Secure E-Mail: Tipps zur sicheren E-Mail Kommunikation

Ziel einer sicheren E-Mail-Kommunikation ist es, Informationen so vom Absender zum Empfänger zu senden, dass niemand außer Absender und Empfänger Zugang zu diesen Informationen bekommt. Dieses Verfahren bezeichnet man auch als Ende-zu-Ende-Verschlüsselung.

Eine Verschlüsselung von E-Mails ist die Umwandlung – mit Hilfe eines Schlüssels – von Klartext, welcher von allen gelesen werden kann, in einen unlesbaren Text für den Transport. Dieser unlesbare Text kann nur von den Besitzern eines Schlüssels wieder zum Klartext umgewandelt werden. Das Umwandeln des Klartextes nennt man Verschlüsseln und geschieht beim Absender. Das Zurückwandeln des verschlüsselten Textes in lesbare Form nennt man Entschlüsseln und geschieht beim Empfänger.

Grundsätzlich gleicht eine unverschlüsselte E-Mail einer Postkarte, welche man ebenfalls auf dem gesamten Transportweg lesen kann. Um die Postkarte unlesbar zu transportieren, kann man diese in eine abschließbare, nicht einsehbare Transportbox legen, welche nur vom Absender abgeschlossen und vom Empfänger aufgeschlossen werden kann, da nur diese die entsprechenden Schlüssel besitzen.

Die Möglichkeit zur Verschlüsselung von E-Mails gibt es zwar schon recht lange, hat sich jedoch aus verschiedenen Gründen in der Praxis bisher nur in geringem Umfang durchgesetzt. Ein auch heute noch genutztes Verfahren – PGP (Pretty Good Privacy) – z.B. hatte seine Anfänge bereits in 1991.

Durch die Einführung der Datenschutzgrundverordnung (DSGVO) im Mai 2018 bestehen für Unternehmen große Risiken, wenn sie den E-Mail-Schutz vernachlässigen. Wer bisher keine Verschlüsselung einsetzt, sollte darüber nachdenken. Die folgenden Tipps sollen dabei helfen:

Verschaffen Sie sich eine Übersicht

Welche Arten von E-Mails verwenden Sie? Beispiele wären intern (Kollegen), extern (Geschäftspartner, Verbraucher), manuell, automatisch (Lieferschein- / Rechnungsversand). In allen Fällen müssen geeignete Verschlüsselungsverfahren verwendet sein.

Prüfen Sie die Möglichkeiten zur Verschlüsselung von E-Mails

Verschlüsselungsmethoden wie das o.g. PGP erfordern ein gewisses technisches Verständnis, welches man nicht bei allen Geschäftspartnern und Kunden voraussetzen kann. Fast immer muss mit Erweiterungen nachgerüstet werden, welche nur für eine geringe Anzahl von Betriebssystemen und E-Mailprogrammen vorhanden sind. Gerade im Smartphone-Bereich wird die Benutzung hierdurch erschwert.

Eine Alternative hierzu ist S/MIME (auf Deutsch etwa „Sichere Mehrzweck E-Mail Erweiterung), welche u.a. eine Funktion für das Verschlüsseln von E-Mails beinhaltet. S/MIME ist standardmäßig in fast allen E-Mail-Programmen enthalten, wodurch keine zusätzliche Installation erforderlich ist. Ebenso findet man eine S/MIME-Unterstützung in vielen webbasierten E-Mail-Portalen. Achtung, bei beiden Verfahren werden nur die E-Mail-Inhalte verschlüsselt, Absender, Empfänger und Betreff sind weiterhin lesbar. Ein weiterer Nachteil ist, dass beide Verfahren nicht miteinander kompatibel sind und somit ein Austausch von verschlüsselten E-Mails nur möglich ist, wenn Empfänger und Absender das gleiche Verfahren verwenden.

Einsatz von Messenger

Ebenfalls ist der Einsatz von DSGVO-konformen Messengern möglich. Wem es nicht darum geht, einen möglichst großen Personenkreis anzusprechen, sondern z.B. gezielt auf den Datenschutz achtet, findet auch Messenger, welche z.B. ohne Anmeldung, ohne Zugriff auf das Adressbuch, mit Ende-zu-Ende-Verschlüsselung und Datenübermittlung auf deutschen bzw. europäischen Servern zu verwenden sind. Teilweise werden noch nicht einmal die Daten auf den Servern gespeichert, sondern diese nur für den Austausch verwendet.

Weitere Sicherheitsfaktoren

E-Mails können auch über ein Webportal gesendet und empfangen werden, wobei die Anmeldung an dem Webportal auch nur über eine verschlüsselte Verbindung (https) erfolgen darf. Nutzt man ein öffentliches und / oder ungesichertes WLAN, muss man ein „virtuelles privates Netzwerk“ (VPN) verwenden. Hierbei wird über das unverschlüsselte WLAN eine verschlüsselte Verbindung zwischen z.B. dem Smartphone oder Notebook zum Firmennetzwerk aufgebaut. Über diese gesicherte Verbindung laufen die Daten wie durch einen Tunnel innerhalb des ungesicherten Netzwerkes.