Secure E-Mail – notwendiger denn je
Der elektronische Versand vertraulicher Informationen ist einem grossen Wandel unterworfen. Es gilt, E-Mails umfassend zu schützen, die Authentizität des Senders zu garantieren und die Vertraulichkeit der Botschaft zu sichern.
Sowohl gesetzliche Rahmenbedingungen als auch die verstärkte Sensibilisierung für die Gefahren der elektronischen Datenübertragung führen dazu, dass Firmen ihre E-Mail-Kommunikation zunehmend schützen (müssen). Berufsgeheimnisträger wie Ärzte, Anwälte oder Finanzdienstleister beispielsweise sind von Gesetzes wegen zu einer gesicherten E-Mail-Kommunikation verpflichtet. Zudem sind Firmen gut Beraten, Daten und Informationen – und somit das Unternehmen – im Bereich der E-Mail-Kommunikation zu schützen. Auch die sichere E-Mail-Kommunikation mit Behörden ist ein wichtiger werdendes Thema und eine zentrale Komponente einer ganzheitlichen E-Government-Strategie.
Mannigfaltige Gefahren
Bei der Übermittlung sensitiver, vertraulicher Daten via E-Mail gilt es, dafür zu sorgen, dass diese ausschliesslich durch die berechtigten Empfänger einsehbar sind und dass der Inhalt nicht verändert werden kann. Dies ist aus technologischer Sicht seit mehreren Jahren möglich. Trotzdem werden entsprechende Verschlüsselungs- und Signaturlösungen noch (zu) spärlich genutzt. Dies mit möglicherweise fatalen Folgen. So ist es für Hacker vergleichsweise einfach, ungesicherte E-Mails abzufangen beziehungsweise einzusehen, ohne dass der Absender oder der legitime Empfänger etwas davon merkt.
So bildet die elektronische Post beispielsweise im Bereich der Industrie- und Wirtschaftsspionage eine ausgezeichnete Plattform, um etwa Offerten, Kundenlisten, Forschungsresultate oder technische Dokumente von Mitbewerbern einzusehen. Ebenso problematisch ist das sogenannte «Mail Spoofing». Dabei werden Mails unter Vortäuschung falscher Absender verschickt, was der Verteilung von Malware, der Verlinkung auf verseuchte Websites oder dem Versand von Spam-Mails dient. Spoofing-Attacken benötigen weder tiefgreifende IT-Kenntnisse noch spezielle Tools. Vielmehr lassen sie sich einfach über Outlook (und andere Mail-Programme) ausführen. Etwas komplexer präsentiert sich die Veränderung von Mails. Verschaffen sich Hacker Zugriff auf einen Mail-Server, besteht für sie die Möglichkeit, Mails einzusehen und deren Inhalt vor der Weiterleitung zu modifizieren. Den Betrugsmöglichkeiten sind dabei kaum Grenzen gesetzt.
Gesicherter Nachrichtenaustausch
Allen Gefahren zum Trotz: Die Nutzung von Secure E-Mail ist vergleichsweise bescheiden. Ein Grund dafür dürfte sein, dass die Problematik unterschätzt wird. So herrscht vielerorts die Meinung vor, der eigene Mailverkehr werde nicht «abgehört» oder modifiziert, da keine entsprechenden Anzeichen vorhanden sind. Ferner gehen viele Nutzer davon aus, dass vorhandene Sicherheitsvorkehrungen wie UTM-Appliances oder Anti-Viren-Lösungen die E-Mail-Kommunikation sichern. Doch auf dem Weg von A nach B passieren E-Mails zahlreiche, für Absender und Empfänger unbekannte Server, womit jegliche Kontrolle darüber entfällt, wer wann welche Zugriffe auf die Nachricht hat. Ein weiterer Aspekt für die noch ungenügende Nutzung von Secure E-Mal dürfte in der zu komplexen Integration und Handhabung einiger Lösungen zu finden sein.
Unterschiedliche Lösungsansätze
Um der Sicherheitsproblematik bei der E-Mail-Kommunikation zu begegnen, stehen unterschiedliche Technologien zur Verfügung.
- PGP und S/MIME
PGP (Pretty Good Privacy) und S/MIME (Secure Multipurpose Internet Mail Extension) sind userbasierte Technologien, bei denen jeder Benutzende ein eigenes Zertifikat benötigt, was deren Handhabung erschwert. Werden Zertifikate bzw. Schlüsselpaare jedoch in einer dedizierten E-Mail-Gateway-Appliance installiert, erfolgt die Ver- und Entschlüsselung der E-Mails zentral auf der Appliance. Der User wird vom Ver- bzw. Entschlüsselungsvorgang komplett entlastet.
