Das Was, Wie und Warum von E-Mail Encryption – unser Leitfaden 2022 für Unternehmen

Das Was, Wie und Warum von E-Mail Encryption – unser Leitfaden 2022 für Unternehmen

Im Juli 1586 erhielt die eingekerkerte Maria Stuart, Königin von Schottland, einen Brief von einem Rebellen namens Anthony Babington. Er bat sie darum, eine Verschwörung zu unterstützen, die die Ermordung der protestantischen Königin Elisabeth I. und Marias Ernennung zur neuen Königin von England zum Ziel hatte. Obwohl die Briefe kodiert waren, wurden sie entdeckt und von Elisabeths Meisterspion Sir Francis Walsingham entschlüsselt. Dieser machte jedoch dort nicht Halt: Er manipulierte Marias Antwort und bat Babington darin, seine Mitverschwörer namentlich preiszugeben. Babington folgte der Aufforderung. Innerhalb weniger Tage wurden alle an dem Komplott Beteiligten, einschließlich Maria, angeklagt und die Babington-Verschwörung , einer der berühmtesten und ältesten Man-in-the-Middle-Angriffe der Geschichte, nahm ein jähes und düsteres Ende.

Man-in-the-Middle-Angriffe (MITM-Angriffe) sind jedoch weiterhin ein aktuelles Thema. Der Unterschied ist, dass sie von Korken in Bierfässern in den digitalen Raum übergewechselt sind, wo Angreifer u. a. versuchen, Kommunikation abzufangen und so sensible Daten zu stehlen, ihre Opfer auszuspionieren oder Online-Unterhaltungen zu sabotieren. Dies ist jedoch nur einer von vielen Wegen, auf denen entschlüsselte – ganz zu schweigen von nicht verschlüsselten – Nachrichten die Daten, Systeme und den Ruf von Unternehmen auf Spiel setzen können. Wenn eine E-Mail von einem Nutzer an einen anderen gesendet wird, durchläuft sie diverse Zwischenstationen, bevor sie am Ziel ankommt – selbst wenn diese ganze Reise nur wenige Sekunden dauert. Ist die E-Mail unverschlüsselt unterwegs, kann jeder dieser Zwischenstopps zu einem Einstiegspunkt für böswillige Individuen werden.

In diesem Artikel werden Sie erfahren, was E-Mail Encryption ist und wie sie funktioniert – und vor allem wie verschlüsselte E-Mails Unternehmen dabei helfen können, ihre wichtigen Datenbestände zu schützen, ohne dabei tagtägliche Arbeitsabläufe zu beeinträchtigen. Lassen Sie uns also in die Welt von E-Mail Encryption eintauchen!

Was ist E-Mail Encryption – und warum sollten wir E-Mails überhaupt verschlüsseln?

Bei E-Mail Encryption, zu Deutsch E-Mail-Verschlüsselung , handelt es sich um einen Mechanismus, der verhindert, dass die Inhalte einer E-Mail-Nachricht von nicht befugten Personen – also nicht dem vorgesehenen Empfänger – gelesen werden können. Die Methode basiert hauptsächlich auf sogenannten Public-Key-Verschlüsselungsverfahren (asymmetrische Kryptografie). Hierbei wird es Nutzern gestattet, einen öffentlichen Schlüssel zu generieren, den andere Personen für die Verschlüsselung der Nachrichten nutzen können, und gleichzeitig über einen privaten Schlüssel zu verfügen, mit dem die Nachrichten entschlüsselt oder andere Nachrichten signiert und digital verschlüsselt werden können.

Und wer kann von sicheren E-Mails profitieren?

Wenn man einmal einen Blick auf die aktuellen Statistiken zum Thema Homeoffice und hybrides Arbeiten wirft, fallen die meisten Unternehmen in diese Kategorie. So gaben beispielsweise in McKinseys 2022 „American Opportunity“-Umfrage 58% der Befragten an, dass sie die Option haben, mindestens einen Tag pro Woche im Homeoffice zu arbeiten. 35% berichteten, dass sie montags bis freitags von zu Hause aus arbeiten können. Diese Umfrageergebnisse stammen von 25.000 Mitarbeitern aus sämtlichen Regionen und Branchen und in diversen Rollen, von Fabrikarbeitern bis hin zu Büroangestellten.

