- Anzeigen -


Sie sind hier: Home » Markt » Tipps & Hinweise

Woher kommt die Verschlüsselungsmüdigkeit?


Jetzt oder nie? Pro und contra E-Mail-Verschlüsselung in Unternehmen
Dichtung und Wahrheit: Argumente gegen E-Mail-Verschlüsselung im Check

- Anzeigen -





Obwohl viele Unternehmen Verschlüsselung für wichtig halten, wird die Technologie nur von einem Bruchteil genutzt. Es gibt einige nachvollziehbare Hindernisse, aber auch eine Reihe sich hartnäckig haltender Mythen rund um die Usability und die Praxistauglichkeit. Anlässlich des Updates ihres Outlook-Verschlüsselungs-Add-Ins "gpg4o 5.1" hat der Lösungsanbieter Giegerich & Partner die gängigsten Argumente einem Plausibilitäts-Check unterzogen.

Es ist keine Überraschung: Die Digitalisierung des Geschäftsalltags nimmt zu, wie der DsiN-Sicherheitsmonitor 2016 in seinen Statistiken zeigt. Gleichzeitig sagen rund 60 Prozent der befragten Unternehmen, dass ihnen Risiken und rechtliche Anforderungen bei der geschäftlichen Nutzung von Internet und E-Mails nicht bekannt sind.

Diese Unsicherheit zeigt sich auch beim Einsatz entsprechender Schutzmaßnahmen, die – im Gegensatz zur steigenden Digitalisierung – unverändert bleiben. So setzen immer noch weniger als die Hälfte (48 Prozent) der befragten Unternehmen Maßnahmen zur E-Mail-Sicherheit ein.

Hans-Joachim Giegerich, Geschäftsführer von Giegerich & Partner, kennt aus Gesprächen mit Kunden des hauseigenen E-Mail-Verschlüsselungs-Add-Ins gpg4o die Sorgen und Nöte von Unternehmen: "Die Zurückhaltung liegt in der Regel daran, dass den Verantwortlichen das Thema zu komplex erscheint oder die Anwender einfach nicht mitspielen. Viele Mitarbeiter wissen zwar um die Wichtigkeit und begrüßen Verschlüsselung, aber man darf auch nicht vergessen: Sicherheit gibt es nicht zum Nulltarif. Die Mitarbeiter müssen ihre Komfortzone verlassen und dazu muss man sie motivieren und anleiten. Unsere Aufgabe als Anbieter ist es, die Usability weiter zu verbessern, damit es den Mitarbeitern leichter fällt, Abläufe und Verhaltensweisen anzupassen. Mit der aktuellen Version von gpg4o haben wir dieses Ziel praktisch erreicht. Die Version 5.1. enthält nur noch kleinere Optimierungen und Bugfixes. Die wesentlichen Usability-Anforderungen unserer Kunden haben wir in den letzten Jahren umgesetzt."

Dichtung und Wahrheit: Argumente gegen E-Mail-Verschlüsselung im Check
Neben dem vermeintlichen hohen Aufwand und der Frage nach der Benutzerfreundlichkeit spielen noch weitere Aspekte eine Rolle bei der Zurückhaltung gegenüber Verschlüsselung. Vielfach zeigt sich hier ein diffuses Bild aus Ängsten und fehlendem Wissen zum Stand der Technik. Prof. Dr. Friedemann Vogel, Juniorprofessor für Medienlinguistik an der Universität Freiburg, hat sich bereits ausführlich den "Vorurteilen und Märchen zur Nachrichten-Verschlüsselung"** gewidmet. Im Folgenden hat Giegerich & Partner eine Übersicht zusammengestellt, die die häufigsten Argumente gegen Verschlüsselung thematisch gruppiert und auf ihren Wahrheitsgehalt überprüft.

Die sechs Totschlagargumente gegen E-Mail-Verschlüsselung im Härtetest

1. Organisation: "E-Mail-Verschlüsselung ist aufwändig!"
Ganz ohne Vorarbeit geht es natürlich nicht. Unternehmen müssen sich vor allem Gedanken über die sichere Verwaltung und Organisation der E-Mail-Verschlüsselung machen. Hierzu gehören Themen wie die sichere Archivierung von E-Mails, die Rollen- und Rechtevergabe und vor allem die Verwaltung der Schlüssel, die andernfalls eine Schwachstelle darstellen kann. Der Aufwand hierfür variiert mit den eingesetzten Programmen: Sind diese für Unternehmen ausgerichtet, verfügen sie in der Regel über benutzerfreundliche Administratoren-Features wie beispielsweise einen zentralen Keyserver. "Ausgewachsene" E-Mail-Verschlüsselungsprogramme lassen sich zudem von IT-Administratoren meist ohne Vorkenntnisse implementieren. Der Anwender selbst entscheidet wiederum beim Versenden mit einem simplen Klick ob die E-Mail verschlüsselt oder unverschlüsselt versendet wird