- Secure Webmail
Erfolgt die Kommunikation mittels Secure Webmail, erhält der Empfänger anstelle der E-Mail einen Link. Dieser führt ihn via Web zur verschlüsselten Nachricht. Diese grundsätzlich komfortable Lösung ist mit Sicherheitsrisiken verbunden. So lassen sich sogenannte Man-in-the-Middle-Attacken mit relativ einfachen Mitteln und Kenntnissen reiten. Dazu wird dem Empfänger anstelle des regulären Links ein «originalgetreues» Phishing-Mail zugestellt. Der darin enthaltene Link führt jedoch nicht direkt zur verschlüsselten Nachricht, sondern wird stattdessen über einen eigenen Server «umgeleitet».
- Verschlüsselung von PDF-Dateien
Um Dokumente für Dritte unlesbar zu übertragen, lassen sich PDF-Dateien mittels Passwort schützen. Auch dieser Lösungsweg ist nicht unproblematisch. Einerseits können bei der PDF-Umwandlung Formatierungsfehler auftreten. Andererseits sind sie empfindlich gegenüber sogenannten Brute-force-Attacken. Dabei werden alle möglichen Passwörter automatisch generiert und das passwortgeschützte PDF-Dokument in kürzester Zeit entschlüsselt.
- «Push-E-Mail-Verschlüsselung»
Bei dieser Mailverschlüsselungstechnologie werden E-Mails durch eine firmeneigene Secure-E-Mail-Plattform (Appliance) verschlüsselt und in einer HTML-Mail an den Empfänger geschickt. Öffnet dieser den entsprechenden Anhang, erfolgt eine automatische Übermittlung der verschlüsselten Nachricht an die Secure-E-Mail-Appliance. Alsdann wird der Empfänger aufgefordert, sich mittels Passwort zu identifizieren, wonach ihm die Nachricht in seiner gewohnten Mail-Umgebung angezeigt wird. Dieses von Seppmail entwickelte Verfahren hat mehrere Vorzüge. So maximiert die sogenannte «Zwei-¬Faktoren-Authentisierung» die Sicherheit (der Empfänger benötigt für den Zugriff auf die Daten sowohl die Nachricht selbst als auch ein Passwort) und trägt dazu bei, dass die Secure-E-Mail-Lösung revisionskonform ist und den aktuellen Compliance-Anforderungen (SOX, HIPAA, PCI, Basel II) entspricht. Ebenso bedeutsam: Die Empfänger verschlüsselter Nachrichten benötigen auf ihrem System keine spezifische Software bzw. Verschlüsselungslösung. Dies erlaubt einen sicheren Nachrichtenaustausch mit beliebigen Empfängern. Ferner ist es möglich, zuverlässige Lesebestätigungen auszustellen, was mit der Funktion «eingeschriebene E-Mails» bezeichnet werden kann.
- Authentizität sichern
Hat eine Nachricht den Empfänger ohne Einwirkung Dritter – und folglich unverändert – erreicht, und stammt die übermittelte E-Mail tatsächlich von der im Absender ausgewiesenen Person? Um dies garantieren und die Authentizität von Sender und Nachricht sicherzustellen zu können, müssen E-Mails di¬gital signiert werden. Benötigt werden dazu sogenannte S/MIME-Zertifikate (Schlüssel). Diese benutzer- oder firmenspezifischen Zertifikate bestätigen einerseits die Echtheit des Absenders und garantieren andererseits, dass die Nachricht im Rahmen der Übertragung keine Änderungen erfahren hat. Werden Zertifikate verwendet, die von einem öffentlich akkreditierten Zertifikatsanbieter (offizielle CA) ausgestellt sind, wird ein Höchstmass an Vertrauenswürdigkeit erreicht.
Fernfachhochschule Schweiz startet neue KI-Weiterbildung
Ganzheitliche IT-Security – mit G DATA CyberDefense
Isolutions partnert mit Cye
Kann KI Verkaufspersonal ersetzen? KI sagt ja!
Globaler Tablet-Markt erholt sich leicht
Das Galaxy S24 Ultra zeigt: KI ist gut, Kontrolle ist besser
Wie der IT-Arbeitsplatz von morgen gemäss IOZ aussieht
Onlineshops versprechen Swissness und liefern aus Asien
Cloud-Sicherheitsvorfälle steigen drastisch an
