Digitalisierung

E-Mail-Verschlüsselung – Unternehmen müssen mehr tun

E-Mail-Verschlüsselung schützt Ge­schäfts­ge­heim­nis­se, stärkt den Da­ten­schutz im Un­ter­neh­men und dient da­zu, Vor­ga­ben der DS-GVO ein­zu­hal­ten. Die Fir­men­lei­tung soll­te da­her mit ei­nem spe­zia­li­sier­ten Dienst­leis­ter klä­ren, wie sie ih­re Pflich­ten am bes­ten er­fül­len kann.

Teilen auf

LinkedIn Xing Whatsapp

Für Unternehmen sollte die E-Mail-Verschlüsselung nicht erst seit Inkrafttreten der Datenschutz-Grundverordnung im Mai 2018 ein Thema sein. Unabhängig davon, dass die DS-GVO keine Pflicht zur Verschlüsselung jeder E-Mail vorsieht, wäre das für den Datenschutz grundsätzlich schon immer sinnvoll gewesen. Zudem forderte bereits der rechtliche DS-GVO-Vorgänger, das Bundesdatenschutzgesetz (BDSG), für bestimmte Fälle einen besonderen Schutz gegen unbefugte Zugriffe auf E-Mails. Unternehmerinnen und Unternehmer tendieren aber dazu, dies zu vergessen. So beklagte beispielsweise der „DsiN-Praxisreport 2020 Mittelstand@IT-Sicherheit“ des Vereins „Deutschland sicher im Netz“ (DsiN) einen leichtfertigen Umgang mit E-Mails. Knapp die Hälfte der Befragten verzichtete demnach auf entsprechende Sicherheitsvorkehrungen beim Versand elektronischer Nachrichten mit Anhang, obwohl eine per Zertifikat abgesicherte E-Mail-Verschlüsselung hohe Sicherheit bieten kann. Nur 22 Prozent nutzten eine Verschlüsselung oder elektronische Signatur, 19 Prozent setzten auf eine Datenübertragung per Passwort. Elf Prozent hielten sich nicht damit auf, Anhänge einer E-Mail zu verschlüsseln, sondern luden Dateien gleich auf dedizierten Austauschplattformen hoch.

Nur E-Mails mit besonders sensiblen Daten müssen verschlüsselt werden. Das gilt bei Personaldaten und Geschäftsgeheimnissen.

Nabil Alsabah, Digitalverband Bitkom

Pflicht zur E-Mail-Verschlüsselung im Unternehmen prüfen

Dabei könnten Unternehmen schon durch die punktuelle innerbetriebliche Pflicht zur per Zertifikat abgesicherten E-Mail-Verschlüsselung viel beim Datenschutz erreichen. „Nur E-Mails mit besonders sensiblen Daten müssen verschlüsselt werden“, sagt Nabil Alsabah vom Digitalverband Bitkom. „Das gilt bei Personaldaten und Geschäftsgeheimnissen.“ Was Geschäftsgeheimnisse sind, sollte jeder selbst wissen. Als sensible personenbezogene Daten gelten etwa Adresse, Geburtsdatum oder Kontonummer. Außerdem könnten das Informationen über Gesundheit, ethnische Herkunft, politische Meinung, sexuelle Orientierung, religiöse Überzeugung und biometrische Daten sein. Falls Unternehmen eine E-Mail oder ihre Anhänge nicht verschlüsseln und dadurch sensible Daten in falsche Hände gelangen, drohen massive Bußgelder. Daher gilt es, sich intensiv mit der Anwaltskanzlei über rechtliche Vorgaben und technische Möglichkeiten zur E-Mail-Verschlüsselung austauschen, wobei die DS-GVO dabei als Mindeststandard gelten sollte, deren Anforderungen aber gerne übertroffen werden dürfen. Unabhängig von den konkreten rechtlichen Aspekten sollten Unternehmerinnen und Unternehmer sowie deren Beschäftigte ihre betriebliche E-Post so oft und so gut wie möglich verschlüsseln.

