E-Mail-Sicherheit: Hang zum Leichtsinn im Mittelstand

"Verrostetes Vorhängeschloss an einem landwirtschaftlichen Gebäude im Heidekreis, Niedersachsen, DE."

Nur aktuelle Sicherungssysteme schützen! Foto „Rusty padlock“ (CC BY-ND 2.0): oxfordian.world / flickr

Während das Bundesministerium für Verbraucherschutz die Ende-zu-Ende-Verschlüsselung für E-Mail-Anbieter verpflichtend machen will, hinken mittelständische deutsche Unternehmen in Sachen Internetsicherheit trotz der NSA-Affäre noch weit hinterher.

Vor wenigen Tagen erst hat das Bundesministerium für Verbraucherschutz einen großen Schritt hin zu mehr Sicherheit im Netz getan. Man will – so erklärten Staatssekretäre Ulrich Kelber und Gerd Billen im Interview – alle E-Mail-Anbieter dazu verpflichten, Mails in Zukunft Ende-zu-Ende zu verschlüsseln, das Ganze soll sogar in EU-Richtlinien verankert werden.

Ein besonders interessanter Aspekt daran: Die Anbieter sollen grundsätzlich alle Mails verschlüsseln, der User kann die Einstellungen jedoch manuell zurückschrauben. Anwender sollen also mehr oder minder zu ihrem Glück gezwungen werden, der Gewissheit alles für den Schutz der eigenen Privatsphäre getan zu haben. Denn effektivere Maßnahmen als die Ende-zu-Ende-Verschlüsselung existieren momentan nicht.

Bei diesem Verfahren werden Text und Daten vor dem Versenden verschlüsselt, bleiben auch während der kritischsten Phase – der Ablage auf dem Server – verschlüsselt und werden dann vom Empfänger mithilfe eines „Keys“ wieder in Klartext umgewandelt.

Der Vorstoß durch die Verbraucherzentrale wirkt sinnvoll, auch wenn noch keine Details über die genaue Handhabung bekannt sind. Offensichtlich denken einige Politiker langsam um, erkennen den Wert von Datensicherheit – oder zumindest wie öffentlichkeitswirksam es sein kann, sich dafür auszusprechen. Möglicherweise hat auch öffentlicher Druck durch Fachverbände wie den Chaos Computer Club (CCC) eine Rolle gespielt.

Der CCC hatte sich kurz zuvor in einer Stellungnahme für „Sicherheitssysteme mit Ende-zu-Ende-Verschlüsselung als Standard“ ausgesprochen. Schon vergangenes Jahr kämpften die Nerd-Vorreiter gegen Scheinsicherheit im Mail-Verkehr. Große Anbieter wie die Telekom oder Gmx hatten sich mit dem Slogan „E-Mail made in Germany“ selbst ein vermeintliches Prädikat verpasst, das Sicherheit suggerieren sollte.

Tatsächlich war die Aktion allerdings nur ein als Revolution getarnter Marketing-Gag, denn die so wichtige verschlüsselte Ablage der Daten wurde keineswegs gewährleistet. Man hat den Nutzern also falsche Tatsachen vorgespielt, der CCC geißelte die PR-Aktion als „Sommermärchen“. Seine Mitglieder empfehlen eine Verschlüsselung mithilfe der Programme PGP oder S/MIME.

Gängige Verschlüsselungstechnik für Laien zu komplex

Diese Empfehlung mag zwar gut gemeint sein, mit der Realität hat sie leider wenig zu tun. Denn obwohl beide Verfahren ein hohes Maß an Sicherheit garantieren, sind sie für Laien zu kompliziert zu handhaben. Wer nicht mit der Materie vertraut ist, wird frustriert aufgeben. Diese Lösungen sind für die breite Masse schlicht nicht praktikabel.

Die Äußerungen von Ex-Innenminister Friedrich, jeder solle sich selbst um die Verschlüsselung der eigenen Daten kümmern, wirken unter Berücksichtigung dieses Aspekts noch unpassender. Der Grund für die Sicherheitsmüdigkeit der Bürger ist also offensichtlich.

Besonders wichtig wird das Thema Datensicherheit, wenn es um den Arbeitsplatz und damit um Unternehmenssicherheit geht. Jede Firma versendet sensible Daten, die gilt es vor neugierigen Blicken abzuschirmen.

Während die persönliche Privatsphäre zwar kostbar ist, macht sich der Verlust von wichtigen Informationen in der Wirtschaft in der Regel tatsächlich finanziell bemerkbar, die Zukunft eines kompletten Unternehmens kann von den getroffenen Sicherheitsvorkehrungen abhängen. Dass deshalb in Zeiten grassierender Wirtschaftsspionage und zunehmenden Digitalisierungsgrad in Deutschland mehr denn je getan wird, um das eigene Unternehmen vor Cyberkriminalität zu schützen, ist jedoch ein Trugschluss.

So hat eine aktuelle Studie der Initiative „Deutschland sicher im Netz“ zu Tage gefördert, dass das Bewusstsein für IT-Sicherheit in mittelständischen und kleinen Unternehmen sinkt – und das schon seit drei Jahren.

