E-Mailverschlüsselung: Unternehmen wünschen sich weniger Eintrittsbarrieren - Bericht von der Business-Cryptoparty
Eine Veranstaltung von Giegerich & Partner und QGroup mit freundlicher Unterstützung der TeleTrusT - Bundesverband IT-Sicherheit e.V.
(pressebox) Dreieich, 16.04.2014 - Dreieich/Frankfurt am Main, 15. April 2014 - Die Themen IT-Sicherheit und E-Mailverschlüsselung sind wegen der Vielzahl bekanntgewordener Sicherheitslücken weiterhin in aller Munde. Sowohl bei Privatanwendern, als auch bei Unternehmen steigt das Bewusstsein für etwaigen Handlungsbedarf und damit zunächst der Informationsbedarf. Obwohl Unternehmen das Thema öffentlich ungern ansprechen, lässt sich dies beispielsweise an der rasanten Zunahme der bei Schlüsselservern hinterlegten OpenPGP-Keys für die Emailverschlüsselung ablesen*. Dem Ruf zur Business-Cryptoparty, veranstaltet von Giegerich & Partner gemeinsam mit der QGroup, unterstützt vom TeleTrusT-Verband, folgten am 10. April entsprechend rund 30 Unternehmensvertreter aus den unterschiedlichsten Branchen, von Wirtschaftsprüfern über Industriedienstleister bis hin zu Datenvernichtern.
Mehr Fragen als Antworten und noch mehr Handlungsbedarf
Die Diskussion in der Veranstaltung zeigte, dass es auf Unternehmensseite derzeit noch mehr Fragen als Antworten gibt. Vor allem solche Unternehmen, die naturgemäß sensible Daten intern wie extern austauschen, beispielsweise Kanzleien, Forschungs- und Entwicklungseinrichtungen oder Behörden, suchen nach ebenso sicheren wie einfachen Lösungen. Viele Fragen der Teilnehmer drehten sich um Chancen und Risiken der Einführung eines Verschlüsselungssystems. Wie groß ist der Aufwand? Wie sorge ich dafür, dass im Notfall die Geschäftsführung oder autorisierte Dritte Zugang zu allen verschlüsselten Daten haben? Inwiefern bin ich sogar rechtlich verpflichtet, Daten durch Verschlüsselung zu schützen? Bedarf es einer Zertifizierung nach z.B. ISO 27001 oder BS7799 und: Stellt ein solches Zertifikat wirklich sicher, dass die Daten in einem zertifizierten Unternehmen geschützt sind?
Oftmals wird das Thema auch von Kundenseite an die Firmen herangetragen. So berichtete ein Teilnehmer, IT-Verantwortlicher eines Unternehmens für Forderungsmanagement, dass ein Stromversorger eine entsprechende E-Mailverschlüsselungslösung zur Bedingung für die Zusammenarbeit machte: "Das Thema drängte sich schon lange auf und nun war es an der Zeit, das anzugehen. Wir haben uns dann für eine gatewaybasierte Lösung entschieden, bei der die einzelnen Nutzer keine Auswirkungen beim Versand der E-Mails zu spüren bekommen. Die Akzeptanz der Nutzer ist bei der Einführung ja oftmals ein kritischer Punkt. Nun, wo die Lösung da ist, können wir das Thema "verschlüsselte Kommunikation" natürlich auch aktiv bei Kundengesprächen platzieren und anbieten."
Ein Lieferant für vertrauliche Industriedaten merkte an, dass der Anstoß üblicherweise von Kunden- und nicht von Lieferantenseiten komme und sich die Frage stelle, wie man denn die eigenen Kunden von der Notwendigkeit eines verschlüsselten Datenaustauschs überzeugen könne. Hier empfahl Hans-Joachim Giegerich, Geschäftsführer des IT-Lösungsanbieters Giegerich & Partner ein aktives Vorgehen: "Setzten Sie Signale! Zeigen Sie Ihrem Kunden, dass Sie seine Sicherheitsrisiken erkennen, ernst nehmen und Lösungen parat haben. Nur so kann man dem "Henne-Ei-Problem" beim Thema Verschlüsselung Herr werden."
