Lernlabor Cybersicherheit
Lernlabor Cybersicherheit

Verschlüsselungs-Stemmen: Unerwünschte Mitleser aussperren

Die fast unvorstellbare Menge von 848 Milliarden E-Mails wurde 2018 in Deutschland verschickt. Allerdings nutzen laut einer Web.de-Umfrage aus 2018 nur 13,8 Prozent der Anwenderinnen und Anwender für ihre E-Mail-Kommunikation die Ende-zu-Ende-Verschlüsselung (E-zu-E-Verschlüsselung). Den wenigsten ist überdies bewusst, dass die Inhalte in einer unverschlüsselt versandten und empfangenen E-Mail nicht viel geschützter und sicherer sind als auf einer blanken Postkarte.

 

Auf Postkarten werden der geringen Vertraulichkeit seit jeher meist unverfängliche Nachrichten ausgetauscht. So verhält es sich vermeintlich auch in der digitalen Kommunikation. Selbst, wenn die Inhalte vieler E-Mails banal erscheinen mögen, treten doch Millionen von sensiblen Informationen ungeschützt ihren Weg durch das Internet an und sind dabei stets der Gefahr ausgesetzt, von Unbefugten ausgelesen zu werden. Und in den falschen Händen können auch zunächst harmlose Inhalte zum Risiko werden, wenn etwa Cyberkriminelle ausreichend Informationen für einen Angriff sammeln.

 

Die Web.de-Umfrage brachte auch zutage, warum Verbraucher auf eine Verschlüsselung ihrer E-Mails verzichten: Jeweils knapp die Hälfte findet das Verfahren zu aufwändig oder weiß gar nicht, wie es funktioniert. In der Tat müssen Nutzerinnen und Nutzer, je nach Verfahren, zum Teil jede E-Mail aufs Neue aktiv verschlüsseln. Für eine höhere Sicherheit, vor allem auch im beruflichen Kontext, sollten sie sich die Zeit für die Einrichtung eines sicheren Verfahrens sowie einige wenige Extraklicks zumindest bei vertraulichen Schreiben und Dateien nehmen.

 

Verschlüsselung ist nicht gleich Verschlüsselung

Wer sich dem Thema E-Mail-Verschlüsselung annähert, stellt fest, dass zwei grundlegende Arten unterschieden werden: die Transport-Verschlüsselung und die Ende-zu-Ende-Verschlüsselung. Bei der Transport-Verschlüsselung ist die E-Mail nur während des Transports über die Verbindung zwischen Geräten, Servern und Web-Knotenpunkten geschützt; nicht unbedingt jedoch an den Punkten selbst. Dort kann sie abgefangen und gelesen werden. Protokolle, die für die Transportverschlüsselung von E-Mails verwendet werden, sind beispielsweise das Transport Layer Security-Protokoll (TLS) oder der Secure Sockets Layer (SSL).

 

Die Ende-zu-Ende-Verschlüsselung hingegen verschlüsselt die E-Mail an sich. Sie kann unterwegs nicht gelesen oder verändert werden. Selbst, wenn sie abgefangen wird, ist ihr Inhalt nicht zugänglich. Somit handelt es sich bei der E-zu-E-Verschlüsselung um das deutlich sicherere Verfahren.

 

Wie funktioniert die Ende-zu-Ende-Verschlüsselung?

Bei der E-zu-E-Verschlüsselung benötigen Absender und Empfänger jeweils einen Schlüssel – zum Verschlüsseln und zum Entschlüsseln. Auch dafür existieren mit der symmetrischen und asymmetrischen Verschlüsselung zwei unterschiedliche Verfahren. Die gängige Methode in der E-Mail-Kommunikation ist jedoch das asymmetrische Verfahren. Es nutzt ein Schlüsselpaar, das aus einem privaten und einem öffentlichen Schlüssel besteht. Mit dem öffentlichen Schlüssel, den der Empfänger verteilt, verschlüsseln Absender die E-Mail. Der private Schlüssel hingegen ist geheim und liegt allein beim Empfänger, der nur damit die mit dem öffentlichen Schlüssel verschlüsselte Nachricht entsperren kann.

 

Wie kann man die Ende-zu-Ende-Verschlüsselung nutzen?

Inzwischen gestaltet sich die E-zu-E-Verschlüsselung einfacher als in der Vergangenheit. Beispielsweise wird die vom BSI entwickelte Lösung „EasyGPG“ von immer mehr E-Mail-Providern weitgehend automatisch abgewickelt. In einem Überblicksartikel erläutert das BSI die Einrichtung und Nutzung.

 

Was die E-Mail-Verschlüsselung im Unternehmen betrifft, sollten Sie sich in der IT-Abteilung über die Möglichkeiten informieren. Vielerorts existieren diese bereits, sind aber unter Umständen nicht allen Mitarbeitern bekannt.

 

Für alle, die etwas tiefer in die Thematik der Verschlüsselung einsteigen und ihre Kompetenzen in diesem Bereich erweitern möchten, bietet die Fraunhofer Academy mit dem Seminar Grundlagen der IT-Sicherheit – Kryptographie den theoretischen und praktischen Einstieg.