Sensible Daten per Mail versenden

Die Zeiten, in denen sensible Daten per E-Mail versendet werden konnten, sind vorbei. Diese Gewissheit sickert in immer mehr Organisationen ein. Zur Gewährleistung der Datensicherheit sind einige Schritte zu gehen. Moderne Verschlüsselungssysteme sind zwar nicht kompliziert, jedoch können Mitarbeiterschulungen und die Integration neuer, technischer Systeme vonnöten sein. Alles dazu, welche Verschlüsselungstechniken es gibt und was beste Datenraum Anbieter zu bieten haben, in diesem Artikel.

Warum das Versenden sensibler Daten via E-Mail riskant ist

Das Verschicken von Informationen via E-Mail bringt viele Gefahren mit sich. Per Phishing-Angriff ist es möglich, E-Mails abzufangen und zu durchleuchten. Das gilt nicht zuletzt für die Standard-E-Mail-Dienste. Diese verfügen zumeist über keinerlei Ende-zu-Ende-Verschlüsselung. Zumeist werden naive Mitarbeitende mit falschen Internet-Links geködert, bei deren Klick das System mit Schadsoftware infiziert wird.

Laut einer Umfrage kämpfen rund die Hälfte der deutschen Unternehmen mit dieser Art von Problem oder wurden in der Vergangenheit bereits Opfer. Die Folge: Infektion des Systems, Datenverlust und kompromittierte Login-Daten. Selbst Protokolle wie TLS (Transport Layer Security) können nur bedingt für Sicherheit sorgen, da die Mails nach der Übertragung oftmals unverschlüsselt abgespeichert werden.

Am häufigsten sind Unternehmen aus den Bereichen Immobilien, IT und Gesundheitswesen betroffen. Außerdem sind KMU (kleine und mittelständische Unternehmen) häufiger betroffen. Der Grund: Hier treffen die Ansprüche eines digitalisierten Betriebs auf ein noch immer mangelndes Verständnis von Cybersecurity. Neben dem unmittelbaren finanziellen Schaden können rechtliche Konsequenzen zum Problem werden. Ein Verstoß gegen die DSGVO (Datenschutz-Grundverordnung) hat in der Vergangenheit bereits zu hohen Strafen geführt. Beispiel: Bei einem Verstoß gegen die Auflagen beim Handhaben von Patientendaten musste das Universitätsklinikum Mainz 105.000 Euro Bußgeld bezahlen.

Wichtige Regeln vor dem Versenden von sensiblen Informationen per E-Mail

Um den Schutz der Daten zu gewährleisten, Phishing und andere Angriffe abzuwehren, können Mitarbeitende einen Beitrag leisten. Neben den Themen Cybersecurity und Sicherheitsprotokolle, zu denen wir später noch kommen, lässt sich auch ohne technisches Know-how bereits einiges tun. Hierfür bedarf es noch nicht einmal einer ausführlichen Mitarbeiterschulung. In jeder Organisation sollte auf Folgendes hingewiesen werden:

• Verifizieren Sie stets die E-Mail des Empfängers: Schon ein einzelner Tippfehler kann dazu führen, dass persönliche Daten an den Falschen geraten. Außerdem kann die Autovervollständigung dazu führen, dass aus dem Adressbuch der falsche Empfänger angeklickt wird. Die E-Mail-Adresse sollte vor dem Abschicken stets mehrfach überprüft werden.
• Nur notwendige Daten verschicken: Nur Informationen, die für die jeweilige Nachricht von absoluter Notwendigkeit sind, sollten verschickt werden. Außerdem empfiehlt es sich, sensible Informationen nicht als Klartext, sondern im Anhang mitzuschicken.
• Verschlüsselung verwenden wann immer möglich: Die Verschlüsselung ist der effektivste Weg, damit Vertrauliches vertraulich bleibt. Idealerweise werden nicht nur die E-Mail selbst, sondern darüber hinaus die Anhänge mit verschlüsselt. Außerdem sollten keinesfalls Passwörter in der E-Mail hinterlassen werden. Nutzen Sie hierfür einen separaten, sicheren Kanal.
• Auch der Empfänger muss mitmachen: Neben dem Sender kann auch der Empfänger etwas dafür tun, dass Daten nicht in die falschen Hände geraten. Das gilt für die meisten der hier angesprochenen Punkte: zur Entschlüsselung und Aufbewahrung von Daten sowie zur sofortigen Löschung nach der Verwendung. Sorgen Sie dafür, dass der Empfänger die nötigen Informationen vor dem Öffnen der E-Mail erhält.

