Ist die De-Mail zu unsicher?

Keine IT-Sicherheit ohne Verschlüsselung

Interview mit Marcel Mock, CTO und Mitbegründer des Schweizer Sicherheitsexperten Totemo, über die Ende-zu-Ende-Verschlüsselung als sicheren Weg für eine zukunftsfähige elektronische Kommunikation und warum man De-Mail für gefährlich halten kann

Marcel Mock, Totemo

Marcel Mock ist CTO beim Schweizer Sicherheitsexperten Totemo

ITM: Herr Mock, warum ist für Unternehmen Ihrer Meinung nach eine Ende-zu-Ende-Verschlüsselung so wichtig?
Marcel Mock:
Daten gelten heute als einer der wichtigsten Rohstoffe. So gut wie jede Branche ist von digitalen Informationen und IT-basierter Kommunikation abhängig. Und der Trend setzt sich fort, wie das Beispiel Industrie 4.0 zeigt: Immer mehr Prozesse werden künftig über die digitale Schiene laufen. Doch leider hat diese Entwicklung auch negative Begleiterscheinungen wie Industrie- und Wirtschaftsspionage. Die Maßnahmen dagegen sind jedoch nicht immer ausreichend und häufig wenig erfolgreich. So wird oft unterschätzt, dass Spionage schon im Kleinen anfängt, wie zum Beispiel durch das Auswerten geschäftlicher E-Mails. Alles was für Geschäftsprozesse brisant und unternehmenskritisch ist, sollte darum besonders sorgfältig geschützt werden. Und das bedeutet für E-Mails der Einsatz einer Ende-zu-Ende-Verschlüsselung.

ITM: Das Prinzip an sich ist ja nicht neu, es konnte sich allerdings in den letzten Jahren nicht als Standard durchsetzen. Woran liegt das?
Mock:
Dafür gibt es verschiedene Gründe. Da sind zum einen die Anwender, die ungern ihre eingefahrenen Kommunikationsprozesse verlassen und sich auf Neuerungen wie den Austausch von Schlüsseln einstellen wollen. Gerade der Schlüsselaustausch erweist sich als Knackpunkt, da es für Nutzer äußerst mühsam ist, mit allen ihren Kommunikationspartnern Schlüssel manuell auszutauschen. Zum anderen sind es nicht selten die Führungsetagen, die sich gegen eine Einführung von Verschlüsselungstechnologien sperren, weil sie hohe Investitions- und Folgekosten oder eine zusätzliche Belastung ihres Administratorenteams befürchten.

ITM: Warum glauben Sie, wird sich das in Zukunft ändern?
Mock:
Konsequente E-Mail-Verschlüsselung ist nicht nur wichtig, um wirtschaftlichen Schaden sowie Vertrauens- und Imageverlust bei Kunden und Partnern zu verhindern. Es gilt auch, Sicherheitsprüfungen seitens der Behörden zu bestehen. So hat beispielsweise das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) zwischenzeitlich bei knapp 2.300 Unternehmen das Sicherheitsniveau der eingesetzten Mailserver automatisiert überprüft. Ein gutes Drittel davon erfüllten die datenschutzrechtlichen Anforderungen nicht und wurden vom Landesamt abgemahnt. Bei mangelnder Kooperationsbereitschaft drohen sogar Strafen bis zu 50.000 Euro. Mit Aktionen wie diesen dürften auch andere Bundesländer nachziehen: Die Bayerischen Behörden haben bereits angekündigt, dass sie die Software auch anderen Ländern zur Verfügung stellen wollen.

ITM: Ist die angesprochen Sorge in den Führungsetagen berechtigt? Wie hoch ist der Aufwand für die Unternehmen tatsächlich?
Mock:
Marktgängige Lösungen lassen sich einfach in vorhandene Infrastrukturen integrieren. Von Vorteil ist hierbei insbesondere, dass keine zusätzliche Software oder Plug-Ins installiert werden müssen. Es kann mit den bereits vorhandenen E-Mail-Clients gearbeitet werden, selbst auf den mobilen Endgeräten. Dadurch hält sich der Aufwand in Grenzen. Zudem können sich die Verantwortlichen je nach Budget und Strategie zwischen Hardware-, Software- oder virtuelle Lösungen entscheiden. Um die Frage also zu beantworten: Der Aufwand ist gering im Vergleich zum Schaden, sollten vertrauliche Informationen in falsche Hände gelangen.

ITM: Ist es nicht ausreichend für Unternehmen, nationalen Initiativen wie De-Mail zu folgen?
Mock:
Nein, definitiv nicht. Die De-Mail ist für Unternehmen nicht nur denkbar ungeeignet, sondern täuscht Sicherheit vor, wo keine ist. Die erforderliche Sicherheit und Vertraulichkeit wird wirklich nur dann erreicht, wenn Dritte die Nachrichten nicht mitlesen können. Und genau das ist das Prinzip der Ende-zu-Ende-Verschlüsselung.

ITM: Was sollten Unternehmen beachten, die eine solche Lösung einführen möchten?
Mock:
Wichtig ist eine genaue Planung, um alle Risikofaktoren zu erfassen. Man sollte sich darüber klar sein, dass kein Netz zu 100 Prozent sicher ist, denn überall können Lücken auftauchen oder sich Schwachstellen auftun, was aber immer noch unterschätzt wird. Die meisten Unternehmen gehen davon aus, dass sie intern mit einem sicheren Netz arbeiten und Gefahrenquellen für E-Mails nur dort lauern, wo Nachrichten das Unternehmensnetz verlassen. Allerdings gefährden auch Mitarbeiter Unternehmen bei der Nachrichtenübermittlung. Meist geschieht das unabsichtlich, beispielsweise durch Nachlässigkeit, gelegentlich allerdings sogar vorsätzlich. Zudem sollten Unternehmen darauf achten, ein System zu installieren, das nach Bedarf skalierbar ist.

ITM: Wo liegen Ihrer Meinung nach künftig die Herausforderungen in punkto E-Mail-Sicherheit für mittelständische Unternehmen?
Mock:
Den Spagat zwischen maximaler Sicherheit und einfacher Benutzbarkeit zu meistern – mit der geeigneten Sicherheitstechnologie, die auch bei den Anwendern Akzeptanz findet. Darüber hinaus bleibt auch die Absicherung von Daten in der Cloud ein wichtiges Thema. Es gilt, die Vorteile für Unternehmen nutzbar zu machen, aber dennoch keine Kompromisse in Bezug auf die Datensicherheit einzugehen.

©2020Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok