Beim Versenden einer E-Mail kann viel schief gehen. Um das zu umgehen, nutzen viele Leute eine Verschlüsselung. Und das ist eine großartige Lösung. Aber auch dabei kann eine Menge schief gehen.

Ist die Antwort darauf, alle Nachrichten von Hand oder per Brieftaube zuzustellen? Nein. Aber es geht darum, eine mehrdimensionale Vorstellung davon zu haben, was es bedeutet, eine völlig sichere E-Mail zu versenden, und zu verstehen, auf welche Weise wir das vermasseln können. Und dann natürlich, um diese allzu häufigen Fehler zu vermeiden.

Fehler #1: Verschlüsseln einer Datei, die der Empfänger nicht öffnen kann

Die Verschlüsselung einer sensiblen E-Mail hat einen doppelten Zweck: Sie soll sicherstellen, dass sie nicht manipuliert wird, und sie soll dem Empfänger die beabsichtigte Nachricht übermitteln, damit er das Gesendete nutzen kann.

Bevor Sie die stärkstmögliche Verschlüsselung verwenden, sollten Sie sich fragen: Wird der Empfänger in der Lage sein, die Nachricht zu entschlüsseln, oder werde ich etwas übermitteln, das er nicht einmal sehen kann? Wenn Sie z. B. eine passwortgeschützte ZIP-Datei versenden, kann das jeder tun (erstellen Sie sie einfach auf Ihrem Desktop und versehen Sie sie mit einem Passwort). Die Wahrscheinlichkeit ist groß, dass die Datei für den Empfänger entschlüsselt werden kann – kein Problem.

Aber wenn Sie wirklich klug sind, werden Sie denken: Genau das ist der Punkt; ich möchte nicht, dass irgendjemand die Daten entschlüsseln kann. Also entscheiden Sie sich für eine ordnungsgemäße Sicherung mit AES-256-ZIP-Verschlüsselung. Nur kann der integrierte Windows-ZIP-Öffner die Datei nicht öffnen, so dass Sie dem Empfänger das Kennwort schicken müssen.

Und wie machen Sie das?

Fehler #2: Senden des Passworts auf riskante Weise

Viele Leute kommen zu diesem Schritt und machen den Verschlüsselungsprozess versehentlich zu einem aussichtslosen Verfangen, obwohl sie die besten Absichten haben.

Es sieht so aus, als würde die E-Mail mit der verschlüsselten Datei verschickt – und das Passwort steht direkt in der Betreffzeile oder im Text. In beiden Fällen ist die Verschlüsselung von vornherein sinnlos, denn wenn ein Angreifer die E-Mail abfängt, hat er Ihre AES-gesicherte Nachricht und den Schlüssel zum Entschlüsseln in der Hand. Praktisch. Wenn Sie die E-Mail auf diese Weise verschicken müssen (oder wollen – es gibt auch andere Möglichkeiten), sollten Sie zumindest das Wort „Passwort“ nicht vorangestellt haben.

Eine Möglichkeit, es besser zu machen: Wenn es sich um ein passwortbasiertes System handelt, senden Sie die Zugangsdaten über WhatsApp, SMS oder eine andere Form der unauffälligen Übermittlung (natürlich ohne das Arbeitspasswort in der Nachricht zu nennen). Dies ist zwar der richtige Weg, wenn Sie von vornherein auf die Verwendung eines Passworts bestehen, aber es ist schwierig, alle Ihre Benutzer dazu zu bringen, ständig kreative Methoden wie diese zu verwenden. Außerdem ist es erforderlich, dass Ihr Geschäftspartner WhatsApp nutzt oder Ihnen seine persönlichen Kontaktdaten mitteilt oder was auch immer. Obwohl es technisch funktioniert, gibt es andere Methoden, die praktischer sind.

Zu diesen Methoden gehören schlüsselbasierte Verschlüsselungsprotokolle wie S/MIME oder PGP. Bei diesen Protokollen werden öffentliche und private Schlüssel erstellt, und solange Sie Ihren privaten Schlüssel geheim halten, können Sie Ihren öffentlichen Schlüssel mit jedem teilen. Diese können dann diesen öffentlichen Schlüssel verwenden, um Ihnen verschlüsselte Nachrichten zu senden, die Sie dann mit Ihrem geheimen privaten Schlüssel öffnen können. Das Schlimmste, was jemand tun könnte, wenn er auf Ihren öffentlichen Schlüssel stößt, wäre, etwas zu verschlüsseln und an Sie zu senden (und nichts zu entschlüsseln, was Sie verschlüsselt haben).

Wie senden Sie dann eine verschlüsselte Nachricht an eine andere Partei? Auf die gleiche Weise, nur dass diesmal der öffentliche und der private Schlüssel vertauscht werden und der öffentliche Schlüssel an Sie gesendet wird.

Fehler #3: Zu denken, dass jeder weiß, wie man S/MIME- oder PGP-Verschlüsselung verwendet

Die Nutzung asymmetrischer Protokolle wie S/MIME oder PGP ist zwar eine sichere Lösung, aber es gibt dennoch einige Fallstricke, vor denen man sich in Acht nehmen sollte.

Erstens wird nicht jeder wissen, wie man es benutzt. Wenn Ihr Empfänger mit der Funktionsweise der Kryptografie nicht vertraut ist, können Sie versuchen, ihm aus der Ferne beizubringen, wie man eine asymmetrische Verschlüsselung einrichtet und verwendet, aber idealerweise sollte er das selbst erledigen.