E-Mail-Kommunikation als wunder Punkt

Dabei entpuppte sich die der Versand und Empfang von E-Mails als wunder Punkt. Internetsicherheit, Datensicherung und -entsorgung bereiten kaum noch Schwierigkeiten, fast alle Firmen (93 bis 98 Prozent) überzeugten in diesen Bereichen. Virenscanner und andere herkömmliche Schutzmechanismen sind mittlerweile nicht mehr wegzudenken, der Zugang zum Internet wird überwacht.

Die Kommunikation via E-Mail kann dagegen nur bei 43 Prozent der befragten Unternehmen als sicher angesehen werden – ein Rückgang um sieben Prozent im Vergleich zum Vorjahr. Über die Hälfte der Unternehmen versenden ihre Mails im Umkehrschluss ohne jegliche Sicherheitsmaßnahmen. Ein erschreckend hoher Wert, vor allem wenn man bedenkt, dass der E-Mail-Verkehr im gleichen Zeitraum um zehn Prozent zugenommen hat.

Da könnte man schnell auf die Idee kommen, die Zahlen dadurch zu erklären, dass schlicht weniger sensible und unternehmenskritische Daten versendet werden, doch das Gegenteil ist der Fall. Egal ob Geschäftsbriefe, Verträge, Verfahrensdokumentationen oder Präsentationen – in allen Bereichen ist ein deutlicher Zuwachs zu verzeichnen.

Warum der Sicherheitsaspekt im Mailbereich derart vernachlässigt wird, ist nicht bekannt. Möglicherweise scheuen kleinere Unternehmen die Kosten und den Aufwand spezieller Verschlüsselungssoftware.

Dabei gibt es mittlerweile Lösungen, die im Gegensatz zu PGP und S/Mime einfach zu handhaben sind, an die Bedürfnisse der jeweiligen Firmen angepasst werden können und gleichzeitig eine Ende-zu-Ende-Verschlüsselung bieten. Der Trend in diesem Bereich geht zu Lösungen, die sich in bestehende E-Mail-Programme wie Outlook integrieren lassen und dadurch leicht zu bedienen sind. Ein Beispiel sind die Lösungen von FTAPI, einem Unternehmen der QSC-Gruppe. Dazu demnächst mehr auf diesem Blog.

Ein weiterer Trend bei mittelständischen Firmen ist die Nutzung von Cloud Computing, beinahe jedes vierte der befragten Unternehmen (23 Prozent) nutzt Cloud-Anwendungen. Alarmierend hierbei: 70 Prozent der Cloud-Nutzer sind mit den Sicherheitsanforderungen und rechtlichen Rahmenbedingungen nur teilweise oder gar nicht vertraut.

Insgesamt bleibt die Erkenntnis, dass im Bereich Internetsicherheit eine große Diskrepanz zwischen Denken und Handeln besteht, denn dem Großteil der Entscheider dürfte das hohe Gefahrenpotential durchaus bewusst sein.

Beitrags- und Vorschaufoto (CC BY-ND 2.0): „Rusty padlock/Verrostetes Vorhängeschloss an einem landwirtschaftlichen Gebäude im Heidekreis, Niedersachsen, DE.“ Oxfordian / oxfordian.world auf Flickr

Drucken
  • Avatar
    Simon A. sagt:

    Vielen Dank für diesen Beitrag. In der Tat gibt es auch nach unserer Wahrnehmung eine gewisse Abwehrhaltung im Mittelstand gegenüber Mailverschlüsselung. Viele bisherige Lösungen sind nicht wirklich leicht zu bedienen und auch nicht unbedingt leicht zu installieren und zu administrieren. Diese Hürde niederzureissen ist aus meiner Sicht aber möglich, auch für Lösungen im Bereich OpenPGP und S/MIME.

    Ein langsamer, aber durchaus schon stetiger Bewusstseinswandel hat eingesetzt, das stellen wir dankenswerter Weise auch fest. Allerdings: Der Weg ist noch steinig und lang bis das Killerargument „Mein Kommunikationspartner hat ja auch nix“ endlich entfällt. Erst dann wird sich Verschlüsselung im Mailbereich wirklich durchsetzen.

  • Max Sperber
    Max Sperber sagt:

    Hallo Simon,

    mit FTAPI-Produkten ist der verschlüsselte Datentransfer nicht vom Kommunikationspartner abhängig.
    Jedes Unternehmen erhält spezielle Gast- und Partneraccounts. Dadurch ist es irrelevant, ob der Kommunikationspartner normalerweise verschlüsselt, bzw. auf welche Weise er das macht. Er kann genauso leicht wie mit FTAPI üblich verschlüsselt Daten und Nachrichten austauschen.

    LG,

    Max.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

Um die Diskussionsqualität zu wahren, veröffentlichen wir nur noch Kommentare mit nachvollziehbarem Vor- und Nachnamen sowie authentischer E-Mail-Adresse. Bitte beachten Sie zudem unsere Social Media Guidelines.