E-Mail

E-Mail-Verschlüsselung: Leitfaden für Unternehmen

Signierte E-Mails, Zertifikate, asymmetrische oder symmetrische Verschlüsselung – wer sich nicht regelmäßig mit Fragen rund um die E-Mail-Verschlüsselung beschäftigt, versteht bei diesen Begriffen nicht besonders viel. Im Zuge der Umsetzung der neuen Datenschutz-Grundverordnung (DSGVO) ist die E-Mail-Verschlüsselung für viele Unternehmen jedoch noch wichtiger geworden. Hier erläutern wir einige grundlegende Begriffe und Techniken, die für die Verschlüsselung von E-Mails eingesetzt werden.

Asymmetrische und symmetrische E-Mail-Verschlüsselung

Kurz gesagt sind die asymmetrische und die symmetrische E-Mail-Verschlüsselung grundverschieden. Vor allem unterscheiden die beiden Varianten sich durch Zahl und Art der verwendeten Schlüssel.

Für die symmetrische E-Mail-Verschlüsselung wird ein Schlüssel zum Ver- und Entschlüsseln einer E-Mail verwendet. Absender und Empfänger müssen also über den gleichen Schlüssel verfügen. Das Verfahren ist dadurch relativ einfach, die Sicherheit hängt jedoch von der Geheimhaltung der Schlüssel ab. Falls der Schlüssel in die falschen Hände gelangt, lässt sich die Kommunikation ganz leicht entschlüsseln.

Für die asymmetrische E-Mail-Verschlüsselung jeweils zwei Schlüsselpaare – ein privater und ein öffentlicher Schlüssel – pro Kommunikationspartner genutzt. Der öffentliche Schlüssel ist allgemein zugänglich und wird beim Austausch der Zertifikate automatisch übertragen. Dieser wird für die Verschlüsselung von Daten, in diesem Fall von E-Mails, verwendet.

Damit die verschlüsselten Daten entschlüsselt werden können, ist der private Schlüssel entscheidend. Mathematisch ist ein Schlüsselpaar zwar voneinander abhängig, in der Praxis ist es jedoch fast ausgeschlossen, den entsprechenden Code zu knacken.

Was bedeutet S/MIME, PGP oder TLS?

S/MIME und PGP sind asymmetrische Varianten der Verschlüsselung. Der Vorteil bei beiden Verfahren ist, dass auch die E-Mail-Anbieter von Absender und Empfänger nicht auf den Inhalt einer E-Mail zugreifen können. Allerdings wird ausschließlich die Nachricht verschlüsselt. Empfänger und Absender sowie die Betreffzeile lassen sich ohne Verschlüsselung leicht erkennen.

Der Unterschied einer E-Mail-Verschlüsselung per S/MIME oder PGP liegt vor allem bei der Ausstellung der Zertifikate. PGP ist eine Open-Source-Lösung, für die im Prinzip jeder Absender eigene Zertifikate ausstellen kann. Bei S/MIME erfolgt die Zertifizierung hingegen über offizielle Stellen, die Certificate Authorities.

TLS unterscheidet sich vonS/MIME und PGP, da nicht die E-Mail verschlüsselt wird, sondern die Verbindung zwischen den Servern. Beim Verschicken lässt sich die E-Mail daher nicht abfangen, auf den Mailservern ist sie jedoch nicht verschlüsselt.

Keine perfekte Lösung für die E-Mail-Verschlüsselung

Unternehmen haben verschiedene Möglichkeiten, um für eine gesetzeskonforme E-Mail-Verschlüsselung zu sorgen. Dazu lassen sich eigene Lösungen vor Ort oder Cloud-Lösungen nutzen.

Bei einer eigenen Lösung werden E-Mails vor Ort beim Unternehmen selbst verschlüsselt. Die Software stammt in der Regel von einem externen Anbieter und wird gekauft oder gemietet. Dadurch erhält ein Unternehmen zwar ein großes Maß an Transparenz, muss jedoch einen großen Aufwand für Verwaltung und Administration in Kauf nehmen. Kosten für Betrieb und Wartung sollten ebenfalls berücksichtigt werden.

Bei einer Alternative in der Cloud nimmt der entsprechende Anbieter dem Kunden den gesamten Aufwand für Administration, Wartung und Betrieb, ab. In diesem Fall läuft der gesamte E-Mail-Verkehr über die Server des Cloud-Dienstleisters, der für die gesetzeskonforme E-Mail-Verschlüsselung sorgt. Für eine komplett abgesicherte E-Mail-Kommunikation lassen sich dabei verschiedene Verfahren, zum Beispiel TLS und S/MIME, miteinander kombinieren. Auf diese Weise sind E-Mails auf den Servern von Absender und Empfänger sowie beim Transport stets verschlüsselt.

Schaltfläche "Zurück zum Anfang"