Das Thema „Verschlüsselung“ ist ein derzeit sehr präsentes. Der Begriff „Verschlüsselung“ meint in der Informationssicherheit die Umwandlung von Daten und Informationen in eine für Unbefugte nicht lesbare Form. Sie zahlt dabei auf das Ziel der Vertraulichkeit – einem der drei Schutzziele der Informationssicherheit, neben Integrität und Verfügbarkeit – ein. Vor dem Hintergrund der steigenden Anzahl an Cyber-Angriffen auf Unternehmen wächst auch die Bedeutung von Datensicherheit und Datenschutz – und indessen auch von Verschlüsselung, denn Daten sind ein wertvolles Gut der Unternehmen.

Nachfolgend möchten wir das Thema der Kommunikationsverschlüsselung, mit Fokus auf den immer noch weit verbreiteten Kommunikationsweg der E-Mail, näher beleuchten und Ihnen Anwendungsszenarien, Lösungsanbieter*innen und Alternativvorschläge an die Hand geben.

Die Empfehlungen auf dieser Informationsseite sind als Richtungsweiser zu verstehen. Wenn Sie sich unsicher sind, welche Lösung für Ihr Unternehmen in Frage kommt, steht Ihnen eine breite Beratungskompetenz in Niedersachsen zur Verfügung.

Hintergrundinformationen

Mit der Punkt-zu-Punkt-/Transportverschlüsselung und der Ende-zu-Ende-Verschlüsselung von E-Mails lassen zwei Arten unterscheiden. Bei der Transportverschlüsselung wird zwischen dem E-Mail-Programm und dem Server eine Verbindung aufgebaut und diese z.B. gemäß dem weit verbreiteten Protokoll “Transport Layer Security” (TLS) verschlüsselt. Hierbei werden alle Daten, die zwischen zwei Kommunikationspartnern*innen ausgetauscht werden, während des Versands verschlüsselt. Beim Versand wird die E-Mail über verschiedene Knotenpunkte im Internet zum/zur Empfänger*in weitergeleitet. So ist die versandte E-Mail an diesen Punkten und dazwischen nicht zwingend verschlüsselt. Die E-Mail liegt dann sowohl beim E-Mail-Anbieter als auch an den Knotenpunkten des Versands im Klartext vor. So ist es bei dieser Verschlüsselungsmethode möglich, dass Kriminelle einen sogenannten “Man-in-the-Middle-Angriff” starten. Hierbei wird der Fokus auf ebendiese Punkte ausgerichtet, was das Abfangen, kopieren oder verändern der E-Mail ermöglicht.

Bei der Ende-zu-Ende-Verschlüsselung werden anders als bei der Transportverschlüsselung nicht die einzelnen Abschnitte im Versandkanal verschlüsselt, sondern die versandte E-Mail selbst. So können lediglich Sender*in und der/die berechtigte/r Empfänger*in die E-Mail im Klartext lesen, wenn diese über die entsprechenden Schlüssel verfügen. Damit ist es weder für die am Versand beteiligten E-Mail-Anbieter noch für potenzielle kriminelle Angreifer*innen möglich, die E-Mail unterwegs abzufangen, zu lesen und gegebenenfalls zu manipulieren. Damit erfüllt nur diese Technik alle drei Ziele der Verschlüsselung im Internet: Vertraulichkeit, Authentizität und Integrität.[1]

Fazit zu Ende-zu-Ende-Verschlüsselung und Transportverschlüsselung von E-Mails: Was ist der Unterschied?

Selbstverständlich ist eine Transportverschlüsselung einer gänzlich unverschlüsselten E-Mail-Kommunikation vorzuziehen, doch besonders bei vertraulichen und sensiblen Inhalten ist der Einsatz einer Ende-zu-Ende-Verschlüsselung zu empfehlen. Dabei ist zudem für alle Unternehmen zu beachten, dass die DSGVO die sichere Verarbeitung (hier Versand) sensibler personenbezogener Daten in Art. 5 Abs. 1 lit. f DSGVO sogar vorschreibt.

Neben den beiden oben genannten Verschlüsselungsarten gibt es zudem verschiedene Verschlüsselungsverfahren. Hier lässt sich zwischen symmetrischen und asymmetrischen Verfahren unterscheiden. Bei beiden Verfahren müssen Schlüssel zwischen den Kommunikationspartnern*innen getauscht werden, um zum Verschlüsseln und Entschlüsseln der Nachrichten genutzt werden zu können. Die beiden Verfahren unterscheiden sich insbesondere darin, wie viele Schlüssel beim E-Mail-Transfer erzeugt und wie viele davon öffentlich weitergegeben werden dürfen. In den folgenden Abschnitten werden die beiden Techniken genauer erläutert:

