Keine Chance für Lauscher: E-Mail-Verschlüsselung in der Cloud
Ein sicherer Umgang mit vertraulichen Daten ist heute für jedes Unternehmen Pflicht. Datenschutzbestimmungen werden immer strenger und Missachtungen können empfindliche Geldstrafen nach sich ziehen. Der Verlust von vertraulichen Informationen zieht meist auch wirtschaftlichen Schaden und Vertrauenseinbußen nach sich.
Eine der größten Angriffsflächen ist dabei der E-Mail-Verkehr. Denn wer ihn abfängt, kann einfach mitlesen, sofern die Nachrichten nicht verschlüsselt sind. Hacker haben damit leichtes Spiel. Aber auch US-Geheimdienste wie die NSA oder das FBI lesen gerne einmal mit. Erst vor Kurzem hat uns das Beispiel von Yahoo! dies wieder einmal drastisch vor Augen geführt: Laut einem Bericht von Reuters hat der Mail-Anbieter auf Anfrage einer US-Behörde ein eigenes Programm entwickelt, das jede eingehende E-Mail seiner Kunden heimlich nach gewissen Zeichenketten durchsucht. Der Datenschutz bleibt dabei auf der Strecke.
Professionelle Verschlüsselung ist die einzige Möglichkeit, sich zuverlässig vor solchen Lauschangriffen zu schützen. Aber funktioniert dies auch in der Cloud? Viele Unternehmen setzen heute auf Kommunikationslösungen aus dem Netz. Die Vorteile solcher Software-as-a-Service-Angebote sind bekannt: Sie reduzieren den eigenen Hardware- und Wartungsaufwand, haben geringere Fixkosten, bieten eine garantierte Verfügbarkeit von 99,9 Prozent und sind immer auf dem neuesten Stand.
Außerdem ermöglichen E-Mail-Services in der Cloud einen geräte- und ortsunabhängigen Zugriff – egal ob im Büro am stationären PC oder unterwegs mit dem Smartphone. Wer E-Mail-Verschlüsselung auch mit Cloud-Services nutzen will, hat dafür mehrere Möglichkeiten:
1. E-Mail-Verschlüsselung über den Cloud-Service-Provider
Einige Anbieter von Cloud-Mail-Diensten haben E-Mail-Verschlüsselung bereits integriert. Das hat aber einen großen Nachteil: Das Schlüsselmaterial befindet sich beim Cloud-Anbieter und nicht im eigenen Unternehmen.
Bei IBM dreht sich das gesamte IoT-Geschäft um die kognitive Plattform Watson IoT. Sie soll zusammen mit Bluemix, einer Art Cloud-Service-Baukasten, die unterschiedlichsten analytischen Dienste und Anwendungen ermöglichen.
Der Sicherheitseffekt ist in etwa so, als würde man Schlüssel und Schloss nebeneinander ablegen. Wenn NSA und FBI amerikanische Provider nach Gesetzen wie dem Patriot Act dazu zwingen können, Kundendaten preiszugeben, sind auch Schlüssel dort nicht sicher.
2. E-Mail-Verschlüsselung über ein On-Premise-Gateway
Mit einem zwischengeschalteten E-Mail-Verschlüsselungs-Gateway im eigenen Unternehmen werden Nachrichten schon verschlüsselt, bevor sie überhaupt in die Cloud gelangen – und zwar direkt am E-Mail-Client oder mobilen Endgerät. Die Schlüssel werden On-Premise, also im Unternehmen, verwaltet und aufbewahrt. Dadurch sind Schlüssel und Schloss voneinander getrennt.
Da die Ver- und Entschlüsselung zentral über das Gateway stattfindet, funktioniert diese Lösung mit beliebigen Infrastrukturen und unabhängig davon, welches System oder Endgerät der Absender beziehungsweise Empfänger verwendet. Besonders nutzerfreundlich sind Gateways, die ohne Plug-ins oder spezielle Clients funktionieren. Es hilft Anwendern und Administratoren gleichermaßen, wenn sich der Aufwand zur Verschlüsselung auf ein Minimum reduziert.
