- Anzeigen -


Sie sind hier: Home » Markt » Tipps & Hinweise

Woher kommt die Verschlüsselungsmüdigkeit?


Jetzt oder nie? Pro und contra E-Mail-Verschlüsselung in Unternehmen
Dichtung und Wahrheit: Argumente gegen E-Mail-Verschlüsselung im Check

- Anzeigen -





Obwohl viele Unternehmen Verschlüsselung für wichtig halten, wird die Technologie nur von einem Bruchteil genutzt. Es gibt einige nachvollziehbare Hindernisse, aber auch eine Reihe sich hartnäckig haltender Mythen rund um die Usability und die Praxistauglichkeit. Anlässlich des Updates ihres Outlook-Verschlüsselungs-Add-Ins "gpg4o 5.1" hat der Lösungsanbieter Giegerich & Partner die gängigsten Argumente einem Plausibilitäts-Check unterzogen.

Es ist keine Überraschung: Die Digitalisierung des Geschäftsalltags nimmt zu, wie der DsiN-Sicherheitsmonitor 2016 in seinen Statistiken zeigt. Gleichzeitig sagen rund 60 Prozent der befragten Unternehmen, dass ihnen Risiken und rechtliche Anforderungen bei der geschäftlichen Nutzung von Internet und E-Mails nicht bekannt sind.

Diese Unsicherheit zeigt sich auch beim Einsatz entsprechender Schutzmaßnahmen, die – im Gegensatz zur steigenden Digitalisierung – unverändert bleiben. So setzen immer noch weniger als die Hälfte (48 Prozent) der befragten Unternehmen Maßnahmen zur E-Mail-Sicherheit ein.

Hans-Joachim Giegerich, Geschäftsführer von Giegerich & Partner, kennt aus Gesprächen mit Kunden des hauseigenen E-Mail-Verschlüsselungs-Add-Ins gpg4o die Sorgen und Nöte von Unternehmen: "Die Zurückhaltung liegt in der Regel daran, dass den Verantwortlichen das Thema zu komplex erscheint oder die Anwender einfach nicht mitspielen. Viele Mitarbeiter wissen zwar um die Wichtigkeit und begrüßen Verschlüsselung, aber man darf auch nicht vergessen: Sicherheit gibt es nicht zum Nulltarif. Die Mitarbeiter müssen ihre Komfortzone verlassen und dazu muss man sie motivieren und anleiten. Unsere Aufgabe als Anbieter ist es, die Usability weiter zu verbessern, damit es den Mitarbeitern leichter fällt, Abläufe und Verhaltensweisen anzupassen. Mit der aktuellen Version von gpg4o haben wir dieses Ziel praktisch erreicht. Die Version 5.1. enthält nur noch kleinere Optimierungen und Bugfixes. Die wesentlichen Usability-Anforderungen unserer Kunden haben wir in den letzten Jahren umgesetzt."

Dichtung und Wahrheit: Argumente gegen E-Mail-Verschlüsselung im Check
Neben dem vermeintlichen hohen Aufwand und der Frage nach der Benutzerfreundlichkeit spielen noch weitere Aspekte eine Rolle bei der Zurückhaltung gegenüber Verschlüsselung. Vielfach zeigt sich hier ein diffuses Bild aus Ängsten und fehlendem Wissen zum Stand der Technik. Prof. Dr. Friedemann Vogel, Juniorprofessor für Medienlinguistik an der Universität Freiburg, hat sich bereits ausführlich den "Vorurteilen und Märchen zur Nachrichten-Verschlüsselung"** gewidmet. Im Folgenden hat Giegerich & Partner eine Übersicht zusammengestellt, die die häufigsten Argumente gegen Verschlüsselung thematisch gruppiert und auf ihren Wahrheitsgehalt überprüft.