Darüber hinaus sind personenbezogene Daten seit dem Inkrafttreten von wegweisenden Datenschutzgesetzen wie der Datenschutz-Grundverordnung der EU (DSGVO) heutzutage nicht nur etwas, das von der Personalabteilung gehandhabt und von der IT-Abteilung gesichert wird – und worüber sich nur Branchen wie das Gesundheitswesen den Kopf zerbrechen müssen. Gemäß der Definition der DSGVO handelt was sich bei personenbezogenen Daten um sämtliche Informationen, die sich unabhängig von der Art der Informationen auf eine spezifische Person beziehen.

Wie schützt – und unterstützt – E-Mail Encryption Unternehmen?

Wie wir bereits erklärt haben, schützt E-Mail Encryption Nachrichten vor neugierigen Blicken und unerwünschten „Mitlesern“, indem die Inhalte der E-Mails für diese unlesbar gemacht werden. Auf diese Weise können E-Mail-Encryption-Lösungen für Unternehmen:

1. Das Risiko des menschlichen Versagens mindern

Laut Verizon’s 2022 Data Breach Investigations Report , beinhalteten 82% der 5200 untersuchten Datenschutzverletzungen einen menschlichen Faktor und 13,5% beruhten darauf, dass jemand einen Fehler machte und sensible Informationen dadurch in die falschen Hände gerieten. Ein E-Mail-Encryption-Service kann hier die erste Verteidigungslinie für Unternehmen sein, die verhindert, dass die Fehler von Einzelpersonen lawinenartig zu firmenweiten Problemen anwachsen.

2. Sensible Daten vor Man-in-the-Middle-Angriffen schützen

Bei Man-in-the-Middle-Angriffen hackt sich der Angreifer zwischen das Opfer und einen legitimen Host, mit dem das Opfer eine Verbindung einzugehen versucht, ein. Die Angreifer visieren oftmals den E-Mail-Austausch zwischen Banken und deren Kunden an, sodass sie die E-Mail-Adresse der Bank fälschen und den Kunden ihre eigenen Nachrichten zukommen lassen können, in denen sie um Anmeldedaten oder Zahlungskartendetails bitten.

3. Die Effizienz Ihrer Compliance-Bemühungen ankurbeln

Wie wir bereits in einem früheren detaillierten Beitrag zu den technischen Sicherheitsmaßnahmen von HIPAA erwähnten, ist Verschlüsselung unerlässlich, um das Risiko der Offenlegung von persönlich identifizierbaren Informationen (PII) und geschützten Gesundheitsinformationen (PHI) zu reduzieren. Das Ministerium für Gesundheitspflege und Soziale Dienste der Vereinigten Staaten (United States Department of Health and Human Services, HHS) schreibt es zwar noch nicht vor, aber empfiehlt unter das HIPAA fallenden Organisationen dennoch ausdrücklich, genau zu untersuchen, wie oft und auf welche Weise sie e-PHI übertragen – sowie ob Verschlüsselung nötig ist, um diese Daten bei der Übertragung zu schützen, und welche Verschlüsselungsmethoden hierfür am besten geeignet wären.

4. Kundenvertrauen aufbauen und eine Kultur der Wachsamkeit schaffen

In PwCs 2022 Global Data Trust Insights Survey war die von leitenden Angestellten am häufigsten gegebene Antwort auf die Frage, wie sie die Cybersicherheitsmission ihres Unternehmens beschreiben würden, „eine Möglichkeit, Vertrauen mit unseren Kunden in Bezug darauf aufzubauen, dass wir mit ihren Daten auf ethische Weise umgehen und sie schützen“. Verschlüsselung kann genau dies bewirken, indem sie höchst wertvolle Kundendaten und Insider-Informationen vor neugierigen Blicken schützt – egal, ob es sich dabei um At-Rest- oder In-Transit-Daten handelt.

