Das Sicherheitsrisiko «E-Mail» | SwissSign
Eine Datensicherheitsspezialistin der Schweizerischen Post

Hauptbereich

Das Sicherheitsrisiko «E-Mail» 

E-Mail ist eines der zentralen digitalen Kommunikationsmittel. Täglich werden weltweit mehr als 300 Milliarden Nachrichten versendet und empfangen. Diese grosse Menge macht das Thema natürlich auch für Angreifer interessant. Zusätzlich sind E-Mails verhältnismässig einfach abzufangen und zu lesen – zumindest, solange sie nicht verschlüsselt sind. Fehlender Schutz wird häufig erst bemerkt, wenn es bereits zu spät ist. Deshalb ist es empfehlenswert, sich frühzeitig mit dem Thema E-Mail-Verschlüsselung, zu befassen. Und auch wenn dabei gewisse Kosten entstehen: In diesem Fall lohnt es sich, in die Sicherheit zu investieren, statt einen Schaden zu riskieren.

Bekannte Cyber-Attacken via E-Mail sind unter anderem Phishing oder Malware-Mails wie Trojaner, Ransomware oder Spyware. Doch digitale Nachrichten sind nicht nur Einfallstor für Schadsoftware. Denn auch die Inhalte selbst sind für Angreifer von grosser Relevanz. Und hier kommt nun die Verschlüsselung ins Spiel. 

Welche Gefahren bergen unverschlüsselte E-Mails? 

E-Mails können mit Postkarten verglichen werden. Beide gelangen nicht auf direktem Weg zum Empfänger. So durchlaufen E-Mails zahlreiche Server und Netzwerke. Welche das sind, ist nicht bestimm- oder kontrollierbar. Genau so wie nicht nachweisbar ist, wie oft und von wem sie gelesen werden. Deshalb bleiben Angriffe zu Beginn häufig unerkannt. Anders als Postkarten hingegen können E-Mails nach Schlüsselbegriffen durchsucht und so gezielt für Angriffe ausgewählt werden.

Ist ein Inhalt nun vertraulich, wird die Postkarte in einem Couvert verschickt. Somit haben Unbefugte keinen Zugriff mehr bzw. es wird deutlich schwerer, diesen einzusehen. Diese Funktion erfüllt auch ein E-Mail-Zertifikat. E-Mails müssen dabei immer separat verschlüsselt werden. Ein SSL-Zertifikat zur Verschlüsselung von z.B. Webseiten  reicht dafür nicht aus. In diesem Fall kann SSL als Verschlüsselung des Transportweges angesehen werden. Damit auch die Inhalte der Nachrichten geschützt werden, ist ein S/MIME-Zertifikat jedoch zwingend.

Ist kein E-Mail-Zertifikat im Einsatz, ist die Vertraulichkeit nicht gewährleistet. Inhalte können von Unberechtigten nicht nur gelesen, sondern auch manipuliert werden. Je nach Art des Inhalts bzw. der Daten kann das vor allem im geschäftlichen Umfeld imageschädigend oder gar existenzbedrohend sein. Vor allem dann, wenn es sich dabei um vertrauliche Informationen wie Personendaten, Verträge u.Ä. handelt. In diesem Fall kann sogar eine Verletzung der Geheimhaltungspflicht vorliegen. Gemäss eidgenössischem Datenschutzgesetz (DSG) und europäischer Datenschutz-Grundverordnung (DSGVO)  müssen Daten durch geeignete technische und organisatorische Massnahmen gegen unbefugte Bearbeitung geschützt werden.  Die Verschlüsselung wird dabei als adäquate Massnahme nach aktuellem Stand der Technik betrachtet. (Art. 32 des DSGVO).

Gut zu wissen: Für die höchste Sicherheit und das höchste Vertrauen sorgt die Kombination von Verschlüsselung und Signatur. Mehr dazu erfahren Sie weiter unten in diesem Artikel.

S/MIME-Zertifikate für die sichere Kommunikation via E-Mail

Vorteile von S/MIME-Zertifikaten

Ein S/MIME-Zertifikat gewährleistet sowohl die Authentizität des Absenders als auch die Integrität einer Nachricht. Es macht die Kommunikation sicher und vertraulich.