2. Kosten: "E-Mail-Verschlüsselung ist teuer!"
Für Privatanwender gibt es zahlreiche Freeware-Lösungen, die den erforderlichen Funktionsumfang haben. So bietet auch Giegerich & Partner sein Outlook-Verschlüsselungs-Add-In gpg4o für private Nutzer kostenlos an. Die Implementierung erfordert im Falle von gpg4o nur wenige Klicks und ist auch für eine große Nutzerzahl mit wenig Aufwand für IT-Administratoren verbunden. Für Unternehmen hängen die Betriebskosten von der Anzahl der Nutzer ab. Für ein mittelständisches Unternehmen mit rund 25 Mitarbeitern liegen die Lizenzkosten von gpg4o pro Mitarbeiter jährlich bei rund 65 €. Diesen Kosten gegenüber stehen der potenziellen (Image)-Schaden durch entwendete Betriebsgeheimnisse, Kundendaten oder Patentinformationen.

3. Sicherheit: "Jede E-Mail-Verschlüsselung lässt sich irgendwann knacken!"
Theoretisch stimmt das, doch in der Praxis stehen selbst Geheimdiensten hierfür natürlich nicht unbegrenzte zeitliche und finanzielle Ressourcen zur Verfügung. Aus diesem Grund gelten auch Fahrradschlösser ab einer "Knackdauer" von drei Minuten als diebstahlsicher. Bei modernen Verschlüsselungsstandards - wie beispielsweise AES-256 - dauert es selbst mit den schnellsten derzeit verfügbaren Rechnern Milliarden von Jahren, um die Codes zu entschlüsseln. Deswegen ist es so wichtig, die Schlüssel samt hochwertiger Passphrasen und den Zugang zu Systemen sicher zu verwalten, denn hier liegt der eigentliche Angriffspunkt für Hacker. Halten sich Anwender und Administratoren an die Sicherheitsstandards, haben sie auch hier nichts zu befürchten. Eines sollten Anwender jedoch immer im Blick behalten: Absender, Adressat und Betreff werden bei PGP in aller Regel nicht verschlüsselt und sind also im Zweifelsfall für jeden sichtbar. Der Betreff sollte also besser keine schützenswerten Informationen enthalten.

4. Bedarf: "Wir haben nichts Wichtiges zu verbergen!"
Mit diesem Argument wurden in der Vergangenheit hauptsächlich Gesetzesinitiativen zur Überwachung verargumentiert. Doch vor allem bei Unternehmen gehören ja bereits Kunden- und Mitarbeiterdaten zu den sensiblen und damit schützenswerten Daten, ganz zu schweigen von Informationen zu Prototypen oder technologischen Betriebsgeheimnissen. Allein das Bekanntwerden eines Datenlecks in der Öffentlichkeit kann der Unternehmensreputation empfindlich und dauerhaft schaden. Auch Privatleute machen sich oftmals nicht bewusst, was es bedeutet, wenn beispielsweise die Korrespondenz mit dem Rechtsanwalt oder dem Steuerberater in falsche Hände gerät. Das Argument, "wer verschlüsselt, macht sich verdächtig" macht dabei nur nicht mehr wirklich Sinn. Denn die Verschlüsselung in Unternehmen dient ja primär dem Schutz vor Cyberkriminalität und ist von daher ebenso legitim wie notwendig. Entsprechend unterstützt auch der Staat entsprechende Sicherheitsaktivitäten, etwa mit der Initiative des Bundes, Deutschland zum "Verschlüsselungsstandort Nr. 1 weltweit" zu machen.

5. Verbreitung: "E-Mail-Verschlüsselung ist nicht weit genug verbreitet!"
Vermutlich das klassischste Argument gegen E-Mail-Verschlüsselung ist das Henne-Ei-Problem: "Wenn du nicht verschlüsselst, verschlüssele ich auch nicht". Der Beratungsalltag bei Giegerich & Partner zeigt: Kunden, Dienstleister und Kooperationspartner stehen dem Vorschlag, die gemeinsame Korrespondenz zu verschlüsseln meist sehr offen gegenüber. Man muss es eben nur allen Kommunikationspartnern gleichzeitig vorschlagen. Zudem sind die meisten Verschlüsselungslösungen kompatibel zu Industriestandards. gpg4o ist beispielsweise bereits seit der Version 3.4 in der Lage, PGP/MIME-signierte E-Mails ordnungsgemäß zu verifizieren, wodurch die Kompatibilität zu Anwendungen wie beispielsweise GPGMail und vielen anderen gewährleistet ist. Dies vereinfacht die verschlüsselte Kommunikation und sorgt damit für eine höhere Akzeptanz von Verschlüsselungssoftware generell.

