Datensicherheit

E-Mail-Verschlüsselung – Un­ter­neh­men müs­sen mehr tun

E-Mail-Verschlüsselung schützt Ge­schäfts­ge­heim­nis­se und wehrt Hacker ab. Zu­dem ver­langt die DSGVO sie beim Aus­tausch per­so­nen­be­zo­ge­ner Da­ten. Fir­men­chefs soll­ten des­halb mit ei­nem spe­zia­li­sier­ten Dienst­leis­ter klä­ren, wie sie ih­re Pflich­ten am besten erfüllen.

Teilen auf

LinkedIn Xing Whatsapp

Für Unternehmen sollte die E-Mail-Verschlüsselung nicht erst seit Inkrafttreten der Datenschutz-Grundverordnung im Mai 2018 ein wichtiges Thema sein – unabhängig davon, dass in der DSGVO keine ausdrückliche Pflicht zur Verschlüsselung jeder E-Mail steht, wäre das für den Datenschutz schon immer grundsätzlich sinnvoll gewesen. Außerdem forderte bereits der rechtliche DSGVO-Vorgänger, das Bundesdatenschutzgesetz (BDSG), für bestimmte Fälle besonderen Schutz der elektronischen Kommunikation gegen unbefugte Zugriffe. Allerdings tendieren Unternehmerinnen und Unternehmer dazu, dies zu vergessen. Schon 2018 beklagte der „DsiN-Praxisreport 2018 Mittelstand@IT-Sicherheit“ des Vereins „Deutschland sicher im Netz“ (DsiN) eine Leichtfertigkeit im Umgang mit E-Mails. Und daran hat sich laut „DsiN-Praxisreport 2020 Mittelstand@IT-Sicherheit“ nicht wirklich etwas geändert. Kaum mehr als die Hälfte der Befragten trifft demnach besondere Sicherheitsvorkehrungen beim Versand elektronischer Nachrichten mit Anhang. 22 Prozent nutzen eine Verschlüsselung oder eine elektronische Signatur. Und elf Prozent verzichten darauf, die Anhänge einer E-Mail zu verschlüsseln, sondern laden Dateien gleich nur auf dedizierten Austauschplattformen hoch.

Verstoß gegen Datenschutz bedeutet hohe Bußgeld

Dabei wäre für Unternehmen sogar eine Politik der ausgewählten E-Mail-Verschlüsselung ausreichend, um mehr für den Datenschutz zu tun. „Nur E-Mails mit besonders sensiblen Daten müssen verschlüsselt werden. Das gilt bei Personaldaten und Geschäftsgeheimnissen“, erläutert Nabil Alsabah vom Digitalverband Bitkom. Was Geschäftsgeheimnisse sind, sollte jeder selbst wissen. Als sensible personenbezogene Daten gelten etwa Adresse, Kontonummer oder Geburtsdatum. Zudem könnten das Informationen über Gesundheit, ethnische Herkunft, politische Meinung, sexuelle Orientierung, religiöse Überzeugung und biometrische Daten sein. Falls Unternehmen eine E-Mail beziehungsweise deren Anhänge nicht verschlüsseln und solche sensiblen Daten in falsche Hände gelangen, drohen hohe Bußgelder. Jeder Firmenchef sollte sich deshalb mit seinem Anwalt über rechtliche Vorgaben und technische Möglichkeiten zur E-Mail-Verschlüsselung austauschen. Die DSGVO muss dabei als Mindeststandard gelten, deren Anforderungen aber gerne übertroffen werden dürfen. Unabhängig von den konkreten rechtlichen Aspekten sollten Unternehmerinnen und Unternehmer sowie deren Beschäftigte ihre betriebliche E-Post so oft und so gut wie möglich verschlüsseln.

