Die Umsetzung der E-Mail-Verschlüsselung kann verwirrend wirken. Wir haben Antworten.
Von Andreas Brix, GlobalSign und Felix Schuster, Net at Work
Jeden Tag hören wir von neuen Ransomware-Angriffen. Mittlerweile finden etwa 2.000 Mal pro Tag Ransomware-Angriffe statt – also etwa alle 11 Sekunden einer.
In Deutschland, wo Net at Work seinen Sitz hat, war die Windenergiebranche von einigen der schlimmsten Angriffe betroffen, insbesondere im letzten Jahr. Allerdings gibt es problematische Ransomware-Angriffe auf verschiedenste deutsche Organisationen schon länger, und die Mehrzahl der Angriffe wird Hacker-Gruppen mit starken Verbindungen zu Regierungen zugeschrieben. Im letzten Jahr itDaily.net, dass Deutschland in Bezug auf die Häufigkeit an fünfter Stelle der von Ransomware betroffenen Länder steht.
Ein Ransomware-Angriff beginnt in der Regel mit Phishing. Dazu muss jemand einen bösartigen Link in einer E-Mail anklicken, der das Eindringen in das Netzwerk seines Unternehmens ermöglicht. Um Phishing-Angriffe zu verhindern, müssen Unternehmen also einen besseren Weg finden, um ihre E-Mails zu schützen. Denn in der Regel kommt es durch Phishing zu Datenschutzverletzungen, die den Unternehmen Schäden in zweistelliger Millionenhöhe verursachen.
In Anbetracht dieser Tatsache setzen Unternehmen zunehmend auf automatisierte E-Mail-Verschlüsselungslösungen, um ihre Cybersicherheit zu erhöhen. Aber was sind angesichts der zahlreichen Möglichkeiten die wichtigsten Überlegungen? Viele verschiedene Optionen bei der Verschlüsselung können natürlich verwirrend sein. Aber GlobalSign und Net at Work sind da, um zu helfen! Wir haben hier die sieben wichtigsten Faktoren zusammengestellt.
1. Automatisieren
Als ersten Schritt sollten Sie sich nach einer automatisierten Lösung umsehen. Bei den vielen IT-Bereichen, die ein Unternehmen zu verwalten hat, ist die Automatisierung eine enorme Hilfe. Automatisierung spart nicht nur Zeit und Geld, sondern sie schließt auch menschliche Fehler aus und erhöht die Flexibilität. Automatisierung erhöht außerdem das Vertrauen in die Lösung, die Ihr Unternehmen einsetzt, so dass Sie sich darum keine weiteren Sorgen machen müssen. Es muss keiner der Beschäftigten speziell für diese Aufgabe abgestellt werden – die automatisierte Lösung erledigt das. All das macht den Einsatz einer Lösung zur Automatisierung Ihrer E-Mail-Sicherheit sehr sinnvoll. Überlassen Sie es nicht den Clients, Client-Geräten, Mobiltelefonen und Desktops, dort jeweils Zertifikate abzulegen. Suchen Sie stattdessen nach zentralisierten Lösungen, die Sie automatisch verwalten können – wie die von Net at Work und GlobalSign.
2. Nach vertrauenswürdigen Lösungen suchen
Der zweite Schritt ist es, sich sicher zu sein, eine vertrauenswürdige Lösung gefunden zu haben. Ein neuer Anbieter mag verlockend wirken, aber nur bei etablierten Anbietern mit einem vertrauenswürdigen, zuverlässigen Produkt finden Sie bewährte Lösungen. Einige Unternehmen entscheiden sich auch für den Erwerb kostenloser Lösungen. Kostenlos bedeutet jedoch nicht immer gut (oder wirklich „kostenlos“), und es bedeutet auch nicht, dass Sie ein Produkt oder eine Dienstleistung von erwiesener Qualität erhalten. Bei solchen Entscheidungen sind kritische Faktoren wie die Erfolgsbilanz eines Anbieters und sein Ruf in der IT-Gemeinschaft genau zu überprüfen.
