Technologie

E-Mail-Verschlüsselung: Un­ter­neh­men müs­sen mehr tun

E-Mail-Verschlüsselung dient dem Schutz von Geschäftsgeheimnissen sowie der Hackerabwehr. Und die DSGVO verlangt sie beim Austausch personenbezogener Daten. Firmenchefs sollten mit einem spezialisierten Dienstleister klären, wie sie ihre Pflichten am besten erfüllen.

Teilen auf

LinkedIn Xing Whatsapp

E-Mail-Verschlüsselung ist für Firmenchefs nicht erst seit Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) im Mai 2018 ein Thema. Schon der rechtliche Vorgänger, das Bundesdatenschutzgesetz, forderte für bestimmte Fälle besonderen Schutz der elektronischen Kommunikation gegen unbefugte Zugriffe. Allerdings tendieren Unternehmer dazu, dies zu vergessen, zeigte bereits 2016 der „Sicherheits-Monitor Mittelstand“ des Vereins „Deutschland sicher im Netz“ (DsiN). Und dieser Leichtfertigkeit, so der „DsiN-Praxisreport 2018 Mittelstand @IT-Sicherheit“, konnte die DSGVO nicht entgegenwirken: „Einzelmaßnahmen wie der Schutz der E-Mail-Kommunikation haben sich nur geringfügig und auf einem zu niedrigen Niveau verbessert.“ Dabei wäre sogar eine Politik der ausgewählten E-Mail-Verschlüsselung ausreichend. „Nur E-Mails mit besonders sensiblen Daten müssen verschlüsselt werden. Das gilt bei Personaldaten und Geschäftsgeheimnissen“, gibt Nabil Alsabah vom Digitalverband Bitkom etwas Entwarnung. Dazu zählen personenbezogene Daten wie Adresse, Kontonummer oder Geburtsdatum, aber auch Infos zur Gesundheit oder ethnischer Herkunft. Geraten solche Mails unverschlüsselt in falsche Hände und kommen sensible Daten an die Öffentlichkeit, drohen Bußgelder.

E-Mail-Ver­schlüs­se­lung schützt vor Cyber­kriminellen

Jeder Firmenchef sollte sich daher mit seinem Anwalt über rechtliche Vorgaben und technische Möglichkeiten zur E-Mail-Verschlüsselung austauschen. Die DSGVO muss dabei als Mindeststandard gelten, deren Anforderungen aber gerne übertroffen werden dürfen. Unabhängig von den konkreten rechtlichen Aspekten sollten Unternehmer und Beschäftigte betriebliche E-Post so oft und so gut wie möglich verschlüsseln. Dies erlegt dem Firmenchef die Verantwortung auf, seine Belegschaft für das Thema zu sensibilisieren, eine passende technische Lösung zu suchen sowie die Mitarbeiter in der Anwendung dieser gewünschten Vorgehensweise zu schulen. In den Mittelpunkt der Sensibilisierung gehört die Erkenntnis, dass eine ungeschützte E-Mail so offen ist wie eine Postkarte. Unberechtigte könnten sie mit einfachen Mitteln nicht nur lesen, sondern sogar den Inhalt verändern. Schlimmstenfalls lassen sich so Erpressungstrojaner mit Viren einschleusen, die das Unternehmen lahmlegen. Oder personenbezogene Daten von Kunden und Mitarbeitern erbeuten, die Social-Engineering-Angriffe erleichtern. Dazu kommt natürlich in so einem Fall das DSGVO-Bussgeld wegen unterlassener, verpflichtender E-Mail-Verschlüsselung.

Nur E-Mails mit besonders sensiblen Daten müssen verschlüsselt werden. Das gilt bei Personaldaten und Geschäftsgeheimnissen.