Die sechs Totschlagargumente gegen E-Mail-Verschlüsselung im Härtetest

1. Organisation: "E-Mail-Verschlüsselung ist aufwändig!"
Ganz ohne Vorarbeit geht es natürlich nicht. Unternehmen müssen sich vor allem Gedanken über die sichere Verwaltung und Organisation der E-Mail-Verschlüsselung machen. Hierzu gehören Themen wie die sichere Archivierung von E-Mails, die Rollen- und Rechtevergabe und vor allem die Verwaltung der Schlüssel, die andernfalls eine Schwachstelle darstellen kann. Der Aufwand hierfür variiert mit den eingesetzten Programmen: Sind diese für Unternehmen ausgerichtet, verfügen sie in der Regel über benutzerfreundliche Administratoren-Features wie beispielsweise einen zentralen Keyserver. "Ausgewachsene" E-Mail-Verschlüsselungsprogramme lassen sich zudem von IT-Administratoren meist ohne Vorkenntnisse implementieren. Der Anwender selbst entscheidet wiederum beim Versenden mit einem simplen Klick ob die E-Mail verschlüsselt oder unverschlüsselt versendet wird

2. Kosten: "E-Mail-Verschlüsselung ist teuer!"
Für Privatanwender gibt es zahlreiche Freeware-Lösungen, die den erforderlichen Funktionsumfang haben. So bietet auch Giegerich & Partner sein Outlook-Verschlüsselungs-Add-In gpg4o für private Nutzer kostenlos an. Die Implementierung erfordert im Falle von gpg4o nur wenige Klicks und ist auch für eine große Nutzerzahl mit wenig Aufwand für IT-Administratoren verbunden. Für Unternehmen hängen die Betriebskosten von der Anzahl der Nutzer ab. Für ein mittelständisches Unternehmen mit rund 25 Mitarbeitern liegen die Lizenzkosten von gpg4o pro Mitarbeiter jährlich bei rund 65 €. Diesen Kosten gegenüber stehen der potenziellen (Image)-Schaden durch entwendete Betriebsgeheimnisse, Kundendaten oder Patentinformationen.

3. Sicherheit: "Jede E-Mail-Verschlüsselung lässt sich irgendwann knacken!"
Theoretisch stimmt das, doch in der Praxis stehen selbst Geheimdiensten hierfür natürlich nicht unbegrenzte zeitliche und finanzielle Ressourcen zur Verfügung. Aus diesem Grund gelten auch Fahrradschlösser ab einer "Knackdauer" von drei Minuten als diebstahlsicher. Bei modernen Verschlüsselungsstandards - wie beispielsweise AES-256 - dauert es selbst mit den schnellsten derzeit verfügbaren Rechnern Milliarden von Jahren, um die Codes zu entschlüsseln. Deswegen ist es so wichtig, die Schlüssel samt hochwertiger Passphrasen und den Zugang zu Systemen sicher zu verwalten, denn hier liegt der eigentliche Angriffspunkt für Hacker. Halten sich Anwender und Administratoren an die Sicherheitsstandards, haben sie auch hier nichts zu befürchten. Eines sollten Anwender jedoch immer im Blick behalten: Absender, Adressat und Betreff werden bei PGP in aller Regel nicht verschlüsselt und sind also im Zweifelsfall für jeden sichtbar. Der Betreff sollte also besser keine schützenswerten Informationen enthalten.

4. Bedarf: "Wir haben nichts Wichtiges zu verbergen!"
Mit diesem Argument wurden in der Vergangenheit hauptsächlich Gesetzesinitiativen zur Überwachung verargumentiert. Doch vor allem bei Unternehmen gehören ja bereits Kunden- und Mitarbeiterdaten zu den sensiblen und damit schützenswerten Daten, ganz zu schweigen von Informationen zu Prototypen oder technologischen Betriebsgeheimnissen. Allein das Bekanntwerden eines Datenlecks in der Öffentlichkeit kann der Unternehmensreputation empfindlich und dauerhaft schaden. Auch Privatleute machen sich oftmals nicht bewusst, was es bedeutet, wenn beispielsweise die Korrespondenz mit dem Rechtsanwalt oder dem Steuerberater in falsche Hände gerät. Das Argument, "wer verschlüsselt, macht sich verdächtig" macht dabei nur nicht mehr wirklich Sinn. Denn die Verschlüsselung in Unternehmen dient ja primär dem Schutz vor Cyberkriminalität und ist von daher ebenso legitim wie notwendig. Entsprechend unterstützt auch der Staat entsprechende Sicherheitsaktivitäten, etwa mit der Initiative des Bundes, Deutschland zum "Verschlüsselungsstandort Nr. 1 weltweit" zu machen.

