Was ist eine verschlüsselte E-Mail?

Das größte Risiko für ein Unternehmen, das seine E-Mails nicht sichert, besteht darin, dass es anfällig für E-Mail-Hacking-Aktivitäten ist, was zum Diebstahl von geistigem und finanziellem Eigentum sowie zur Schädigung der Marke und zum Verlust des Kundenvertrauens führen kann. Je nach Branche oder Gerichtsbarkeit, in der die Unternehmen tätig sind, können sie auch mit bestimmten Compliance-Risiken konfrontiert werden.Die Zahl der BEC-Angriffe hat in den letzten Jahren explosionsartig zugenommen, und das über verschiedene Regionen und Geschäftsbereiche hinweg. Laut den jüngsten „Internet Crime Reports“ (ICRs) des FBI haben Unternehmen in den USA zwischen 2014 und 2021 insgesamt 8,6 Milliarden US-Dollar durch BEC-Angriffe verloren − davon allein 2,4 Milliarden US-Dollar im Jahr 2021.

Es gibt zwei Arten von E-Mail-Hacking-Aktivitäten:

• Phishing: Wenn allgemeine Mitteilungen an einen größeren Kreis potenzieller Opfer gesendet werden
• Spear-Phishing oder BEC-Angriffe (Business Email Compromise): gezielte und geplante Angriffe auf eine Einzelperson oder eine Gruppe mit folgenden Zielen:
  • Extrahieren sensibler Informationen
  • Installation von Schadsoftware im Netzwerk
  • Überweisen von Geld auf Konten, die den Angreifern gehören

Das Signieren und Verschlüsseln von E-Mails hilft Unternehmen, E-Mail-Hacking und damit den Diebstahl von geistigem Eigentum und Kapital zu verhindern. Außerdem werden Marken- und Reputationsschäden gemindert, die entstehen können, wenn ein Unternehmen die Kontrolle über sensible Daten verliert. Die Einführung digital signierter und verschlüsselter E-Mail-Technologien behebt zudem die damit verbun­denen Probleme, die dazu führen können, dass Unternehmen verschiedene Compliance-Vorschriften wie HIPAA und DSGVO nicht einhalten können. Die Einhaltung der verschiedenen Datenschutz- und Sicher­heitsvorschriften verringert das Risiko für Unternehmen, bei Nichteinhaltung hohe Strafen zahlen zu müssen.

Je nach Branche, geografischer Lage und Standort des Unternehmens müssen die Organisationen unterschiedliche Vorschriften beachten. In den USA schreibt beispielsweise der „Health Insurance Portability and Accountability Act“ (HIPAA) vor, dass Organisationen sensible Gesundheitsdaten von Patienten vor der Weitergabe ohne deren Wissen oder Zustimmung schützen müssen. Nach Angaben des U.S. Department of Health and Human Services beliefen sich die Kosten für HIPAA-Verstöße allein im Jahr 2020 auf 13 Millionen US-Dollar.

In der Europäischen Union besagt die Datenschutz-Grundverordnung (DSGVO), dass personenbezogene Daten vollständig geschützt werden müssen. Ist dies nicht der Fall, können Unternehmen mit Geldbußen von bis zu 4 % ihres Vorjahresumsatzes bzw. bis zu 20 Millionen Euro belegt werden. Als Erweiterung der DSGVO ist in Dänemark zum Beispiel die Verschlüsselung von E-Mails mit sensiblen personenbezogenen Daten für Unternehmen seit 2019 verpflichtend.

Phishing-Angriffe sind nach wie vor eine der Hauptursachen für Datenschutzverletzungen im Gesund­heitswesen. Laut dem FBI-Bericht zur Internetkriminalität haben Unternehmen durch BEC-Angriffe bereits 2,4 Milliarden US-Dollar verloren. Ein Phishing-Angriff ist oft der erste Schritt in einem mehr­stufigen Angriff, bei dem anschließend Malware oder Ransomware eingesetzt wird.