3. Offene Standards nutzen
Der dritte Punkt ist, sich auf Lösungen zu konzentrieren, die offene Standards unterstützen, wie Secure/Multipurpose Internet Mail Extensions (S/MIME). Dabei handelt es sich um ein weithin akzeptiertes Protokoll für den Versand digital signierter und verschlüsselter Nachrichten. Verschlüsselte E-Mails sind deutlich sicherer als unverschlüsselte, da sie nur vom E-Mail-Gateway oder E-Mail-Client des Empfängers entschlüsselt werden können. Während digitale Zertifikate sicherstellen, dass E-Mails bei der Übertragung zu einem Server gut geschützt sind, sind E-Mails im Ruhezustand – oder bei der Übertragung an andere Orte – von Hackern durchaus angreifbar. Da Cyber-Kriminelle ihrer Natur gemäß alles tun, um an Daten zu gelangen, ist ein stärkerer Schutz erforderlich, um E-Mails zu schützen. Dieser Schutz heißt S/MIME.
S/MIME basiert auf asymmetrischer Verschlüsselung, die ein Paar mathematisch verknüpfter Schlüssel für die Durchführung verwendet - einen öffentlichen Schlüssel und einen privaten Schlüssel. Es ist rechnerisch nicht machbar, den privaten Schlüssel auf der Grundlage des öffentlichen Schlüssels zu ermitteln. E-Mails werden mit dem öffentlichen Schlüssel des Empfängers verschlüsselt und können nur mit dem entsprechenden privaten Schlüssel entschlüsselt werden, der im alleinigen Besitz des Empfängers sein sollte. Wenn der private Schlüssel nicht kompromittiert wird, können Sie sicher sein, dass nur Ihr beabsichtigter Empfänger auf die sensiblen Daten in Ihren E-Mails zugreifen kann.
4. Lock-Ins vermeiden
Schritt vier, der eng mit den offenen Standards zusammenhängt, ist die Vermeidung von „Lock-in“-Fallen, also Abhängigkeit von einem Anbieter. Es gibt viele Anbieter von E-Mail-Sicherheitslösungen auf dem Markt, aber nicht alle bieten ein Produkt an, das auf S/MIME basiert. Auch wenn andere Produkte durchaus ihre Vorzüge haben, können Lösungen, die auf der Transportebene mit ihren eigenen Verschlüsselungsmethoden implementiert werden, keine Informationen zwischen Systemen austauschen. Daher sind sie für Systeme von Drittanbietern nicht offen. Offene Standards sind aber unverzichtbar, denn wenn jedes Unternehmen eigene Verschlüsselungsstandards schaffen würde, wäre die Interoperabilität stark eingeschränkt. Die Empfänger müssten dann auch jeweils die spezifischen Plattformen nutzen und würden eine entsprechende Entschlüsselungsmethode benötigen. Infolgedessen müssten sich die Unternehmen auf mehrere Portale und Systeme verlassen – und E-Mail-Einladungen könnten zu einem weiteren Spoofing-Vektor werden. Es gibt also genügend Gründe für die Existenz offener Standards.
5. Öffentliche Schlüssel veröffentlichen
Der fünfte Schritt besteht darin, Ihre öffentlichen Schlüssel zu veröffentlichen und zu verteilen. Dadurch müssen die Kommunikationspartner nicht über Metasuchen einen öffentlichen Handshake anfordern, um einen Schlüssel zu erhalten. Um eine verschlüsselte Nachricht senden zu können, benötigen Sie eine mit Ihrem öffentlichen Schlüssel signierte E-Mail. Sobald Sie diese erhalten, hat Ihr Desktop oder Gateway den öffentlichen Schlüssel gespeichert. Danach kann der Absender eine verschlüsselte Nachricht zusammen mit einem öffentlichen Schlüssel per E-Mail versenden. Dieser Handshake ist notwendig. Hier ist auch die Bedeutung des Lightweight Directory Access Protocol (LDAP) zu berücksichtigen. Ohne das LDAP kann die erste E-Mail des Zertifikatsinhabers nicht verschlüsselt werden. Der Besitz eines öffentlichen Schlüssels ermöglicht aber eine verschlüsselte Kommunikation. Der private Schlüssel verbleibt immer beim Zertifikatsinhaber, so dass dieser die Nachricht entschlüsseln kann.