Status quo ist die elektronische Postkarte zum Mitlesen
Herr Giegerich zeigte in seinem Vortrag, wie naiv der allgemeine Umgang mit dem Thema E-Mailsicherheit derzeit meist noch ist und welche Lösungen aktuell von privater und öffentlicher Seite in der Mache oder bereits verfügbar sind: "Niemand würde vertrauliche Daten per Postkarte verschicken, sondern immer in einem versiegelten Brief - in der Hoffnung, dass das Briefgeheimnis eingehalten wird. E-Mails sind jedoch nichts anderes als elektronische Postkarten, die mit ein bisschen IT-Wissen unterwegs mitgelesen werden können." Mit dem Fokus auf vertraulicher und nachweisbarer Behördenkommunikation entstand so abseits der bekannten Industriestandards OpenPGP und S/MIME die deutsche Lösung DE-Mail. Die dahinter liegende IT-Infrastruktur ermöglicht verbindliche elektronische Geschäftsbriefe - allerdings nur für deutsche Teilnehmer und mit Transportverschlüsselung, anstatt Ende-zu-Ende Verschlüsselung. Wer mehr Sicherheit, d.h. eine durchgehende Verschlüsselung wünscht, muss derzeit auf eine eigene Lösung auf Basis eines gängigen Verschlüsselungsstandards setzen.
Das richtige Maß: client- vs. serverbasierte Lösungen
Soll eine Nachricht sicher verschlüsselt sein, empfiehlt sich ein Produkt auf Basis der Standards OpenPGP oder S/MIME, bei denen mit Paaren aus privatem und öffentlichem Schlüssel eine Verschlüsselung von Absender bis zum Empfänger sichergestellt werden kann. Dabei unterscheidet man zwischen clientbasierten Lösungen, bei der jeder Nutzer ein zusätzliches Verschlüsselungsprogramm oder PlugIn einsetzt und server- bzw. gatewaybasierten Methoden - wie im Fall des oben genannten Inkasso-Unternehmens -, bei denen die Verschlüsselung zentral durch ein Gateway vorgenommen wird, bevor die Nachricht das Unternehmen verlässt. Die Vor- und Nachteile liegen auf der Hand: clientbasierte Lösungen bieten eine höhere Vertraulichkeit für den Anwender, erhöhen aber vor allem in größeren Organisation auch den administrativen Aufwand für die Schlüsselverwaltung und die Schulung der Mitarbeiter, was bei der serverbasierten Verschlüsselung entfällt.
Wie bei allen Sicherheitsthemen geht es auch hier um das richtige Maß, das sich aus den Daten und den Adressaten ergibt: Handelt es sich um interne Mitarbeiter oder um Kunden und Lieferanten? Wie schutzbedürftig sind die Daten, also handelt es sich z.B. um Personaldaten, Bilanzzahlen oder um Forschungsergebnisse? Im Falle des Unternehmens für Forderungsmanagement geht es beispielsweise auch um Informationen zur Liquidität bis hin zur Insolvenz eines Unternehmens. Schließlich kommt noch der Übertragungsweg hinzu, wenn Mitarbeiter zum Beispiel aus dem Ausland ohne VPN-Verbindung E-Mails verschicken oder auf Dateien zugreifen. Dirk Kopp von der QGroup stellte in diesem Zusammenhang verschiedene Remote-Access-Lösungen vor, die den Nutzer anhand seiner Biometrie via Smart Card oder Smartphone eindeutig identifizieren. Durch den Einsatz eines sicheren Betriebssystems und einer Multifaktor-Authentifizierungslösung lassen sich Daten schützen und Angriffsszenarien abwenden.
Rechtliche und organisatorische Fragen
Im Hinblick auf die Eingangs genannten Fragen der Teilnehmer verwies Herr Giegerich beim Thema "Datensicherheitspflicht" auf die gängige Rechtsprechung, dass Unternehmen Sicherheit "nach dem aktuellen Stand der Technik" gewährleisten müssen, ansonsten handeln sie in der Regel zumindest "fahrlässig". Im Hinblick auf die Zugänglichkeit der Daten für Behörden, können Unternehmen hingegen schon im Vorfeld durch eine systematische und gesicherte Schlüsselverwaltung den Zugriff jederzeit gewährleisten. Beim Thema Zertifizierung gilt das gleiche wie für alle anderen Zertifikate: Papier ist geduldig, am Ende zählt ausschließlich die gelebte Praxis im Unternehmen. Hier sieht Herr Giegerich die wichtigste Baustelle: "Wir arbeiten auf die denkbar einfachste Lösung hin, die weder die IT-Abteilung, noch die einzelnen Anwender in ihrer täglichen Arbeit stört. E-Mailverschlüsselung als Standard wird es nur geben, wenn die Eintrittsbarriere minimal ist, dass zeigen auch die Rückmeldungen der heutigen Teilnehmer aufs Neue."