Laut dem Bericht des HIPAA Journal über Datenschutzverletzungen im Gesundheitssektor („Healthcare Data Breach Report“) sind Verstöße gegen die Datenschutzbestimmungen im Gesundheitswesen per E-Mail nach Phishing-Angriffen die zweithäufigste Angriffsart.

Im Jahr 2021 untersuchte das Office for Civil Rights (OCR) insgesamt 277 E-Mail-Verstöße im Gesund­heitswesen, von denen 83 % auf Hackerangriffe oder IT-Vorfälle zurückzuführen waren.

Im Jahr 2020 wurde mehr als 1 Verstoß bezüglich E-Mail-Konten alle zwei Tage gemeldet, aber in diesem Jahr standen die Verletzungen von E-Mail-Konten sogar an zweiter Stelle hinter den Verletzungen von Netzwerkservern. Auf Netzwerkservern werden häufig große Mengen an Patientendaten gespeichert, die ein bevorzugtes Ziel für Hacker und Ransomware-Banden darstellen.

Derzeit gibt es zwei Ansätze für die Sicherung von E-Mails:

• PGP (Pretty Good Privacy)
• S/MIME (basierend auf RSA und x.509-Zertifikaten)

OpenPGP und S/MIME sind sich in mancherlei Hinsicht sehr ähnlich: Sie bieten beide Authentifizierung durch digitale Signaturen und Datenschutz durch Datenverschlüsselung. Obwohl OpenPGP viele Befür­worter hat, wird es auf dem Markt deutlich weniger unterstützt. S/MIME wird von vielen Software­anbietern unterstützt und ist in den meisten gängigen E-Mail-Programmen enthalten.

Bei der Verschlüsselung mit öffentlich hinterlegten Schlüsseln (Public Key Encryption) gibt es zwei Arten von Schlüsseln: Ein Schlüssel kann öffentlich hinterlegt werden, der andere bleibt privat. Der Absender verschlüsselt die Nachrichten mit dem öffentlich hinterlegten Schlüssel des Empfängers. Der Empfänger entschlüsselt die Nachricht mit seinem privaten Schlüssel. Wenn eine Nachricht an mehrere Empfänger gesendet wird, wird die E-Mail separat mit dem öffentlich hinterlegten Schlüssel der einzelnen Empfänger verschlüsselt.

Digitale Signaturen verwenden die gleichen Paare aus öffentlichem und privatem Schlüssel, allerdings in umgekehrter Reihenfolge. Der Absender erstellt einen sicheren Hash-Wert der Nachricht und ver­schlüsselt diesen Hash-Wert mit seinem eigenen privaten Schlüssel. Jeder kann diesen Hash-Wert entschlüsseln (und überprüfen, indem er denselben Hash-Wert mit der Originalnachricht vergleicht), indem er ihn einfach mit dem öffentlich hinterlegten Schlüssel des Absenders entschlüsselt. Da nur der Besitzer des privaten Schlüssels, der mit dem öffentlich hinterlegten Schlüssel verknüpft ist, die Nach­richt verschlüsselt haben kann, kann sie entsprechend validiert werden. Dies gewährleistet Integrität und Nachweisbarkeit. Nachweisbarkeit, da der Absender später nicht abstreiten kann, dass er die Nachricht gesendet hat.

Die S/MIME-Lösung von Entrust bietet Organisationen die Möglichkeit, das Risiko des Verlustes von Unternehmensdaten durch E-Mails drastisch zu reduzieren. Die Identitätsverschlüsselung und die durchgängige Verschlüsselung für interne und externe E-Mails von Entrust sowie die Automatisierungs- und Lifecycle-Management-Funktionen ermöglichen es Organisationen, ihre Compliance und Sicher­heitslage zu verbessern, was mit anderen Lösungen so nicht möglich wäre.