E-Mails vor dem Versenden verschlüsseln

Neben der Mitarbeiterschulung zum richtigen Umgang mit sensiblen Daten und dem E-Mail-Verkehr ist und bleibt die Verschlüsselung der beste Weg zur Datensicherheit. Die einzelnen Optionen sollen hier kurz vorgestellt werden:

• Integrierte Verschlüsselung bei E-Mail-Anbietern: Anbieter wie Gmail oder Microsoft Outlook bieten von Haus aus Möglichkeiten zur Verschlüsselung an. Bei Gmail gibt es den sogenannten “vertraulichen Modus”. Damit lassen sich u. a. Authentifizierungssysteme wie SMS-Passcode aktivieren. Outlook bietet sogar eine “echte” Verschlüsselung. Voraussetzung ist, dass Empfänger und Absender Teil des Systems sind.
• S/MIME-Zertifikate: S/MIME (Secure/Multipurpose Internet Mail Extensions) ist ein weit verbreiteter Standard, um Mails verschlüsseln zu können. Das dazugehörige digitale Zertifikat sorgt für eine Ver- und Entschlüsselung auf beiden Seiten.
• PGP-Verschlüsselung: Eine weitere Lösung findet sich bei “Pretty Good Privacy”, oder auch PGP genannt. Dieses wird von nicht wenigen als neuer Standard zur Verschlüsselung von E-Mails gesehen. Allerdings ist zur sachgemäßen Anwendung eine Mitarbeiterschulung nötig – der Vorgang ist vergleichsweise komplex.
• Drittanbieter-Tools: Add-ons für E-Mail-Anbieter bieten weitere Optionen zur Verschlüsselung an. ProtonMail verfügt z. B. über Lösungen zur Verschlüsselung und Integration zusätzlicher Dienste.

Anleitung zum Versenden einer verschlüsselten E-Mail

Bevor eine verschlüsselte E Mail verschickt werden kann, sind einige Dinge zu beachten. Hier folgt eine detaillierte Anleitung:

1. Passende Verschlüsselungsmethode wählen: Bei der Auswahl der Verschlüsselung sind mehrere Fragen zu beantworten. Zum Beispiel: Welches Sicherheitsniveau wird benötigt? Welche Funktionen benötigen Sie konkret? Oder: Müssen deutsche oder europäische Standards zur Einhaltung der Datensicherheit eingehalten werden?
2. Verschlüsselung im E-Mail-Anbieter einrichten: Für Outlook- und Gmail-Nutzer gilt gleichermaßen, dass die Verschlüsselungssysteme nicht von Haus aus eingerichtet sind. Sie müssen diese im Falle von Microsoft Outlook in den Optionen aktivieren. Anschließend werden verschickte E-Mails automatisch kodiert. G-Mail-Nutzer aktivieren den “vertraulichen Modus” beim Verfassen einer Nachricht.
3. Test des Systems: Der beste Test ist, sich selbst eine Nachricht zu schicken. Aktivieren Sie die angesprochenen Verschlüsselungssysteme und senden Sie eine E-Mail an ihre eigene Adresse. Stellen Sie sicher, dass a) die Nachricht ohne Entschlüsselung nicht lesbar ist, b) gleiches für Anhänge gilt und c) keine Fehlermeldungen während des Prozesses auftreten.
4. Empfänger informieren: Die Entschlüsselung ist ein gleichermaßen notwendiger Teil des Verschlüsselungsprozesses. Es ist essentiell, den Empfänger über die verwendeten Verschlüsselungsprotokolle, Zertifikate o. Ä. zu informieren. Wichtig: Schicken Sie diese Informationen nicht in der gleichen Nachricht und (noch wichtiger) auch nicht über den gleichen Kommunikationskanal. Wir empfehlen außerdem Passwörter zum Öffnen sowie ein Ablaufdatum der Nachrichten.

Alternative sichere Wege zur Übertragung sensibler Daten: Virtuelle Datenräume

In der großen Business-Welt ist der richtige Umgang mit sensiblen Daten von größter Wichtigkeit. Das Verschicken relevanter Informationen via E-Mail birgt großes Gefahrenpotenzial. Insbesondere, da keine Zugriffsverwaltung auf versendete oder geöffnete Nachrichten stattfinden kann und eine Nachverfolgung schwierig ist. An dieser Stelle kommen die virtuellen Datenräume (VDR) ins Spiel.

Hierbei handelt es sich um Online-Plattformen, die den sicheren Austausch von digitalen Dokumenten aller Art ermöglichen. Informationen werden nicht nur sicher abgespeichert und verschlüsselt. Auch der Zugriff funktioniert nur nach Freigabe. Jeder Schritt auf der Plattform wird aufgezeichnet, was das Nachvollziehen von Zugriffen, Downloads usw. vereinfacht. Sie können mithilfe von virtuellen Datenraum Sicherheit und Effizienz im Betrieb erhöhen. Regulatorische Anforderungen wie die DSGVO oder ISO 27001 werden stets eingehalten. Aufgrund des hohen Sicherheitslevels kommen virtuelle Datenräume inzwischen häufig bei M&A, Due-Diligence, juristischen Prüfungsverfahren, Finanztransaktionen und anderen Geschäftsprozessen zur Anwendung.