E-Mail-Verschlüsselung folgt DSGVO und stärkt Datenschutz

Es gibt gute Gründe, eine E-Mail beziehungsweise deren Anhänge zu verschlüsseln, selbst wenn Verschlüsselung laut DSGVO keine generelle Pflicht ist. Vor allem sollte jedem klar sein, dass eine ungeschützte E-Mail im Internet so offen unterwegs ist wie eine Postkarte. Unberechtigte könnten den Inhalt mit einfachsten Mitteln lesen und dadurch möglicherweise an hochsensible persönliche und geschäftliche Informationen gelangen. Das könnten etwa Zugangsdaten, Kalkulationen, Organigramme oder generelle Fragen der strategischen Planung sein – keine dieser Informationen gehört in unbefugte Hände. Aber selbst vermeintlich harmlose Inhalte könnten Cyber-Kriminellen helfen, einen Angriff auf das Unternehmen zu planen. Über eine abgefangene E-Mail ohne Verschlüsselung könnte man etwa Details zum Ablauf der letzten Betriebsfeier erfahren. Die Informationen ließen sich als Insider-Wissen nutzen, um bei einer Social-Engineering-Attacke als vermeintlicher Kollege das Vertrauen eines Mitarbeiters zu erschleichen. Oder um jemanden zum Öffnen der Anhänge einer E-Mail zu motivieren, der so unwissentlich Erpressungs- oder Spähsoftware ins IT-System lässt.

Nur E-Mails mit besonders sensiblen Daten müssen verschlüsselt werden. Das gilt bei Personaldaten und Geschäftsgeheimnissen.
Nabil Alsabah, Digitalverband Bitkom

Persönliche und ge­schäft­li­che Da­ten unbedingt schützen

Auch wenn sie laut DSGVO keine generelle Pflicht ist, kann die E-Mail-Verschlüsselung beziehungsweise das Verschlüsseln der Anhänge prinzipiell natürlich in jedem Unternehmen den Datenschutz erhöhen. Manche Unternehmer, Selbständige und Freiberufler müssen hier allerdings ohnehin deutlich mehr tun. Dies gilt dann, wenn sie als Berufsgeheimnisträger tätig sind, also etwa als Rechtsanwälte, Steuerberater, Ärzte, Psychologen oder Apotheker. Der sächsische Datenschutzbeauftragte Andreas Schurig hat schon 2017 angemahnt, unbedingt die Möglichkeiten zur E-Mail-Verschlüsselung zu nutzen. Wer als Berufsgeheimnisträger darauf verzichte, Anhänge einer E-Mail zu verschlüsseln, laufe Gefahr, gegen Paragraf 203 Strafgesetzbuch (StGB) zu verstoßen. Dann wäre die Verletzung von Privatgeheimnissen nicht nur ein Fall für den Datenschutzbeauftragten, sondern auch für den Staatsanwalt. Wer sich gar nicht erst in eine rechtliche Grauzone begeben will, sollte also möglichst gleich alle E-Mails beziehungsweise Anhänge verschlüsseln.

PRODUKTEMPFEHLUNG VON DATEV
Datenschutz im Unternehmen – Mitarbeiterunterweisung 2021

Sensibilisieren Sie Ihre Mitarbeiter zum Thema Datenschutz und frischen Sie das Wissen auf. Mit diesem Lernvideo erhalten Sie den Nachweis über die jährliche Pflichtunterweisung.

Mehr dazu

 Unternehmen sollten Zertifikate bei E-Mail-Verschlüsselung nutzen

Sich mit dem Thema E-Mail-Verschlüsselung zu beschäftigen, erfordert etwas Grundverständnis. Wichtig ist etwa der Unterschied zwischen dem Inhalt der elektronischen Post und ihren Metadaten, also Absender/Empfänger, Datum und Betreff. Inhalt – Text und Anhänge – und auch Metadaten können personenbezogene Daten beinhalten. Zudem ist zu klären, ob eine E-Mail-Verschlüsselung auf Transportebene reicht. Bewegen sich Daten auf Basis der aktuellsten Version der Transportverschlüsselung TLS zwischen den Servern, lassen sie sich im Internet nicht von Dritten mitlesen. Aber auf den beteiligten Servern liegt die E-Mail im Klartext. Ist auch ein Schutz auf Inhaltsebene nötig, empfiehlt sich eine Verschlüsselung der E-Mail etwa auf Basis von OpenPGP. Dann wird sie auf dem System des Absenders verschlüsselt und beim Empfänger entschlüsselt. Unterwegs liegt sie niemals im Klartext vor. Die Inhaltsverschlüsselung erfasst nicht die Metadaten – sie erscheinen im Klartext auf den Servern, die an der Übertragung beteiligt sind. Deshalb sollten Metadaten nie weitergehende personenbezogene Daten oder Betreffzeilen enthalten.