Beim Einsatz des symmetrischen Verschlüsselungsverfahrens wird sowohl von Sender*in als auch von Empfänger*in der gleiche Schlüssel verwendet, um die entsprechende E-Mail auf der einen Seite zu verschlüsseln und auf der anderen Seite zu entschlüsseln. So muss sichergestellt werden, dass der Schlüssel vor der eigentlichen Kommunikation auf einem sicheren Weg zwischen den beiden an der Kommunikation beteiligten Parteien ausgetauscht wird und zudem von beiden geheim gehalten wird. So ist wegen der komplizierten Schlüsselverteilung das symmetrische Verfahren innerhalb großer und offener Nutzergruppen eher ungeeignet. Der Vorteil an dieser Technik ist jedoch, dass auch große Datenmengen besonders schnell ver- und wieder entschlüsselt werden können.[2]

Eine deutlich sicherere Technik stellt das asymmetrischen Verschlüsselungsverfahren dar. Hierbei wird ein Paar aus einem privaten und einem öffentlichen Schlüssel erzeugt. Der private Schlüssel wird lediglich vom entsprechenden Eigentümer verwendet und geheim gehalten. Der dazugehörige öffentliche Schlüssel hingegen wird im Rahmen der Kommunikation allen potenziellen Kommunikationspartnern*innen zur Verfügung gestellt. So könnte der Verschlüsselungsmechanismus in diesem Fall mit einem geöffneten Vorhängeschloss verglichen werden. Dieses kann von jedem verschlossen werden (entspricht dem öffentlichen Schlüssel), aber nur von der/dem Besitzer*in des privaten Schlüssels wieder geöffnet – und im Falle der E-Mail gelesen – werden.[3]

Anwendungsfälle

Aufgrund ihrer höheren Geschwindigkeit wird die symmetrische Verschlüsselung häufig in modernen Computersystemen zum Schutz von Informationen eingesetzt. Asymmetrische Verschlüsselung kann dafür besser auf Systeme angewendet werden, in denen viele Benutzer*innen eine Nachricht oder einen Datensatz verschlüsseln und entschlüsseln müssen, insbesondere wenn Geschwindigkeit und Rechenleistung nicht im Vordergrund stehen.

Um die Vorteile beider Verfahren zu verbinden, werden in vielen Anwendungen auch symmetrische und asymmetrische Verschlüsselung gemeinsam eingesetzt. Man spricht dann von hybriden Systemen. Typische Beispiele für solche Hybridsysteme sind das kryptographische Protokoll Security Sockets Layer (SSL) und dessen standardisierte Weiterentwicklung, das Transport Layer Security (TLS).[4]

Fazit zu Symmetrische und asymmetrische Verschlüsselung: Was ist der Unterschied?

Beide Verschlüsselungsverfahren – also sowohl die symmetrische, als auch die asymmetrische Verschlüsselung – spielen bei der Sicherheit sensibler Informationen und Kommunikationen in der digital Welt eine wichtige Rolle. Obwohl beide nützlich sein können, haben sie jeweils ihre Vor- und Nachteile und werden daher für verschiedene Anwendungen eingesetzt. Durch die Weiterentwicklungen der Kryptographie zum Schutz gegen neuere und komplexere Bedrohungen, werden wahrscheinlich auch zukünftig beide Verfahren relevant bleiben.

Für den Umgang mit verschiedenen Dokumenten lassen sich im Rahmen der IT-Sicherheit gewisse Vertraulichkeitsstufen definieren. Wichtig ist dabei, dass das Schema von allen Mitarbeiter*innen anwendbar, also nicht zu kompliziert ist. Der BSI Standard 200-2[5] sieht in Bezug auf die Klassifikation von Informationen vier Stufen vor, die wir nachfolgend mit jeweiligen Beispielen erläutern möchten:

Öffentliche Dokumente:

  • Diese Daten sind für jedermann, auch außerhalb der Firma, zugänglich. Bei einem Verlust oder der Kenntnisnahme Dritter entsteht kein Schaden für das Unternehmen.
  • Szenario: Unternehmen A gibt per Pressemitteilung einen neuen Produktlaunch bekannt. Die Neuigkeit wird auch in den sozialen Medien geteilt.
  • Vorgehen: Bei einer Pressemitteilung handelt es sich um ein für die Öffentlichkeit bestimmtes Dokument. Hierfür gibt es üblicherweise keine besonderen Regeln. Die Dokumentenform kann demnach unverschlüsselt geteilt werden.

Interne Dokumente:

  • Interne Dokumente sollten lediglich den eigenen Mitarbeiter*innen zugänglich gemacht werden. Beim Verlust oder der Kenntnisnahme Dritter ist der Schaden begrenzt und überschaubar.
  • Szenario: Unternehmen A informiert seine Mitarbeiter über neue interne Richtlinien zur Vorgehensweise bei Krankmeldungen.
  • Vorgehen: Interne Dokumente können per normaler E-Mail versandt werden. Bei der Entsorgung reicht in der Regel der Papiermüll aus.

