Gratis
11. September 2018 - Sicherheit der Verarbeitung

E-Mail-Verschlüsselung: Was fordert der Datenschutz?

Drucken

Die Datenschutz-Grundverordnung (DSGVO) nennt Verschlüsselung als Maßnahme für die Sicherheit der Verarbeitung personenbezogener Daten. Müssen deshalb alle E-Mails von nun an verschlüsselt werden? Es kommt darauf an – auf die E-Mails und die Art der Verschlüsselung.

Verschlüsselung vertraulicher Daten ist in der Praxis bisher die Ausnahme, auch bei E-Mails, die ungeschützt über das Internet übertragen werden Verschlüsselung vertraulicher Daten ist in der Praxis bisher die Ausnahme, auch bei E-Mails, die ungeschützt über das Internet übertragen werden (Bild: D3Damon/ iStock / Getty Images)

Nur 43 Prozent der befragten Firmen nutzen Verschlüsselungsstrategien, um sensible Daten vor Cyberkriminellen zu schützen, Compliance-Anforderungen zu erfüllen und menschlichen Fehlern vorzubeugen.

Das ergab die „2018 Global Encryption Trends Study“ von Thales. Die Studie zu globalen Verschlüsselungstrends 2018 wurde vom Ponemon Institute durchgeführt und basiert auf einer Umfrage unter über 5.200 Personen in 12 Ländern.

Verschlüsselung in der DSGVO

Die DSGVO sollte nun allerdings endlich Anlass genug dafür sein, dass sich der Prozentsatz der Unternehmen, die Verschlüsselung aus Compliance-Gründen einsetzen, deutlich erhöht.

So nennt die Grundverordnung in Art. 32 nicht nur die Verschlüsselung ausdrücklich als eine der Maßnahmen, um die Sicherheit der Verarbeitung zu gewährleisten. Art. 34 DSGVO besagt zudem im Zusammenhang mit der Meldepflicht:

„(3) Die Benachrichtigung der betroffenen Person gemäß Absatz 1 ist nicht erforderlich, wenn eine der folgenden Bedingungen erfüllt ist:
a) der Verantwortliche geeignete technische und organisatorische Sicherheitsvorkehrungen getroffen hat und diese Vorkehrungen auf die von der Verletzung betroffenen personenbezogenen Daten angewandt wurden, insbesondere solche, durch die die personenbezogenen Daten für alle Personen, die nicht zum Zugang zu den personenbezogenen Daten befugt sind, unzugänglich gemacht werden, etwa durch Verschlüsselung, (…).“

E-Mail-Verschlüsselung als grundsätzliche Pflicht?

Verschiedene Anbieter von IT-Sicherheitslösungen haben die Forderungen und Konsequenzen der DSGVO zum Anlass genommen, für ihre Produkte zu werben.

Dabei treffen sie Aussagen wie „Mit der DSGVO ist die E-Mail-Verschlüsselung jetzt grundsätzlich Pflicht!“ Doch stimmt das? Es kommt darauf an!

Bereits das alte Bundesdatenschutzgesetz nannte die Verschlüsselung als eine der zentralen technisch-organisatorischen Maßnahmen. Verschlüsselung hatte und hat eine wichtige Stellung. Sie trägt wesentlich dazu bei, das Schutzziel „Vertraulichkeit“ zu erreichen, und hilft, Daten auf Integrität und Echtheit zu prüfen.

Trotzdem gilt: Geeignete technische und organisatorische Maßnahmen sollen ein Schutzniveau gewährleisten, das dem Risiko angemessen ist.

Verantwortliche müssen sie „unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen“ auswählen.

Was Aufsichtsbehörden zur E-Mail-Verschlüsselung sagen

Bedeutet das nun, dass E-Mail-Verschlüsselung freiwillig ist? Die Landesbeauftragte für Datenschutz und Informationsfreiheit in Nordrhein-Westfalen schreibt z.B., dass Maßnahmen wie Verschlüsselung als Beispiele für Standardmaßnahmen zu verstehen sind.

Das heißt: Sofern ihr Einsatz möglich und angemessen ist, sind sie grundsätzlich umzusetzen.

Zentral: Angemessenheit und Schutzbedarf

Es kommt also auf die Angemessenheit und damit den Schutzbedarf an. Sollen Daten mit hohem oder sehr hohem Schutzbedarf, wie etwa Gesundheitsdaten, per E-Mail verschickt werden, ist eine Ende-zu-Ende-Verschlüsselung erforderlich.

Da diese Verschlüsselung die Betreffzeile der E-Mail nicht schützt, muss der Absender darauf achten, dass der Betreff keine Daten mit hohem oder sehr hohem Schutzbedarf enthält.

Übermittelt der Absender personenbezogene Daten mit normalem Schutzbedarf, besteht die Möglichkeit, im Einzelfall auf eine Ende-zu-Ende-Verschlüsselung der Inhaltsdaten zu verzichten.

Als Mindeststandard ist bei der Übermittlung personenbezogener Daten mit normalem Schutzbedarf eine Transportverschlüsselung erforderlich, so die Aufsichtsbehörde.