Selbst wenn Sie einen Schlüsselserver für den bequemen Austausch von öffentlichen Schlüsseln eingerichtet hätten, funktioniert dies nur in Szenarien, in denen die andere Partei weiß, wovon Sie sprechen, und auf derselben Seite steht. Mit anderen Worten: Es funktioniert am besten in ausgereiften Unternehmen, die über gut etablierte Cybersicherheitssysteme und interne Experten verfügen.

Das ist zwar ideal, aber wir alle wissen, dass dies nicht immer der Fall ist. Wie schickt man also etwas an ein junges Unternehmen oder an jemanden, der noch nie etwas von öffentlichen und privaten Schlüsseln gehört hat?

Fehler #4: Verschlüsselung im Portalstil übersehen

Der Vorteil ist, dass es allgegenwärtig und für jedermann leicht zugänglich ist – alles, was Sie brauchen, ist ein Webbrowser. Der Nachteil ist, dass Sie als Absender nun diese zusätzliche Infrastruktur (das Portal) verwalten müssen, was Serverplatz, Wartung, Sicherheit und Ähnliches beinhaltet. In Fällen, in denen Sie häufig sichere E-Mails an eine große Anzahl von technisch nicht versierten Benutzern versenden müssen, könnte sich der Aufwand lohnen. Oder Sie können sie in der Cloud hosten, was die Belastung drastisch reduziert (allerdings müssen Sie immer daran denken, dass Sie Ihren Teil des Modells der geteilten Verantwortung tragen, sonst ist vielleicht auch das nicht sicher).

Ein weiterer Nachteil ist, dass über das Portal versandte E-Mails wie Spam aussehen können, was Verdacht erregt und Sie dazu zwingt, eine Art „Vertrauensmarke“ in den Text einzufügen, damit Ihre Empfänger wissen, dass sie von Ihnen stammen. Neben den richtigen Logos und Schriftarten (die eine Selbstverständlichkeit sind) müssen Sie auch sicherstellen, dass Ihre Portalmail von einer legitimen Domäne stammt und nicht als Spam gekennzeichnet wird.

Fehler #5: Forgetting About TLS Encryption

Es gibt noch eine andere Art der Verschlüsselung, die beiden Seiten viel Rätselraten abnimmt. Bei der TLS-Verschlüsselung (Transport Layer Security) müssen Sie die Nachricht beim Senden nicht verschlüsseln, und die andere Partei muss sie beim Öffnen auch nicht entschlüsseln.

Stattdessen senden Sie die Nachricht frei und unverschlüsselt, aber sobald sie die Leitung erreicht, wird sie verschlüsselt. Dadurch ist sie vor vielen der Bedrohungen geschützt, die Sie wirklich fürchten, wie z. B. Abfangen, Man-in-the-Middle-Angriffe und so weiter. Sobald die Nachricht am entfernten Ende (dem vorgesehenen Ziel) ankommt, wird sie automatisch entschlüsselt, so dass der Empfänger sie lesen kann. Dies gilt jedoch nur, wenn Sie TLS im obligatorischen Modus aktiviert haben (auch „erzwungenes TLS“ genannt).

Ist dies nicht der Fall, befinden Sie sich im opportunistischen TLS-Modus. Obwohl jedes TLS besser ist als kein TLS, ist es sehr empfehlenswert, das nicht obligatorische TLS mit anderen Tools (z. B. MTA-STS) zu ergänzen, um die Sicherheit Ihrer Nachrichten zu gewährleisten.

Die Vorteile der Agari- und Clearswift-Lösungen von Fortra

Es sollte klar sein, dass Sie von Ihren verschlüsselten Nachrichten nur das bekommen, was Sie in sie hineinstecken. Oder, was wir tun.

Mit der automatischen E-Mail-Verschlüsselung und anderen Anti-Phishing-Mechanismen von Fortra Email Security – einschließlich der Lösungen Agari und Clearswift – müssen Unternehmen nicht wissen, wie sie asymmetrische Verschlüsselung oder irgendeine andere Art von Verschlüsselung nutzen können. Wir unterstützen alle oben genannten Verschlüsselungsverfahren, um Ihre sensiblen E-Mail-Nachrichten zu schützen. Der Vorteil ist, dass Teams mit diesen Plattformen in der Lage sind, verschlüsselte E-Mails mit nur einem Knopfdruck zu versenden – ohne jegliche Vorkenntnisse. Sie können sogar E-Mails verschlüsseln, wenn sie eintreffen.

Da die gesamte Verschlüsselungsarbeit im Backend erledigt wird, müssen Ihre Benutzer nicht langsamer werden oder sich umgewöhnen, um jedes Mal sichere E-Mails zu versenden. Das wichtigste Sicherheitsinstrument bleiben jedoch die Benutzer selbst. Ihnen beizubringen, welche Daten verschlüsselt werden müssen, ist genauso wichtig wie die Bereitstellung der Tools für die Verschlüsselung selbst, und dafür sind nur weitere Mitarbeiterschulungen erforderlich – und vielleicht eine Investition in Secure File Transfer (SFT).

Robert Schneider

Fortra Ansprechpartner


Robert Schneider

Channel Account Manager