Die Grafik zeigt, dass E-Mail-Verschlüsselung für viele Unternehmen keine Priorität hat – 48 Prozent verzichten auf jeden Schutz

E-Mail-Programme er­mög­li­chen E-Mail-Verschlüsselung

Grundsätzlich können Unternehmerinnen und Unternehmer auf die Möglichkeit zur E-Mail-Verschlüsselung zurückgreifen, die das von ihnen genutzte E-Mail-Programm bietet. Ein Beispiel hierfür ist das Arbeiten mit öffentlichen und privaten Schlüsseln. Dafür müssen sie im ersten Schritt einen sogenannten öffentlichen Schlüssel erstellen, mit denen sie die E-Mail verschlüsseln können. Diesen können sie jenen Personen mitteilen, von denen sie verschlüsselte Nachrichten erwarten. Sie können diesen Code sogar zur E-Mail-Signatur hinzufügen. So weiß jeder Geschäftspartner, dass er verschlüsselte E-Mails schicken kann. Die höchste Geheimhaltung gilt dagegen für den zweiten, dem privaten Schüssel. Diesen erstellt das E-Mail-Programm automatisch, er sollte keinesfalls in falsche Hände gelangen. Verwendet jemand den öffentlichen Schlüssel, um eine verschlüsselte Nachricht zu schicken, wird diese im Posteingang mit dem privaten Schüssel entschlüsselt. Der Empfänger braucht für den Zugriff sein Passwort.

Mit S/MIME gibt es einen anerkannten Verschlüsselungsstandard mit Signaturfunktion, bei dem – zusätzlich zur E-Mail-Verschlüsselung des Inhalts – ein Zertifikat die Vertrauenswürdigkeit des E-Mail-Partners bestätigt. Am besten wäre natürlich, für höchsten Datenschutz zu sorgen und die DSGVO kompromisslos einzuhalten, indem zur E-Mail-Verschlüsselung sowohl die Transport- als auch die Inhaltsverschlüsselung greift.

Verschiedene Lösun­gen mit Ex­per­ten diskutieren

Natürlich lässt sich diese Art der E-Mail-Verschlüsselung in allen Unternehmen nutzen, sie eignet sich aber eher für Freiberufler oder Kleinbetriebe. In größeren Betrieben könnten technische und organisatorische Anforderungen oder die IT-Umgebung dafür zu komplex sein. Zur Auswahl der passenden Software zur E-Mail-Verschlüsselung sollten Unternehmer daher Experten hinzuziehen. Die Lösung muss zur IT-Ausstattung passen und im Firmennetzwerk ebenso funktionieren wie auf Mobilgeräten. Zwar sind zahlreiche Programme verfügbar. Etwa für Smartphones mit Android-Software, PCs mit Outlook als E-Mail-Dienst, Apple-Rechner oder die E-Mail-Anwendung Thunderbird. Meistens basieren sie auf dem Verschlüsselungskonzept Pretty Good Privacy (PGP). Aber es ist empfehlenswert, vor der Aktivierung zu prüfen, ob das System zur E-Mail-Verschlüsselung wirklich unternehmensweit sicher und problemlos funktioniert. Insbesondere ist zu beachten, dass es keine Probleme zwischen der Verschlüsselungssoftware und anderen Sicherheitsmaßnahmen wie etwas Firewalls oder Virenscannern gibt. Die E-Mail-Verschlüsselung sollte von den gängigen Clients, E-Mail-Programmen und Plattformen unterstützt werden, damit es keine Probleme mit Geschäftspartnern gibt.

PRODUKTEMPFEHLUNG VON DATEV
DATEV mIDentity/DATEV SmartCard

Mit DATEV mIDentity/DATEV SmartCard melden Sie sich sicher an lokal installierten DATEV-Anwendungen und Anwendungen im DATEV-Rechenzentrum, den exklusiven Bereichen von www.datev.de oder der DATEV-Lernplattform online an.