Es zeigt sich: Es kommt auf den Schutzbedarf der personenbezogenen Daten und die Art der Verschlüsselung an. Alle E-Mails zu verschlüsseln, fordert der Datenschutz also nicht.

E-Mail-Verschlüsselung richtig umsetzen

Neben der angeblich grundsätzlichen Pflicht, alle E-Mails komplett zu verschlüsseln, gab es in der jüngeren Vergangenheit auch Meldungen, E-Mail-Verschlüsselung sei nicht mehr sicher.

Hier heißt es, genauer hinzusehen. Denn E-Mail-Verschlüsselung ist eine Lösung aus vielen Komponenten. Das ist wichtig zu bedenken, wenn man die folgende Sicherheitslücke richtig einschätzen will.

Im Mai 2018 hatten Sicherheitsforscher der Fachhochschule Münster, der Ruhr-Universität Bochum sowie der Universität Leuven (Belgien) schwerwiegende Schwachstellen in den weitverbreiteten E-Mail-Verschlüsselungsstandards OpenPGP und S/MIME gefunden und das Bundesamt für Sicherheit in der Informationstechnik (BSI) darüber informiert.

Angreifer konnten demnach verschlüsselte E-Mails so manipulieren, dass sie den Inhalt der Nachricht im Klartext erhielten, nachdem der eigentliche Empfänger den Text entschlüsselt hatte.

Die genannten E-Mail-Verschlüsselungsstandards lassen sich nach Einschätzung des BSI allerdings weiterhin sicher einsetzen, wenn sie korrekt implementiert und sicher konfiguriert sind.

Um die Schwachstellen auszunutzen, muss ein Angreifer Zugriff auf den Transportweg, den Mailserver oder das E-Mail-Postfach des Empfängers haben, stellte das BSI klar.

Zusätzlich müssen auf Empfängerseite aktive Inhalte erlaubt sein, also etwa das Ausführen von html-Code und insbesondere das Nachladen externer Inhalte.

Das BSI empfahl entsprechend:

  • Verantwortliche müssen aktive Inhalte im E-Mail-Client deaktivieren. Dazu zählen die Ausführung von html-Code und das Nachladen externer Inhalte, die oftmals aus Design-Gründen erlaubt sind.
  • E-Mail-Server und E-Mail-Clients müssen gegen unerlaubte Zugriffsversuche abgesichert sein.

Maßnahmen für mehr E-Mail-Verschlüsselung

Auch wenn die Mitarbeiter nicht jede E-Mail verschlüsseln müssen und E-Mail-Verschlüsselung nicht vor Sicherheitslücken gefeit ist: Unternehmen sollten deutlich mehr tun, um vertrauliche E-Mails zu schützen.

Prüfen Sie dabei die Maßnahmen ab, die diese Tabellenübersicht aufführt.

Informationen für die Geschäftsleitung

Um die Geschäftsleitung als verantwortliche Stelle zu informieren und zu sensibilisieren, sind Studien und Umfragen hilfreich, die den Bedarf an Verschlüsselung unterstreichen. Aktuelle Studien hierzu sind z.B. die bereits genannte „2018 Global Encryption Trends Study“ von Thales und die Studie „Einsatz von elektronischer Verschlüsselung – Hemmnisse für die Wirtschaft“ im Auftrag des Bundesministeriums für Wirtschaft und Energie.

Das Bundeswirtschaftsministerium stellt in diesem Zusammenhang klar: Der Einsatz von Verschlüsselungslösungen, etwa für E-Mails und Datenträger, ist ein wichtiger Faktor, um die IT-Sicherheit von Unternehmen zu erhöhen und Gefahren durch Angriffe zu minimieren.

Obwohl die erforderlichen Lösungen alle auf dem Tisch zu liegen scheinen, kommt der flächendeckende Einsatz nicht recht voran. Informationen in einer unverschlüsselten E-Mail sind allerdings genauso schlecht geschützt, als würde man sie auf einer Postkarte versenden.

Dass viele Unternehmen nach wie vor sensible und vertrauliche Informationen unverschlüsselt per E-Mail versenden, zeigt auch die aktuelle Auswertung des TÜV SÜD Datenschutzindikators.

Bei Privatnutzern sieht dies erwartungsgemäß noch kritischer aus, wie die Studie „ESET Faktencheck: Verschlüsselung“ ergab.

Zusammenfassung: E-Mail-Verschlüsselung – warum und wie?

Die Verschlüsselung von E-Mails schützt vor folgenden Datenrisiken:

  • Verlust von Vertraulichkeit und Integrität beim Versand von E-Mails
  • Verlust von Vertraulichkeit und Integrität bei der Speicherung von E-Mails

Verfahren der E-Mail-Verschlüsselung:

  • verschlüsselte Übertragung von E-Mails (Transportverschlüsselung): TLS (Transport Layer Security)
  • Verschlüsselung der Mail-Inhalte (Ende-zu-Ende-Verschlüsselung): S/MIME (Secure/Multipurpose Internet Mail Extensions) oder PGP (Pretty Good Privacy)

Oliver Schonschek
Oliver Schonschek, Dipl.-Phys., ist Technology News Analyst mit Fokus auf IT-Sicherheit und Datenschutz. Er bewertet IT-Risiken und Datenschutz-Technologien.