E-Mail ist als Standard für den Austausch vertraulicher Informationen gesetzt, doch bei vielen Unternehmen ändert sich der Speicherort: Sie verlagern ihre E-Mail-Infrastruktur in die Cloud. Bestehende Konzepte zum Informationssicherheits-Management für E-Mails stehen daher auf dem Prüfstand. Gefragt ist eine benutzerfreundliche Verschlüsselung sensibler Daten, damit die Sicherheit vom Speicherort unabhängig wird.

Wie gravierend Cloud-Services die Kommunikation in der Geschäftswelt beeinflussen, zeigt sich an virtuellen wie multidisziplinären Teams, die in vielen Branchen bereits als Synonym für Innovation und agile Entwicklung gelten. Cloud-basierte E-Mail- und Kommunikationsdienste sowie Collaboration-Services verbreiten sich rasant, wobei sich ein Trend abzeichnet: Besonders Großunternehmen favorisieren Hybridkonfigurationen, um Dienste lokal („on-premise“) wie auch in der Cloud auszuführen. Daraus ergibt sich eine Grundsatzfrage für die alltägliche Arbeit in den IT-Abteilungen: Wie lassen sich Daten sicher speichern und genauso sicher übertragen?

Die Antwort lautet ganz klar: Nur eine starke Verschlüsselung schafft die Voraussetzung, um die notwendige Sicherheit zu erreichen. Verschlüsselte Daten, die in der Cloud liegen, sind in der Regel besser geschützt als die Daten, die unverschlüsselt auf lokalen Servern gespeichert sind. Zwar verweisen Cloud-Skeptiker gerne darauf, dass es keinen zuverlässigen Schutz gibt, um den physischen Zugriff Dritter auf Daten in der Cloud zu verhindern. Aber wenn es Unbefugten tatsächlich gelingt, Daten abzugreifen, kommen sie bei verschlüsselten Daten keinen Schritt weiter: Wem der Schlüssel zu den Mails fehlt, der kann mit dem „Datenmüll“ nichts anfangen. Die beste Strategie ist jedoch, die Sicherheit der Daten nicht vom Speicherort abhängig zu machen und vertrauliche Daten vor dem Speichern grundsätzlich zu verschlüsseln. Das macht auch interne Systeme sicherer.

Bei der Verschlüsselung in der Wolke ist darauf zu achten, dass man die Schlüssel getrennt von den verschlüsselten Nachrichten aufbewahrt. Das ist leider bei der integrierten Verschlüsselung vieler Cloud-Anbieter nicht der Fall und vergleichbar mit dem Haustürschlüssel unter der Fußmatte. Unternehmen sollten darauf achten, dass sie ihre Schlüssel im eigenen Rechenzentrum speichern und verwalten. Alle Nachrichten werden dann direkt am E-Mail-Client oder am mobilen Endgerät ver- und entschlüsselt.

Bisher hatten IT-Abteilung, Absender und Empfänger großen Aufwand damit, digitale Zertifikate und Schlüssel zu managen. Deshalb haben sehr viele E-Mail-Nutzer noch nie eine E-Mail digital signiert oder verschlüsselt, obwohl sie regelmäßig sensible Informationen verschicken. Einige E-Mail-Anwendungen setzen als Verschlüsselungsstandards S/MIME (Secure/Multipurpose Internet Mail Extensions) oder PGP (Pretty Good Privacy) ein. Der Einsatz dieser Verfahren auf allen Geräten ist jedoch eine große technische Herausforderung, meist zu Lasten der Bedienbarkeit. Diese entscheidet jedoch darüber, ob die Nutzer eine Lösung am Ende einsetzen. Bei den meisten Angeboten besteht hier noch Nachholbedarf.

Für Datenschutz sensibilisieren

Aufzuholen haben jedoch auch die Unternehmen selbst: Sie müssen ihre Mitarbeiter schulen, um ihnen die Herausforderungen bei Datenschutz und Datensicherheit vor Augen zu führen. Am Bewusstsein für den betrieblichen Datenschutz lässt sich in Workshops arbeiten. Zum Auftakt könnten Anwendergruppen lernen, E-Mails digital zu signieren und zu verschlüsseln. In ihren Arbeitsalltag integrieren Nutzer aber nur Verfahren, die ihren Arbeitsfluss nicht unterbrechen. Sind viele zusätzliche Schritte notwendig, um eine E-Mail verschlüsselt zu versenden, verzichten die Menschen einfach darauf. Mitarbeiter benötigen sichere, zuverlässige und benutzerfreundliche Lösungen, mit denen sie ihre alltäglichen Aufgaben erledigen: Daten verarbeiten und verteilen.

