1. Februar 2016 - Weitergabekontrolle

So schließen Sie Verschlüsselungs-Lücken

Unternehmen haben oft mehr Lücken in der E-Mail-Verschlüsselung als sie denken. Häufig beachten sie nämlich nicht, dass nicht nur Mail-Clients und Nutzer E-Mails verschicken. Ergänzen Sie deshalb Ihre Weitergabekontrolle im Datenschutz.

E-Mail-Verschlüsselung: öfter nötig als man denkt Auch Anwendungen verschicken Mails und müssen bei der Verschlüsselung berücksichtigt werden (Bild: Boarding1Now / iStock / Thinkstock)

Um Ihre Weitergabekontrolle für personenbezogene Daten zu verbessern, ist es wichtig, die Probleme bei der E-Mail-Verschlüsselung zu kennen und gezielt anzugehen.

Verschlüsselung entwickelt sich nur langsam

Zum einen kommt die Verschlüsselung personenbezogener Daten nur langsam voran, so das Ergebnis einer aktuellen Umfrage des Digitalverbands Bitkom:

  • Demnach verschlüsselten im vergangenen Jahr nur 15 Prozent der deutschen Internetnutzer E-Mails. Im Jahr davor waren es mit 14 Prozent ähnlich viele. Ein Fortschritt ist also kaum zu beobachten, obwohl E-Mails weiterhin einen großen Stellenwert für Unternehmen haben.
  • Laut der Bitkom-Umfrage geben 64 Prozent als Grund für den Verzicht auf Verschlüsselungssoftware an, dass sie sich damit nicht auskennen.
  • 59 Prozent sagen, dass ihre Kommunikationspartner keine Verschlüsselung einsetzen.
  • 26 Prozent halten Verschlüsselung grundsätzlich für zu aufwändig.

Zum anderen berücksichtigen Unternehmen Mail-Clients auf mobilen Endgeräten oft nicht, für sie fehlt dann die Verschlüsselung gänzlich. Außerdem wird häufig vergessen, dass E-Mails, die nicht nach außen gehen, also im Unternehmen verbleiben, ebenfalls einen Schutz gegen Lauschangriffe benötigen.

Neben der mobilen und der internen Mail-Verschlüsselung gibt es aber noch weitere Baustellen bei der E-Mail-Verschlüsselung.

Nicht nur Mail-Clients verschicken Mails

Konzepte zur Verschlüsselung von Mails, die am E-Mail-Client ansetzen, können nicht für die Verschlüsselung sorgen, wenn die Kollegen zum Beispiel Web-Mail oder Cloud-Mail nutzen. Hier muss die Verschlüsselung über den Browser und den Webserver geregelt werden.

Vergessen Sie auch nicht, dass Nutzer aus einer Reihe von Anwendungen direkt E-Mails verschicken können, ganz ohne Mail-Clients. Typischerweise sind das Fachanwendungen im Bereich

  • CRM (Customer Relationship Management),
  • ERP (Warenwirtschaft) und
  • HR (Human Resources).

Genau wie interne Mail-Verbindungen müssen auch die Mail-Verbindungen der Anwendungen zusätzlich abgesichert werden. Es gibt bereits E-Mail-Verschlüsselungslösungen, die Komponenten anbieten, mit denen sich die zusätzlichen Mail-Strecken absichern lassen.

Automatische Status-Mails nicht vergessen

Eine weitere Lücke bei der E-Mail-Verschlüsselung kann entstehen, wenn Anwendungen selbst E-Mails auslösen, insbesondere automatische Statusmails. Wenn diese Status-E-Mails personenbezogene Daten enthalten (wie z.B. den Namen des Nutzers, der sich gerade im System fehlerhaft angemeldet hat), sind sie aus Sicht des Datenschutzes zu schützen. Oftmals haben die Statusmails wichtige Warnfunktionen und sind deshalb besonders kritisch in ihren Inhalten.

E-Mail-Verschlüsselung mehrfach ausweiten

Denken Sie bei der Weitergabekontrolle also nicht nur daran, die E-Mail-Verschlüsselung weiter unter den Nutzern zu propagieren. Die E-Mail-Verschlüsselung muss auch strukturell und technisch weiter verbreitet werden, hin zu

  • Applikationen,
  • Monitoring-Diensten, die Status-Mails verschicken,
  • Smartphones und
  • Cloud-Diensten.

Dabei hilft Ihnen die Checkliste, die Ihnen einen Überblick über die Lücken in der Mail-Verschlüsselung verschafft.


Download: Checkliste: Lücken in der E-Mail-Verschlüsselung


Oliver Schonschek
Oliver Schonschek ist Diplom-Physiker (Universität Bonn), Analyst und IT-Fachjournalist im Bereich IT-Sicherheit und Datenschutz. Er ist Herausgeber und Fachautor zahlreicher Fachpublikationen.

Anzeige

Das Fachmagazin Datenschutz PRAXIS gibt Monat für Monat Praxistipps für eine wasserdichte Datenschutzorganisation im Unternehmen. Nutzen Sie das kostenlose Probeabo, um die Datenschutz PRAXIS zu testen!

Sie glauben, Sie hätten noch so viel Zeit? Falsch! Es gibt mehr zu tun, als Sie vielleicht denken! ▶ Zeit zu handeln