Gremienkommunikation geheim halten: Ratgeber zur E-Mail Sicherheit

Das Zeitalter elektronischer Kommunikation birgt unzählige Chancen, gleichermaßen aber auch Risiken insbesondere, wenn es um die E-Mail Sicherheit geht. Schon vor vielen Jahren hat die elektronische Post, kurz E-Mail, den klassischen Brief abgelöst. Sie ist schneller, günstiger und vielseitiger und ist längst zum Standard der privaten und vor allem geschäftlichen Korrespondenz geworden. Was dabei noch immer gerne ignoriert wird ist die Tatsache, dass eine E-Mail gleich einer Postkarte sehr leicht abzufangen und mitzulesen ist. Gerade wenn Führungsgremien im Unternehmen über E-Mail kommunizieren, was regelmäßig der Fall ist, ist das Thema E-Mail Sicherheit von Bedeutung. Der vorliegende Beitrag beleuchtet einige Vorkehrungen, die getroffen werden sollten, damit der Inhalt elektronischer Kommunikation geheim bleibt und nicht in die Hände von Hackern oder der Konkurrenz gerät.

Sicherheitsirrtümer der E-Mail-Kommunikation

Das deutsche Bundesamt für Sicherheit in der Informationstechnik warnt auf seiner Website unter anderem vor im HTML-Code von E-Mails versteckten Gefahren. Hat der Empfänger einer E-Mail in seinem Mail-Client (bspw. Microsoft Outlook) die Anzeige von E-Mails im HTML-Format aktiviert, kann böswilliger Code bereits durch das Öffnen der E-Mail-Vorschau Schaden anrichten. Zwar schlägt eine gute Firewall in einem solchen Fall Alarm, dennoch wird dazu geraten, die automatische Anzeige von E-Mails im HTML-Format zu deaktivieren. Möchte man die in der E-Mail enthaltenen Bilder und Farbelemente dann sehen, kann die HTML-Anzeige bei vertrauenswürdigen Absendern einzeln mit einem Mausklick aktiviert werden.

Sehr gefährlich für die Gremienkommunikation kann es sein, wenn der Empfänger einer E-Mail blind darauf vertraut, dass es sich bei dem in der Nachricht angezeigten Absender – zum Beispiel der Kollege im Aufsichtsrat – auch tatsächlich um die angezeigte Person handelt. Absenderadressen von E-Mails lassen sich mit geringem technischem Aufwand fälschen. Vertraut der Empfänger dem Absender blind, kann dieser den Computer leicht mit Schadsoftware zum Ausspionieren infizieren. Ein erster, leicht umzusetzender Tipp ist es, die Absenderadresse im Header der E-Mail zu überprüfen und mit der Maus über den angezeigten Namen zu fahren. Dann wird die tatsächliche E-Mail-Adresse des Absenders angezeigt und lässt sich so überprüfen. Genaue Angaben über den Absender lassen sich auch im Quelltext der empfangenen E-Mail anzeigen. Dieser kann mit wenigen Mausklicks angezeigt werden und gibt wichtige Anhaltspunkte in Bezug auf die Echtheit des Absenders. Bei verdächtig wirkendem Inhalt der E-Mail (bspw. die Aufforderung zum Anweisen von höheren Geldsummen) ist aber auch nicht auszuschließen, dass der Computer des Absenders infiziert ist und die E-Mail tatsächlich vom angezeigten Absender kommt, der Inhalt aber manipuliert bzw. mit krimineller Absicht verfasst worden ist.

Noch immer erzielen Datendiebe Erfolge mit der sogenannten Phishing-Methode. Das Wort setzt sich aus dem Englischen „fishing“ für Angeln und vorangestelltem „P“ wie Passwort zusammen. Eine beliebte Masche ist es, E-Mails von bekannten Zahlungsdienstleistern oder Banken zu fälschen und einen Link in die E-Mail einzubauen, mit der bspw. die korrekte Bankverbindung verifiziert werden soll. Klickt der Empfänger auf einen solchen Phishing-Link, wird er auf eine täuschend echt wirkende Seite der vermeintlichen Bank geleitet und gibt dort seine Bankdaten ein, die dann in die Hände der Hacker gelangen. Schützen kann man sich vor Phishing leicht, indem man wie oben beschrieben den Absender der E-Mail genau überprüft sowie im Zweifel misstrauisch ist und die E-Mail löscht.

