Sicherheit in der IT ist natürlich nicht nur ein gutes Gefühl – sie ist messbar und muss, ähnlich wie ein Produkt, Schritt für Schritt erzeugt werden. Schon mehrfach habe ich in der Vergangenheit in Blog-Artikeln aufgezeigt, wie wichtig es ist, in diesem Zusammenhang nicht nur technische Maßnahmen zu ergreifen und zu verbessern, sondern auch die Information und Sensibilisierung der Benutzer:innen in den Fokus zu nehmen. Heute möchte ich Verschlüsselung als technische Maßnahme zur Sicherung der Kommunikation, insbesondere des E-Mail-Verkehrs, beleuchten.
Gefahr durch Cyberangriffe
Auf die Frage, welches die größte Gefahr im Zusammenhang von Cyberangriffen ist, gibt es recht eindeutige Aussagen. Zwar lauern große Gefahren, wenn unbedacht ein USB-Stick – und das kann sogar der Empfänger einer Funkmaus sein – in den Rechner gesteckt wird. Solche Demonstrationen erzeugen in einer Awareness-Schulung hohe Aufmerksamkeit und haben selbstverständlich auch ihre Berechtigung. Trotzdem: 94 % aller Malware, die versucht, Empfänger:innen dazu zu bringen, schädliche Anhänge oder Links zu öffnen, wird per E-Mail übertragen. Laut des Acronis Cyberthreat Report 2022 stieg im 3. Quartal 2021 gegenüber dem 2. Quartal 2021 die Zahl der blockierten Phishing-E-Mails um 23 %, das Blockieren von Malware-E-Mails nahm um 40 % zu.
Verschlüsselungsverfahren
Was können wir also – neben der so wichtigen Sensibilisierung der Anwender:innen – tun, um die Kommunikation abzusichern? Hier betritt die Verschlüsselung die Bühne. Mithilfe von Verschlüsselungsverfahren für E-Mails werden zwei wesentliche Ziele verfolgt: Schutz der Privatsphäre und Sicherung der Echtheit.
Verschlüsselung zur Geheimhaltung
Sie haben den Vergleich sicher schon einmal gehört: Eine E-Mail über das Internet zu versenden ist vergleichbar mit einer Postkarte, die jeder, der sie in Händen hält, ohne zusätzlichen Aufwand lesen kann. Das ist natürlich für mindestens einen Teil unserer elektronischen Nachrichten nicht akzeptabel. Wenn nun aber auf der Postkarte, respektive in der E-Mail, eine verschlüsselte Version der Original-Nachricht notiert ist, die nur Inhaber des Dechiffrier-Schlüssels lesen können, so kann die Nachricht geheim übertragen werden. Im Falle von E-Mails gibt es für diese Verschlüsselung wiederum zwei Verfahren. Die Transport-Verschlüsselung und die Ende-zu-Ende-Verschlüsselung.
Im Falle der Transport-Verschlüsselung handeln die beteiligten Server die Schlüssel untereinander aus. Die Nachricht wird verschlüsselt übertragen. Lediglich die beteiligten Server haben (neben Sender und Empfänger) Zugriff auf die Original-Nachricht. Im Bild der Postkarte müssen also die Postzusteller vertrauenswürdig sein, im Umfeld der elektronischen Kommunikation sind es die Mail-Provider.
Bei der Ende-zu-Ende-Verschlüsselung wird die Nachricht vom Sender selbst verschlüsselt und nur dem Empfänger ist es persönlich möglich, sie zu entschlüsseln. Dieses Verfahren ist insofern aufwändiger, als sich Sender und Empfänger auf kompatible Schlüssel einigen müssen. Für diesen Vorgang gibt es im Falle der Transport-Verschlüsselung automatisierte Austauschverfahren.
Signierung zur Sicherung der Echtheit
Das bereits geschilderte Problem mit der Postkarte weist neben der fehlenden Privatsphäre eine weitere Unsicherheit auf. Ein Angreifer kann die Postkarte nicht nur lesen, er könnte sie auch unbemerkt verändern oder gegen eine andere austauschen. Gegen diese Angriffe hilft die elektronische Signatur. Sie liefert den Nachweis des Absenders (Authentizität) sowie den Nachweis der Ursprünglichkeit (Integrität) einer Nachricht.
Auch die Signierung von Nachrichten ist mithilfe von Verschlüsselungsverfahren möglich. Wir können uns das Prinzip so vorstellen, dass sich Sender und Empfänger auch hier auf Schlüssel einigen. Der Sender verschlüsselt seine Nachricht und sendet beide Nachrichten, das Original und den verschlüsselten Text, an den Empfänger. Dieser kann durch seine Kenntnis des Schlüssels den verschlüsselten Text dechiffrieren. Wenn beide Tests zusammenpassen, stammen sie tatsächlich vom Absender und es liegt keine Manipulation der Nachricht vor.
Wie geht’s weiter?
Soweit die Grundlagen der E-Mail-Verschlüsselung. Haben Sie tiefergehende Fragen, Interesse an einer Fortsetzung? Benötigen Sie beispielsweise Informationen zu einfachen, fortgeschrittenen oder qualifizierten Signaturen? Zu symmetrischen und asymmetrischen Verschlüsselungen, zu Trustcentern und Vertrauensketten oder möchten Sie genauer wissen, wie die elektronische Signatur funktioniert? Hinterlassen Sie gern einen Kommentar.
Jetzt beim Newsletter anmelden und keine Artikel verpassen oder auch gern einfach im Archiv stöbern.
Zum ibo-Newsletter – Bleiben Sie immer up to date!
Ich lade Sie herzlich ein, unseren Newsletter im Geiste des Wandels und der Innovation zu studieren. Besuchen Sie auch gern unsere Veranstaltungen und Weiterbildungen, für tiefergehende Inspirationen oder schauen Sie sich unsere Software-Lösungen einmal näher an. Es wird sich lohnen.
Dr. Hans-Georg Stambke
Geschäftsführer