E-Mails sind das wohl gängigste Kommunikationsmittel via Internet. 306 Milliarden E-Mails werden nach Angaben des Statistikportals Statista weltweit verschickt – und zwar täglich! Aber die bequeme E-Mail-Kommunikation ist nicht ganz ungefährlich, denn sie kann Einfallstor für Datendiebe und andere Cyberkriminelle sein. Phishing-E-Mails, Fake-President-Fraud-Angriffe oder E-Mail-Anhänge, die ganze Computersysteme verschlüsseln, sind die bekannten Fälle. Darüber hinaus ist es aber auch wichtig, beim Transport der E-Mail durch das Internet moderne Verschlüsselungstechnologie anzuwenden. Die IT-Sicherheitsexperten Henning Weibezahl und Lothar Krause aus unserer Unternehmensgruppe erläutern, was es damit auf sich hat.

E -Mails sind sind im Grunde wie die gute alte Postkarte: Jeder, der über die richtige Technologie verfügt, kann mitlesen, auch wenn das Geschriebene nicht für ihn bestimmt ist. Es sei denn, die E-Mail wird verschlüsselt transportiert. Das macht es Cyberkriminellen deutlich schwerer, den E-Mailverkehr zu kontrollieren und einen Zugang in das IT-System eines Unternehmens zu bekommen. Diese Verschlüsselung trägt den Namen Transport Layer Security, kurz TLS.

Die Force TLS-Verschlüsselung (erzwungene Transport Layer Security) chiffriert den Verkehr vom eigenen E-Mail-Server bis zum Server des Empfängers, erläutert Lothar Krause. „Sie verschlüsselt den Transport erzwungen vom sendenden Server zum Empfänger anhand eines Zertifikates, das valide, also von einer validen Zertifizierungsstelle, sein sollte.“

Bei dem sogenannten opportunistischen TLS wird hingegen nur verschlüsselt, wenn die Gegenseite diese Verschlüsselung unterstützt. Sonst wird die Mail unverschlüsselt gesendet. Das sollte keine Option sein. Natürlich schreitet die Entwicklung bei der Verschlüsselungstechnologie auch voran. Henning Weibezahl: „Um die Sicherheit der E-Mail-Kommunikation zu gewährleisten, ist es wichtig, mindestens die TLS-Version 1.2 zu verwenden.“ Diese TLS-Version entspreche auch den Empfehlungen des Bundesamtes für Sicherheit in der Informationstechnik (BSI), um zu verhindern.
 

Ältere Versionen sind zu unsicher

Einige Unternehmen nutzen noch die älteren TLS-Versionen 1.0 und 1.1, wissen die beiden IT-Fachleute. „Im Interesse der eigenen Sicherheit sollte der Standard erhöht werden“, rät Henning Weibezahl. „Sonst läuft jedes Unternehmen Gefahr, zum Opfer zu werden.“ Außerdem verlange der Datenschutz, personenbezogene Daten nur mit einer Verschlüsselung vom Grad TLS 1.2 per E-Mail zu versenden, sonst bestehe die Gefahr, gegen die Datenschutz-Grundverordnung zu verstoßen. Akzeptiert der angeschriebene E-Mail-Server die TLS-Versionen 1.0 und 1.1 nicht mehr, erhält der E-Mail-Absender eine Nachricht über einen Zustellfehler.
 

Hoher Standard wird erwartet

Sofern Sie bereits über eine IT-/Cyber-Versicherung verfügen, ist auch hier Aufmerksamkeit geboten. Zur Aufrechterhaltung des Versicherungsschutzes wird von einigen Versicherern verlangt, den E-Mail-Verkehr mit schutzbedürftigen – insbesondere personenbezogenen – Daten ausreichend und angemessen zu sichern.

Die TLS-1.2-Verschlüsselung muss zertifiziert sein. Zwar könne jeder theoretisch das Zertifikat selbst signieren, aber Akzeptanz verspreche nur ein Zertifikat einer anerkannten Ausgabestelle, schildert Lothar Krause. „Die IT-Dienstleister kennen die entsprechenden Anbieter“, sagt er. Die Jahresgebühren für ein solches Zertifikat bewegen sich im niedrigen dreistelligen Bereich. „Im Sinne der Sicherheit gut angelegtes Geld“, unterstreicht Henning Weibezahl.

 

Thorsten Engelhardt
thorsten.engelhardt@ecclesia.de