Vier Missdeutungen über sicheres Mailing

Mit der Einführung der europäischen General Data Protection Regulation (GDPR) (in Deutschland auch Datenschutz-Grundverordnung genannt) steht das Thema Datenschutz bei jeder Organisation hoch auf der Tagesordnung. Aus den Risikolagebildern, die in diesem Rahmen erstellt werden, geht der E-Mail-Verkehr nahezu immer als ein risikoreicher Teil hervor.

Es ist keine Seltenheit Organisationen anzutreffen, die von sich behaupten, sicher zu mailen. Dem liegt häufig der Irrtum zu Grunde, dass die Verwendung von Verschlüsselungsmechanismen sicherem Mailen gleichzusetzen ist. Experten innerhalb der Organisationen tragen diesen Irrtum oft weiter, obwohl sie es eigentlich besser wissen sollten. In diesem Blog können Sie erfahren, warum sie sich hierdurch Risiken aussetzen. 

Weshalb Standard-Mailing unsicher ist

Für diejenigen, die sich mit den Funktionsweisen von E-Mail nicht gut auskennen, folgt eine kurze Erklärung, weshalb diese als Standard unsicher ist. E-Mail entstand in den sechziger Jahren, als Datenschutz und Sicherheit in der elektronischen Kommunikation noch relativ unbekannte Begriffe waren. Ursprünglich wurden E-Mails unverschlüsselt verschickt. Unverschlüsseltes Mailing ist mit dem Versand eines Briefes in einem Umschlag vergleichbar, ohne dass der Umschlag zugeklebt wird. Sowohl der Postbote als auch jemand, der sich vor den Briefkasten setzt, können die Nachricht lesen, ohne dass Sie sich dessen bewusst sind.

Man könnte nun sagen: "Wieso kleben Sie den Umschlag nicht zu?". Daher ist das E-Mail-Protokoll mittlerweile mit Unterstützung für verschlüsseltes Mailing, besser bekannt unter ‘STARTTLS’, erweitert worden. Aber weil ebenfalls die traditionelle E-Mail verschlüsselt werden muss, funktioniert die Verschlüsselung folgendermaßen: Wollen Sie eine E-Mail verschicken, fragt Ihr Mailserver den empfangenden Mailserver: ‚Unterstützen Sie Verschlüsselung?’. Ist die Antwort ‚ja’, wird der Bericht verschlüsselt verschickt. Ist die Antwort ‚nein’, wird der Bericht unverschlüsselt verschickt. Und dort befindet sich das Problem, denn diese Frage wird unverschlüsselt gestellt! Böswillige Leute können die Frage durch einen sogenannten ‚aktiven man-in-the-middle-Angriff’ abfangen, woraufhin sie mit ‚nein‘ antworten. Dann verschickt der Server die Nachricht also unverschlüsselt, wodurch Böswillige Zugriff auf die Nachricht haben.

Sie können sich dafür entscheiden, jedes Mal auf den Vesand zu verzichten, wenn die Antwort ‚nein‘ ist. Aber wie können Sie denn anders dafür sorgen, dass die Nachricht den richtigen Empfänger sicher erreicht?

 

Wie Sie E-Mails trotzdem gesichert verschicken

Damit Sie trotzdem über E-Mail gesicherte Informationen verschicken können, gibt es folgende Lösungen:

  1. Vertrauen zwischen Mailservern aufbauen: Das geht mit Techniken wie Zertifikaten, VPN-Tunnel und DANE. Letztere Lösung gilt als Standard und ist daher den anderen beiden (Instandhaltungs- und fehlerempfindlichen) Lösungen zu bevorzugen.
    Nachteil: Für den Vertrauensaufbau zwischen Mailservern ist auf beiden Seiten eine Aktion notwendig. Das ist mit einigen wichtigen Kommunikationspartnern machbar. Allerdings ist es eine Lösung für eine beschränkte Zahl von Fällen. Nicht ganz praktisch, da nahezu jedes Unternehmen mit Hunderten oder Tausenden unterschiedlichen Parteien mailt.
  2. Berichte mit PKI-Systemen verschlüsseln: PKI (public key infrastructure)-Systeme, wie PGP, gehen von einer Nachrichtenverschlüsselung bei der Quelle mit dem öffentlichen Schlüssel der/des Empfänger/s aus. Die Entschlüsselung der Nachricht funktioniert nur mit dem privaten Schlüssel des Empfängers.
    Nachteil: Diese Lösung erfordert, dass der Empfänger ein eigenes Schlüsselpaar erstellt hat, dasselbe PKI-System wie der Absender verwendet und den öffentlichen Schlüssel mit ihm teilt. Es ist klar, dass dieses Verfahren für den ‚üblichen’ E-Mail-Benutzer zu kompliziert ist.
  3. Nachrichten mit Zwei-Faktor-Authentifizierung schicken2FA ist mittlerweile fast jedem bekannt. Nicht unbedingt als Begriff, sondern als die zusätzliche SMS, die Sie Ihnen beim Online-Banking Ihre TAN liefert oder als der zusätzlicher Code, den Sie aus einer App oder einem Token abtippen, um sich amArbeitsplatz einzuloggen (lesen Sie unser Blog über 2FA). Es heißt Zweiter-Faktor, weil es von etwas ausgeht, ‚das Sie wissen‘ und ‚das Sie haben’. Also Sie wissen das Passwort Ihrer E-Mail, und Sie haben ein Mobiltelefon oder Token. Wenn Sie 2FA verwenden, können Sie sicherer mailen.
    Die Herausforderung bei 2FA lautet: Wie sorgen Sie dafür, dass der Empfänger einen zweiten Faktor ergänzen muss? Das geht nicht mit einer Standard-E-Mail. Also werden Sie mit einem Code (beispielsweise über 7-Zip oder Cryptshare) selbst Nachrichten verschlüsseln müssen und selbst SMS-Nachrichten an den Empfänger schicken müssen. Es ist aber nicht realistisch, davon auszugehen, dass Mitarbeiter eines Unternehmens selbst SMS-Nachrichten verschicken werden. Eine bessere Option ist es, einen Lieferant zu wählen, der das leicht macht.

 

Weshalb Sie jetzt nicht sicher mailen

Die oben skizzierten Lösungen sind zu diesem Zeitpunkt die einzigen Methoden, mit denen Sie sicher mailen können. Weil wir das Wissen, möchten wir einige Fehleinschätzungen aufzeigen. Die folgenden Aussagen sind regelmäßig zu hören:

  • ‚Wir haben TLS auf unserem Server aktiviert’. Das ist ziemlich vernünftig und wird in der Tat dafür sorgen, dass der Großteil Ihrer Mails den Server des Empfängers verschlüsselt erreicht. Ab und zu ist die folgende Aussage zu hören: ‚Wir liefern 99,2% über TLS. Sehr gut, aber diese Zahl ist nachträglich gemessen worden. Wie ich oben beschrieben, besteht die Beschränkung von TLS darin, dass es nicht erzwungen werden kann. Sie sind abhängig davon, ob der empfangende Mailserver auf die Frage, ob er TLS unterstützt, ‚ja’ sagt. Sie laufen also das Risiko, dass böswillige Leute ‚nein‘ antworten. In der Praxis findet das selten statt, aber mit TLS wird das Risiko nicht wirklich geringer.
  • ‚Wir haben DKIM und SPF eingestellt’. Auch gut und vernünftig! Aber diese Einstellung sorgt dafür, dass Sie den empfangenden Mailserver darüber informieren, dass die Mails wirklich unter Ihrem Namen verschickt worden sind - also nicht von einem stammen, der das nur behauptet (auch aus Spoofing bekannt). Das sorgt allerdings nicht dafür, dass Ihre Mails den Empfänger sicher erreichen. Der Inhalt ist nicht verschlüsselt und empfindlich für einen man-in-the-middle-Angriff.
  • Dies haben wir schon mit Office365 geregelt’. Office365 behauptet verschlüsselte Nachrichtenübertragungen zu unterstützen. Es ist ziemlich schwer herauszufinden, was diese Funktion beinhaltet. Es bedeutet, dass der Verwalter einstellen kann, wann E-Mails ‚verschlüsselt‘ verschickt werden müssen. Die Tatsache, dass dies nicht für jeden als Standard eingestellt worden ist, zeigt bereits auf, dass es schöner aussieht als es ist. Konkret bedeutet es nämlich, dass Sie Office365-Benutzer zwar immer verschlüsselt mailen, aber andere Adressaten eine Benachrichtigungsmail empfangen. In dieser Mail befindet sich ein Link, auf den sie klicken müssen, woraufhin sie eine neue Mail bekommen, die einen Code enthält, den sie in eine Webseite eingeben müssen. Der Administrator muss die Regeln einstellen und entscheidet also top-down für den Benutzer, wann er etwas verschlüsselt oder unverschlüsselt verschickt. Aus der Praxis ergibt sich, dass dieses Vorgehen ziemlich viele Fragen, Beschwerden und Verwaltungslast mit sich bringt.
  • ‚Wir mailen nur von unserem Portal aus‘. Frei übersetzt heißt das: ‚Wir haben eine eigene Umgebung entwickelt, in die sich Leute verpflichtet einloggen müssen, bevor sie kommunizieren können’. Das hört sich schon ganz anders an, nicht wahr? Die erste Fragem die sich stellt ist, ob die Entwickler des Portals es tatsächlich geschafft haben, ein sicheres System zu entwickeln. Sind sie zertifiziert, auditiert, transparent in Sicherheitstests usw.? Das ist eher selten der Fall.
    Ein weiteres Problem ist, dass es bei einer solchen Lösung erforderlich ist, dass Benutzer ihr Verhalten ändern. Sie mailen nicht mehr auf die ihnen bekannte Weise, sondern von einer neuen Umgebung aus. Für Mitarbeiter einer Organisation ist das vielleicht noch überwindbar, aber für die ‚Externen‘, mit denen sie kommunizieren nicht benutzerfreundlich und unbürokratisch genug. Ehe Sie sich versehen, werden Mitarbeiter deshalb Umwege wie Privatmail benutzen. Oder sie gehen dem System ganz aus dem Weg - mit allen dazugehörigen Folgen.

All diese Lösungen haben noch eine zusätzliche Einschränkung: Sie sorgen nur dafür, dass keiner den Inhalt der E-Mail liest, bevor sie den Mailserver des Empfängers erreicht. Also Sicherstellung bis zur Tür. Das größte Problem von E-Mail ist allerdings, dass sie durch die Verwendung schwacher Passwörter  hinter der Tür nicht sicher ist! Sie können sich also nich sicher sein, dass nur der beabsichtigte Empfänger Zugriff auf das Konto hat.

Das bringt uns zu der Schlussfolgerung, dass wirklich sichere E-Mail nur erreichbar ist, wenn der Absender sich für eine Lösung mit 2FA entscheidet. Sie ist die einzige Methode, um sicherstellen zu können, dass der beabsichtigte Empfänger der einzige ist, der die Nachricht lesen kann. Es ist erkennbar, dass sich einige Organisationen bei dem Thema noch zurückhalten, weil sie Angst haben, dass Empfänger 2FA nicht richtig verstehen. Glücklicherweise stoßen wir immer öfter auf 2FA. Das lässt uns hoffen, dass es schnell zu einer Standardisierung kommen wird und die oben aufgeführten Fehleinschätzungen über sichere Mail der Vergangenheit angehören. 