6. Recht: "E-Mail-Verschlüsselung ist nicht immer erlaubt!"
Auch wenn starke Kryptografie in den USA und vielen anderen Ländern nach wie vor kritisch gesehen wird, ist in Europa die Verschlüsselung von Daten generell erlaubt. Zum Teil lässt sie sich sogar eine Verpflichtung, zumindest aber die Sinnhaftigkeit von Verschlüsselung aus Gesetzen und Verordnungen zum Datenschutz – denen Unternehmen unterliegen– ableiten. Ein ganz aktuelles Beispiel hierfür ist die europäische Datenschutzgrundverordnung (EU-DSGVO). Wer verschlüsselt ist also eher auf der sicheren Seite.

Die meisten Argumente gegen den Einsatz von E-Mail-Verschlüsselung lassen sich also entkräften. Voraussetzung ist, dass Unternehmen und Mitarbeiter aktiv an der Umsetzung mitwirken und die grundlegenden Sicherheitsstandards eingehalten werden. Denn am Ende gilt wie immer: Ohne den Anwender geht gar nichts.
(Giegerich & Partner: ra)

eingetragen: 01.08.17
Home & Newsletterlauf: 06.09.17


Giegerich & Partner: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -





Kostenloser IT SecCity-Newsletter
Ihr IT SecCity-Newsletter hier >>>>>>

- Anzeigen -


Meldungen: Tipps & Hinweise

  • Vorhandene Sicherheitseinstellungen aktivieren

    Oft findet der Router erst dann Beachtung, wenn das WLAN nicht funktioniert. Beim Schutz ihrer Geräte vor Hackern und Malware wird das Gerät hingegen häufig vergessen. Denn was Sicherheitseinstellungen betrifft, bekommen Heimanwender nicht immer ein Rundum-Sorglos-Paket mitgeliefert. Ungeschützt kann ein Router Angreifern Tür und Tor öffnen. Dabei tragen schon einige Maßnahmen dazu bei, die Sicherheit des Heimnetzwerks enorm zu verbessern. Eset gibt Tipps, wie Nutzer ihren Router sichern und so ihre Geräte und persönliche Daten noch besser schützen können.

  • Ransomware & Sicherheit am Arbeitsplatz

    Aufgrund der fortschreitenden Digitalisierung ändert sich auch die Arbeitsweise in Unternehmen. Mobile Geräte wie Smartphones und Tablets gehören längst zum beruflichen Alltag. Hacker passen ihre Vorgehensweise an diese moderne Arbeitsweise an. Mit gezielten Cyberattacken sind sie zunehmend in der Lage, herkömmliche Schutzsysteme zu umgehen. Stormshield informiert auf seinem Unternehmensblog über die perfiden Maschen der Angreifer und gibt nützliche Tipps zur Abwehr von betrügerischer Schadsoftware (Malware).

  • Fake-Profile und Schadsoftware

    Wer auf einen Treffer von Amors Pfeil wartet, sucht sein Glück inzwischen oft online, insbesondere bei Dating-Apps. Nicht umsonst gilt LOVOO als die aktuell erfolgreichste iPhone-App in Deutschland. Laut Bitkom nutzen rund 47 Prozent der Deutschen ihr Smartphone für den Onlineflirt, 42 Prozent ihr Tablet und immerhin noch 34 Prozent suchen mit dem Laptop nach einem potentiellen Partner. Doch beim heißen Online-Flirt gibt es einiges zu beachten, damit die Partnersuche so sicher wie möglich verläuft. Eset gibt Tipps, damit aus der vermeintlichen großen Liebe keine böse Überraschung wird.

  • Gezielte Lobbyarbeit der Elektrobranche?

    "Müssen wir Brandschutzschalter im RZ installieren und/oder nachrüsten? Wie viele und an welchen Stellen?" Diese Frage stellen sich mehr und mehr Rechenzentrumsbetreiber und -verantwortliche, die durch den zurzeit zu beobachtenden Hype rund um diese Sicherheitstechnik verunsichert sind. Die Antwort der von zur Mühlen'sche Sicherheitsberatung aus Bonn (kurz: VZM) lautet: in zwingender Weise KEINE.

  • Was macht Cybersecurity so kompliziert?

    Spätestens nach den jüngsten Schwachstellen Spectre und Meltdown weiß jeder, dass das Thema Cybersecurity nie an Präsenz verliert und jeden betrifft. Dies gilt nicht nur für Unternehmen, sondern auch für Privatanwender: Cyberkriminelle erfassen Passwörter noch während des Tippens, installieren Malware und fangen so sämtliche Daten unbemerkt ab. Oder sie spähen über Browserdaten Kreditkartendaten und Logins aus. Doch was macht Cybersecurity so kompliziert? Im Falle von Spectre und Meltdown handelt es sich zwar um Schwachstellen in Prozessoren. Doch in vielen anderen Fällen verstehen User die komplexen Methoden, die Kriminelle anwenden, um an geschäftskritische Daten zu gelangen. Sie tendieren jedoch dazu, das tatsächliche Risiko von Angriffen herunterzuspielen. Es ist ein ewiger Kreislauf: Der Endanwender fühlt sich durch die IT-Vorrichtungen geschützt und der IT-Verantwortliche schätzt den User als wachsamer und vorsichtiger ein, als er tatsächlich ist.