Drei Methoden, ein Ziel

Der sichere E-Mail-Versand

v\:* {behavior:url(#default#VML);} o\:* {behavior:url(#default#VML);} w\:* {behavior:url(#default#VML);} .shape {behavior:url(#default#VML);}

Frank von Stetten ist Mitgründer und Senior Consultant der HvS-Consulting AG in München. Seit über zehn Jahren berät er mittelständische Unternehmen und große Konzerne zu Informationssicherheit, Prävention von Industriespionage sowie Sensibilisierung von Mitarbeitern. Nebenbei betätigt er sich als professioneller Spion und simuliert regelmäßig Industriespionage-Angriffe auf Unternehmen. Das geschieht allerdings ausschließlich im Kundenauftrag auf der „guten Seite der Macht“. Normal 0 false 21 false false false DE X-NONE X-NONE
Fragt man Unternehmen, halten diese das Verschlüsseln von wichtigen Dokumenten und E-Mails für wichtig. In der Praxis fristet aber gerade die E-Mail-Verschlüsselung noch ein Schattendasein.
Foto: HvS-Consulting AG

Laut Bitkom verschlüsselten 2014 lediglich 15 Prozent aller Nutzer ihre E-Mails. Dabei verhält es sich mit der E-Mail wie mit einer Postkarte: Jeder kann sie abfangen und lesen.
Vielen Nutzern ist E-Mail-Verschlüsselung einfach zu kompliziert. Das ist aber nicht zwingend der Fall. Tatsächlich gibt es nicht nur unzählige Lösungen am Markt, sondern auch verschiedene Methoden für die E-Mail-Verschlüsselung.

Vom Standard abhängig: Die asymmetrische E-Mail-Verschlüsselung

Als besonders sicher gilt die asymmetrische E-Mail Verschlüsselung auch PKI-basierte E-Mail-Verschlüsselung genannt (Public Key Infrastructure). Leider ist sie auch hinsichtlich der Einrichtung besonders komplex. Die asymmetrische Verschlüsselung funktioniert so: Jeder der Teilnehmer verfügt über ein Schlüsselpaar - einen öffentlichen Schlüssel (= das Schloss) und einen privaten Schlüssel. Der Sender einer E-Mail sperrt mit dem Schloss des Empfängers die E-Mail zu. Dieser kann sie mit seinem passenden privaten Schlüssel dann öffnen.

Hier zeigt sich die entscheidende Hürde dieser Methode: Die Kommunikationspartner müssen dieselbe Verschlüsselungslösung nutzen und untereinander die Schlösser austauschen. Die Standards S/MIME und PGP sind zwar relativ weit verbreitet, aber leider nicht kompatibel. So bleibt asymmetrische Verschlüsslung in der Regel nur etwas für IT-Profis. Schade, denn das wäre die sicherste Lösung.

Macht (nur) den Absender glücklich: Gateway-Verschlüsselung

Sicher und komfortabel sind hybride Lösungen. Diese werden als Software oder Appliance (HW + SW) angeboten und funktionieren in etwa so: Der Absender kennzeichnet eine E-Mail als vertraulich und sendet sie ab. Der Gateway prüft dann, welche Möglichkeit es gibt, die E-Mail dem Empfänger verschlüsselt zukommen zu lassen:

Die Software sucht nach den Schlössern der Empfänger, also dem öffentlichen S/MIME oder PGP-Schlüssel, und verschlüsselt die E-Mail. Sollte sie keine Schlösser finden, wird die E-Mail auf einem geschützten Webserver gespeichert und der Empfänger per E-Mail informiert, dass eine verschlüsselte Nachricht auf dem Server zum Download bereitsteht. Der Empfänger muss also bei jedem Kommunikationspartner einen Webserver besuchen und hat die E-Mails nicht mehr in seinem eigenen Postfach. Dieser Weg wird leider sehr schnell sehr kompliziert.

Unterwegs im Passwortdschungel: Die symmetrische Verschlüsselung

Die symmetrische Verschlüsselung arbeitet in der Regel mit einem Passwort als Schlüssel. Der Sender verschlüsselt die E-Mail und der Empfänger öffnet sie mit diesem Passwort. Aber wie kommt der Empfänger an das Passwort? Und wie vermeide ich eine Passwort-Flut, da ich ja nicht jedem Empfänger dasselbe Passwort schicken kann? Das Passwortmanagement ist eine große Hürde für den Einsatz einer symmetrischen Verschlüsselungslösung. Einige Tools lösen das mit einer intelligenten Passwortverwaltung.

Ein weiteres Thema ist der teilweise leicht zu knackende Verschlüsselungs-Algorithmus. Wer aber beispielsweise ZIP-Dateien mit AES-256 Bit verschlüsselt, ist auf der sicheren Seite. Das kann nach aktuellem Kenntnisstand nur durch Ausprobieren (Brute-Force) angegriffen werden.

Fazit: Jede Variante hat Vor- und Nachteile. Aber die symmetrische E-Mail-Verschlüsselung muss den Vergleich mit asymmetrischen Lösungen nicht scheuen. Sie trumpft insbesondere bei der Anwenderfreundlichkeit, weil Passwort-geschützte E-Mails wirklich beim Empfänger ankommen und sich auf nahezu jedem Endgerät öffnen lassen.
Weitere Informationen zu den verschiedenen Methoden für die E-Mail-Verschlüsselung, finden sich im IS-FOX Security Blog unter: https://www.is-fox.de/blog. (bw)

Zur Startseite