Während in der Politik eifrig darüber diskutiert wird, ob E-Mail-Anbieter zukünftig zur Implementierung einer „Ende-zu-Ende-Verschlüsselung“ verpflichtet werden sollen, vernachlässigen kleine und mittelständige Unternehmen in Deutschland leichtsinnig dieses Thema.
Die Sicherheitsvorkehrungen sind oft lückenhaft oder gar nicht vorhanden – das ergab eine Umfrage, deren Zahlen die Beratungsgesellschaft PwC kürzlich vorlegte.
Das Bundesministerium für Verbraucherschutz wollte sogar alle E-Mail-Anbieter zu einer Ende-zu-Ende-Verschlüsselung verpflichten. Dies scheiterte aber am Veto des Bundesinnenministers de Maizière, der dies nicht staatlich verordnen wollte. Nun regt die Verbraucherzentrale an, dass die E-Mail-Anbieter grundsätzlich alle E-Mails verschlüsseln, wobei der Anwender diese Einstellung wieder abschalten kann.
Was ist aber eine Ende-zu-Ende-Verschlüsselung?
Für besonders sensible Nachrichten bzw. um seine Privatsphäre zu schützen können zusätzlich zu dem Transportkanal auch die Inhalte einer E-Mail verschlüsselt werden. Um diese Verschlüsselung verwenden zu können, benötigen sowohl Sie als auch der Empfänger Ihrer E-Mail entsprechende Verschlüsselungssoftware, die auf den eigenen Geräten (PC, Smartphone, Tablett usw.) installiert sein muss.
Diese Software verschlüsselt Ihre E-Mails vor dem Versand – die Entschlüsselung erfolgt dann erst durch den Empfänger auf dessen Gerät.
Umdenken der Politik
Der Vorstoß der Verbraucherzentrale und der NSA-Skandal scheinen einen Umdenkprozess bei immer mehr Politikern angestoßen zu haben. Diese beginnen endlich, den Wert von Datensicherheit zu erkennen, allerdings oft nicht ganz uneigennützig, denn dieses Thema ist nun sehr öffentlichkeitswirksam.
Bereits letztes Jahr kämpften viele Sicherheitsexperten gegen die Scheinsicherheit im Mail-Verkehr. Daraufhin verpassten sich große Anbieter wie die deutsche Telekom oder GMX selbst das vermeintliche Prädikat „E-Mail Made in Germany“, das Sicherheit suggerieren sollte. Allerdings war die Aktion „E-Mail Made in Germany“ nichts anderes als ein als Revolution getarnter Marketing-Gag – der Datentransport erfolgt zwar über einen sicheren Kanal, die eigentliche Datenablage bleibt aber nach wie vor unverschlüsselt.
Dabei zeigten sich die Befragten beim Thema Auslagerung von Firmendaten an Internetdienste besonders skeptisch. 47 Prozent nannten die Speicherung in der Cloud als größtes IT-Sicherheitsrisiko und rund jeder vierte den externen Zugriff auf die Unternehmens-IT mit privatem Smartphone oder Tablet.
Sinkende Sicherheit in der Informationstechnik
Jedes Unternehmen versendet sensible Daten, die selbstverständlich vor der Neugier Dritter abzuschirmen gilt. Eine Vernachlässigung der Sicherheit im Unternehmen führt in erster Linie zu direkten oder indirekten finanziellen Verlusten. Nicht selten hängt sogar die gesamte Zukunft eines Unternehmens von den getroffenen Sicherheitsvorkehrungen ab.
Anzunehmen, dass in Zeiten zunehmender Digitalisierung und grassierender Wirtschaftsspionage in Deutschland mehr als je zuvor getan wird, um das eigene Unternehmen vor Cyberkriminalität zu schützen, ist leider ein großer Irrtum. So hat eine aktuelle Studie der Initiative „Deutschland sicher im Netz“ zu Tage gefördert, dass das Bewusstsein für IT-Sicherheit in kleinen und mittelständischen Unternehmen seit drei Jahren stetig sinkt.
In anderen Worten: Während die Cyberkriminellen aufrüsten, vernachlässigen kleine und mittelständische Unternehmen zunehmend die IT-Sicherheit.
