Aktuelles, Branche - geschrieben von cp am Mittwoch, Mai 9, 2018 22:50 - ein Kommentar
DSGVO: E-Mail-Verschlüsselung wird endgültig zur Pflicht
Tipps für Unternehmen bei der Wahl einer Verschlüsselungslösung
[datensicherheit.de, 09.05.2018] Christian Heutger, Geschäftsführer der PSW GROUP, weist in seiner aktuellen Stellungnahme darauf hin, dass bereits heute das bisherige Bundesdatenschutzgesetz (BDSG) die Verschlüsselung von E-Mails mit personenbezogenen Daten vorschreibt. Ab dem 25. Mai 2018 verschärfe indes die Datenschutz-Grundverordnung (DSGVO) die Lage: „Die E-Mail-Verschlüsselung wird endgültig zur Pflicht!“
E-Mail-Verschlüsselung unabdingbar
„Wer dann noch auf E-Mail-Verschlüsselung verzichtet, für den kann es richtig teuer werden, weil Sicherheitsvorkehrungen zum Schutz von Daten nach aktuellem Stand der Technik nicht umgesetzt wurden“, warnt Heutger.
Der IT-Sicherheitsexperte rät, jedoch nicht gleich in Panik zu verfallen: „E-Mail-Verschlüsselung ist heutzutage praktikabel und mit geringem Aufwand implementiert. Idealerweise greifen Unternehmen zu einer Lösung, die unbemerkt im Hintergrund, also serverseitig, aufgesetzt wird. So müssen sich Mitarbeiter nicht in ihren Arbeitsabläufen umstellen.“
Unternehmen müssen Meldepflicht beachten
Nicht vernachlässigen sollten Unternehmen zudem, dass sie im Falle einer Datenpanne künftig verpflichtet sind, diese binnen 72 Stunden der zuständigen Aufsichtsbehörde sowie, bei hohem Risiko für persönliche Daten, den betroffenen Personen zu melden.
Waren die kompromittierten Daten jedoch so verschlüsselt, dass Dritte nicht an diese gelangen können, könnten Unternehmen zumindest auf die Bekanntgabe gegenüber betroffenen Personen verzichten. „Das erspart viel Arbeit und schützt den Ruf als datenschutzorientiertes Unternehmen“, unterstreicht Heutger.
Auswahl einer praktikablen, sichere Verschlüsselungslösung
„Bei der Verschlüsselung von E-Mails wird zwischen Transport- und Inhaltsverschlüsselung unterschieden. Während bei der ersten Variante die E-Mail auf ihrem Weg von Server zu Server quasi nur durch einen verschlüsselten Tunnel geschickt wird und auf den Servern selbst im Klartext gespeichert ist, wird bei der Inhaltsverschlüsselung auch die E-Mail selbst verschlüsselt“, erläutert Heutger.
Da dabei Metadaten wie Absender, Betreff der Nachricht und Empfänger unverschlüsselt und damit lesbar bleiben, sollten in der Praxis beide Verfahren kombiniert werden: „Es empfiehlt sich, auf Standardprotokolle zu setzen. So bietet sich S/MIME für die Inhaltsverschlüsselung an; eine Alternative wäre OpenPGP. TLS ist hingegen das Standardprotokoll für die Transportverschlüsselung.“
Laut Heutger sind mit S/MIME und PGP Lösungen auf dem Markt, für deren Einsatz Zertifikate sowie Schlüssel zwingende Voraussetzungen sind. Dies jedoch setze eine entsprechende Infrastruktur und zumindest ein wenig technisches Wissen voraus. In der Praxis lohne es sich deshalb über Alternativen nachzudenken: „Deshalb bieten sich Gateway-Lösungen zur E-Mail-Verschlüsselung an. Mit ihnen gelingt das Verschlüsseln und Signieren von E-Mails automatisch und zentral auf dem Server.“
Gateway-Lösungen für KMU nicht immer die beste Wahl
Kleinen Unternehmen rät Heutger jedoch von Gateway Lösungen ab: „Im Vergleich zu isolierten Ende-zu-Ende-Lösungen fällt der Konfigurationsaufwand recht hoch aus. Sie sollten deshalb ernsthaft über eine isolierte Lösung nachdenken und sich individuell beraten lassen, welche Lösung für sie richtig ist. Hinzu kommt, dass viele E-Mail-Gateways den unternehmensinternen Mail-Versand nicht schützen und bei Bedarf die innere Sicherheit mit einer weiteren Lösung erreicht werden muss.“
Christian Heutger: Individuelle Verschlüsselungslösung für KMU empfohlen
Lösung sollte kompatibel mit vielen Betriebssystemen und Plattformen sein
Bei der Wahl der geeigneten Verschlüsselungslösung keinesfalls vernachlässigt werden sollten Schnittstellen zu weiterer Sicherheitssoftware, beispielsweise einem Virenscanner, um eingehende E-Mails auf Schadsoftware zu scannen.
