- Anzeigen -


Sie sind hier: Home » Markt » Tipps & Hinweise

Woher kommt die Verschlüsselungsmüdigkeit?


Jetzt oder nie? Pro und contra E-Mail-Verschlüsselung in Unternehmen
Dichtung und Wahrheit: Argumente gegen E-Mail-Verschlüsselung im Check

- Anzeigen -





Obwohl viele Unternehmen Verschlüsselung für wichtig halten, wird die Technologie nur von einem Bruchteil genutzt. Es gibt einige nachvollziehbare Hindernisse, aber auch eine Reihe sich hartnäckig haltender Mythen rund um die Usability und die Praxistauglichkeit. Anlässlich des Updates ihres Outlook-Verschlüsselungs-Add-Ins "gpg4o 5.1" hat der Lösungsanbieter Giegerich & Partner die gängigsten Argumente einem Plausibilitäts-Check unterzogen.

Es ist keine Überraschung: Die Digitalisierung des Geschäftsalltags nimmt zu, wie der DsiN-Sicherheitsmonitor 2016 in seinen Statistiken zeigt. Gleichzeitig sagen rund 60 Prozent der befragten Unternehmen, dass ihnen Risiken und rechtliche Anforderungen bei der geschäftlichen Nutzung von Internet und E-Mails nicht bekannt sind.

Diese Unsicherheit zeigt sich auch beim Einsatz entsprechender Schutzmaßnahmen, die – im Gegensatz zur steigenden Digitalisierung – unverändert bleiben. So setzen immer noch weniger als die Hälfte (48 Prozent) der befragten Unternehmen Maßnahmen zur E-Mail-Sicherheit ein.

Hans-Joachim Giegerich, Geschäftsführer von Giegerich & Partner, kennt aus Gesprächen mit Kunden des hauseigenen E-Mail-Verschlüsselungs-Add-Ins gpg4o die Sorgen und Nöte von Unternehmen: "Die Zurückhaltung liegt in der Regel daran, dass den Verantwortlichen das Thema zu komplex erscheint oder die Anwender einfach nicht mitspielen. Viele Mitarbeiter wissen zwar um die Wichtigkeit und begrüßen Verschlüsselung, aber man darf auch nicht vergessen: Sicherheit gibt es nicht zum Nulltarif. Die Mitarbeiter müssen ihre Komfortzone verlassen und dazu muss man sie motivieren und anleiten. Unsere Aufgabe als Anbieter ist es, die Usability weiter zu verbessern, damit es den Mitarbeitern leichter fällt, Abläufe und Verhaltensweisen anzupassen. Mit der aktuellen Version von gpg4o haben wir dieses Ziel praktisch erreicht. Die Version 5.1. enthält nur noch kleinere Optimierungen und Bugfixes. Die wesentlichen Usability-Anforderungen unserer Kunden haben wir in den letzten Jahren umgesetzt."

Dichtung und Wahrheit: Argumente gegen E-Mail-Verschlüsselung im Check
Neben dem vermeintlichen hohen Aufwand und der Frage nach der Benutzerfreundlichkeit spielen noch weitere Aspekte eine Rolle bei der Zurückhaltung gegenüber Verschlüsselung. Vielfach zeigt sich hier ein diffuses Bild aus Ängsten und fehlendem Wissen zum Stand der Technik. Prof. Dr. Friedemann Vogel, Juniorprofessor für Medienlinguistik an der Universität Freiburg, hat sich bereits ausführlich den "Vorurteilen und Märchen zur Nachrichten-Verschlüsselung"** gewidmet. Im Folgenden hat Giegerich & Partner eine Übersicht zusammengestellt, die die häufigsten Argumente gegen Verschlüsselung thematisch gruppiert und auf ihren Wahrheitsgehalt überprüft.