Empfehlung für Führungsgremien: Verschlüsselungstechnologien nutzen

Führungsgremien im Unternehmen sind angehalten, E-Mails grundsätzlich zu verschlüsseln. Eine nicht verschlüsselt versandte E-Mail kann auf dem Transportweg von Mailserver zu Mailserver grundsätzlich mitgelesen werden – gleich einer Postkarte.

Schutz bietet die Verschlüsselung von E-Mails. Dabei wird zwischen zwei Arten der E-Mail-Verschlüsselung unterschieden: die Punkt-zu-Punkt- bzw. Transportverschlüsselung und die Ende-zu-Ende-Verschlüsselung.

Bei der Transportverschlüsselung wird die Verbindung zwischen Mail-Client (bspw. Outlook) und Mailserver meist mit dem Protokoll TLS (Transport Layer Security) verschlüsselt und ist damit vor dem Zugriff Dritter geschützt. Jedoch wird die E-Mail über verschiedene Knotenpunkte im Web zum Empfänger geleitet, die unverschlüsselt und damit ungeschützt bleiben. In diesen Abschnitten des Transportweges liegt die E-Mail im Klartext vor. Die E-Mail kann also abgefangen, verfälscht und/oder verändert werden.

Anders läuft dies bei der Ende-zu-Ende-Verschlüsselung ab. Die E-Mail Sicherheit ist bei diesem Verfahren deutlich höher, da nicht nur einzelne Bereiche des Versandweges verschlüsselt und damit geschützt werden, sondern die einzelne E-Mail selbst. Absender und Empfänger müssen hierfür über den notwendigen Schlüssel verfügen. Der Austausch des Schlüssels, der vor Versand und Empfang der E-Mail erfolgen muss, ist jedoch recht umständlich, weswegen diese Verschlüsselungsmethode nur eingeschränkt beliebt ist. In Führungsgremien, innerhalb denen sich die Zusammensetzung der E-Mail-Kommunikationspartner in Grenzen hält, ist diese Art der Verschlüsselung jedenfalls eher geeignet und bietet nahezu hundertprozentige Sicherheit, auch bei großen und vor allem sensiblen Datenmengen. Alternativ oder kumulativ können angehängte Dokumente wie PDF-Dateien auch zusätzlich mit einem Passwort verschlüsselt werden, das dann über einen anderen Kommunikationskanal (SMS, WhatsApp oder Anruf) übermittelt wird.

Signatur mittels digitaler Unterschrift

Um die Authentizität des Absenders zu garantieren, gibt es die Möglichkeit, eine E-Mail mit einer digitalen Unterschrift zu signieren. Eine Ende-zu-Ende-verschlüsselte E-Mail mit digitaler Signatur entspricht nach der Beschreibung des Bundesamts für Sicherheit in der Informationstechnik einem zugeklebten und versiegelten Brief.

Nutzung von VPN-Clients

Aufsichtsratsmitglieder reisen häufig – gerne mit der Bahn. Die Verfügbarkeit von WLAN im ICE schreitet voran, jedoch birgt die Nutzung öffentlicher Netze große Sicherheitsrisiken. Eine gute E-Mail-Verschlüsselung ist hier nahezu wirkungslos, wenn Dateien über öffentliche WLAN-Verbindungen abgerufen werden. Eine einfache und effiziente Methode, um derlei Sicherheitslücken zu schließen und die E-Mail Sicherheit sicherzustellen, ist die Verwendung eines VPN-Clients. VPN steht für Virtual Private Network. Hier gibt es eine Vielzahl von kostenlosen und kostenpflichtigen Diensten, die einfach und problemlos installiert werden können und den Datenverkehr in (öffentlichen) WLAN-Netzen schützen. Erfolgt die Verbindung über das Mobilfunknetz (mittels SIM-Karte im Tablet, Smartphone oder Notebook) ist die Verwendung eines VPN-Clients nicht notwendig.