3. E-Mail-Verschlüsselung als SaaS
Die E-Mail-Verschlüsselung per Gateway kann auch über einen externen Dienstleister erfolgen, der E-Mail-Sicherheit als Service anbietet. In diesem Fall gelten im Prinzip dieselben Vorteile wie bei einem Gateway im eigenen Unternehmen: Darüber hinaus profitiert das Unternehmen von Skalierbarkeit und transparenten, nutzungsabhängigen Kosten. Trotzdem hat auch hier ein Dritter Zugriff auf das Schlüsselmaterial – der SaaS-Provider.
Helge Husemann, Product Marketing Manager EMEA von Malwarebytes, stellt in diesem 60-minütigen Webinar (Aufzeichnung) die neue Sicherheitslösung Malwarebytes Endpoint Protection vor. Sie enthält ein mehrstufiges Sicherheitskonzept und bietet damit einen effektiven Schutz vor modernen Bedrohungen wie WannaCry, Petya und anderen.
Auch wenn dieser hohe Sicherheitsstandards bietet, bleibt die Zusammenarbeit Vertrauenssache und erreicht nicht den Grad an Absicherung wie ein On-Premise-Gateway. Insbesondere der Standort und die Rechtsform spielen bei der Provider-Auswahl eine wichtige Rolle. Wenn die Rechenzentren außerhalb Deutschlands oder Europas stehen, ist ebenso Vorsicht geboten wie bei einem Unternehmen mit Mutterkonzern in den USA.
Darauf sollten Unternehmen bei Cloud-basierter E-Mail-Verschlüsselung achten
Verschlüsselung ist nur dann wirksam, wenn der potenzielle Lauscher keinen Zugriff auf den zugehörigen Schlüssel hat. Deshalb müssen Schlüssel und verschlüsselte Daten immer getrennt voneinander aufbewahrt werden. Das Schlüsselmaterial selbst sollte nie im Klartext, sondern immer verschlüsselt gespeichert werden.
Ein gutes Verschlüsselungs-Gateway erledigt dies automatisch. Wichtig ist außerdem, dass die Verschlüsselung schon direkt am E-Mail-Client oder mobilen Endgerät stattfindet, bevor Nachrichten überhaupt in die Cloud gelangen.
Für Nutzer sollte die Lösung größtmöglichen Komfort bieten. Im Idealfall läuft sie komplett im Hintergrund ab und ist unsichtbar. So können die Mitarbeiter im Unternehmen ihre gewohnten Programme weiterverwenden und ihre eingespielten Prozesse beibehalten. Und: Wenn die Verschlüsselung automatisiert und von einer zentralen Instanz aus abgewickelt wird, können Anwender auch keine Fehler machen.
Auf der anderen Seite sollte die Verschlüsselungslösung eine einfach zu bedienende Administrationskonsole bieten, die die zentrale Umsetzung von unternehmensspezifischen Sicherheitsrichtlinien und komplexen Regeln ermöglicht. Wichtig sind zudem Audit-fähige Log-Dateien, die jederzeit als verlässliche Informationsquelle für eine Sicherheitsüberprüfung zur Verfügung stehen.
Das richtige Modell finden
E-Mail-Verschlüsselung ist heute ein Muss – gerade bei Cloud-Diensten. Sich dabei auf die integrierte Verschlüsselung der Cloud-E-Mail-Provider zu verlassen, ist nicht empfehlenswert. Die sicherste Lösung ist die, bei der das Schlüsselmaterial in der Hoheit des Unternehmens bleibt und von den verschlüsselten Daten getrennt – und selbst verschlüsselt – aufbewahrt wird. Dies gelingt mit einem E-Mail-Verschlüsselungs-Gateway.
Ein solches Gateway kann auch als SaaS eingebunden werden, sofern es in der Cloud ebenfalls strikten Sicherheitsstandards genügt, der SaaS-Anbieter vertrauenswürdig ist und ohne Ausnahmen nach hiesigem Recht arbeitet. Andernfalls wäre das zurückbleibende Risiko vielleicht ein zu hoher Preis für die Vorteile bei Skalierbarkeit und Flexibilität.