Die sechs Totschlagargumente gegen E-Mail-Verschlüsselung im Härtetest

1. Organisation: "E-Mail-Verschlüsselung ist aufwändig!"
Ganz ohne Vorarbeit geht es natürlich nicht. Unternehmen müssen sich vor allem Gedanken über die sichere Verwaltung und Organisation der E-Mail-Verschlüsselung machen. Hierzu gehören Themen wie die sichere Archivierung von E-Mails, die Rollen- und Rechtevergabe und vor allem die Verwaltung der Schlüssel, die andernfalls eine Schwachstelle darstellen kann. Der Aufwand hierfür variiert mit den eingesetzten Programmen: Sind diese für Unternehmen ausgerichtet, verfügen sie in der Regel über benutzerfreundliche Administratoren-Features wie beispielsweise einen zentralen Keyserver. "Ausgewachsene" E-Mail-Verschlüsselungsprogramme lassen sich zudem von IT-Administratoren meist ohne Vorkenntnisse implementieren. Der Anwender selbst entscheidet wiederum beim Versenden mit einem simplen Klick ob die E-Mail verschlüsselt oder unverschlüsselt versendet wird

2. Kosten: "E-Mail-Verschlüsselung ist teuer!"
Für Privatanwender gibt es zahlreiche Freeware-Lösungen, die den erforderlichen Funktionsumfang haben. So bietet auch Giegerich & Partner sein Outlook-Verschlüsselungs-Add-In gpg4o für private Nutzer kostenlos an. Die Implementierung erfordert im Falle von gpg4o nur wenige Klicks und ist auch für eine große Nutzerzahl mit wenig Aufwand für IT-Administratoren verbunden. Für Unternehmen hängen die Betriebskosten von der Anzahl der Nutzer ab. Für ein mittelständisches Unternehmen mit rund 25 Mitarbeitern liegen die Lizenzkosten von gpg4o pro Mitarbeiter jährlich bei rund 65 €. Diesen Kosten gegenüber stehen der potenziellen (Image)-Schaden durch entwendete Betriebsgeheimnisse, Kundendaten oder Patentinformationen.

3. Sicherheit: "Jede E-Mail-Verschlüsselung lässt sich irgendwann knacken!"
Theoretisch stimmt das, doch in der Praxis stehen selbst Geheimdiensten hierfür natürlich nicht unbegrenzte zeitliche und finanzielle Ressourcen zur Verfügung. Aus diesem Grund gelten auch Fahrradschlösser ab einer "Knackdauer" von drei Minuten als diebstahlsicher. Bei modernen Verschlüsselungsstandards - wie beispielsweise AES-256 - dauert es selbst mit den schnellsten derzeit verfügbaren Rechnern Milliarden von Jahren, um die Codes zu entschlüsseln. Deswegen ist es so wichtig, die Schlüssel samt hochwertiger Passphrasen und den Zugang zu Systemen sicher zu verwalten, denn hier liegt der eigentliche Angriffspunkt für Hacker. Halten sich Anwender und Administratoren an die Sicherheitsstandards, haben sie auch hier nichts zu befürchten. Eines sollten Anwender jedoch immer im Blick behalten: Absender, Adressat und Betreff werden bei PGP in aller Regel nicht verschlüsselt und sind also im Zweifelsfall für jeden sichtbar. Der Betreff sollte also besser keine schützenswerten Informationen enthalten.

4. Bedarf: "Wir haben nichts Wichtiges zu verbergen!"
Mit diesem Argument wurden in der Vergangenheit hauptsächlich Gesetzesinitiativen zur Überwachung verargumentiert. Doch vor allem bei Unternehmen gehören ja bereits Kunden- und Mitarbeiterdaten zu den sensiblen und damit schützenswerten Daten, ganz zu schweigen von Informationen zu Prototypen oder technologischen Betriebsgeheimnissen. Allein das Bekanntwerden eines Datenlecks in der Öffentlichkeit kann der Unternehmensreputation empfindlich und dauerhaft schaden. Auch Privatleute machen sich oftmals nicht bewusst, was es bedeutet, wenn beispielsweise die Korrespondenz mit dem Rechtsanwalt oder dem Steuerberater in falsche Hände gerät. Das Argument, "wer verschlüsselt, macht sich verdächtig" macht dabei nur nicht mehr wirklich Sinn. Denn die Verschlüsselung in Unternehmen dient ja primär dem Schutz vor Cyberkriminalität und ist von daher ebenso legitim wie notwendig. Entsprechend unterstützt auch der Staat entsprechende Sicherheitsaktivitäten, etwa mit der Initiative des Bundes, Deutschland zum "Verschlüsselungsstandort Nr. 1 weltweit" zu machen.