5. Verbreitung: "E-Mail-Verschlüsselung ist nicht weit genug verbreitet!"
Vermutlich das klassischste Argument gegen E-Mail-Verschlüsselung ist das Henne-Ei-Problem: "Wenn du nicht verschlüsselst, verschlüssele ich auch nicht". Der Beratungsalltag bei Giegerich & Partner zeigt: Kunden, Dienstleister und Kooperationspartner stehen dem Vorschlag, die gemeinsame Korrespondenz zu verschlüsseln meist sehr offen gegenüber. Man muss es eben nur allen Kommunikationspartnern gleichzeitig vorschlagen. Zudem sind die meisten Verschlüsselungslösungen kompatibel zu Industriestandards. gpg4o ist beispielsweise bereits seit der Version 3.4 in der Lage, PGP/MIME-signierte E-Mails ordnungsgemäß zu verifizieren, wodurch die Kompatibilität zu Anwendungen wie beispielsweise GPGMail und vielen anderen gewährleistet ist. Dies vereinfacht die verschlüsselte Kommunikation und sorgt damit für eine höhere Akzeptanz von Verschlüsselungssoftware generell.

6. Recht: "E-Mail-Verschlüsselung ist nicht immer erlaubt!"
Auch wenn starke Kryptografie in den USA und vielen anderen Ländern nach wie vor kritisch gesehen wird, ist in Europa die Verschlüsselung von Daten generell erlaubt. Zum Teil lässt sie sich sogar eine Verpflichtung, zumindest aber die Sinnhaftigkeit von Verschlüsselung aus Gesetzen und Verordnungen zum Datenschutz – denen Unternehmen unterliegen– ableiten. Ein ganz aktuelles Beispiel hierfür ist die europäische Datenschutzgrundverordnung (EU-DSGVO). Wer verschlüsselt ist also eher auf der sicheren Seite.

Die meisten Argumente gegen den Einsatz von E-Mail-Verschlüsselung lassen sich also entkräften. Voraussetzung ist, dass Unternehmen und Mitarbeiter aktiv an der Umsetzung mitwirken und die grundlegenden Sicherheitsstandards eingehalten werden. Denn am Ende gilt wie immer: Ohne den Anwender geht gar nichts.
(Giegerich & Partner: ra)

eingetragen: 01.08.17
Home & Newsletterlauf: 06.09.17


Giegerich & Partner: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -





Kostenloser IT SecCity-Newsletter
Ihr IT SecCity-Newsletter hier >>>>>>

- Anzeigen -


Meldungen: Tipps & Hinweise

  • Schutz vor digitalen Attacken: Zehn Tipps

    Modern vernetzte Häuser bergen Risiken - ungeschütztes WLAN kann gehackt werden, was gefährliche Folgen haben kann. Es wird vor allem dann gefährlich, wenn das Haus mit vielen, mit dem "Internet der Dinge" (IoT) verbundenen Geräten ausgestattet ist. Eines dieser Geräte zu hacken, würde es Kriminellen ermöglichen, Zugriff auf das gesamte Netzwerk zu erhalten und intelligente Geräte zu steuern. Identitätsdiebstahl kann dann zur Übernahme von Bankkonten, Sozialversicherungsnummern oder anderen privaten Daten führen. Einige Methoden, die normalerweise dazu genutzt werden, Netzwerkprobleme zu erkennen und zu lösen, können in den Händen von Verbrechern zu mächtigen und leicht zu nutzenden Hacking-Werkeugen werden. "Sniffing" beispielsweise, ist eine Methode, die das Netzwerk täuscht, damit es Daten zuerst an den Computer des Hackers sendet und so Daten eines Netzwerkes sichtbar macht.