Giegerich und Partner und die QGroup planen für den Herbst die nächste Business-Cryptoparty, um weiteren Unternehmen die Möglichkeit zu geben, Antworten auf grundlegenden Fragen zum Thema IT-Sicherheit und E-Mailverschlüsselung zu erhalten.
* Laut SKS-Keyservers (https://sks-keyservers.net/status/key_development.php) wurden allein in den letzten 30 Tagen (Stand 11. April) rund 27.000 neue Keys verzeichnet.
Mehr Fragen als Antworten und noch mehr Handlungsbedarf
Die Diskussion in der Veranstaltung zeigte, dass es auf Unternehmensseite derzeit noch mehr Fragen als Antworten gibt. Vor allem solche Unternehmen, die naturgemäß sensible Daten intern wie extern austauschen, beispielsweise Kanzleien, Forschungs- und Entwicklungseinrichtungen oder Behörden, suchen nach ebenso sicheren wie einfachen Lösungen. Viele Fragen der Teilnehmer drehten sich um Chancen und Risiken der Einführung eines Verschlüsselungssystems. Wie groß ist der Aufwand? Wie sorge ich dafür, dass im Notfall die Geschäftsführung oder autorisierte Dritte Zugang zu allen verschlüsselten Daten haben? Inwiefern bin ich sogar rechtlich verpflichtet, Daten durch Verschlüsselung zu schützen? Bedarf es einer Zertifizierung nach z.B. ISO 27001 oder BS7799 und: Stellt ein solches Zertifikat wirklich sicher, dass die Daten in einem zertifizierten Unternehmen geschützt sind?
Oftmals wird das Thema auch von Kundenseite an die Firmen herangetragen. So berichtete ein Teilnehmer, IT-Verantwortlicher eines Unternehmens für Forderungsmanagement, dass ein Stromversorger eine entsprechende E-Mailverschlüsselungslösung zur Bedingung für die Zusammenarbeit machte: "Das Thema drängte sich schon lange auf und nun war es an der Zeit, das anzugehen. Wir haben uns dann für eine gatewaybasierte Lösung entschieden, bei der die einzelnen Nutzer keine Auswirkungen beim Versand der E-Mails zu spüren bekommen. Die Akzeptanz der Nutzer ist bei der Einführung ja oftmals ein kritischer Punkt. Nun, wo die Lösung da ist, können wir das Thema "verschlüsselte Kommunikation" natürlich auch aktiv bei Kundengesprächen platzieren und anbieten."
Ein Lieferant für vertrauliche Industriedaten merkte an, dass der Anstoß üblicherweise von Kunden- und nicht von Lieferantenseiten komme und sich die Frage stelle, wie man denn die eigenen Kunden von der Notwendigkeit eines verschlüsselten Datenaustauschs überzeugen könne. Hier empfahl Hans-Joachim Giegerich, Geschäftsführer des IT-Lösungsanbieters Giegerich & Partner ein aktives Vorgehen: "Setzten Sie Signale! Zeigen Sie Ihrem Kunden, dass Sie seine Sicherheitsrisiken erkennen, ernst nehmen und Lösungen parat haben. Nur so kann man dem "Henne-Ei-Problem" beim Thema Verschlüsselung Herr werden."
Status quo ist die elektronische Postkarte zum Mitlesen
Herr Giegerich zeigte in seinem Vortrag, wie naiv der allgemeine Umgang mit dem Thema E-Mailsicherheit derzeit meist noch ist und welche Lösungen aktuell von privater und öffentlicher Seite in der Mache oder bereits verfügbar sind: "Niemand würde vertrauliche Daten per Postkarte verschicken, sondern immer in einem versiegelten Brief - in der Hoffnung, dass das Briefgeheimnis eingehalten wird. E-Mails sind jedoch nichts anderes als elektronische Postkarten, die mit ein bisschen IT-Wissen unterwegs mitgelesen werden können." Mit dem Fokus auf vertraulicher und nachweisbarer Behördenkommunikation entstand so abseits der bekannten Industriestandards OpenPGP und S/MIME die deutsche Lösung DE-Mail. Die dahinter liegende IT-Infrastruktur ermöglicht verbindliche elektronische Geschäftsbriefe - allerdings nur für deutsche Teilnehmer und mit Transportverschlüsselung, anstatt Ende-zu-Ende Verschlüsselung. Wer mehr Sicherheit, d.h. eine durchgehende Verschlüsselung wünscht, muss derzeit auf eine eigene Lösung auf Basis eines gängigen Verschlüsselungsstandards setzen.
