Newsletter

Melden Sie sich für unseren Newsletter an!

So bekommen Sie immer die neuesten und wichtigsten Informationen zum Thema Datenschutz, Informationssicherheit und Compliance zugeschickt.

E-Mail – sehr gerne... aber sicher!

Informationssicherheit

von Niels Kill

E-Mails sind aus dem täglichen Alltag nicht mehr wegzudenken. Geschäftliche E-Mails enthalten oftmals firmeninterne, persönliche oder sensible Inhalte, die besonders vor Ausspähung geschützt werden müssen.

Wie einfach und praktisch können Informationen und Botschaften heute ohne Postbote, Faxgerät oder Anruf transportiert werden. Doch auch mit Virenscanner gegen Spam und Phishing ist das Medium E-Mail hochgradig unsicher.

Unterschätztes Risiko
Eine E-Mail, die nicht verschlüsselt ist, hat die Vertraulichkeit einer Postkarte. Sie kann auf dem Weg gelesen, verändert oder vernichtet werden. Man kann noch nicht einmal sicher sein, ob sie von dem Absender stammt, von dem sie vorgibt zu stammen. Sowohl Geheimdienste als auch Kriminelle können E-Mails mit relativ geringem Aufwand abfangen und auch lesen. Cyberkriminelle haben es insbesondere auf sensible Daten und Informationen abgesehen. Schnell kann ein hoher Schaden entstehen, sollten diese in die falschen Hände geraten. Nicht nur in monetärer Form, sondern auch hinsichtlich Reputationsverlust und Haftungsansprüchen. Umso wichtiger ist ein effektiver Schutz.

Trotz vielfältiger Sicherheitsprobleme und der einfachen Möglichkeiten, den E-Mail-Verkehr im Internet mitzulesen, scheuen viele Unternehmen den Aufwand, vertrauliche elektronische Post zu verschlüsseln und zu signieren.

Gesetzeskonform gemäß Bundesdatenschutzgesetz!?
Das Medium E-Mail ist per Gesetz nicht unbedenklich für den Versand von personenbezogenen Daten zugelassen. Die Verschlüsselung spielt im Datenschutz und in der Datensicherheit eine wichtige Rolle. Selbst die Anlage zu § 9 Satz 1 BDSG regelt, dass die Zugangs- Zugriff- und Weitergabekontrolle durch Verschlüsselung zu gewährleisten ist.

Die Weitergabekontrolle ist in der Anlage zu § 9 Satz 1 BDSG geregelt. Demnach dürfen E-Mails mit sensiblen Inhalten nur verschlüsselt verschickt werden.

E-Mails verschlüsseln? Nichts leichter als das!
Es gibt die Möglichkeit clientbasierte Sicherheitskonzepte einzusetzen. Bei diesem so genannten End-to-End-Ansatz wird die Verschlüsselung, Entschlüsselung und das Signieren von E-Mails sowie deren Verifikation auf dem lokalen Anwenderrechner durchgeführt. Jeder PC muss hierfür mit einem sicheren E-Mail-Client mit Kryptografie-Funktion ausgestattet sein. Die Krypto-Fähigkeit bringt die Mail-Software entweder originär mit, oder sie wird über Plug-Ins nachgerüstet. In der Regel werden alle Mitarbeiter über eine zentrale Public Key Infrastruktur (PKI) mit eigenen und fremden Schlüsseln versorgt, die sie auf ihren PCs dezentral verwalten. Auf diese Weise ist es möglich, dass E-Mails durchgängig vom Sender zum Empfänger in geschützter Form versendet werden können, daher der Name „End-to-End“.

Die am häufigsten verwendeten Standards für die Verschlüsselung einzelner E-Mails sind Pretty Good Privacy (PGP) und S/MIME (Secure/Multipurpose Internet Mail Extensions).

Die Verschlüsselung kann ebenso über ein E-Mail Gateway erfolgen, damit können alle internen Mitarbeiter datenschutzkonform verschlüsselte E-Mails versenden und empfangen. E-Mail Gateways verschlüsseln und signieren Mails automatisch – der Anwender kommt ganz ohne Krypto-Lösung aus. Mit E-Mail Gateways können Unternehmen eine sichere E-Mail-Lösung etablieren.

Eine Ende-zu-Ende Verschlüsselung ist auch sehr gut mit externen Dienstleistern realisierbar, indem Sie die Daten auf einem sicheren Cloud-Speicher zum Austausch ablegen. Die Daten sollten hierbei bereits vor dem Hochladen verschlüsselt werden.

Die Herausforderungen für die IT sind:

  • Verschlüsselung beim Einsatz von mobilen Endgeräten:
    Ein Großteil der Mitarbeiter nutzt für den E-Mail Versand auch mobile Geräte. Daher müssen die IT-Verantwortlichen einen Weg finden, die mobil versendeten Nachrichten genauso abzusichern wie auf den Büro-Rechnern.
  • Verschlüsselte Archivierung:
    Eine gesetzliche Vorgabe, die sich aus dem Handelsgesetzbuch (HGB) und der Abgabenordnung (AO) ergibt, betrifft die Archivierung elektronischer Nachrichten. Dementsprechend müssen alle relevanten E-Mails und deren Dateianhänge vollständig, manipulationssicher und jederzeit verfügbar aufbewahrt werden. Neben den bereits aufgeführten gibt es noch etliche weitere Gesetze, Normen und Vorschriften, die eine E-Mail-Archivierung erfordern. Als Beispiele seien hier die GoBD, das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) oder auch Basel II genannt.

Ergänzender Lösungsansatz – die Einwilligung?
Dieses Verfahren dürfte sich jedoch je nach Alter, Betreuung und Situation gerade im Gesundheits- und Sozialwesen durchaus schwierig gestalten. Die betreffenden Personen geben ihre Einwilligung, dass ihre personenbezogenen Daten unverschlüsselt per E-Mail verschickt werden dürfen. Entweder vorab per schriftlicher Zustimmung oder zumindest mittels einer elektronischen Einwilligung, also per E-Mail.

Einige Aufsichtsbehörden (z.B. Berlin) vertreten jedoch die Auffassung, dass via Einwilligung nicht von einer Verschlüsselung abgewichen werden darf!

Tipps und Fazit:
Entscheiden Sie sich für einen E-Mail-Anbieter, der Ihre Nachrichten auf allen Übertragungswegen   sicher verschlüsselt und vor dem Zugriff durch Dritte schützt. Die Anbieter sollten Ihre Daten im Gleichklang mit den deutschen Datenschutzregeln verarbeiten. Wählen Sie Dienstleister, die ihre E-Mail-Kommunikation ausschließlich in gesicherten deutschen Rechenzentren speichert und verarbeitet.

Wenn sie nicht die gesamte E-Mail verschlüsseln können, verschlüsseln sie die anhängenden Dokumente. Das Kennwort teilen sie dem Empfänger per Telefon mit. Eine weitere Möglichkeit ist das Nutzen einer Austauschplattform, wie ein sicheres Portal. Hier werden die Daten auf einem Server abgelegt und von dort runtergeladen. Dies geschieht jeweils über eine verschlüsselte Verbindung.

Nicht nur aufgrund gesetzlicher Vorschriften sollten Unternehmen wichtige Informationen konsequent verschlüsseln und damit vor unberechtigten Zugriffen schützen.

 

Haben Sie Fragen oder benötigen Sie Unterstützung im Bereich Datenschutz oder Informationssicherheit? Wir freuen uns über Ihre Kontaktaufnahme!

 

Zurück