Pressemeldung

Laxer Umgang mit E-Mails gefährdet Unternehmensdaten

DATEV will Mittelständler für E-Mail-Sicherheit sensibilisieren

Nürnberg, 04. Juli 2013: Die E-Mail ist heute der meistgenutzteKommunikationskanal im Business-Umfeld. Mehr als 100 Milliarden der elektronischen Nachrichten werden derzeit pro Tag weltweit zu geschäftlichen Zwecken gesendet und empfangen. Obwohl dabei teils auch vertrauliche und geschäftskritische Informationen verschickt werden, hat ein großer Teil der deutschen Unternehmen noch keine Vorkehrungen getroffen, um deren Vertraulichkeit zu schützen. Dass sich an dieser Stelle bereits mit wenig Aufwand ein großes Risiko vermeiden lässt, darauf weist der IT-Dienstleister DATEV eG hin.

Laut einer aktuellen Studie zur IT-Sicherheit im Mittelstand, die der Verein Deutschland sicher im Netz (DsiN) in Kooperation mit der DATEV veröffentlicht hat, haben lediglich 44 Prozent der mittelständischen Unternehmen in Deutschland Vorkehrungen zur E-Mail-Sicherheit getroffen. "Diese Zahl verdeutlicht, dass vielen Anwendern nicht bewusst ist, welchen Gefahren die E-Mail-Kommunikation ausgesetzt sein kann", stellt Prof. Dieter Kempf, Vorstandsvorsitzender der DATEV eG, fest. "Offensichtlich herrscht die Meinung vor, mit einem Schutz vor Schadsoftware aus dem Internet - den inzwischen nahezu alle Unternehmen realisiert haben - seien alle Gefahren eingedämmt." Das ist aber leider nicht so: Internet-Schutzmaßnahmen sichern zwar die eigenen Systeme vor Angriffen durch Schadsoftware, auch wenn diese E-Mails als Träger nutzen. Aber Informationen, die via einfacher E-Mail verschickt werden, sind in ihrer Vertraulichkeit völlig schutzlos, sobald sie das gesicherte Netzwerk verlassen. "Hier fehlt es definitiv noch an der nötigen Sensibilität", so Kempf weiter.

Unsicherer Transportweg

Das Internet bietet prinzipiell keinerlei Schutz gegen unbefugtes Mitlesen oder die Modifikation der Daten. Da die Sicherheitsstandards Firewall und Virenprüfung auf dem Weg zum Kunden, Lieferanten oder Geschäftspartner nicht mehr greifen, können die Daten, die eigentlich nur der Adressat zu sehen bekommen soll, unterwegs abgefangen, ausgespäht und sogar verändert werden. Authentifizierung oder Verschlüsselung sind beim E-Mail-Standard SMTP (Simple Mail Transfer Protocol) nicht vorgesehen und die Echtheit der Daten, die vom Absender geliefert werden, wird vom Mailserver nicht geprüft. Deshalb lässt sich der Vertraulichkeitsstatus einer normalen E-Mail in etwa mit dem einer Postkarte vergleichen. Während niemand einen wichtigen Auftrag oder gar einen Vertrag per Postkarte versenden würde, macht sich beim elektronischen Postweg kaum jemand Gedanken um einen sicheren "Umschlag".

Dass jeder Unternehmer die Vertraulichkeit seiner geschäftlichen Kommunikation ernst nehmen sollte, ist nicht erst seit den jüngsten Enthüllungen zu behördlichen Überwachungsszenarien offensichtlich. Internetbasierte Wirtschaftsspionage ist längst ein einträglicher Wirtschaftszweig. Die Angriffe werden zunehmend gezielter, komplexer und professioneller, wie einschlägige Umfragen von Sicherheitsanbietern wie Symantec oder der Wirtschaftsprüfungs- und Beratungsgesellschaft KPMG belegen. Laut KPMG war in den Jahren 2011 und 2012 in Deutschland jedes vierte Unternehmen schon einmal Opfer von Cyber-Kriminalität, wobei ein Schaden von mehr als einer Million Euro pro Vorfall nicht ungewöhnlich ist. "Ungeschützte E-Mails machen Spionen und Betrügern das Mitlesen besonders leicht", erläutert Dieter Kempf. "Daher sollte der verschlüsselte Versand von E-Mails für jedes mittelständische Unternehmen zumindest bei geschäftskritischen Informationen und Daten obligatorisch sein", fordert er.

Verschlüsselungslösungen bieten Schutz

Gängige Verschlüsselungslösungen bieten den Informationen auf ihrem Weg durchs Netz zum Empfänger einen guten Schutz. Zunächst gibt es die clientbasiertenVerschlüsselungsverfahren, bei der die Endgeräte von Sender und Empfänger selbst das Verschlüsseln, Entschlüsseln, Signieren und die Verifikation von Nachrichten übernehmen. Dieser Ansatz ermöglicht die durchgängige Verschlüsselung einer E-Mail über ihren gesamten Übertragungsweg und wird daher auch als Ende-zu-Ende-Ansatz (End-to-End) bezeichnet. Die E-Mail-Programme von Sender und Empfänger müssen dazu mit einer Verschlüsselungsfunktion ausgestattet sein. Clientbasierte Verschlüsselungsverfahren sind allerdings aufwändig umzusetzen und erfordern entsprechende Fachkenntnisse beim Anwender.

Alternativ können serverbasierte Lösungen eingesetzt werden, die alle E-Mails zentral auf einem sogenannten Secure E-Mail Gateway ver- und entschlüsseln. Eine solche "virtuelle Poststelle" ist kostengünstiger und für den Endanwender komfortabler, da sie keine Softwareinstallation und keine besonderen Kenntnisse auf Seiten der Nutzer bedingt. Allerdings eignet sich das Verfahren vor allem für größere Unternehmen mit eigener IT-Abteilung, da es zentral administriert werden muss.

Verschlüsselung aus der Cloud

Serverbasierte Verschlüsselungslösungen werden inzwischen auch als Dienstleistung angeboten, sodass auch kleinere Unternehmen und Selbstständige sie ohne größeren Aufwand nutzen können. Der Vorteil: Die komplexe Einrichtung und Wartung eines Ver- und Entschlüsselungsservers entfällt. Ein weiterer Vorteil einer solchen ausgelagerten Lösung ist, dass der Anbieter zentral unterschiedliche Verschlüsselungsverfahren unterstützen kann.

Die E-Mail-Verschlüsselung der DATEV wählt beispielsweise automatisch das geeignete Verfahren (etwa PGP, S/MIME oder Softwarezertifikate) für den jeweiligen Empfänger aus. Hat dieser kein eigenes Verschlüsselungsverfahren im Einsatz, wird die E-Mail in ein PDF-Dokument umgewandelt und mit einem sicheren Passwort geschützt, das der Absender auf anderem Weg - etwa telefonisch - übermittelt. So können auch Empfänger sicher erreicht werden, die keine Lösung zum Schutz von E-Mails bereithalten. Daneben werden auch ankommende verschlüsselte Nachrichten zentral dechiffriert. Dadurch wird eine zentrale Überprüfung auf Schadsoftware und Ablage in Dokumenten-Management-Systemen erst möglich.

Kontakt

DATEV eG

Benedikt Leder, Telefon +49 911 319-1246, benedikt.leder@datev.de