Mehr erfahren

Verschlüsseln der E-Mail-Anhänge per Por­tal­lösung prüfen

Eine Alternative zur E-Mail-Verschlüsselung per eigenem Mail-Programm ist die Zusammenarbeit mit einem Dienstleister, auch zum Verschlüsseln und Entschlüsseln der Anhänge. Solche Cloud-basierten Lösungen funktionieren als in sich geschlossenes System, entlasten die eigene IT und lassen sich leicht ins IT-System integrieren. E-Mails gehen nur über das Verschlüsselungsportal raus. Haben Kommunikationspartner kein öffentliches Verschlüsselungszertifikat, kommt automatisch eine Online-Portallösung zum Einsatz. Dort müssen sich diese Empfänger lediglich einmal registrieren, dann klappt auch mit ihnen die geschützte Kommunikation. Anwender solcher Lösungen müssen nicht jede einzelne E-Mail und ihre Anhänge verschlüsseln, sondern das System erledigt dies standardisiert und automatisch. E-Mails beziehungsweise Anhänge lassen sich dann über eine gesicherte Verbindung aus der Cloud herunterladen.

Mitarbeiter darin schulen, Mails und Anhänge zu verschlüsseln

Ob Pflicht für den Datenschutz und zur Erfüllung der DSGVO oder nicht – die E-Mail-Verschlüsselung ist wichtig für Unternehmen, und deshalb sollten sie nicht nur die beste Technik einsetzen, sondern auch den passenden organisatorischen Rahmen schaffen sowie die Beschäftigten entsprechend schulen und grundsätzlich für das Thema sensibilisieren. Wichtig sind dabei folgende Punkte:

  • E-Mail-Verschlüsselung automatisch aktivieren. Das System sollte so eingestellt sein, dass jede E-Mail automatisch verschlüsselt wird. Müssen die Mitarbeiter dies immer per Klick selbst machen, könnte dieser wichtige Handgriff zu oft unterbleiben – und die Nachricht wäre ungesichert.
  • Rechner und Passwörter immer gut schützen. Die E-Mail-Verschlüsselung wirkt nur, wenn kein Unbefugter auf den Rechner und damit den Mail-Account zugreifen kann. Mit ihrer Entschlüsselung ist eine verschlüsselte E-Mail dort gut lesbar archiviert. Also: Keine Passwörter teilen, keinen Fremden an den eigenen Computer lassen.
  • Die Beschäftigten regelmäßig schulen. Vermutlich versteht kaum ein normaler Nutzer alle Feinheiten einer Software – aber jeder sollte die grundlegenden Einstellungen und Schritte zur Bedienung kennen. Und die damit verbundenen Abläufe sowie Organisationsprinzipen. Das bedeutet: Ändert sich die Technik, ist ebenso eine Schulung fällig, wie bei neuen Vorgaben etwa zur Archivierung oder Mail-Weiterleitung. Nur wenn Unternehmerinnen und Unternehmer die Beschäftigten über technische oder organisatorische Aspekte bei IT-Sicherheit und Datenschutz informieren, greifen die Maßnahmen. Das gilt nicht nur für die E-Mail-Verschlüsselung, sondern generell.

Mehr Informationen zur E-Mail-Verschlüsselung liefert folgendes Video.

Hat Ihnen der Beitrag gefallen?
Frank Wiercks

ist Mitglied der Redaktion von TRIALOG, dem Unternehmermagazin für Mittelständler, Selbständige und Freiberufler. Außerdem arbeitet er für verschiedene Wirtschafts- und Managementmagazine. Zuvor war er unter anderem Chefredakteur von handwerk magazin und Markt und Mittelstand.

  • Trialog-Newsletter

    Sie möchten künftig keine wichtigen Tipps für Ihr Unternehmen verpassen?
    Mit dem kostenlosen Newsletter halten wir Sie auf dem Laufenden.

  • Experten-Suche

    Mit dem richtigen Partner sicher durch die Corona-Krise kommen, Steuerberater helfen bei Konjunkturpaket und Überbrückungshilfen! Finden Sie auf DATEV SmartExperts den passenden Experten.

    Ich suche








  • Auf Facebook mitdiskutieren

    Sie möchten das Thema vertiefen?
    Dann werden Sie gerne Fan und beteiligen sich an der Diskussion auf unserer Facebook-Fanpage

    Jetzt TRIALOG-Fanpage besuchen

  • DATEV im Web
    YouTube LinkedIn