E-Mail-Verschlüsselung folgt DS-GVO und stärkt Datenschutz

Unternehmen sollten Zertifikate bei E-Mail-Verschlüsselung nutzen

Beschäftigte darin schulen, E-Mail und Anhänge zu verschlüsseln

E-Mail-Verschlüsselung folgt DS-GVO und stärkt Datenschutz

Es gibt gute Gründe, eine E-Mail beziehungsweise ihre Anhänge zu verschlüsseln, selbst wenn die per Zertifikat abgesicherte E-Mail-Verschlüsselung laut DS-GVO keine generelle Pflicht zum Datenschutz ist. Eine ungeschützte E-Mail ist im Internet nämlich so offen unterwegs wie eine Postkarte. Unberechtigte könnten ihren Inhalt mit einfachsten Mitteln lesen und so möglicherweise hochsensible persönliche und geschäftliche Informationen erbeuten. Das können beispielsweise Zugangsdaten, Kalkulationen, Organigramme oder generelle Fragen der strategischen Planung sein – keine dieser Informationen gehört in unbefugte Hände. Aber selbst vermeintlich harmlose Inhalte können Cyber-Kriminellen helfen, Angriffe auf das Firmen-IT zu planen. Über eine abgefangene E-Mail ohne Verschlüsselung lassen sich etwa Details zum Ablauf der letzten Betriebsfeier im Unternehmen erfahren. Die Informationen können als Insider-Wissen dienen, um bei einer Social-Engineering-Attacke als vermeintlicher Kollege oder vermeintliche Kollegin das Vertrauen gezielt ausgewählter Beschäftigter zu gewinnen. Oder sie zum Öffnen der Anhänge einer E-Mail zu motivieren, wodurch sie unwissentlich Erpressungs- oder Spähsoftware ins IT-System lassen.

E-Mail-Verschlüsselung per Zertifikat sollte das Mindestmaß sein

Auch wenn sie laut DS-GVO keine generelle Pflicht ist, erhöht die E-Mail-Verschlüsselung oder das Verschlüsseln der Anhänge prinzipiell natürlich in jedem Unternehmen den Datenschutz. Manche Unternehmerinnen, Freiberufler oder Selbstständige müssen hier jedoch ohnehin deutlich mehr tun. Dies gilt dann, wenn sie als Berufsgeheimnisträger tätig sind, also etwa als Rechtsanwalt, Steuerberaterin, Ärztin, Psychologe oder in einer Apotheke. Der sächsische Datenschutzbeauftragte Andreas Schurig mahnte schon 2017, unbedingt die Möglichkeiten zur E-Mail-Verschlüsselung zu nutzen. Wer als Berufsgeheimnisträger darauf verzichte, Anhänge einer E-Mail zu verschlüsseln, laufe Gefahr, gegen §203 Strafgesetzbuch (StGB) zu verstoßen. Dann wäre die Verletzung von Privatgeheimnissen nicht nur ein Fall für den Datenschutzbeauftragten, sondern auch für den Staatsanwalt. Wer sich gar nicht erst in eine rechtliche Grauzone begeben will, sollte also möglichst gleich alle E-Mails beziehungsweise Anhänge verschlüsseln. Die E-Mail-Verschlüsselung per Zertifikat sollte hier das Mindestmaß sein, falls nicht sowieso zum Austausch von Dokumenten eine dedizierte Austauschplattform zum Einsatz kommt.

Unternehmen sollten Zertifikate bei E-Mail-Verschlüsselung nutzen

Sich für besseren Datenschutz im Unternehmen mit dem Thema E-Mail-Verschlüsselung zu beschäftigen, erfordert ein gewisses Grundverständnis nicht nur für eine mögliche Pflicht gemäß DS-GVO, sondern auch für technische Aspekte. Wichtig ist etwa der Unterschied zwischen dem Inhalt der elektronischen Post und ihren Metadaten, also Absender/Empfänger, Datum und Betreff. Neben dem Inhalt – also dem Text sowie möglichen Anhängen – können auch die sogenannten Metadaten personenbezogene Daten beinhalten, weshalb das Verschlüsseln der E-Mail-Anhänge oft nicht genügen dürfte. Außerdem ist zu klären, ob eine E-Mail-Verschlüsselung auf Transportebene ausreicht.

Bewegen sich Daten auf Basis der aktuellsten Version der Transportverschlüsselung TLS zwischen den Servern, lassen sie sich im Internet nicht von Dritten mitlesen. Aber auf den beteiligten Servern liegt die E-Mail im Klartext. Ist auch ein Schutz auf Inhaltsebene nötig, empfiehlt sich eine Verschlüsselung der E-Mail etwa auf Basis von OpenPGP. Dann wird sie auf dem System des Absenders verschlüsselt und beim Empfänger entschlüsselt. Unterwegs liegt sie niemals im Klartext vor. Achtung: Die Inhaltsverschlüsselung erfasst nicht die Metadaten – sie erscheinen im Klartext auf den Servern, die an der Übertragung beteiligt sind. Deshalb sollten Metadaten nie weitergehende personenbezogene Daten oder Betreffzeilen enthalten.