5. Verbreitung: "E-Mail-Verschlüsselung ist nicht weit genug verbreitet!"
Vermutlich das klassischste Argument gegen E-Mail-Verschlüsselung ist das Henne-Ei-Problem: "Wenn du nicht verschlüsselst, verschlüssele ich auch nicht". Der Beratungsalltag bei Giegerich & Partner zeigt: Kunden, Dienstleister und Kooperationspartner stehen dem Vorschlag, die gemeinsame Korrespondenz zu verschlüsseln meist sehr offen gegenüber. Man muss es eben nur allen Kommunikationspartnern gleichzeitig vorschlagen. Zudem sind die meisten Verschlüsselungslösungen kompatibel zu Industriestandards. gpg4o ist beispielsweise bereits seit der Version 3.4 in der Lage, PGP/MIME-signierte E-Mails ordnungsgemäß zu verifizieren, wodurch die Kompatibilität zu Anwendungen wie beispielsweise GPGMail und vielen anderen gewährleistet ist. Dies vereinfacht die verschlüsselte Kommunikation und sorgt damit für eine höhere Akzeptanz von Verschlüsselungssoftware generell.

6. Recht: "E-Mail-Verschlüsselung ist nicht immer erlaubt!"
Auch wenn starke Kryptografie in den USA und vielen anderen Ländern nach wie vor kritisch gesehen wird, ist in Europa die Verschlüsselung von Daten generell erlaubt. Zum Teil lässt sie sich sogar eine Verpflichtung, zumindest aber die Sinnhaftigkeit von Verschlüsselung aus Gesetzen und Verordnungen zum Datenschutz – denen Unternehmen unterliegen– ableiten. Ein ganz aktuelles Beispiel hierfür ist die europäische Datenschutzgrundverordnung (EU-DSGVO). Wer verschlüsselt ist also eher auf der sicheren Seite.

Die meisten Argumente gegen den Einsatz von E-Mail-Verschlüsselung lassen sich also entkräften. Voraussetzung ist, dass Unternehmen und Mitarbeiter aktiv an der Umsetzung mitwirken und die grundlegenden Sicherheitsstandards eingehalten werden. Denn am Ende gilt wie immer: Ohne den Anwender geht gar nichts.
(Giegerich & Partner: ra)

eingetragen: 01.08.17
Home & Newsletterlauf: 06.09.17


Giegerich & Partner: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -





Kostenloser IT SecCity-Newsletter
Ihr IT SecCity-Newsletter hier >>>>>>

- Anzeigen -


Meldungen: Tipps & Hinweise

  • Besonders leichte Beute für Hacker

    Nachdem zwei große Ransomware-Angriffe über den Globus gefegt sind und zahlreiche große Organisationen davon betroffen waren, haben viele Unternehmen begonnen, ihre Cyber-Sicherheitspolitik zu überdenken. Doch viele kleine Unternehmen sind immer noch ungeschützt - und sie könnten jederzeit Ziel eines Ransomware-Angriffs werden, da solche Angriffe in Intensität und Raffinesse zunehmen werden. "Kleine Unternehmer und CEOs sollten sich darauf konzentrieren, eine Denkweise in ihrem Unternehmen zu pflegen, die - anstatt die Menschen ohne Grund zu verschrecken - die Kultur der Cybersicherheit und einen vorsichtigen Ansatz für alle Online-Aktivitäten aufbaut", sagte Marty P. Kamden, CMO von NordVPN. "Eine Organisation vor Cyberattacken zu schützen, bedeutet eine vollständige Zusammenarbeit aller Mitarbeiter - und jeder muss die Do's und Don'ts des Online-Verhaltens kennen."

