal wie groß das Unternehmen sei, E-Mail-Schutz sollte für alle ein Thema sein. "Gerade für die kleinen, mittleren Unternehmen. Bei denen ist es besonders wichtig, weil sie natürlich Daten haben, die für den Wettbewerb interessant sein könnten. Cyber-Spionage ist heute ein immer größer werdendes Thema."

Aus einer DsiN-Studie, dem Sicherheitsmonitor 2016, geht hervor, dass gerade einmal 17 Prozent der erfassten Unternehmen irgendeine Form der E-Mail-Verschlüsselung verwenden. Zahlen, wie viele Unternehmen eine sogenannte Ende-zu-Ende Verschlüsselung benutzen, gibt es nicht. Doch diese Form gilt als die Sicherste.

Hoher Aufwand bei der sichersten Verschlüsselung

Bei einer Ende-zu-Ende-Verschlüsselung sind die Daten einer Mail nicht nur auf dem Computer des Verfassers und auf dem Computer des Empfängers sicher, sondern sie sind auch auf dem kompletten Übertragungsweg dahin für Dritte nicht lesbar. Vereinfacht gesagt: Der Verfasser verschließt seine Mail mit einem Vorhängeschloss, dessen Schlüssel nur der Empfänger hat. Doch damit dieser Schlüssel in mein Vorhängeschloss passt, muss ich beziehungsweise muss mein Computer ihn natürlich kennen. Und dafür muss ich persönlichen Kontakt aufnehmen.

Das bekannteste Programm, das diesen Kontakt und damit die Verschlüsselung ermöglicht, heißt "Pretty Good Privacy". PGP gibt es bereits seit Anfang der 1990er Jahre. Doch im Unternehmenskontext wird es selten angewandt. Warum, weiß der Technomathematiker Georg Nestmann: "Der Aufwand für Mitarbeiter ist groß. Das Problem bei PGP ist, dass der Nutzer verstehen muss, was er tut. Es gibt keine Anwendung, die ihm das abnimmt."

Firma aus Chemnitz bietet einfachere Lösung an

Um sicher zu kommunizieren, muss jeder Mailpartner die gleiche Verschlüsselungssoftware verwenden. Doch das Hauptproblem für Unternehmen ist die persönliche Kontaktaufnahme. Denn nur durch ein persönliches Telefonat oder ein Treffen kann ich mir absolut sicher sein, dass das erhaltene Vorhängeschloss wirklich zu der Person gehört, der ich meine Mail schicken will. Das ist ein großer zeitlicher und finanzieller Aufwand. Für Unternehmen ist das nicht lukrativ.

Genau das wollten Georg Nestmann und seine Kollegen ändern. Sie gründeten die comcrypto GmbH in Chemnitz. Eine Lösung haben sie gefunden, sagt Nestmann: "Das erreichen wir in erster Linie über ein intelligentes Identitäten- und Schlüsselmanagement. Es ist möglich, dass sich die Identitäten der Mitarbeiter an die Firmenidentität koppeln lassen. Für eine Verifikation von ausgetauschten Schlüsseln muss der Vorgang dann nur einmal von Firma zu Firma durchgeführt werden. Das heißt, da reichen zwei Mitarbeiter, die das einmal tun."

Mitarbeiter müssen nur noch auf Senden klicken

Bei Comcrypto brauchen beide Kommunikationspartner das gleiche Programm. Doch kann jedes Unternehmen selbst entscheiden, welche E-Mails verschlüsselt werden sollen. Je nach Bedarf kann die Verschlüsselung zum Beispiel durch eine bestimmte Betreffzeile ausgelöst werden. Die Firma will so eine sichere Ende-zu-Ende-Verschlüsselung bieten, deren Aufwand minimal und somit für Unternehmen handhabbar bleibt. So muss sich der einzelne Mitarbeiter um nichts weiter kümmern. Nur noch auf Senden klicken.

Dieses Thema im Programm: MDR AKTUELL RADIO | 28. Januar 2018 | 05:00 Uhr

Zuletzt aktualisiert: 28. Januar 2018, 05:00 Uhr

Die Kommentierungsdauer ist abgelaufen. Der Beitrag kann deshalb nicht mehr kommentiert werden.

3 Kommentare

29.01.2018 16:49 Izzy 3

Also abgesehen davon, dass auch benutzbare Ende-zu-Ende-Verschluesselung schon laenger existiert... Warum fehlt hier denn der Hinweis darauf, dass es sich um Werbung handelt? Schliesslich kann hier von redaktionellem Inhalt keine Rede sein, gibt es doch keine Informationen zu Alternativen oder Nachteilen...

28.01.2018 15:13 Mediator 2

Daten- und E-Mailverschlüsselung ist ein alter Hut. Allerdings scheitert der Einsatz über Unternehmensgrenzen bisher immer am zu betreibenden Aufwand.

Letztendlich entscheidet der Kommunikationspartner darüber, welche Verschlüsselung ich einsetzen kann und welche von diesem nicht akzeptiert wird.

Je nach notwendigem Sicherheitsstandard und Fluktuation der Mitarbeiter bieten sich ganz unterschiedliche Standards an. Ob man nun ein PGP-Derivat oder eine auf S/Mime basierende Technik verwendet muss jeder selbst entscheiden. Manchmal lohnt sich sogar der Aufbau einer PKI-Infrastuktur im eigenen Unternehmen.

Letztendlich wäre ein einheitlicher Standard, mit dem auch Otto Normalverbraucher seine Nachrichten verschlüsselt versenden und den Empfänger sicher authentifizieren kann überfällig. Das wäre einmal ein nationales Infrastrukturprogramm, das unser Land einen Schritt vorwärts bringen würde.

28.01.2018 10:36 Krause - "lieber nackt als rechtsextremistisch!" 1

Das Konzept der Chemnitzer ComCrypto gefällt mir:
die erste Verhandlung nach der Kontaktaufnahme bestimmt die Sicherung der geschützen Kommunikation untereinander und vereinfacht damit den weiteren Austausch aller beteiligten Angestellten der beiden Firmen, indem man ihn in gesicherte Kanäle einbettet.

Dennoch bleibt - z.B. bei der Aktivierung via Betreffzeile - der Umstand erhalten, daß der Anwender wissen muß, was er tut.
Und selbst wenn der Angestellte sich den Firmenrichtlinien entsprechend verhält, müssen diese so fest gezurrt sein, daß auch z.B. Trojaner keinen Zugang finden, selbst wenn sie vom BND kommen. Das jedoch bedingt, daß sich auch der Chef einer Firma umfassend mit dem Thema beschäftigt und ein eigenes Sicherheitskonzept entwickelt, gerade wenn sie/er sich keinen eigenen 'IT-Sicherheitsspezialisten' leistet.
Man läßt auch nicht jeden Angestellten mit den Firmenfahrzeugen fahren - nur diejenigen, die einen Führerschein haben.