Nabil Alsabah, Digitalverband Bitkom

Transport- und In­halts­ver­schlüs­se­lung un­terscheiden

Sich mit dem Thema E-Mail-Verschlüsselung zu beschäftigen, erfordert etwas Grundverständnis. Wichtig ist etwa der Unterschied zwischen dem Inhalt der elektronischen Post und ihren Metadaten, also Absender/Empfänger, Datum und Betreff. Inhalt – Text und Anhänge – wie auch Metadaten können personenbezogene Daten beinhalten, betont der Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen. Außerdem ist zu klären, ob E-Mail-Verschlüsselung auf Transportebene reicht. Dabei bewegen sich Daten auf Basis der aktuellsten Version der Transportverschlüsselung TLS von Server zu Server und lassen sich im Internet nicht von Dritten mitlesen. Aber auf den beteiligten Servern liegt die E-Mail im Klartext. Ist auch ein Schutz auf Inhaltsebene nötig, wird eine Nachricht etwa auf Basis von OpenPGP auf dem System des Absenders verschlüsselt und beim Empfänger entschlüsselt. Unterwegs liegt sie niemals im Klartext vor. Die Inhaltsverschlüsselung erfasst nicht die Metadaten. Sie erscheinen im Klartext auf an der Übertragung beteiligten Servern. Deshalb sollten Metadaten nie weitergehende personenbezogene Daten oder Betreffzeilen enthalten.

E-Mail-Ver­schlüs­se­lung mit Ex­per­ten dis­ku­tieren

Bei der Wahl der passenden Software zur E-Mail-Verschlüsselung sollten Unternehmer unbedingt Experten hinzuziehen. Die Lösung muss zur IT-Ausstattung passen und im Firmennetzwerk ebenso funktionieren wie auf Mobilgeräten. Zwar sind zahlreiche Programme verfügbar. Etwa für Smartphones mit Android-Software, PCs mit Outlook als E-Mail-Dienst, Apple-Rechner oder die E-Mail-Anwendung Thunderbird. Meistens basieren sie auf dem Verschlüsselungskonzept Pretty Good Privacy (PGP). Sie arbeiten mit einem öffentlichen und einem privaten Schlüssel. Zur E-Mail-Verschlüsselung nutzt der Absender den öffentlich bekannten Public Key des Empfängers. Die verschlüsselte Mail ist auf ihrem Weg durchs Internet unlesbar. Der Empfänger entschlüsselt sie mit seinem Private Key, dem Gegenstück zu seinem Public Key. Diese Art der E-Mail-Verschlüsselung erfordert aber mehr als nur Technik: Nutzen etwa mehrere Beschäftigte den Private Key des Unternehmens, ist der gut zu schützen und beim Ausscheiden eines Mitarbeiters zu ändern. Solche Themen rund um die E-Mail-Verschlüsselung sollten Unternehmer unbedingt mit einem Dienstleister besprechen, der umfassende IT-Sicherheitslösungen bietet.

Hat Ihnen der Beitrag gefallen?

Frank Wiercks

ist Mitglied der Redaktion von TRIALOG, dem Unternehmermagazin für Mittelständler, Selbständige und Freiberufler. Außerdem arbeitet er für verschiedene Wirtschafts- und Managementmagazine. Zuvor war er unter anderem Chefredakteur von handwerk magazin und Markt und Mittelstand.

  • Schwerpunktthemen
  • Trialog-Newsletter

    Sie möchten künftig keine wichtigen Tipps für Ihr Unternehmen verpassen?
    Mit dem kostenlosen Newsletter halten wir Sie auf dem Laufenden.

  • Experten-Suche

    Kein einfaches Thema!
    Am besten hilft ein steuerlicher Berater! Sie haben noch keinen? Dann können Sie auf DATEV SmartExperts nach den passenden Experten suchen.

    Ich suche








  • Auf Facebook mitdiskutieren

    Sie möchten das Thema vertiefen?
    Dann werden Sie gerne Fan und beteiligen sich an der Diskussion auf unserer Facebook-Fanpage

    Jetzt TRIALOG-Fanpage besuchen

  • DATEV im Web
    YouTube LinkedIn