- Anzeigen -


Sie sind hier: Home » Markt » Tipps & Hinweise

Woher kommt die Verschlüsselungsmüdigkeit?


Jetzt oder nie? Pro und contra E-Mail-Verschlüsselung in Unternehmen
Dichtung und Wahrheit: Argumente gegen E-Mail-Verschlüsselung im Check

- Anzeigen -





Obwohl viele Unternehmen Verschlüsselung für wichtig halten, wird die Technologie nur von einem Bruchteil genutzt. Es gibt einige nachvollziehbare Hindernisse, aber auch eine Reihe sich hartnäckig haltender Mythen rund um die Usability und die Praxistauglichkeit. Anlässlich des Updates ihres Outlook-Verschlüsselungs-Add-Ins "gpg4o 5.1" hat der Lösungsanbieter Giegerich & Partner die gängigsten Argumente einem Plausibilitäts-Check unterzogen.

Es ist keine Überraschung: Die Digitalisierung des Geschäftsalltags nimmt zu, wie der DsiN-Sicherheitsmonitor 2016 in seinen Statistiken zeigt. Gleichzeitig sagen rund 60 Prozent der befragten Unternehmen, dass ihnen Risiken und rechtliche Anforderungen bei der geschäftlichen Nutzung von Internet und E-Mails nicht bekannt sind.

Diese Unsicherheit zeigt sich auch beim Einsatz entsprechender Schutzmaßnahmen, die – im Gegensatz zur steigenden Digitalisierung – unverändert bleiben. So setzen immer noch weniger als die Hälfte (48 Prozent) der befragten Unternehmen Maßnahmen zur E-Mail-Sicherheit ein.

Hans-Joachim Giegerich, Geschäftsführer von Giegerich & Partner, kennt aus Gesprächen mit Kunden des hauseigenen E-Mail-Verschlüsselungs-Add-Ins gpg4o die Sorgen und Nöte von Unternehmen: "Die Zurückhaltung liegt in der Regel daran, dass den Verantwortlichen das Thema zu komplex erscheint oder die Anwender einfach nicht mitspielen. Viele Mitarbeiter wissen zwar um die Wichtigkeit und begrüßen Verschlüsselung, aber man darf auch nicht vergessen: Sicherheit gibt es nicht zum Nulltarif. Die Mitarbeiter müssen ihre Komfortzone verlassen und dazu muss man sie motivieren und anleiten. Unsere Aufgabe als Anbieter ist es, die Usability weiter zu verbessern, damit es den Mitarbeitern leichter fällt, Abläufe und Verhaltensweisen anzupassen. Mit der aktuellen Version von gpg4o haben wir dieses Ziel praktisch erreicht. Die Version 5.1. enthält nur noch kleinere Optimierungen und Bugfixes. Die wesentlichen Usability-Anforderungen unserer Kunden haben wir in den letzten Jahren umgesetzt."

Dichtung und Wahrheit: Argumente gegen E-Mail-Verschlüsselung im Check
Neben dem vermeintlichen hohen Aufwand und der Frage nach der Benutzerfreundlichkeit spielen noch weitere Aspekte eine Rolle bei der Zurückhaltung gegenüber Verschlüsselung. Vielfach zeigt sich hier ein diffuses Bild aus Ängsten und fehlendem Wissen zum Stand der Technik. Prof. Dr. Friedemann Vogel, Juniorprofessor für Medienlinguistik an der Universität Freiburg, hat sich bereits ausführlich den "Vorurteilen und Märchen zur Nachrichten-Verschlüsselung"** gewidmet. Im Folgenden hat Giegerich & Partner eine Übersicht zusammengestellt, die die häufigsten Argumente gegen Verschlüsselung thematisch gruppiert und auf ihren Wahrheitsgehalt überprüft.