Vertrauliche Dokumente:

  • Vertraulich definierte Daten sind lediglich einer begrenzten Anzahl an Mitarbeiter*innen zugänglich, z.B. Personaldaten, Kundenlisten, Kalkulationen.  Beim Verlust oder der Kenntnisnahme Dritter kann der Schaden beträchtlich sein.
  • Szenario: Unternehmen A übermittelt eine Kundenliste für ein gemeinsam durchgeführtes Projekt an Unternehmen B.
  • Vorgehen: Entsprechende vertrauliche Dokumente mit personenbezogenen Daten sollten per verschlüsselter E-Mail verschickt werden. Die Dokumente sollten aus Sicherheitsgründen in der Datentonne oder im Schredder entsorgt werden.

Streng vertrauliche Dokumente:

  • Streng vertrauliche Daten sind ausschließlich bestimmten, definierten Personen zugänglich. Beim Verlust oder der Kenntnisnahme Dritter kann der Schaden ein existenziell bedrohliches Ausmaß erreichen.
  • Szenario: Unternehmen A übermittelt wichtige Dokumente im Rahmen von Rechtsstreitigkeiten mit Unternehmen B bezüglicher einer laufenden Patentanmeldung an die Anwaltskanzlei.
  • Vorgehen: Streng vertrauliche Daten müssen per verschlüsselter E-Mail versandt werden. Die entsprechenden Dokumente müssen persönlich in der Datentonne oder noch besser im Schredder entsorgt werden.

Anzumerken ist bei einem solchen Klassifizierungsschema, dass selbstverständlich Voraussetzung ist, dass alle Dokumente im Unternehmen klassifiziert werden. Sollte die oben beschriebene Vorgehensweise anfänglich zu aufwändig oder kompliziert sein, kann anfangs auch mit einer zweistufigen Klassifizierung, z.B. in „öffentlich“ und „intern“, begonnen werden.[6] Bei besonders sensiblen Daten kann es noch zusätzlich sinnvoll sein, dass neben der Verschlüsselung der E-Mail zusätzlich die ggf. mitversandten Dokumente gesondert mit einem Passwortschutz versehen werden.

Für die einfachere Handhabung der Verschlüsselung von E-Mails gibt es unterschiedliche Softwarelösungen auf dem Markt. Die nachfolgende Übersicht soll Ihnen einen Überblick über verschiedene Lösungsanbieter*innen geben, ohne dabei einen Anspruch auf Vollständigkeit zu haben. Wenn Sie sich unsicher sind, welche Lösung für Ihr Unternehmen in Frage kommt, steht Ihnen zudem eine breite Beratungskompetenz in Niedersachsen zur Verfügung. Unsere Digitalberatungsmap Niedersachsen kann Ihnen helfen das passende Beratungsangebot in Ihrer Nähe zu finden.

 

  Anbieter 1 Anbieter 2 Anbieter 3
Stärken        
Kosten        
  Link Webseite Link Webseite Link Webseite Link Webseite

 

Ihnen fehlt die Information zu einem bestimmten Angebot? Dann freuen wir uns über einen Hinweis. Schreiben Sie uns eine E-Mail an datensicherheit@nds.de.

Fazit

Die Verschlüsselung von vertraulichen Daten und Informationen ist wichtiger denn je. Aus diesem Grund sollten sich auch Unternehmen vertiefend mit diesem Thema auseinandersetzen. Gerade der immer noch weit verbreitete Kommunikationsweg der E-Mail bietet Angreifer*innen diverse Möglichkeiten Daten abzugreifen, sofern die Nachrichten nicht durch Ende-zu-Ende-Verschlüsselung geschützt werden. Alternativ zur E-Mail sollte demensprechend auch über andere Kommunikationswege nachgedacht werden. Einige Kommunikationstools, wie z.B. Messenger, übertragen heute bereits standardmäßig alle Daten Ende-zu-Ende-verschlüsselt.

[1], [2] & [3]: Bundesamt für Sicherheit in der Informationstechnik (BSI) (o.J.): E-Mail Verschlüsselung. URL: https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Informationen-und-Empfehlungen/Onlinekommunikation/Verschluesselt-kommunizieren/E-Mail-Verschluesselung/e-mail-verschluesselung.html (Letzter Abruf: 14.04.2021)

[5] & [6]: Bundesamt für Sicherheit in der Informationstechnik (BSI) (2017): BSI-Standard 200-2. URL: https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/BSI_Standards/standard_200_2.html (Letzter Abruf: 14.04.2021).

[4]: Institut für Internet-Sicherheit (ifis) (o.J.): SSL/TLS-verschlüsselung. URL: https://www.internet-sicherheit.de/sicher-im-internet-das-buch/workshops-und-themen/verschluesselung-und-identitaeten/ssltls-verschluesselung.html (Letzter Abruf: 14.04.2021).