E-Mail Verschlüsselung: Nach wie vor vernachlässigt

Ohne E-Mails geht beruflich und auch privat fast nichts: Für die meisten Deutschen zählen die elektronischen Nachrichten fest zum Alltag. Das Thema Sicherheit wird dabei allerdings zumeist vernachlässigt, wie jetzt einmal mehr eine aktuelle Studie belegt. Der Softwarehersteller Reddoxx hatte dazu rund 1.000 Berufstätige zu ihrem Umgang mit E-Mails befragt. Die Ergebnisse sprechen zunächst einmal ganz klar dafür, dass E-Mail wohl auch in Zukunft von Bedeutung sein wird: Für 92 Prozent werden die Mails auch „in Zukunft ein wichtiges Kommunikationsmittel“ sein. Und die meisten Befragten machen sich bei der Nutzung offenbar auch durchaus Gedanken dazu, wie geschützt – oder eher ungeschützt – ihre Inhalte in einer E-Mail eigentlich sind: Nur knapp 12 Prozent schätzen E-Mail grundsätzlich als sehr sicheres Medium ein. Gleichzeitig besteht die Sorge, dass Dritte auf E-Mails zugreifen bzw. diese mitlesen könnten: Ein gutes Drittel der Umfrageteilnehmer ist darüber besorgt oder sogar sehr besorgt. Keinerlei Ängste haben diesbezüglich lediglich 5 Prozent.

Die meisten Anwender verzichten auf E-Mail Verschlüsselung

Wer nun schlussfolgert, dass diese „Awareness“ zu entsprechendem Verhalten bei der E-Mail Nutzung führt, sieht sich der Studie zufolge allerdings getäuscht. Dies gilt insbesondere für die Verschlüsselung von E-Mails – eine Sicherheitsmaßnahme, mit der sich ein Mitlesen von Inhalten wirksam verhindern lässt. Denn selbst wenn eine derart verschlüsselte E-Mail von einem unbefugten Dritten abgefangen würde, könnte dieser damit nichts anfangen. Allerdings zeigt die vorliegende Umfrage erneut auf, dass bislang immer noch nur sehr wenige Anwender in Deutschland tatsächlich zur E-Mail Verschlüsselung greifen. Nur gut 12 % verschlüsseln häufig, knapp jeder Dritte greift zumindest manchmal zu dieser Option. Die klare Mehrheit (57 %) jedoch verzichtet grundsätzlich auf eine E-Mail Verschlüsselung.

Verwenden Sie eine E-Mail-Verschlüsselung?

Ist E-Mail Verschlüsselung laut DSGVO verpflichtend?

Nein! Auch die Datenschutzgrundverordnung (DSGVO) schreibt die E-Mail Verschlüsselung nicht zwingend vor. Aber bereits das Bundesdatenschutzgesetz empfiehlt den Einsatz von Verschlüsselung, wenn personenbezogene Daten versandt werden. Verletzen Organisationen datenschutzrechtliche Vorgaben entsteht dadurch bei Bekanntwerden ein meldepflichtiger Datenschutzvorfall. Bei einer verschlüsselten E-Mail entfällt dagegen die Meldepflicht. Verzichten Unternehmen auf die Datenverschlüsselung bei E-Mails, stellt das also erst einmal kein Problem dar. Werden personenbezogene Daten «unterwegs» gehackt, entsteht sofort ein meldepflichtiger Datenschutzvorfall mit entsprechenden Bußgeldern. Etwas kritischer ist die Lage bei sogenannten Berufsgeheimnisträgern wie Rechtsanwälten, Ärzten, Steuerberatern, Apothekern etc. Häufig versenden diese Berufsgruppen besondere Kategorien personenbezogener Daten (§9 DSGVO), wie zum Beispiel Gesundheitsdaten. Datenschutzbeauftragte empfehlen hier dringend die E-Mail Verschlüsselung. Eine fehlende Verschlüsselung könnte nach § 203 StGB sogar als Straftat geahndet werden.