  • Natürliche Personen können haftbar gemacht werden

    Die EU-Datenschutz-Grundverordnung (EU-DSGVO) ist bereits seit dem 24. Mai 2016 beschlossene Sache - die Schonfrist läuft allerdings am 25. Mai 2018 ab. Zu diesem Stichtag gilt für alle Unternehmen verbindlich die neue Rechtslage. Grund genug, sich mit dem Thema jetzt genau auseinanderzusetzen und die erforderlichen Maßnahmen zu treffen, bevor zeitliche Engpässe für die Umsetzung entstehen. G Data stellt hierzu ein Whitepaper bereit und zählt fünf Änderungen auf, die für Unternehmer von entscheidender Bedeutung sind.

  • Datenkraken greifen immer hemmungsloser zu

    Die ausufernde Datenschnüffelei lässt viele Menschen kalt. Zu Unrecht. Die Brabbler AG erläutert fünf Gründe, warum auch in der digitalen Welt absolut jeder rechtschaffene Bürger etwas zu verbergen hat. Die Datenkraken greifen immer hemmungsloser zu. Sie zeichnen die Spuren der User in der digitalen Welt umfänglich auf, verknüpfen sie miteinander und erstellen umfassende Profile. Dabei ist die Schnüffelei längst nicht mehr auf PCs, Tablets oder Smartphones beschränkt; Connected Cars und Sprachassistenten sorgen dafür, dass Datensammler mittlerweile Gespräche im Auto oder in den eigenen vier Wänden abhören können. Vielen Menschen ist das gar nicht bewusst; und diejenigen, die es wissen oder zumindest ahnen, juckt es oft nicht groß. Sie hätten ja schließlich nichts zu verbergen und deshalb auch nichts zu befürchten. Die Brabbler AG, die sich für den Schutz der Privatsphäre im Internet einsetzt, zeigt, dass das ein Irrtum ist. Sie erläutert, welche Folgen die Datenspionage für ganz normale Bürger haben kann.

  • Schwerpunkt auf Spear-Phishing legen

    Trustwave warnt vor Malware-Angriffen, die so geschickt getarnt sind, dass geschädigte Unternehmen diese Angriffe gar nicht oder sehr spät erkennen - nämlich dann, wenn es bereits zu spät ist und wertvolle Unternehmensdaten bereits gestohlen wurden. Diese oft als Fileless Malware bezeichnete Schadsoftware wird von Cyberkriminellen immer öfter eingesetzt und lässt sich mit herkömmlichen Sicherheitslösungen im Regelfall nicht erkennen. Trustwave gibt Tipps, wie man diese Art von Angriffen unterbinden kann. Fileless Malware, im Deutschen oft als "Dateilose Malware" bezeichnet, ist kein neues Phänomen, erfreut sich aber laut aktuellen Untersuchungen von Trustwave zunehmender Beliebtheit bei Cyberkriminellen.

  • Industriestandards für den Datenschutz

    Die EU-Datenschutz-Grundverordnung (EU-DSGVO) ist seit längerem in aller Munde. Sie zielt darauf ab, den Datenschutz innerhalb der EU zu stärken und regelt auch den Transfer von Daten über die EU hinaus. Wenn sie am 18. Mai 2018 in Kraft tritt und von den Behörden durchgesetzt werden kann, hat sie Auswirkungen für jedes Unternehmen, das Daten in irgendeiner Weise in der EU verarbeitet. Tenable Network Security stellt im ersten Teil ihrer Serie zur Datenschutz-Grundverordnung drei essentielle Schritte vor, um die sicherheitstechnischen Herausforderungen der EU-DSGVO zu bewältigen.