Die meisten E-Mail Gatweways unterstützen als Verschlüsselungsmethode PGP und SMIME

Michael Kretschmer, VP EMEA von Clearswift RUAG Cyber Security

Aktuell gibt es Berichte, dass PGP und SMIME Sicherheitsprobleme haben. Schlimmer noch, es wird sogar abgeraten, Verschlüsselung zu verwenden und auf alternative Lösungen umzusteigen, die vermeintlich sicherer sind. Der Hintergrund der Sicherheitslücken sind allerdings Lücken in den E-Mail Clients, die aufgrund von Bugs die Mails falsch rendern oder die bereits entschlüsselten Inhalte über einen alternativen Weg verschicken. Dazu ist als Beispiel die Verwendung per HTTP-Link eingebetteter Bilder aufgeführt. Dort wird beim Laden des Bildes die vertrauliche Information mit übertragen.

Kommentar von Michael Kretschmer, VP EMEA von Clearswift RUAG Cyber Security

Was müssen Firmen beachten, um die Sicherheit von E-Mails zu gewährleisten?

Wichtig ist für die E-Mailsicherheit immer ein zentraler Ansatz. Unternehmen sollten sicherstellen, dass am Client immer nur die Mails als Klartext zu sehen sind. Die gewählte Lösung sollte dem Anwender zudem den Hinweis anzeigen, ob die Mail verschlüsselt und/oder signiert war und der Status der Signatur (gültig/ungültig) sollte mitgeteilt werden. 

Eine automatische Verschlüsselung kann Fehler ausschließen, vor allem wenn die Gefahr von „intern“ kommt. So muss der Anwender sich beispielsweise gar nicht mit dem Thema Verschlüsselung auseinandersetzen. Mitarbeiter sollten die Verschlüsselung über ein Schlüsselwort in der Betreff-Zeile oder anderweitige klar erkennbare Kriterien in der E-Mail erkennen und steuern können. Auch sollte es möglich sein, inhaltsbasiert zu verschlüsseln. Dies ist insbesondere bei der am 25. Mai 2018 in Kraft tretenden DSGVO wichtig. Zum Beispiel gibt es Gateways, die anhand von vordefinierten Ausdrücken erkennen, dass es sich um schützenswerte Daten handelt und so automatisch eine Verschlüsselung erzwingen.

Wenn Firmen die genannten Ratschläge befolgen und sich nach einer Lösung umsehen, die diese Möglichkeiten bietet, kann trotz der Sicherheitslücken die PGP und SMIME Technologie sicher von Unternehmen eingesetzt werden. Wichtig ist allerdings, dass auch die Empfängerseite eine zentrale Verschlüsselungslösung einsetzt oder die erwähnten E-Mail-Clients mit Patches ausstattet.

Diesen Artikel empfehlen