Die Anatomie von E-Mail Encryption: Wie funktioniert E-Mail Encryption?

Es ist an dieser Stelle wichtig anzumerken, dass es keinen Standard für die Architektur oder die Komponenten von Produkten oder Diensten für E-Mail-Encryption gibt. Die am häufigsten zu findende Gemeinsamkeit besteht darin, dass sie alle eine Art von Gateway-Software nutzen, die eine auf Richtlinien basierte Verschlüsselung durchsetzt, erklärt TechTarget . Diese Richtlinien definieren, welche E-Mails unter welchen Bedingungen verschlüsselt werden sollten, wie z. B. an externe Empfänger gerichtete Nachrichten, die persönlich identifizierbare Informationen enthalten.

Einige Lösungen beruhen darauf, dass ein Client für E-Mail-Verschlüsselung auf dem Gerät des Senders installiert werden muss, der entweder auf Richtlinien basierte Encryption verwendet oder es dem Nutzer überlässt, welche E-Mails verschlüsselt werden sollen – oder in manchen Fällen beides. Die meisten Encryption-Lösungen werden jedoch über eine webbasierte Benutzeroberfläche ausgeführt, auf der die Nachrichten entschlüsselt werden und die von dem Sender gehostet oder durch einen cloudbasierten Drittanbieter bereitgestellt wird.

Ein weiterer wichtiger Unterschied zwischen den beiden Ansätzen besteht darin, dass letzterer Ende-zu-Ende-Verschlüsselung unterstützt, den Goldstandard zum Schutz von E-Mail-Kommunikation. Tresorit verschlüsselt beispielsweise jede Datei und alle relevanten Metadaten direkt auf Ihren Geräten mithilfe einzigartiger, zufällig generierter Verschlüsselungscodes. Diese Schlüssel werden niemals im unverschlüsselten Format an unsere Server gesendet. Ein Zugriff auf die Dateien ist nur mittels des einzigartigen Entschlüsselungscodes des Nutzers möglich.

PGP, MIME, TLS: die gängigsten Arten von E-Mail Encryption erklärt

PGP

Pretty Good Privacy (PGP) ist ein Verschlüsselungsprogramm, das Nutzern eine kryptografische Authentifizierung und geschützte Datenkommunikation und -übertragung beim Signieren, Verschlüsseln und Entschlüsseln von Texten, E-Mails, Dateien, Verzeichnissen oder ganzen Festplattenpartitionen bietet. Wenn Nutzerdaten mit PGP verschlüsselt werden, werden sie außerdem komprimiert. Somit verbessert diese Verschlüsselungsmethode nicht nur die Sicherheit Ihrer E-Mails, sondern spart Ihnen gleichzeitig Speicherplatz.

PGP nutzt eine sogenannte Public-Key-Infrastruktur (PKI) und generiert zunächst einen geheimen Sitzungsschlüssel für die einmalige Anwendung, der in den verschlüsselten Text eingefügt wird. Dies wird mithilfe des öffentlichen Schlüssels des vorgesehenen Empfängers erzielt, der der Identität einer bestimmten Person zugewiesen ist. Sobald die Nachricht gesendet und empfangen wurde, verwendet der Empfänger einen privaten Schlüssel, um den öffentlichen Schlüssel für die Entschlüsselung der eigentlichen Nachricht zu entschlüsseln.

S/MIME

S/MIME steht für Secure/Multipurpose Internet Mail Extensions und ist ein weitläufig verwendetes Protokoll für asymmetrische Verschlüsselung und für das Signieren von MIME-Daten. Bei Multipurpose Internet Mail Extensions, oder MIME, handelt es sich um einen Standard, der das Format von E-Mail-Nachrichten erweitert, sodass das Senden von einzelnen oder mehrfachen Text- oder Nicht-Text-Anhängen unterstützt wird, wie z. B. Grafiken und Audio- und Videodateien.