6. Benutzer aufklären
Bei Schritt sechs geht es nicht um technologische Aspekte. Es geht eher um die persönliche Kommunikation, und hier insbesondere darum, Mitarbeitende und Partnerunternehmen daran zu erinnern, dass eine Lösung zur Verschlüsselung von E-Mails zur Verfügung steht. Durch eine zentralisierte und automatisierte Ver- und Entschlüsselung entfallen kostspielige und zeitaufwändige Schulungen. Ein automatisiertes System ist in der Lage, alle notwendigen Aktionen durchzuführen. Stattdessen kann der Schwerpunkt bei den Nutzern auf Standardinformationen und auf die Erhöhung der Sensibilität gelegt werden, z. B. darauf, in vom Gateway generierten E-Mails auf Verschlüsselungs-/Signierungs- und Prüfberichte zu achten. Eine solche Schulung kann Teil des Change-Management-Prozesses von Unternehmen werden, die fortlaufend Kampagnen zum Sicherheitsbewusstsein durchführt.
7. Unterstützung bei Anforderungen und Vorschriften Ihrer Branche
Der letzte und siebte Schritt ist das Streben nach Innovation und Schnelligkeit. Beides sind wichtige Aspekte, wenn es um sichere E-Mails geht, insbesondere in Bezug auf Ihren Gateway-Anbieter. Achten Sie darauf, eine Lösung zu suchen, welche die neuesten S/MIME-Standards unterstützt. Der Grund dafür ist, dass Sie eine authentifizierte Verschlüsselung benötigen, um die Richtlinien des S/MIME 4-Standards zu erfüllen. Zudem ist es wichtig, dass Ihr Gateway-Anbieter die Branchenvorschriften schon kurz nach deren Veröffentlichung oder Inkrafttreten erfüllt. In Deutschland gibt es zum Beispiel für Projekte des Bundes Anforderungen vom Bundesamt für Sicherheit in der Informationstechnik (BSI). Zudem gibt es viele weitere branchenspezifische Anforderungen, die man kennen muss. Neben den Projekten des Bundes gibt es in Deutschland auch Anforderungen für die Automobilindustrie (TSX), den Energiesektor (EDI), DSGVO und viele mehr. Eine erfolgreiche E-Mail-Verschlüsselung bedeutet, dass Sie alle Anforderungen Ihres Marktes kennen müssen.
GlobalSign und Net at Work arbeiten seit fast einem Jahrzehnt zusammen, um die E-Mail-Sicherheit zu fördern.
GlobalSigns Enterprise-Lösungen und Net at Works NoSpamProxy bieten Ihnen die nötige Sicherheit, die Ihrem Unternehmen langfristig hilft. Wenn Sie Integrität schaffen, Privatsphäre aufrechterhalten, sensible Daten bewahren und Phishing- und andere E-Mail-Angriffe reduzieren wollen, sollten Sie über die Implementierung von S/MIME nachdenken – mit Unterstützung von GlobalSign und Net at Work. Gemeinsam können wir das Vertrauen und die Sicherheit schaffen, die Ihr Unternehmen benötigt.
Dieser Beitrag wurde von Andreas Brix, GlobalSign, in Zusammenarbeit mit Felix Schuster, Net at Work, verfasst.
Felix koordiniert das Produktmarketing-Management für NoSpamProxy bei Net at Work. Während er sich um den Internationalisierungsprozess und die Strategie des Produkts kümmert, leitet er Marketingkampagnen und organisiert die Vertriebskanäle.