Ein abschließendes Wort: Obwohl sich dieser Blog vor allem auf die technischen Seite des sicheren Mailens fokussiert hat, soll nocheinmal hervorgehoben werden, dass noch viel zu tun ist um als Unternehmen behaupten zu können, sicher zu mailen. In den ersten 8 Monaten des Jahres 2017 wurden 42% der gemeldeten Datenlecks in den Niederlanden durch einen Irrtum verursacht: Jemand schickte dem falschen Empfänger etwas zu. Im Gesundheitswesen lag der Anteil sogar bei 61%! Neben der E-Mail-Technik ist der menschliche Faktor in Organisationen also der ausschlaggebende Punkt.

Ähnliche Blogs

Covid-Testergebnisse in Echtzeit, aber sicher

Digitale Partnerschaft für zeitkritische Lösungen in der Pandemie Deutschland und Europa gehen in den vorweihnachtlichen Lockdown. Mit den zuletzt massiv angestiegenen Infektionszahlen bleibt auch das Testvolumen hoch und gerade die Mitarbeiter in kritischen Berufen sind in den nächsten Wochen auf eine möglichst zeitnahe Rückmeldung zu ihren Testergebnissen angewiesen. […]

Weiterlesen

Covid-Testergebnisse in Echtzeit, aber sicher

Digitale Partnerschaft für zeitkritische Lösungen in der Pandemie Deutschland und Europa gehen in den vorweihnachtlichen Lockdown. Mit den zuletzt massiv angestiegenen Infektionszahlen bleibt auch das Testvolumen hoch und gerade die Mitarbeiter in kritischen Berufen sind in den nächsten Wochen auf eine möglichst zeitnahe Rückmeldung zu ihren Testergebnissen angewiesen. […]

Weiterlesen

Probefahrt mit neuer Software

Wenn man ein Produkt zur langfristigen Anwendung einkauft, erprobt man es am besten vorab und in der tatsächlichen Nutzung. Dieses Prinzip gilt nicht nur beim Autokauf, sondern auch beim Einführen einer neuen Software. In diesem Kontext bezeichnet man die Probefahrt - wie üblich im IT-Englisch - als „Proof of Concept”. Dieser vorangestellte Probelauf in der eigenen […]

Weiterlesen
Lady_justice

EuGH-Beschluss zum Privacy Shield ohne Auswirkungen für ZIVVER

Mitte Juli 2020 hat der Europäische Gerichtshof das sogenannte Privacy Shield für ungültig erklärt, welches bisher als Angemessenheitsbeschluss für den Datenschutz beim Übermitteln von Informationen in die USA galt. Vereinfacht gesagt bedeutet das für Organisationen innerhalb der EU, dass diese sich für die erforderliche Rechtssicherheit bei der Datenverarbeitung in […]

Weiterlesen
Lady_justice

EuGH-Beschluss zum Privacy Shield ohne Auswirkungen für ZIVVER

Mitte Juli 2020 hat der Europäische Gerichtshof das sogenannte Privacy Shield für ungültig erklärt, welches bisher als Angemessenheitsbeschluss für den Datenschutz beim Übermitteln von Informationen in die USA galt. Vereinfacht gesagt bedeutet das für Organisationen innerhalb der EU, dass diese sich für die erforderliche Rechtssicherheit bei der Datenverarbeitung in […]

Weiterlesen
ZIVVER_Gmail

ZIVVER jetzt auch als Chrome Erweiterung für Gmail verfügbar

Viele Nutzer freuen sich schon ebenso lange wie wir auf diese Nachricht: ZIVVER gibt es jetzt auch für Gmail! Speziell für die G Suite und Gmail Nutzer wurde eine Chrome Erweiterung entwickelt. Nach erfolgreich abgeschlossener Beta-Testphase wird diese serverseitige Erweiterung nun auch allgemein verfügbar.  […]

Weiterlesen