S/MIME gestattet es Nutzern, die Inhalte von E-Mails mittels Verschlüsselung zu schützen und sich selbst mithilfe von digitalen Signaturen als der legitime Sender ihrer Nachrichten zu verifizieren.

Digitale Signaturen verhindern zudem, dass Sender die Eigentümerschaft von Nachrichten leugnen können, und bieten die Gewissheit, dass die ursprüngliche Nachricht nicht während der Übertragung manipuliert wurde. Die Verschlüsselung gewährleistet, dass die ausgetauschten Informationen nicht gelesen werden können, bis sie wieder in ein lesbares und verständliches Format umgewandelt werden – egal, ob während der Übertragung oder Speicherung.

TLS

Bei Transport Layer Security (TLS) handelt es sich wohl um das am weitesten akzeptierte kryptografische Protokoll im Internet. Es basiert auf einer Kombination aus kryptografischen Prozessen, um die Kommunikation über ein Netzwerk vorm Mithören oder Manipulieren zu schützen. Genauer gesagt nutzt die Methode eine Public-Key-Kryptografie zur Authentifizierung, gemeinsam mit einer Private-Key-Kryptografie, die Hash-Funktionen anwendet, um den Schutz und die Integrität der Daten zu gewährleisten. Auf diese Weise schafft TLS E-Mail Encryption ein Gleichgewicht zwischen Leistung und Sicherheit bei der Datenübertragung.

Ein starker Schutz gegen E-Mail-Bedrohungen: Tresorits sicherer E-Mail-Encryption-Service

Tresorits Tool für E-Mail Encryption ist die neueste Ergänzung unserer sicheren und nutzerfreundlichen Workspace- und Zusammenarbeitslösungen und hilft Unternehmen jeglicher Art und Größe dabei, ihre E-Mails mit Ende-zu-Ende-Verschlüsselung zu schützen. Hier erfahren Sie, wie’s funktioniert:

● Steigen Sie auf sichere E-Mails um – einfach und mühelos
Teilen Sie sensible Daten und Anhänge bis zu einer Größe von 5GB sicher, ohne dafür Schlüssel austauschen, zusätzliche Software benötigen oder Arbeitsabläufe verkomplizieren zu müssen. Sobald das Plug-in installiert ist, können Sie Nachrichten wie gewohnt verfassen und sie gemeinsam mit den Anhängen mit nur einem Klick verschlüsseln.

● Automatisieren Sie den Verschlüsselungsvorgang mit Regeln
Genießen Sie die Vorzüge strengerer Kontrollen über die von Ihnen per E-Mail gesendeten vertraulichen Daten. Administratoren können Regeln festlegen, die auf den Empfängern, der Verfügbarkeit von Anhängen  um die Verschlüsselung von E-Mails durchzusetzen und zu automatisieren oder die Nutzung von verschlüsselten Links anstelle von Anhängen zu erzwingen.

● Reduzieren Sie das Risiko von menschlichem Versagen mit Rückrufoption für E-Mails
Ist Ihre Nachricht versehentlich im falschen Posteingang gelandet? Im Gegensatz zu regulären E-Mails können Sie den Zugriff auf mit Tresorit versendete Nachrichten für alle Empfänger sperren und so die Kontrolle über Ihre Daten wahren – über den gesamten E-Mail-Lebenszyklus hinweg.

● Genießen Sie die Vorteile unserer verbesserten Nutzererfahrung und Personalisierung
Fügen Sie Ihren verschlüsselten E-Mail-Vorlagen mit Ihrem Firmenbranding versehene Elemente hinzu, um nicht nur Ende-zu-Ende-Sicherheit, sondern auch einen professionellen Look zu erzielen. Sie nutzen das Outlook-Plug-in? Aktivieren und deaktivieren Sie E-Mail Encryption mit einem einfachen Klick und fügen Sie verschlüsselte Anhänge im Handumdrehen ein.

● Direkter Zugriff mit Microsoft and Google
Externe Nutzer können ganz einfach auf die verschlüsselten E-Mails mithilfe ihres bestehenden Microsoft- oder Google-Kontos zugreifen.