Schwachstelle E-Mail
Die Studie der Initiative „Deutschland sicher im Netz“ entlarvte E-Mails als große Sicherheitsschwachstelle. Während Internetsicherheit, Datensicherung und Datenentsorgung durch anerkannte und weit breit verbreitete Hard- und Software-Standards keine zu großen Schwierigkeiten bereiten. Ein hoher Prozentsatz der untersuchten Firmen konnte in diesen Bereichen überzeugen: Der Internetzugang wird mit Hilfe hochgezüchteter UTM-Firewalls überwacht, es werden mehrschichtige Virenscanner und Spamfilter eingesetzt, der Zugang zu externen Speichermedien wie u. a. USB-Sticks, Speicherkarten und optischen Speichermedien wird gesichert und Mitarbeiter werden entsprechend geschult, während das Thema E-Mails sicherheitstechnisch weiterhin vernachlässigt wird.
Die Kommunikation über E-Mail wird lediglich von 43% der befragten Unternehmen als sicher angesehen, was ein Rückgang von 7% im Vergleich zum Vorjahr darstellt. Im Umkehrschluss versenden 57% der Unternehmen ihre E-Mails ohne jegliche Sicherheitsmaßnahmen – ein erschreckend hoher Wert, vor allem wenn man bedenkt, dass der E-Mail-Verkehr im gleichen Zeitraum um 10% zugenommen hat. Geschäftsbriefe und –zahlen, Verträge, technische Unterlagen, Verfahrensdokumentationen, Präsentationen und sonstige vertrauliche Unterlagen werden sorglos über ein unsicheres Medium versendet.
Es ist nicht bekannt, warum die Sicherheit im E-Mail-Bereich derart vernachlässigt wird. Wahrscheinlich scheuen kleinere und mittelständische Unternehmen die Kosten und den Aufwand spezieller Verschlüs-selungssoftware. Anerkannte Verfahren wie PGP und S/MIME bieten einen hohen Sicherheitsstandard, sind zugegebenermaßen für Laien und technisch wenig versierte Fachkräfte schwer zu implementieren und verwalten.
Es gibt mittlerweile auch Lösungen, die im Gegensatz zu PGP und S/MIME einfacher zu handhaben sind, an die Bedürfnisse der jeweiligen Firmen angepasst werden können und gleichzeitig eine Ende-zu-Ende-Verschlüsselung bieten.
Zusammenfassung
Zusammenfassend kann festgestellt werden, dass im Internetsicherheitsbereich eine riesige Diskrepanz zwischen Denken und Handeln besteht. Einem Großteil der Entscheider dürfte das hohe Gefahrenpotential durchaus bewusst sein und dennoch wird diese Erkenntnis von ihnen unter den Teppich gekehrt.
Jeder hat es gespürt, die meisten wollten es aber nicht wahr haben: Es findet zurzeit faktisch ein Cyberkrieg statt. Quer durch unsere Welt, länderübergreifend, mit immer mehr krimineller Energie und finanziellen Mitteln versucht ein fast immer unsichtbarer Feind, sowohl in unsere Privatsphäre einzudringen, als auch an Betriebsinterna zu gelangen.
Daten sind nicht wie andere Wirtschaftsgüter wirklich fassbar und ortgebunden. Während eine entwenete Maschine sich immer nur an einem Ort befinden und bei Wiederauffinden ihrem rechtmäßigen Besitzer zurückgegeben werden kann, können Daten beliebig vervielfacht und transportiert werden. Daher sollten Sie immer bedenken, wenn Ihre Daten einmal in die falschen Händen gelangen, diese nie wieder alleine Ihnen gehören werden – sie sind für Sie für immer verloren.
Eines ist auf jeden Fall sicher: So kann es nicht weiter gehen. An dieser Stelle setzen wir an. Wir beraten Sie gerne in Sachen E-Mail-Sicherheit. Wir analysieren zusammen mit Ihnen Ihre gesamte E-Mail-Infrastruktur und helfen Ihnen bei der Implementierung der richtigen E-Mail-Verschlüsselung. Zögern Sie nicht, uns zu kontaktieren.
Zusätzlich planen wir eine Reihe von Veranstaltungen zum Thema Sicherheit im Unternehmen in unserem Hauptsitz in Trossingen, zu denen wir Sie hiermit gerne einladen möchten. Wir werden Sie rechtzeitig darüber informieren.
Selbstverständlich organisieren wir auf Ihren Wunsch hin speziell auf Ihr Unternehmen gerichtete Veranstaltungen. Sprechen Sie uns einfach an.
Schlusswort
Keiner weiß wirklich, ob gerade jetzt jemand in Ihr System einbricht oder Ihren E-Mail-Verkehr mitliest – wir besitzen keine Sinnesorgane, um das wahrzunehmen. Daher ist ein effektiver Schutz unerlässlich.