E-Mail-Programme ermöglichen E-Mail-Verschlüsselung

Für mehr Datenschutz können Unternehmen – unabhängig von einer möglichen Pflicht zur E-Mail-Verschlüsselung gemäß DS-GVO – grundsätzlich auf die Instrumente zurückgreifen, die ihnen das betrieblich genutzte E-Mail-Programm bietet. Ein Beispiel hierfür ist das Arbeiten mit öffentlichen und privaten Schlüsseln. Dafür müssen sie im ersten Schritt den sogenannten öffentlichen Schlüssel erstellen, mit dem sie die E-Mail beziehungsweise ihre Anhänge verschlüsseln können. Den Schlüssel können die Nutzerinnen und Nutzer allen Personen mitteilen, von denen sie verschlüsselte Nachrichten erwarten. Sie sollten den Code sogar zur E-Mail-Signatur hinzufügen. So wissen alle Geschäftspartnerinnen und -partner automatisch, dass sie verschlüsselte E-Mails schicken können.

Die Grafik zeigt, dass E-Mail-Verschlüsselung für viele Unternehmen keine Priorität hat – 48 Prozent verzichten trotz DS-GVO auf jeden Schutz und nutzen auch kein Zertifikat zum Verschlüsseln der E-Mail-Anhänge

Höchste Geheimhaltung gilt dagegen für den zweiten, sogenannten privaten Schüssel. Den erstellt das E-Mail-Programm automatisiert, er darf keinesfalls in falsche Hände gelangen. Verwendet jemand den öffentlichen Schlüssel, um eine verschlüsselte Nachricht zu schicken, wird diese im Posteingang mit dem privaten Schlüssel entschlüsselt. Wer die E-Mail empfängt, braucht für den Zugriff zwingend das Passwort. Mit S/MIME gibt es einen anerkannten Verschlüsselungsstandard mit Signaturfunktion, bei dem – zusätzlich zur E-Mail-Verschlüsselung des Inhalts – ein Zertifikat die Vertrauenswürdigkeit der jeweiligen E-Mail-Partner bestätigt. Am besten wäre es natürlich, für höchsten Datenschutz zu sorgen und die DS-GVO kompromisslos einzuhalten, indem zur E-Mail-Verschlüsselung sowohl die Transport- als auch die Inhaltsverschlüsselung zum Einsatz kommt.

Verschiedene Lösungen mit Experten diskutieren

Diese Art, eine E-Mail beziehungsweise ihre Anhänge zu verschlüsseln, eignet sich jedoch eher für Freiberufler und Kleinbetriebe. In größeren Betrieben sind die organisatorischen und technischen Anforderungen dafür meistens zu komplex. Dann sollten Fachleute bei der Auswahl der passenden Software zur E-Mail-Verschlüsselung für mehr Datenschutz durch das Unternehmen hinzugezogen werden. Die Lösung muss zur IT-Ausstattung passen und im Firmennetzwerk ebenso funktionieren wie auf Mobilgeräten. Zwar sind viele Programme verfügbar. Etwa für Smartphones mit Android-Software, PCs mit Outlook als E-Mail-Dienst, Apple-Rechner oder die E-Mail-Anwendung Thunderbird. Oft basieren sie auf dem Verschlüsselungskonzept Pretty Good Privacy (PGP). Aber es ist wichtig, vor der Aktivierung zu prüfen, ob das System zur E-Mail-Verschlüsselung wirklich unternehmensweit sicher und problemlos funktioniert. Insbesondere ist zu beachten, dass es keine Probleme zwischen der Verschlüsselungssoftware und anderen Sicherheitsmaßnahmen gibt, etwa Firewalls oder Virenscannern. Die E-Mail-Verschlüsselung sollte mit gängigen Clients, E-Mail-Programmen und Plattformen funktionieren, um Probleme mit Geschäftspartnerinnen und -partnern zu vermeiden.