Die sechs Totschlagargumente gegen E-Mail-Verschlüsselung im Härtetest

1. Organisation: "E-Mail-Verschlüsselung ist aufwändig!"
Ganz ohne Vorarbeit geht es natürlich nicht. Unternehmen müssen sich vor allem Gedanken über die sichere Verwaltung und Organisation der E-Mail-Verschlüsselung machen. Hierzu gehören Themen wie die sichere Archivierung von E-Mails, die Rollen- und Rechtevergabe und vor allem die Verwaltung der Schlüssel, die andernfalls eine Schwachstelle darstellen kann. Der Aufwand hierfür variiert mit den eingesetzten Programmen: Sind diese für Unternehmen ausgerichtet, verfügen sie in der Regel über benutzerfreundliche Administratoren-Features wie beispielsweise einen zentralen Keyserver. "Ausgewachsene" E-Mail-Verschlüsselungsprogramme lassen sich zudem von IT-Administratoren meist ohne Vorkenntnisse implementieren. Der Anwender selbst entscheidet wiederum beim Versenden mit einem simplen Klick ob die E-Mail verschlüsselt oder unverschlüsselt versendet wird

2. Kosten: "E-Mail-Verschlüsselung ist teuer!"
Für Privatanwender gibt es zahlreiche Freeware-Lösungen, die den erforderlichen Funktionsumfang haben. So bietet auch Giegerich & Partner sein Outlook-Verschlüsselungs-Add-In gpg4o für private Nutzer kostenlos an. Die Implementierung erfordert im Falle von gpg4o nur wenige Klicks und ist auch für eine große Nutzerzahl mit wenig Aufwand für IT-Administratoren verbunden. Für Unternehmen hängen die Betriebskosten von der Anzahl der Nutzer ab. Für ein mittelständisches Unternehmen mit rund 25 Mitarbeitern liegen die Lizenzkosten von gpg4o pro Mitarbeiter jährlich bei rund 65 €. Diesen Kosten gegenüber stehen der potenziellen (Image)-Schaden durch entwendete Betriebsgeheimnisse, Kundendaten oder Patentinformationen.

3. Sicherheit: "Jede E-Mail-Verschlüsselung lässt sich irgendwann knacken!"
Theoretisch stimmt das, doch in der Praxis stehen selbst Geheimdiensten hierfür natürlich nicht unbegrenzte zeitliche und finanzielle Ressourcen zur Verfügung. Aus diesem Grund gelten auch Fahrradschlösser ab einer "Knackdauer" von drei Minuten als diebstahlsicher. Bei modernen Verschlüsselungsstandards - wie beispielsweise AES-256 - dauert es selbst mit den schnellsten derzeit verfügbaren Rechnern Milliarden von Jahren, um die Codes zu entschlüsseln. Deswegen ist es so wichtig, die Schlüssel samt hochwertiger Passphrasen und den Zugang zu Systemen sicher zu verwalten, denn hier liegt der eigentliche Angriffspunkt für Hacker. Halten sich Anwender und Administratoren an die Sicherheitsstandards, haben sie auch hier nichts zu befürchten. Eines sollten Anwender jedoch immer im Blick behalten: Absender, Adressat und Betreff werden bei PGP in aller Regel nicht verschlüsselt und sind also im Zweifelsfall für jeden sichtbar. Der Betreff sollte also besser keine schützenswerten Informationen enthalten.

4. Bedarf: "Wir haben nichts Wichtiges zu verbergen!"
Mit diesem Argument wurden in der Vergangenheit hauptsächlich Gesetzesinitiativen zur Überwachung verargumentiert. Doch vor allem bei Unternehmen gehören ja bereits Kunden- und Mitarbeiterdaten zu den sensiblen und damit schützenswerten Daten, ganz zu schweigen von Informationen zu Prototypen oder technologischen Betriebsgeheimnissen. Allein das Bekanntwerden eines Datenlecks in der Öffentlichkeit kann der Unternehmensreputation empfindlich und dauerhaft schaden. Auch Privatleute machen sich oftmals nicht bewusst, was es bedeutet, wenn beispielsweise die Korrespondenz mit dem Rechtsanwalt oder dem Steuerberater in falsche Hände gerät. Das Argument, "wer verschlüsselt, macht sich verdächtig" macht dabei nur nicht mehr wirklich Sinn. Denn die Verschlüsselung in Unternehmen dient ja primär dem Schutz vor Cyberkriminalität und ist von daher ebenso legitim wie notwendig. Entsprechend unterstützt auch der Staat entsprechende Sicherheitsaktivitäten, etwa mit der Initiative des Bundes, Deutschland zum "Verschlüsselungsstandort Nr. 1 weltweit" zu machen.