Für die Wahrung des betrieblichen Datenschutzes ist es sinnvoll, Mitarbeitern Regeln an die Hand zu geben, welche Arten von Nachrichten zu verschlüsseln sind. Zudem sollte ein Unternehmen allgemein gültige Richtlinien zentral abbilden und über richtlinienbasierte IT-Lösungen automatisch ausführen. Dann erfolgt zum Beispiel die Kommunikation mit bestimmten Lieferanten immer verschlüsselt.

Verschlüsselungsbedarf

Betrachtet man genauer, welche sensiblen Informationen im Unternehmen über die IT-Systeme im Umlauf sind oder zum Abruf bereitstehen, kristallisieren sich drei Arten heraus: personenbezogene Daten sowie geschäftlich und rechtlich relevante Informationen. Bei allen drei Arten verbietet es sich grundsätzlich, sie ungeschützt per E-Mail zu übertragen. Der sensible Umgang mit Personendaten sollte selbstverständlich sein. An dieser Vorgabe muss sich beispielsweise ein Informationssystem im Personalwesen (HR) messen lassen, über das ein Unternehmen Abrechnungen, Stundenzettel und Krankmeldungen per E-Mail versendet: Beim automatischen Versand aus der Applikation heraus müssen die Daten korrekt verschlüsselt sein.

Sicherer E-Mail-Versand nutzt meist die Verschlüsselung des Cloud-Providers …

… doch mit einem E-Mail-Verschlüsselungs-Gateway können die Schlüssel im Unternehmen verbleiben. Bilder: totemo

Geschäftliche Transaktionen beinhalten Kundeninformationen, Lieferantenverträge, Angebote und Ausschreibungen, die nicht in den freien Umlauf gehören. In vielen Unternehmen erhalten deswegen nur die Befugten Zugang zu den Informationen, die auf gesicherten Servern liegen. Aber auch der beste Zugangsschutz ist nutzlos, wenn man die Daten anschließend im Klartext per E-Mail verschickt. Ebenso sollten CRM-Systeme für automatisierte Berichte, die per E-Mail an bestimmte Anwendergruppen im Unternehmen gehen, Verschlüsselung einsetzen. Alles, was rechtliche Relevanz besitzt, darf inner- und außerhalb des Unternehmens nur verschlüsselt übertragen werden. Darunter fällt die Kommunikation mit Rechtsanwälten und Patentämtern ebenso wie jene zwischen Vorstandsmitgliedern, weil eine Fusion oder Übernahme ansteht.

Die Kombination von Office 365 und Verschlüsselungs-Gateway erlaubt es, die nativen Verschlüsselungs- und Signatur-Buttons von Outlook nutzen. Bild: totemo

Weitere Sicherheits- und Datenschutzanforderungen gelten in bestimmten Branchen, zum Beispiel im Gesundheits- und Finanzwesen. Die besondere Herausforderung ist dabei die verschlüsselte Kommunikation mit Privatpersonen. Dank S/MIME und OpenPGP gibt es zwar etablierte Verschlüsselungsstandards, doch private E-Mail-Anwendern nutzen dies kaum. Ein sicherer Zugriff lässt sich dennoch einrichten, indem sie die verschlüsselte Nachricht bei einem sicheren Web-Portal abholen.

Unsichtbare Sicherheit

Im digitalen Wandel hängt ein großer Teil des Geschäftserfolgs an der Vertraulichkeit der Daten. Unternehmen obliegt die Entscheidung, welche Daten sie verschlüsseln. Notwendig ist dazu das Klassifizieren der Daten und die Erstellung von Richtlinien, an denen sich Mitarbeiter und auch Administratoren orientieren können. Daten sind heute insbesondere per E-Mail ständig in Bewegung, sowohl für interne Informationen als auch im Austausch mit externen Partnern. Insbesondere hybride E-Mail-Lösungen, Content-Management- und Collaboration-Umgebungen werden sich bei Unternehmen weiter verbreiten. Die Herausforderung besteht darin, dass die Komplexität und der Management-Aufwand dieser Systeme nicht außer Kontrolle geraten. Schließlich sollen sich die Geschäftsentscheider auf ihre Wettbewerbsstärke und die Unternehmensführung konzentrieren – was auch für strategische IT-Aufgaben gilt. Aus diesem Grund ist eine benutzerfreundliche Verschlüsselungslösung gefordert, die sich leicht implementieren lässt.

Marcel Mock ist CTO und Mitbegründer von totemo, www.totemo.de.