DSGVO: E-Mail-Verschlüsselung wird endgültig zur Pflicht

Tipps für Unternehmen bei der Wahl einer Verschlüsselungslösung

[datensicherheit.de, 09.05.2018] Christian Heutger, Geschäftsführer der PSW GROUP, weist in seiner aktuellen Stellungnahme darauf hin, dass bereits heute das bisherige Bundesdatenschutzgesetz (BDSG) die Verschlüsselung von E-Mails mit personenbezogenen Daten vorschreibt. Ab dem 25. Mai 2018 verschärfe indes die Datenschutz-Grundverordnung (DSGVO) die Lage: „Die E-Mail-Verschlüsselung wird endgültig zur Pflicht!“

E-Mail-Verschlüsselung unabdingbar

„Wer dann noch auf E-Mail-Verschlüsselung verzichtet, für den kann es richtig teuer werden, weil Sicherheitsvorkehrungen zum Schutz von Daten nach aktuellem Stand der Technik nicht umgesetzt wurden“, warnt Heutger.
Der IT-Sicherheitsexperte rät, jedoch nicht gleich in Panik zu verfallen: „E-Mail-Verschlüsselung ist heutzutage praktikabel und mit geringem Aufwand implementiert. Idealerweise greifen Unternehmen zu einer Lösung, die unbemerkt im Hintergrund, also serverseitig, aufgesetzt wird. So müssen sich Mitarbeiter nicht in ihren Arbeitsabläufen umstellen.“

Unternehmen müssen Meldepflicht beachten

Nicht vernachlässigen sollten Unternehmen zudem, dass sie im Falle einer Datenpanne künftig verpflichtet sind, diese binnen 72 Stunden der zuständigen Aufsichtsbehörde sowie, bei hohem Risiko für persönliche Daten, den betroffenen Personen zu melden.
Waren die kompromittierten Daten jedoch so verschlüsselt, dass Dritte nicht an diese gelangen können, könnten Unternehmen zumindest auf die Bekanntgabe gegenüber betroffenen Personen verzichten. „Das erspart viel Arbeit und schützt den Ruf als datenschutzorientiertes Unternehmen“, unterstreicht Heutger.

Auswahl einer praktikablen, sichere Verschlüsselungslösung

„Bei der Verschlüsselung von E-Mails wird zwischen Transport- und Inhaltsverschlüsselung unterschieden. Während bei der ersten Variante die E-Mail auf ihrem Weg von Server zu Server quasi nur durch einen verschlüsselten Tunnel geschickt wird und auf den Servern selbst im Klartext gespeichert ist, wird bei der Inhaltsverschlüsselung auch die E-Mail selbst verschlüsselt“, erläutert Heutger.
Da dabei Metadaten wie Absender, Betreff der Nachricht und Empfänger unverschlüsselt und damit lesbar bleiben, sollten in der Praxis beide Verfahren kombiniert werden: „Es empfiehlt sich, auf Standardprotokolle zu setzen. So bietet sich S/MIME für die Inhaltsverschlüsselung an; eine Alternative wäre OpenPGP. TLS ist hingegen das Standardprotokoll für die Transportverschlüsselung.“
Laut Heutger sind mit S/MIME und PGP Lösungen auf dem Markt, für deren Einsatz Zertifikate sowie Schlüssel zwingende Voraussetzungen sind. Dies jedoch setze eine entsprechende Infrastruktur und zumindest ein wenig technisches Wissen voraus. In der Praxis lohne es sich deshalb über Alternativen nachzudenken: „Deshalb bieten sich Gateway-Lösungen zur E-Mail-Verschlüsselung an. Mit ihnen gelingt das Verschlüsseln und Signieren von E-Mails automatisch und zentral auf dem Server.“

Gateway-Lösungen für KMU nicht immer die beste Wahl

Kleinen Unternehmen rät Heutger jedoch von Gateway Lösungen ab: „Im Vergleich zu isolierten Ende-zu-Ende-Lösungen fällt der Konfigurationsaufwand recht hoch aus. Sie sollten deshalb ernsthaft über eine isolierte Lösung nachdenken und sich individuell beraten lassen, welche Lösung für sie richtig ist. Hinzu kommt, dass viele E-Mail-Gateways den unternehmensinternen Mail-Versand nicht schützen und bei Bedarf die innere Sicherheit mit einer weiteren Lösung erreicht werden muss.“

© PSW Group

Christian Heutger: Individuelle Verschlüsselungslösung für KMU empfohlen

Lösung sollte kompatibel mit vielen Betriebssystemen und Plattformen sein

Bei der Wahl der geeigneten Verschlüsselungslösung keinesfalls vernachlässigt werden sollten Schnittstellen zu weiterer Sicherheitssoftware, beispielsweise einem Virenscanner, um eingehende E-Mails auf Schadsoftware zu scannen.
Dasselbe gelte für das E-Mail-Archiv: Um E-Mails zu indizieren, sollte das Archivsystem auf E-Mail-Inhalte im Klartext zugreifen können. Andernfalls werde es schwer, eine bestimmte E-Mail später wieder aufzufinden. Die Wahl der geeigneten Verschlüsselungslösung sollte zudem auf ein System fallen, das auch mobile Endgeräte wie Smartphones oder Tablets mit einbindet.
„Um flexibel zu bleiben und für die Zukunft gerüstet zu sein, sollte eine Lösung gewählt werden, die mit vielen Betriebssystemen und Plattformen kompatibel ist“, so Heutger.

Weitere Informationen zum Thema:

PSW GROUP, 25.04.2018
Rechtliches / DSGVO: E-Mail-Verschlüsselung ist Pflicht

datensicherheit.de, 17.03.2018
EU-DSGVO: Perspektiven des Datenschutzes nach dem 25. Mai 2018