E-Mails verschlüsseln vs. Datenraum: Was eignet sich besser für Ihre Situation?

Ob man E-Mails verschlüsselt oder zu einem virtuellen Datenraum greift, macht in der Praxis einen großen Unterschied. Wo die jeweiligen Vor- und Nachteile liegen und welche Lösung sich für Sie am meisten lohnt, erfahren Sie hier:

• E-Mail-Verschlüsselung: Das manuelle Verschlüsseln einzelner Nachrichten eignet sich v. a. für kleine Betriebe. E-Mails und deren Anhänge werden auf diese Weise vor unbefugten Dritten geschützt. Sicher mailen lässt sich prinzipiell einfach umsetzen, kann jedoch schnell umständlich werden, je größer der Datenverkehr ausfällt. Außerdem funktioniert diese Verschlüsselungstechnik nur beim Austausch zwischen zwei Parteien.
• Virtuelle Datenräume: Im Gegensatz zur verschlüsselten E-Mail bieten VDRs eine zentrale Plattform zum Austausch zahlreicher Dokumente und Daten. Die Einhaltung aller relevanten Sicherheits- und Datenschutzstandards ist problemlos möglich. Rechte an Nutzer können vergeben und wieder entzogen werden, was sich gerade bei einer großen Anzahl von Nutzern und Mitarbeitern bezahlt macht. Mithilfe von Audit-Trails lassen sich alle Aktivitäten protokollieren und nachverfolgen. Höchste Compliance-Standards können auf diese Weise eingehalten werden.

Wie sich sichere Praktiken im Unternehmen einführen lassen

Es sollten neben den angesprochenen Punkte weitere SIcherheitsvorkehrungen vorgenommen werden. Mithilfe der folgenden Schritte können Sie sicherstellen, dass die geplanten Sicherheitsmaßnahmen von den Mitarbeitenden in der Praxis umgesetzt werden:

• Mitarbeiterschulungen: Bei der Integration neuer Systeme sollten Mitarbeiterschulungen nicht nur angeraten, sondern verpflichtend gemacht werden. Themen wie Phishing, E-Mail-Verschlüsselung und Passwortmanagement gehören noch längst nicht bei jedem Mitarbeitenden zum Standard-Repertoire.
• Strenge Richtlinien: Ohne verbindliche Auflagen lässt sich das Thema Datensicherheit kaum bewältigen. Sie sollten keine sensible Daten per Mail versenden, ohne dabei die Nachricht für beide Parteien zu verschlüsseln.
• VDRs für wichtige Projekte: Der Einsatz virtueller Datenräume hängt nicht nur von der Größe des Betriebs, sondern auch von der Komplexität des Projekts ab. Kommen eine Vielzahl von sensiblen Daten zum Einsatz (wie bei Rechtsfragen oder Unternehmensfusionen), führt kaum ein Weg an VDRs vorbei. Gleiches gilt, wenn eine große Zahl an Nutzern und Dateien verwaltet werden muss.
• Sicherheitsupdates: Bei der Frage nach der Sicherheit gibt es keine statische Einheitsantwort. Es handelt sich um einen fortlaufenden Prozess, der sich immer wieder an neue Gegebenheiten, Sicherheitsrisiken, staatliche Auflagen uvm. anpassen muss. Entsprechende Updates, Audits, Sicherheitsüberprüfungen, Penetrations- und Stresstests sind zu empfehlen.

Fazit

E-Mail verschlüsseln stellt in vielen Organisationen noch immer einen Fortschritt dar. Doch das alleine reicht nicht. Welche Lösung als die beste gilt, hängt von dem jeweiligen Betrieb, den aktuellen Projekten und dem allgemeinen Anforderungsprofil ab. Klar ist jedoch, dass virtuelle Datenräume mit einer Riege von Vorzügen daherkommen.

Im Vergleich zur E-Mail-Verschlüsselung profitieren Administratoren von Funktionen zur sicheren Speicherung, Verwaltung und Organisation von Dokumenten aller Art. Audit-Trails und umfassendes Rechtemanagement sorgen für ein Maximum an Datensicherheit. Im Gegensatz zur E-Mail lassen sich in virtuellen Datenräumen eine Vielzahl von Nutzern und Kunden administrieren, ohne auf die Effizienz und Geschwindigkeit digitaler Geschäftsprozesse verzichten zu müssen. Wer auf derartige Vorteile nicht verzichten kann, sollte eine derartige Lösung in Betracht ziehen.