  • Hackerangriffe werden immer raffinierter

    Die Anzahl von Cyber-Attacken steigt ebenso rasant wie deren Variantenreichtum: Egal ob Phishing-Links, die Weiten des Darknets oder Malware - Hackerangriffe werden immer raffinierter, ihre Folgen immer schwerwiegender. Unternehmen stehen vor großen Herausforderungen, entsprechende Maßnahmen zu treffen und ihre Daten zu schützen. Im Expertentipp gibt Björn Blatt, Geschäftsführer der readypartner GmbH und Experte für Digital-Strategie und digitale Wirtschaft sowie Spezialist für Cloud- und Kommunikationsservices, Tipps, wie Unternehmen sich und ihre Daten vor Cyber-Attacken bewahren.

  • Tipps für eine bessere Sicherheit des Smart Home

    Sophos präsentiert gemeinsam mit Koramis Ergebnisse des Forschungsprojekts "Haunted House". Aktuelle Zahlen zeigen mehr als 70.000 Zugriffsversuche von 24.089 einzelnen IPS auf das virtuelle Haus. Hiermit wird deutlich: Das Haunted House ist kein einmaliges Geisterphänomen sondern eine dauerhafte Gefahr für private Smart Homes - sofern diese nicht fachgerecht eingerichtet sind. Und dies ist nur die eine Seite des Spuks: Parallel zu den Zugriffsversuchen auf das "Haunted House" erforscht das Projekt mithilfe von Suchmaschinen wie Shodan oder Cenys auch, wie viele Smart Home Komponenten mehr oder weniger einfach über das Internet zugänglich sind. Ein im Oktober hierfür gestarteter Scan fand bis heute mehr als 68.000 offene Web-Schnittstellen von bekannten Smart-Home-Komponenten, die vor allem in Privathaushalten eingesetzt werden.

  • TLS-Verschlüsselung keine Herausforderung

    Die Sicherheitslücke "KRACK" in der WPA2-Verschlüsselung bei WLAN-Verbindungen in aller Munde. Sie führt dazu, dass Angreifer potentiell den Datenverkehr mitlesen und neue Daten einstreuen können. Allgemeine Gefahren und Sicherheitsanweisungen für Privatnutzer werden breit diskutiert, unbeachtet bleiben dagegen bisher die speziellen Gefahren, die KRACK für Unternehmen mit sich bringt. Die Aufklärung zur Sicherheitslücke KRACK bezieht sich insbesondere auf Themen wie Onlinebanking und Onlineshopping. Es wird geraten, beim Surfen im Internet nur verschlüsselte Verbindungen mit dem kleinen Schlosssymbol in der Browserzeile und HTTPS statt HTTP zu nutzen. Damit ist eine Ende-zu-Ende-Verschlüsselung unabhängig von der WLAN-Verbindung umgesetzt.

  • Sicherheitsrisiken minimieren

    Eine nachlässig gepflegte IT-Infrastruktur macht es Hackern leicht, an wichtige Firmendaten zu kommen. Der weltweit agierende Sicherheitsspezialist Trustwave verrät, welche neun Arbeitsschritte jedes Unternehmen durchführen sollte, um Sicherheitsrisiken auf ein Minimum zu reduzieren und Eindringlinge so schnell wie möglich aufzuspüren. Im Regelfall ist es für Cyberkriminelle ein Leichtes, Malware und andere Schadprogramme ins Netzwerk einzuschleusen. Schuld an Datenpannen sind oft ungepatchte Anwendungen, schwache Passwörter oder Mitarbeiter, die auf eine Phishing-Nachricht hereinfallen. Es gibt aber ausreichend Möglichkeiten, die Sicherheitsrisiken zu minimieren.