5. Verbreitung: "E-Mail-Verschlüsselung ist nicht weit genug verbreitet!"
Vermutlich das klassischste Argument gegen E-Mail-Verschlüsselung ist das Henne-Ei-Problem: "Wenn du nicht verschlüsselst, verschlüssele ich auch nicht". Der Beratungsalltag bei Giegerich & Partner zeigt: Kunden, Dienstleister und Kooperationspartner stehen dem Vorschlag, die gemeinsame Korrespondenz zu verschlüsseln meist sehr offen gegenüber. Man muss es eben nur allen Kommunikationspartnern gleichzeitig vorschlagen. Zudem sind die meisten Verschlüsselungslösungen kompatibel zu Industriestandards. gpg4o ist beispielsweise bereits seit der Version 3.4 in der Lage, PGP/MIME-signierte E-Mails ordnungsgemäß zu verifizieren, wodurch die Kompatibilität zu Anwendungen wie beispielsweise GPGMail und vielen anderen gewährleistet ist. Dies vereinfacht die verschlüsselte Kommunikation und sorgt damit für eine höhere Akzeptanz von Verschlüsselungssoftware generell.

6. Recht: "E-Mail-Verschlüsselung ist nicht immer erlaubt!"
Auch wenn starke Kryptografie in den USA und vielen anderen Ländern nach wie vor kritisch gesehen wird, ist in Europa die Verschlüsselung von Daten generell erlaubt. Zum Teil lässt sie sich sogar eine Verpflichtung, zumindest aber die Sinnhaftigkeit von Verschlüsselung aus Gesetzen und Verordnungen zum Datenschutz – denen Unternehmen unterliegen– ableiten. Ein ganz aktuelles Beispiel hierfür ist die europäische Datenschutzgrundverordnung (EU-DSGVO). Wer verschlüsselt ist also eher auf der sicheren Seite.

Die meisten Argumente gegen den Einsatz von E-Mail-Verschlüsselung lassen sich also entkräften. Voraussetzung ist, dass Unternehmen und Mitarbeiter aktiv an der Umsetzung mitwirken und die grundlegenden Sicherheitsstandards eingehalten werden. Denn am Ende gilt wie immer: Ohne den Anwender geht gar nichts.
(Giegerich & Partner: ra)

eingetragen: 01.08.17
Home & Newsletterlauf: 06.09.17


Giegerich & Partner: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -





Kostenloser IT SecCity-Newsletter
Ihr IT SecCity-Newsletter hier >>>>>>

- Anzeigen -


Meldungen: Tipps & Hinweise

  • Wieder neue Masche beim CEO-Betrug

    Im letzten Dezember war es noch ein angeblicher Mitarbeiter des Bundeskanzleramts, aktuell meldet sich "Daniel Fischer" vom Auswärtigen Amt per E-Mail oder am Telefon bei deutschen Unternehmen - die Details wechseln, aber in allen Fällen handelt es sich um einen Betrugsversuch. "Daniel Fischer" bittet um ein vertrauliches Gespräch mit der Geschäftsleitung des Unternehmens. In diesem Gespräch erläutert er, dass die Bundesregierung für den Freikauf deutscher Geiseln in Mali finanzielle Unterstützung der Privatwirtschaft benötige.