RSA ist das einzige kryptografische Protokoll mit öffentlich hinterlegtem Schlüssel, das ein Signieren und Verschlüsseln von E-Mails ermöglicht. SSL/TLS-Zertifikate können nicht zu diesem Zweck verwendet werden. Es gibt jedoch auch andere Verschlüsselungstechnologien, die mit S/MIME zusammen genutzt werden können, um den Schutz von Nachrichten während der Übertragung zu gewährleisten. Zum Beispiel: „Transport Layer Security“ (TLS), die früher als „Secure Sockets Layer“ (SSL) bezeichnet wurde. Diese Protokolle verschlüsseln den Tunnel oder die Route zwischen den E-Mail-Servern, um das Ausspähen und Abhören zu verhindern. Sie verschlüsseln auch die Verbindung zwischen E-Mail-Client und E-Mail-Server. S/MIME kann mit ihnen eingesetzt werden, ist aber nicht von ihnen abhängig.

VPN verschlüsselt keine E-Mails. Es ist kein Werkzeug zum Schutz vor Hackerangriffen, Viren oder Malware und es hilft weder beim Schutz der Inhalte in der E-Mail noch bei der Authentifizierung des E-Mail-Absenders.

Der Akt des digitalen Signierens und Verschlüsselns einer E-Mail ermöglicht es einem Mitarbeiter, zu beweisen, dass die Anhänge und der Inhalt von der E-Mail-Adresse des Absenders stammen und dass sie während der Übertragung nicht verändert wurden. Dies ist auch als Nachweisbarkeit bekannt und kann durch verschiedene Gesetze vor Gericht abgesichert werden.

Wenn Mitarbeiter in einem Unternehmen Zugang zu ihren eigenen S/MIME-Zertifikaten haben, können Empfänger und Absender leichter identifiziert werden, was wiederum dazu beitragen kann, die Auswirkungen eines BEC-Angriffs zu begrenzen.

S/MIME-Zertifikate von Entrust enthalten den Namen der Organisation, der Person und der E-Mail-Adresse und ermöglichen es den Empfängern, SPAM- oder Phishing-E-Mails von den E-Mails eines legitimen Absenders zu unterscheiden.

Es ist sehr einfach zu erkennen, wie eine vertrauenswürdige E-Mail nach der Einrichtung eines sicheren E-Mail-Zertifikats in Microsoft Outlook und MacOS aussieht. Nachfolgend sehen Sie Bilder von vier Beispielen:

1. signierte E-Mail
2. verschlüsselte E-Mail
3. signierte und verschlüsselte E-Mail
4. unsignierte und unverschlüsselte E-Mails

Es gibt drei primäre Vertrauensindikatoren in Outlook und MacOS:

1. das rote Band, das anzeigt, dass diese E-Mail signiert ist.
2. das Vorhängeschloss-Symbol, das anzeigt, dass diese E-Mail verschlüsselt ist.
3. Sie können die Identität des Absenders auf der linken Seite der E-Mail überprüfen: Sie wurde von Benutzer 1, einem Mitarbeiter von Unternehmen X, unterzeichnet.

Im Gegensatz dazu wird im Falle einer nicht vertrauenswürdigen E-Mail ohne Signatur und Verschlüsselung kein Band oder Sicherheitsschloss angezeigt. In diesem Fall ist es technisch möglich, dass die Absenderadresse von Benutzer 1 gefälscht wird.

Bitte beachten Sie, dass diese Funktionen zur Verfügung stehen, sobald beide Benutzer ihre öffentlich hinterlegten Schlüssel ausgetauscht haben.

Weitere Informationen finden Sie in der Wissensdatenbank von Entrust.

Wenn ein S/MIME-Zertifikat auf einem Android- oder iPhone-Gerät installiert ist, wird auf der rechten Seite des Bildschirms ein offenes und ein geschlossenes Vorhängeschloss angezeigt. Um eine verschlüsselte E-Mail zu versenden, muss der Benutzer nur auf das Vorhängeschloss-Symbol tippen.

E-Mails können automatisch signiert werden, wenn Sie diese Option in den Einstellungen aktivieren. Der Prozess ist in Teil 2, Schritt 6, des technischen Hinweises von Entrust dargestellt.

Um eine E-Mail-Nachricht zu signieren und/oder zu verschlüsseln, klicken Sie einfach auf die Schaltflächen „Signieren“ und/oder „Verschlüsseln“, die in einem E-Mail-Dialog zum Verfassen einer Nachricht auf der Registerkarte „Optionen“ angezeigt werden.