Das richtige Maß: client- vs. serverbasierte Lösungen
Soll eine Nachricht sicher verschlüsselt sein, empfiehlt sich ein Produkt auf Basis der Standards OpenPGP oder S/MIME, bei denen mit Paaren aus privatem und öffentlichem Schlüssel eine Verschlüsselung von Absender bis zum Empfänger sichergestellt werden kann. Dabei unterscheidet man zwischen clientbasierten Lösungen, bei der jeder Nutzer ein zusätzliches Verschlüsselungsprogramm oder PlugIn einsetzt und server- bzw. gatewaybasierten Methoden - wie im Fall des oben genannten Inkasso-Unternehmens -, bei denen die Verschlüsselung zentral durch ein Gateway vorgenommen wird, bevor die Nachricht das Unternehmen verlässt. Die Vor- und Nachteile liegen auf der Hand: clientbasierte Lösungen bieten eine höhere Vertraulichkeit für den Anwender, erhöhen aber vor allem in größeren Organisation auch den administrativen Aufwand für die Schlüsselverwaltung und die Schulung der Mitarbeiter, was bei der serverbasierten Verschlüsselung entfällt.
Wie bei allen Sicherheitsthemen geht es auch hier um das richtige Maß, das sich aus den Daten und den Adressaten ergibt: Handelt es sich um interne Mitarbeiter oder um Kunden und Lieferanten? Wie schutzbedürftig sind die Daten, also handelt es sich z.B. um Personaldaten, Bilanzzahlen oder um Forschungsergebnisse? Im Falle des Unternehmens für Forderungsmanagement geht es beispielsweise auch um Informationen zur Liquidität bis hin zur Insolvenz eines Unternehmens. Schließlich kommt noch der Übertragungsweg hinzu, wenn Mitarbeiter zum Beispiel aus dem Ausland ohne VPN-Verbindung E-Mails verschicken oder auf Dateien zugreifen. Dirk Kopp von der QGroup stellte in diesem Zusammenhang verschiedene Remote-Access-Lösungen vor, die den Nutzer anhand seiner Biometrie via Smart Card oder Smartphone eindeutig identifizieren. Durch den Einsatz eines sicheren Betriebssystems und einer Multifaktor-Authentifizierungslösung lassen sich Daten schützen und Angriffsszenarien abwenden.
Rechtliche und organisatorische Fragen
Im Hinblick auf die Eingangs genannten Fragen der Teilnehmer verwies Herr Giegerich beim Thema "Datensicherheitspflicht" auf die gängige Rechtsprechung, dass Unternehmen Sicherheit "nach dem aktuellen Stand der Technik" gewährleisten müssen, ansonsten handeln sie in der Regel zumindest "fahrlässig". Im Hinblick auf die Zugänglichkeit der Daten für Behörden, können Unternehmen hingegen schon im Vorfeld durch eine systematische und gesicherte Schlüsselverwaltung den Zugriff jederzeit gewährleisten. Beim Thema Zertifizierung gilt das gleiche wie für alle anderen Zertifikate: Papier ist geduldig, am Ende zählt ausschließlich die gelebte Praxis im Unternehmen. Hier sieht Herr Giegerich die wichtigste Baustelle: "Wir arbeiten auf die denkbar einfachste Lösung hin, die weder die IT-Abteilung, noch die einzelnen Anwender in ihrer täglichen Arbeit stört. E-Mailverschlüsselung als Standard wird es nur geben, wenn die Eintrittsbarriere minimal ist, dass zeigen auch die Rückmeldungen der heutigen Teilnehmer aufs Neue."
Giegerich und Partner und die QGroup planen für den Herbst die nächste Business-Cryptoparty, um weiteren Unternehmen die Möglichkeit zu geben, Antworten auf grundlegenden Fragen zum Thema IT-Sicherheit und E-Mailverschlüsselung zu erhalten.
* Laut SKS-Keyservers (https://sks-keyservers.net/status/key_development.php) wurden allein in den letzten 30 Tagen (Stand 11. April) rund 27.000 neue Keys verzeichnet.