Alle Vorteile im Überblick

  • Schutz vor Phishing
  • Sichere, verschlüsselte Übermittlung von E-Mails
  • Sicherheit, dass der Inhalt der Nachricht nicht verändert wurde (Integrität)
  • Eindeutiger, verifizierter Absender (Authentizität)

SwissSign: E-Mail ID Silver

Bestellen Sie jetzt Ihr S/MIME-Zertifikat der Validierungsstufe DV in unserem E-Mail Webshop. Validierung und Ausstellung erfolgen automatisch innert weniger Minuten.

So funktioniert S/MIME

Anders als SSL-Zertifikate werden S/MIME-Zertifikate nicht automatisch    veröffentlicht. Das heisst, Sender und Empfänger müssen vorab ihre öffentlichen Schlüssel austauschen. Ab dann können sie verschlüsselt kommunizieren. Dieser Prozess sieht folgendermassen aus:

  1. Der Absender verschlüsselt die Nachricht mit dem öffentlichen Schlüssel des Empfängers und signiert sie mit seinem privaten Schlüssel.

  2. Der Empfänger entschlüsselt die Nachricht mit seinem privaten Schlüssel – also dem Gegenstück zum versendeten öffentlichen Schlüssel. Und um die Integrität der Nachricht zu verifizieren, prüft er den öffentlichen Schlüssel des Absenders.

  3. Gut zu wissen: Die Signatur des Absenders der E-Mail wird in Abhängigkeit von deren Inhalt berechnet. Somit lässt sich feststellen, sollte die Nachricht nachträglich verändert worden sein. 

Exkurs: So funktioniert die Verschlüsselung

Symmetrische Verschlüsselung

Der Sender und Empfänger verwenden den gleichen Schlüssel. Sie tauschen ihn einmalig sicher aus und halten ihn danach geheim.

Vorteil: Grosse Datenmengen können schnell verschlüsselt und entschlüsselt werden.

Nachteil: Ist nicht geeignet für grosse, offene Nutzergruppen wegen der problematischen Schlüsselverteilung.

Asymmetrische Versschlüsselung

Jeder Sender hat einen privaten und einen öffentlichen Schlüssel. Der private ist geheim, der öffentliche wird den Empfängern zur Verfügung gestellt.

Vorteil: Es müssen keine privaten Schlüssel geteilt werden und die digitale Signatur wird unterstützt.

Nachteil: Erfordert mehr Aufwand und private Schlüssel können bei Verlust nicht wiederhergestellt werden.

Hybride
Verschlüsselung

Durch hybride Verschlüsselung lässt sich die Schnelligkeit der symmetrischen mit der Sicherheit der asymmetrischen Verschlüsselung kombinieren.

Sender und Empfänger tauschen Ihre Schlüssel dabei mittels asymmetrischem Verschlüsselungsverfahren aus. Kommuniziert wird danach symmetrisch verschlüsselt.

S/MIME vs. OpenPGP

S/MIME und GnuPG nach OpenPGP-Standard sind die zwei Verschlüsselungsstandards für E-Mail. Untereinander sind sie nicht kompatibel. Bezüglich Sicherheit gibt es zwischen den beiden keinen Unterschied. Welche Methode sich besser eignet, hängt somit unter anderem von der Praxistauglichkeit ab. Einigkeit herrscht hier jedoch keine

Die Alternative: E-Mail Gateways

Möchten Sie selbst kein S/MIME-Zertifikat installieren, können Sie mit einem E-Mail Gateway arbeiten. Es signiert und verschlüsselt auf effiziente und zentrale Weise alle E-Mails an externe Empfänger innerhalb einer Organisation . Die Signatur geschieht automatisch. Ist ein öffentlicher Schlüssel vorhanden, kann ausserdem konfiguriert werden, dass auch die Verschlüsselung automatisiert abläuft.

Ihre Vorteile

  • Gateways kennen und beherrschen meist alle gängigen Verschlüsselungsmethoden. 
  • Sie sind kompatibel mit anderen E-Mail Gateways, d.h. Sender und Empfänger müssen nicht dasselbe verwenden. 
  • Sie übernehmen das Schlüsselmanagement (öffentliche und private Schlüssel).
  • Und können teilweise ohne Installation eines Plug-ins verwendet werden.

SwissSign: Partner für E-Mail Gateways

Mit SwissSign profitieren Sie von einem attraktiven Partner-Netzwerk. Die Partner unterstützen Sie bei der Integration von Zertifikaten in Ihre bestehende Umgebung oder haben SwissSign-Zertifikate bereits in ihre eigenen Lösungen integriert.