Verschlüsseln der E-Mail-Anhänge per Portallösung prüfen

Eine Alternative zur E-Mail-Verschlüsselung im Unternehmen per eigenem Mail-Programm ist die Zusammenarbeit mit einem Dienstleister, auch zum Verschlüsseln und Entschlüsseln der E-Mail-Anhänge. Solche Cloud-basierten Lösungen funktionieren als in sich geschlossenes System, entlasten die eigene IT und lassen sich problemlos ins IT-System integrieren. Elektronische Post wird dann nur über das Verschlüsselungsportal verschickt, was für die E-Mail-Verschlüsselung ein hohes Niveau beim Datenschutz bedeutet und es erleichtert, die Vorgaben der DS-GVO zu erfüllen. Haben Adressaten kein öffentliches Verschlüsselungszertifikat, kommt automatisch eine Online-Portallösung zum Einsatz. Wer E-Mails des Unternehmens empfangen will, muss sich dort lediglich einmal registrieren, dann klappt auch mit ihnen die geschützte Kommunikation. Vorteil solch einer Lösung: Aus Sicht der Beschäftigten entfällt die Pflicht zur aktiven E-Mail-Verschlüsselung. Sie müssen nicht jede einzelne E-Mail und ihre Anhänge verschlüsseln, sondern das System erledigt dies standardisiert und automatisch. E-Mails beziehungsweise Anhänge lassen sich dann über eine gesicherte Verbindung aus der Cloud herunterladen.

Beschäftigte darin schulen, E-Mail und Anhänge zu verschlüsseln

Ob Pflicht für den Datenschutz und zur Erfüllung der DS-GVO oder nicht – die E-Mail-Verschlüsselung ist wichtig für Unternehmen. Darum gilt es, nicht nur die beste Technik zu nutzen, sondern darüber hinaus den passenden organisatorischen Rahmen zu schaffen und die Beschäftigten entsprechend zu schulen sowie grundsätzlich für das Thema zu sensibilisieren. Wichtig sind dabei folgende Punkte:

  • Automatische E-Mail-Verschlüsselung. E-Mail-Systeme sollten so eingestellt sein, dass sie die E-Mail und die Anhänge automatisch verschlüsseln. Müssen Beschäftigte dies immer per Klick selbst machen, könnte dieser wichtige Handgriff zu oft unterbleiben – und die Nachricht wäre ungesichert.
  • Rechner- und Passwortschutz. Die E-Mail-Verschlüsselung schützt nur, wenn Unbefugte keinen Zugriff auf den Rechner und damit den Mail-Account haben. Mit ihrer Entschlüsselung ist eine verschlüsselte E-Mail dort gut lesbar archiviert. Also: Passwort nicht teilen, keinen Fremden an den eigenen Computer lassen.
  • Regelmäßige Schulungen. Vermutlich versteht kaum jemand alle Feinheiten einer Software – aber grundlegende Einstellungen und Schritte zur Bedienung sollten bekannt sein. Und die damit verbundenen Abläufe beziehungsweise Organisationsprinzipen. Das bedeutet: Bei neuer Technik ist ebenso eine Schulung fällig wie bei neuen Vorgaben zur Archivierung oder Mail-Weiterleitung. Nur wenn die Beschäftigten die technischen und organisatorischen Aspekte bei IT-Sicherheit und Datenschutz kennen, können die Maßnahmen wirklich greifen. Das gilt nicht nur für die E-Mail-Verschlüsselung, sondern generell.

Mehr Informationen zur E-Mail-Verschlüsselung im Unternehmen vor dem Hintergrund der Pflicht zu mehr Datenschutz auch gemäß DS-GVO liefert folgendes Video.

Hat Ihnen der Beitrag gefallen?
Frank Wiercks

ist Mitglied der Redaktion von TRIALOG, dem Unternehmermagazin für Mittelständler, Selbständige und Freiberufler. Außerdem arbeitet er für verschiedene Wirtschafts- und Managementmagazine. Zuvor war er unter anderem Chefredakteur von handwerk magazin und Markt und Mittelstand.

  • Trialog-Newsletter

    Sie möchten künftig keine wichtigen Tipps für Ihr Unternehmen verpassen?
    Mit dem kostenlosen Newsletter halten wir Sie auf dem Laufenden.

  • Experten-Suche

    Mit dem richtigen Partner sicher durch die Corona-Krise kommen, Steuerberater helfen bei Konjunkturpaket und Überbrückungshilfen! Finden Sie auf DATEV SmartExperts den passenden Experten.

    Ich suche








  • Auf Facebook mitdiskutieren

    Sie möchten das Thema vertiefen?
    Dann werden Sie gerne Fan und beteiligen sich an der Diskussion auf unserer Facebook-Seite

    Jetzt DATEV-Fanpage besuchen

  • DATEV im Web
    YouTube LinkedIn