Weshalb verschlüsselt ihr eure E-Mails nicht?

Eine Umfrage aus dem Jahr 2018 unter deutschen Internetnutzern kam zum Ergebnis, dass Verschlüsselung den meisten Nutzern zwar wichtig ist, doch die wenigstens eine Lösung in Betrieb haben (https://de.statista.com/infografik/9522/nutzung-von-ende-zu-ende-verschluesselung/).

Weil die anderen es auch nicht tun, sollte aber kein Grund sein, es selber nicht doch in Betracht zu ziehen?

Selbst im Business Umfeld wird der Grossteil der Mails unverschlüsselt versendet. Kürzlich hat mir ein etwas enttäuschter Kunde berichtet, dass seine neue Verschlüsselungslösung kaum zum Einsatz komme, da die Gegenseite keine entsprechende Lösung im Einsatz hat. Dass die Gegenstelle aber gar keine Lösung braucht, wusste der Kunde nicht (moderne Lösungen können auch mit Gegenstelle ohne Verschlüsselungs-Lösung kommunizieren, Stichwort GINA: www.seppmail.ch/secure-email/gina-verschlusselung/).

Wir wissen seit vielen Jahren, dass E-Mail der meistgenutzte Angriffskanal für Cyberattacken ist – da man die begrenzten Mittel im Security Bereich dort einsetzen sollte, wo man die grösste Wirkung erzielt, sollte man Email-Kommunikation somit prioritär behandeln.

Mit der Einführung von neuen Datenschutzgesetzen (DSGVO) steigen auch die Compliance Anforderungen an Unternehmungen, wenn Sie Kundendaten weitergeben und dafür besorgt sein müssen, dass diese nicht in falsche Hände gelangen. Auch will man doch sicher sein, dass die Mail unverändert und ungelesen an den Empfänger geht, also niemand mitliest oder die Nachricht unterwegs gar verändert. Seit den Enthüllungen von Snowden wissen wir ja, dass staatliche Akteure gezielt die Kommunikation im Internet mitlesen.

Selbst der Verlauf von Weltkriegen wurden mit der Entschlüsselung der Kommunikation einer Kriegspartei mitentschieden – die Relevanz von sicherer Kommunikation ist also durchaus gegeben.

• Die Komplexität von solchen Projekten ist überschaubar, vorausgesetzt man weiss genau, was man will und setzt es auch entsprechend um. In wenigen Projekttagen kann man ein mittelgrosses Schweizer Unternehmen problemlos auf eine Gateway Verschlüsselung/Signierung umstellen. Der Benutzer muss solch eine Umstellung nicht einmal gross mitkriegen.
• Punkt Benutzerfreundlichkeit – diese ist bei einer Gateway Lösung gegeben, da die meisten Mails transparent, ohne Zutun des Users signiert und verschlüsselt werden. Spezialfälle können in einer Mitarbeiterschulung oder einem Handbuch beschrieben werden. Auch Webanbieter haben mittlerweile benutzerfreundliche Lösungen im Programm. Ganz ohne Zutun geht es allerdings nie, aber schliesslich muss man das Couvert auch verschliessen, wenn man einen Brief verschickt (womit wir auch das Beispiel mit dem Vergleich E-Mail/ Postkarte eingebaut hätten).

• Kommen wir zum dritten Argument, den Kosten. Hier stellt sich immer die Frage nach den Kosten/Nutzen: Was ist es mir wert, dass die Baupläne des neuen Audi nicht in fremde Hände gelangen? Dass die Zahlungsanweisung des CEO tatsächlich und überprüfbar von ihm stammt und nicht von jemand anderem? Hier muss sich jedes Unternehmen die Frage stellen, ob es vertrauliche Informationen per Mail teilt und die Mails eine gewisse Relevanz haben. Vermutlich ist das mittlerweile bei jedem Unternehmen der Fall. Es ist wichtig, sich vor Augen zu führen, dass der Initialaufwand und die Projektkosten einmalig sind. Die laufenden Kosten sind sehr überschaubar und über Jahre planbar, da eine installierte Lösung sehr lange läuft und sich die Standards vermutlich nicht so schnell ändern werden. Eine Lösung, die einmal in Betrieb genommen wurde, skaliert somit sehr gut über die Jahre.