  • Vier Tipps, um Hackern Tür und Tor zu öffnen

    Nach wie vor setzen viele Unternehmen und Anbieter alleine auf das traditionelle Passwort, um ihre Anwendungen zu schützen. Große Datenlecks wie das Rekord-Beispiel Yahoo haben allerdings gezeigt, dass diese Art der Absicherung längst nicht mehr zeitgemäß ist. Oft sind es die Verbraucher selbst, die Hacker durch lasche Kennwörter einladen, in ihre digitalen Konten einzudringen. Pascal Jacober, Sales Manager DACH bei Ping Identity gibt vier Empfehlungen, wie es Hackern besonders leicht gemacht wird.

  • Wie funktionieren Endpoint-Attacken?

    Bei Cyber-Attacken führen die Angreifer meistens verschiedene Schritte durch, um an ihr Ziel zu kommen. Deshalb ist es besonders wichtig, diese Schritte zu kennen. Dabei hat sich eine umfassende Verteidigungsstrategie mit überlappenden Schutzschichten als bester Ansatz für die Cybersicherheit erwiesen. Bei der Angriffskette lassen sich sieben Stufen identifizieren, über die man Klarheit haben sollte: Aufklärung, Art des Angriffs, Weg der Infizierung, Art des Schadprogramms, Installation, Command & Control und letztlich die Aktion oder Ausführung. Diese komplexe und sich teils überschneidende Standardkette ist oftmals komplizierter als nötig. Daher reicht es tatsächlich, mit einer einfacheren, endpunktspezifischen Angriffskette zu beginnen, die nur aus drei wesentlichen Schritten besteht.

  • Kluft zwischen IT-Teams und Chefetage

    "Führungskräfte müssen sich direkt mit Cloud- und Sicherheitsexperten auseinandersetzen, sonst versäumen sie es, wertvolle Ressourcen zu nutzen. Durch eine enge Zusammenarbeit über alle Ebenen hinweg lassen sich die Geschäftsergebnisse verbessern und gleichzeitig der Schutz für Anwendungen, Betriebsgüter und Kundendaten erhöhen", sagte Andreas Riepen, Vice President DACH, F5 Networks. Die Zahl der Sicherheitsverletzungen ist im Vergleich zum Vorjahr um 27 Prozent gestiegen. Gleichzeitig haben Unternehmen 2017 durchschnittlich 22 Prozent mehr für ihre Cybersicherheit ausgegeben (9,5 Millionen Euro). Das belegt eine Studie, die das Ponemon Institut im Auftrag von F5 Networks durchgeführt hat. Doch nicht immer werden diese Mehraufwände strategisch eingesetzt.

  • Shadow IT: Ein erhebliches Compliance-Risiko

    Die EU-Datenschutzgrundverordnung (DSGVO) kommt und es besteht auf Unternehmensseite noch immer akuter Handlungsbedarf. Kaseya gibt Tipps, wie Firmen mit der richtigen Technologie schneller und einfacher zum Ziel der DSGVO-Konformität kommen. Stilllegen von Devices: Verlorene oder gestohlene Geräte müssen auf jeden Fall außer Betrieb genommen werden. Das gilt auch, wenn der Mitarbeiter das Unternehmen verlässt oder das Gerät entfernt wird. Der Nutzer und seine Zugangsmöglichkeiten müssen für alle Systeme genauso sorgfältig aufgehoben werden, wie sie aufgesetzt wurden. Ganz gleich, ob es um Angestellte, Kunden, Admins oder Partner geht. Neben dem Aufheben von Nutzerrechten ist es wichtig, Daten zu beseitigen und zwar so, dass sie nicht wiederhergestellt werden können. Mit regulären Methoden lassen sich die Daten nicht sicher vernichten. Landet das Gerät dann als Spende in der nächsten Schule oder einfach auf dem Müll, droht das Unternehmen DSGVO-Vorgaben zu verletzen. Wurde ein Gerät gestohlen oder ist es verloren gegangen, muss die Firma in der Lage sein, es per Fernzugriff abzuschalten, Daten zu verschlüsseln oder es sogar zu formatieren.