Eine reine Transportverschlüsselung per TLS ist sowohl rechtlich als auch technisch unsicher. Der verschlüsselte Versand von personenbezogenen Daten muss laut § 5 DSGVO bei Bedarf nachweisbar sein. Bei einer reinen TLS-Verschlüsselung ist das nicht möglich. Technisch gesehen schützt TLS den Transport der Daten, nicht aber die Zwischenspeicherung, beispielsweise auf Servern von Providern. Eine zusätzliche Ende-zu-Ende Inhaltsverschlüsselung bietet größtmögliche und nachweisbare Sicherheit.

Neben personenbezogenen Daten versendet jedes Unternehmen auch sensible Informationen wie Geschäftsgeheimnisse per E-Mail. Deshalb sollten E-Mails schon aus eigenem Interesse immer verschlüsselt werden.

Verschlüsselung war früher relativ aufwendig

Ein unter dem Strich dann möglicherweise doch noch zu gering ausgeprägtes Bewusstsein für potenzielle Gefahren muss dabei gar nicht einmal der Hauptgrund sein. Ein häufiges Problem bei Ansätzen sowohl zur E-Mail Verschlüsselung als auch zur Verschlüsselung anderer Daten (beispielsweise Dateien oder Ordnern) war in der Vergangenheit, dass der technische Aufwand relativ hoch war. Auf beiden Seiten – also beim Sender und beim Empfänger – mussten bestimmte Voraussetzungen erfüllt werden. Dies konnte auch mit Blick auf die Administration durchaus anspruchsvoll sein, etwa hinsichtlich Einrichtung, Verwaltung und Pflege von Zertifikaten.

Neue Ansätze zur Verschlüsselung von E-Mails, Dateien und Dateiordnern

Mittlerweile gibt es allerdings auch Lösungen, die einen anderen Weg gehen und bewusst eine möglichst einfach zu nutzende Verschlüsselung ermöglichen. So bietet etwa ZIVVER eine Plattform für datenschutzkonforme digitale Kommunikation, die die Grundlage für einen sicheren Austausch digitaler Daten per E-Mail und Dateitransfer schafft. Neben einer asymmetrischen Verschlüsselung kommen dabei noch weitere Sicherheitsmerkmale in Spiel, darunter zum Beispiel TLS-gesicherte Verbindungen, ein Zugriffsschutz über eine Zwei-Faktor-Authentifizierung und die Option, den Zugriff für Empfänger zeitlich zu befristen. Selbst bereits gelesene E-Mails können zurückgerufen werden. Außerdem werden Inhalte und Empfänger sowie eventuell vorhandene Attachments bereits vorab auf mögliche Risiken untersucht.

Fazit: „Dauerbrenner“ E-Mail Verschlüsselung: Schon seit Jahren wird durch Umfragen und Studien immer wieder deutlich, dass bei der tatsächlichen Nutzung noch erhebliche Defizite bestehen. Zumindest zu komplexe Lösungen sollten allerdings heute niemanden mehr davon abhalten, durch eine professionelle Verschlüsselung mehr Sicherheit für E-Mails, Dateien oder auch ganze Dateiordner zu erreichen.

Nicht alle E-Mails bzw. Inhalte und Anlagen müssen jedoch verschlüsselt werden. Und genau darin liegt die Tücke: «Menschliche Fehler» sind auch bei der E-Mail Verschlüsselung das größte Risiko. False positive E-Mails sind hierbei nicht das Problem; false negative, also Mails deren Inhalt verschlüsselt werden sollten, aber unverschlüsselt versandt werden, dafür umso mehr. Lösungen die Anwender durch KI (Künstliche Intelligenz) bei der Beurteilung der Kritikalität von Inhalten wirkungsvoll unterstützen, sind die deutlich bessere Wahl.