Dasselbe gelte für das E-Mail-Archiv: Um E-Mails zu indizieren, sollte das Archivsystem auf E-Mail-Inhalte im Klartext zugreifen können. Andernfalls werde es schwer, eine bestimmte E-Mail später wieder aufzufinden. Die Wahl der geeigneten Verschlüsselungslösung sollte zudem auf ein System fallen, das auch mobile Endgeräte wie Smartphones oder Tablets mit einbindet.
„Um flexibel zu bleiben und für die Zukunft gerüstet zu sein, sollte eine Lösung gewählt werden, die mit vielen Betriebssystemen und Plattformen kompatibel ist“, so Heutger.
Weitere Informationen zum Thema:
PSW GROUP, 25.04.2018
Rechtliches / DSGVO: E-Mail-Verschlüsselung ist Pflicht
datensicherheit.de, 17.03.2018
EU-DSGVO: Perspektiven des Datenschutzes nach dem 25. Mai 2018
ein Kommentar
Karsten U. Bartels
Kommentieren
Aktuelles, Experten, Veranstaltungen - Aug. 28, 2025 0:28 - noch keine Kommentare
19. Paderborner Tag der IT-Sicherheit zu zentralen Themen digitaler Sicherheit
weitere Beiträge in Experten
- Bitkom-Forderung: Nationaler Sicherheitsrat muss Cyberraum in den Blick nehmen
- Drug-resistant epilepsy: KFSHRC reports more than 2,000 successful procedures using Stereo-EEG
- Medikamentenresistente Epilepsie: KFSHRC meldet mehr als 2.000 erfolgreiche Eingriffe mittels Stereo-EEG
- Kreditkartenbetrug im Internet: Zunahme der Bedrohung für Verbraucher
- Drohnenpiloten sollten allgemeine und spezielle Regelungen vorab kennen und vor Ort beachten
Aktuelles, Branche - Aug. 28, 2025 0:41 - noch keine Kommentare
Kommunikationslösungen für deutsche Behörden: Benjamin Schilz rät zur Abkehr von US-Anbietern
weitere Beiträge in Branche
- Falsche Nummer: Warnung vor Zunahme von SMS-Betrugsmaschen
- Microsoft 365: Manipulation von E-Mail-Regeln, Formularen und Konnektoren als Sicherheitsrisiken
- Mehr als ein rein technisches Problem: Cybersicherheit eine Frage der Haltung
- KnowBe4-Warnung: Finanzinstitute bis zu 300-mal häufiger Ziel von Cyberangriffen als Unternehmen anderer Branchen
- Aktuelle DACH-Managementstudie: Führungskräfte sehen Großunternehmen bei Cybersicherheit im Vorteil
Aktuelles, Branche, Umfragen - Juli 9, 2025 19:03 - noch keine Kommentare
DigiCert-Umfrage: Manuelle Zertifikatsprozesse führen zu Ausfällen, Compliance-Fehlern und hohen Verlusten im Unternehmen
weitere Beiträge in Service
- Threat Hunting: Bedeutung und Wertschätzung steigt
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
Es gibt gerade keine allgemeine Verschlüsselungspflicht in der DSGVO. Siehe Art. 32 DSGVO.