Emailverschlüsselung ja, aber bitte einfach!

IT-SECURITY,

Klaus Kremmair

Geschäftsführer VACE Systemtechnik GmbH

E-Mail schreiben

Emails werden heute grundsätzlich von Server zu Server verschlüsselt übertragen. Die Basissicherheit ist somit gegeben. Aber dies reicht nicht aus, wenn wir an den Schutz von personenbezogenen Daten denken.

Auch innerhalb einer Organisation müssen solche Daten verschlüsselt werden, damit selbst ein Systemadministrator keinen Einblick auf den Mailinhalt bzw. Mailanhang erlangen kann. End-to-End Verschlüsselung ist somit gefordert. 

Es gibt viele unterschiedliche Ansätze

Mit strategischen Partnern lohnt es sich bereits jetzt mit S/MIME - Zertifikaten und dem notwendigen Aufwand für den Austausch und Verwaltung der Schlüssel verschlüsselt per E-Mail zu kommunizieren. Für den alltäglichen Gebrauch in der Kommunikation per E-Mail mit Mitarbeitern, Bewerbern und Ansprechpartnern von Kunden oder Lieferanten ist die S/MIME Verschlüsselung nicht zu gebrauchen. Eigene Softwarelösungen sind auf den Markt gekommen, die dem Endanwender mehr oder weniger eine einfache verschlüsselte Kommunikation ermöglichen. Die meisten Lösungen waren mir persönlich entweder für den Anwender zu kompliziert bzw. technisch zu aufwendig oder zu teuer. 

Unsere Erfahrung

Mit dem Umstieg auf Microsoft 365 und der Nutzung des passenden Outlooks als E-Mail-Client erhalte ich jetzt genau jene alltagstaugliche Verschlüsselung, die ein Anwender auch benutzen wird. Einfach bei einer E-Mail auf Verschlüsseln klicken und absenden. Das war’s! Jeder Empfänger, ob er Mitarbeiter, Bewerber oder Ansprechpartner ist, ob er sich innerhalb oder außerhalb der Domäne befindet, kann als rechtmäßiger Empfänger der Nachricht, diese garantiert auch lesen. Der eine kann die E-Mail durch einfaches Öffnen der Nachricht lesen, der andere benötigt noch eine eigene Authentifizierung mittels Einmalcode oder mittels Microsoft- bzw. Google-Anmeldung. Freigegebene Postfächer an Kollegen, automatische Weiterleitungen an andere Postfächer, Zugriffe auf Mailarchivierungslösungen usw. hebeln die Verschlüsselung nicht aus, denn der Empfänger muss sich authentifizieren. 

Ob die E-Mail Verschlüsselung in der Microsoft Welt günstig ist, muss jeder für sich entscheiden, denn nicht alle Microsoft 365 Pläne beinhalten das Rights-Management, das für die Mailverschlüsselung Voraussetzung ist. 
Technisch ist die Lösung ausreichend sicher, aber ist sie auch in der täglichen Arbeit praktikabel? Meine Antwort ist “nur bedingt”, denn end-to-end verschlüsselte Nachrichten gehören im geschäftlichen Umfeld ja nicht dem Benutzer, sondern dem Unternehmen, der Organisationseinheit oder einer Rolle. Emails werden oftmals an CRM-, Personal- oder Belegdatensätzen angehängt oder am File-Server abgelegt, die dann mit den entsprechenden Applikationsberechtigungen eingesehen werden dürfen. Da ist eine Verschlüsselung, die auf einzelne Personen abzielt, kontraproduktiv und die Verfügbarkeit der Information für die Organisation kann nur durch organisatorische Maßnahmen erzielt werden.  
Daher wünsche ich mir noch die Option “Datei unverschlüsselt speichern unter...”, denn der Fokus der Finanzverwaltung liegt nicht am Datenschutz, sondern an der lückenlosen Nachvollziehbarkeit eines Geschäftsvorganges. Und das unabhängig davon, ob ein bestimmter E-Mail-Empfänger noch im Unternehmen ist, oder nicht. 

Meine Empfehlung

Aktivieren Sie nicht einfach die Verschlüsselung in Microsoft 365 damit die User drauf los verschlüsseln können! Sondern definieren Sie vorab einen Rahmen (zB. in Form einer Richtlinie), wie die Verschlüsselung zu handhaben ist.