5 Irrtümer über E-Mail-Verschlüsselung
Der Austausch von sensiblen Unternehmensdaten via E-Mail gehört bei vielen Unternehmen zum normalen Alltag. Auch diese vertraulichen Informationen müssen geschützt werden, damit Kriminelle die Daten nicht im Klartext auslesen können. Die Verschlüsselung von E-Mails spielt dabei eine wichtige Rolle, die von vielen Unternehmern falsch eingeschätzt wird.
„Zu teuer und viel zu kompliziert“ hört man als Ausreden dabei immer wieder. Wir haben für Sie die fünf häufigsten Irrtümer in Bezug auf die E-Mail-Verschlüsselung gesammelt.
1. Es reicht, dass wir TLS nutzen!
Bei der TLS-Verschlüsselung (Transport Layer Security) werden E-Mails durch einen „verschlüsselten Tunnel“ gesendet. Auf dem Transportweg ist der Inhalt nicht lesbar, liegt aber beim Absender und Empfänger unverschlüsselt vor.
Die TLS-Verschlüsselung ist ein notwendiger Baustein für die elektronische Kommunikation. Sie ersetzt aber nicht die Ende-zu-Ende-Verschlüsselung, zu der auch eine Inhaltsverschlüsselung gehört.
Neben der Transportverschlüsselung sollte daher die Inhaltsverschlüsselung mit OpenPGP oder S/MIME eingesetzt werden. Beide Verschlüsselungen kombiniert bieten den bestmöglichen Schutz.
2. Wir brauchen keine E-Mail-Verschlüsselung!
Bereits im Bundesdatenschutzgesetzt war die Verschlüsselung von E-Mails mit personenbezogenen Daten vorgeschrieben. Die DSGVO hat die Vorschriften noch verschärft. Unternehmen, die E-Mails mit sensiblen Daten verschicken, brauchen daher auch eine sichere Verschlüsselung!
Wer gegen die Vorschriften verstößt, riskiert nicht nur hohe Bußgelder. Datenschutzverletzungen müssen auch innerhalb von 72 Stunden den zuständigen Datenschutzbehörden gemeldet werden. Desweiteren müssen die betroffenen Personen informiert werden.
Unternehmen, die eine E-Mail-Verschlüsselung einsetzen, sind hingegen von der Benachrichtigungspflicht befreit.
3. E-Mail-Verschlüsselung ist zu teuer!
Unternehmen beklagen oft, dass sie sich eine sichere Verschlüsselung nicht leisten können. Dabei sollte die Frage eher lauten: „Kann ich es mir leisten, auf Verschlüsselung zu verzichten?“
Verstoßen Unternehmen gegen die DSGVO, sind Bußgelder in Millionenhöhe möglich. Das hängt vom Jahresumsatz und entstandenen Schaden ab. Hinzu kommt dann noch der Schaden, der den Unternehmen durch einen Imageverlust entsteht – und der ist ihnen bei einer DSGVO Strafe mehr als sicher.
Eine gute E-Mail-Verschlüsselung wird da günstiger sein.
4. E-Mail-Verschlüsselung ist zu kompliziert!
Auch wenn die Einrichtung der Verschlüsselung kompliziert ist, schützt das nicht davor, eine einzusetzen.
Mit OpenPGP und S/MIME gibt es verschiedene Verschlüsselungsstandards, die untereinander nicht kompatibel sind und ein komplexes Schlüsselmanagement haben.
Investieren Sie daher in Dienstleister, die etwas davon verstehen. Wenn bei der Verschlüsselung Fehler gemacht werden, ist die Kommunikation nicht mehr geschützt und es wird wie im vorherigen Punkt erwähnt teuer.
5. Ich muss die Empfänger von „unserer“ Verschlüsselung überzeugen!
Es ist nicht nötig, dass Absender und Empfänger sich vor dem Versand von E-Mails über die Verschlüsselungsart abstimmen müssen. Das ist oft einfach auch nicht möglich.
Ein entsprechendes Verschlüsselungs-Gateway erkennt vollkommen automatisch, welche Technologie verwendet wird. Sie können also den Standard nutzen, den sie möchten.
Das Ganze funktioniert aber nur, wenn keine proprietäre Technik verwendet wird, also keine Technologien, die herstellergebundenen sind. Zudem kommt es bei dem Verschlüsselungsgateway darauf an, dass dieser die gängigen Methoden unterstützen muss.
Fazit
Sie nutzen noch keine E-Mail-Verschlüsselung, möchten aber eine einsetzen? Achten Sie dabei besonders auf diese drei Punkte:
- Eine Verschlüsselung ist empfehlenswert, wenn Sie personenbezogene Daten versenden
- Kombinieren Sie Inhalts- und Transportverschlüsselung
- Geheimnisträger, die E-Mails nicht verschlüsseln, riskieren Bußgelder und Imageschäden
