Warum verschlüsselt ihr eure Mails nicht

Wer kennt noch die Songs «Wind of Change» oder «Macarena»? Wer kennt noch Roxette, Spice Girls und die Backstreet Boys? Die erste Version von PGP wurde anno 1991 herausgegeben, S/MIME anno 1996 – damals waren diese Songs und Bands (wenn man denn die so bezeichnen darf) gerade topaktuell. Die zwei heute gängigen Mailverschlüsselungs- und Signierungslösungen gibt es also schon ziemlich lange, nach IT Zeitrechnung sind die Lösungen uralt. Die Technologie der asymmetrischen Verschlüsselung mit Zertifikaten ist erprobt und soweit standardisiert (Details und technisches dazu im Blog Beitrag meines Kollegen: Das 1×1 der E-Mail-Verschlüsselung – die bessere Alternative zur Papierpost). Es gibt bewährte Lösungen sowohl für Business-Anwender als auch für private Benutzer, selbst Freemail-Anbieter haben bereits Angebote für Verschlüsselung (Beispiele unter Links weiter unten). Im Web-Bereich hat sich SSL durchgesetzt, der grösste Teil der Webseiten sind mittlerweile verschlüsselt.


So steht’s um die E-Mail Verschlüsselung

Eine Umfrage aus dem Jahr 2018 unter deutschen Internetnutzern kam zum Ergebnis, dass Verschlüsselung den meisten Nutzern zwar wichtig ist, doch die wenigstens eine Lösung in Betrieb haben (https://de.statista.com/infografik/9522/nutzung-von-ende-zu-ende-verschluesselung/).

Weil die anderen es auch nicht tun, sollte aber kein Grund sein, es selber nicht doch in Betracht zu ziehen?

Quelle: https://de.statista.com/infografik/9522/nutzung-von-ende-zu-ende-verschluesselung/; Abgerufen am 16.7.2020

Selbst im Business Umfeld wird der Grossteil der Mails unverschlüsselt versendet. Kürzlich hat mir ein etwas enttäuschter Kunde berichtet, dass seine neue Verschlüsselungslösung kaum zum Einsatz komme, da die Gegenseite keine entsprechende Lösung im Einsatz hat. Dass die Gegenstelle aber gar keine Lösung braucht, wusste der Kunde nicht (moderne Lösungen können auch mit Gegenstelle ohne Verschlüsselungs-Lösung kommunizieren, Stichwort GINA: www.seppmail.ch/secure-email/gina-verschlusselung/).

Wir wissen seit vielen Jahren, dass E-Mail der meistgenutzte Angriffskanal für Cyberattacken ist – da man die begrenzten Mittel im Security Bereich dort einsetzen sollte, wo man die grösste Wirkung erzielt, sollte man Email-Kommunikation somit prioritär behandeln.

Mit der Einführung von neuen Datenschutzgesetzen (DSGVO) steigen auch die Compliance Anforderungen an Unternehmungen, wenn Sie Kundendaten weitergeben und dafür besorgt sein müssen, dass diese nicht in falsche Hände gelangen. Auch will man doch sicher sein, dass die Mail unverändert und ungelesen an den Empfänger geht, also niemand mitliest oder die Nachricht unterwegs gar verändert. Seit den Enthüllungen von Snowden wissen wir ja, dass staatliche Akteure gezielt die Kommunikation im Internet mitlesen.

Selbst der Verlauf von Weltkriegen wurden mit der Entschlüsselung der Kommunikation einer Kriegspartei mitentschieden – die Relevanz von sicherer Kommunikation ist also durchaus gegeben.


Viele Bedenken stimmen heute nicht mehr

Die meistgehörten Argumente sind vermutlich, dass die Umsetzung von E-Mail Verschlüsselungsprojekten komplex, benutzerunfreundlich und teuer ist.

Da kann ich aus langjähriger Erfahrung die meisten Bedenken entkräften:

  • Die Komplexität von solchen Projekten ist überschaubar, vorausgesetzt man weiss genau, was man will und setzt es auch entsprechend um. In wenigen Projekttagen kann man ein mittelgrosses Schweizer Unternehmen problemlos auf eine Gateway Verschlüsselung/Signierung umstellen. Der Benutzer muss solch eine Umstellung nicht einmal gross mitkriegen.
  • Punkt Benutzerfreundlichkeit – diese ist bei einer Gateway Lösung gegeben, da die meisten Mails transparent, ohne Zutun des Users signiert und verschlüsselt werden. Spezialfälle können in einer Mitarbeiterschulung oder einem Handbuch beschrieben werden. Auch Webanbieter haben mittlerweile benutzerfreundliche Lösungen im Programm. Ganz ohne Zutun geht es allerdings nie, aber schliesslich muss man das Couvert auch verschliessen, wenn man einen Brief verschickt (womit wir auch das Beispiel mit dem Vergleich E-Mail/ Postkarte eingebaut hätten).
  • Kommen wir zum dritten Argument, den Kosten. Hier stellt sich immer die Frage nach den Kosten/Nutzen: Was ist es mir wert, dass die Baupläne des neuen Audi nicht in fremde Hände gelangen? Dass die Zahlungsanweisung des CEO tatsächlich und überprüfbar von ihm stammt und nicht von jemand anderem? Hier muss sich jedes Unternehmen die Frage stellen, ob es vertrauliche Informationen per Mail teilt und die Mails eine gewisse Relevanz haben. Vermutlich ist das mittlerweile bei jedem Unternehmen der Fall. Es ist wichtig, sich vor Augen zu führen, dass der Initialaufwand und die Projektkosten einmalig sind. Die laufenden Kosten sind sehr überschaubar und über Jahre planbar, da eine installierte Lösung sehr lange läuft und sich die Standards vermutlich nicht so schnell ändern werden. Eine Lösung, die einmal in Betrieb genommen wurde, skaliert somit sehr gut über die Jahre.

Fazit

Aus meiner Sicht ist es für Unternehmen im 21. Jahrhundert schlicht Pflicht, E-Mails signieren und verschlüsseln zu können. Der Reputations- und möglicherweise auch direkte finanzielle Schaden durch Datenverluste ist einfach zu gross.


Links


Der Beitrag Weshalb verschlüsselt ihr eure E-Mails nicht? erschien zuerst auf Tec-Bite.