Viel zu oft werden unverschlüsselte Inhalte per E-Mail versendet. Das kann einerseits den fehlenden Kenntnissen der Anwenderinnen und Anwender geschuldet sein, andererseits einer mangelnden Konfiguration. Die möglichen Folgen reichen vom Verstoß gegen eine Sicherheitsrichtlinie über eine Datenschutzverletzung bis hin zum Totalverlust einer digitalen Identität. Dass vertrauliche Informationen in fremde Hände geraten, ist ebenfalls nicht auszuschließen.
Sicherheitszertifikate wie Secure/Multipurpose Internet Mail Extension (S/MIME) bieten Unternehmen eine gute Möglichkeit, eine sichere Kommunikation herzustellen. Doch die Realität hat oft gezeigt, dass S/MIME-Lösungen nicht ausreichen, weil sie in der Praxis kaum genutzt werden. Hier erfahren Sie, warum S/MIME-Zertifikate noch immer wichtig sind und vor allem: wie Sie Ihre Mitarbeitenden sensibilisieren und dazu motivieren, Sicherheitsmethoden zur sicheren E-Mail-Kommunikation zu verwenden. Auf diese Weise können Sie das Sicherheitsniveau Ihrer Gesamtorganisation erhöhen.
Warum ist ein S/MIME-Zertifikat noch immer eine gute Wahl?
Die Europäische Datenschutzverordnung, kurz: DSGVO, verlangt eine Verschlüsselung der E-Mail-Kommunikation, sobald personenbezogene Daten versendet werden. Konkreter: Nach Artikel 32 DSGVO muss ein angemessenes Schutzniveau beim Transport von E-Mails über das Internet sichergestellt werden.
Eine Transportverschlüsselung wie SSL (Secure Sockets Layer) oder TLS (Transport Layer Security) stellt eine sichere Verbindung zwischen zwei Rechnern her. Mit ihr lässt sich jedoch nicht vollständig ausschließen, dass E-Mails auf dem Transportweg manipuliert oder kopiert werden. S/MIME-Zertifikate bieten dagegen eine sogenannte Inhaltsverschlüsselung, die vor einer Manipulation und Verwendung der Daten schützen soll.
Was sind die Vor- und Nachteile von S/MIME-Zertifikaten?
Ein S/MIME-Zertifikat gewährleistet, dass
- Informationen und Inhalte vor jeglicher Manipulation geschützt und unverändert bleiben,
- Absender:innen authentifiziert werden,
- Datenschutzregeln eingehalten werden,
- die Integrität einer Nachricht und die Authentizität der Absenderin bzw. des Absenders überprüft werden.
Aus meiner Sicht und Erfahrung überwiegen die Vorteile deutlich die Nachteile, die hier allerdings nicht unerwähnt bleiben sollen: Die Gültigkeit der Zertifikate ist begrenzt, und die Anwendenden müssen die Schlüssel regelmäßig auf sicherem Weg austauschen. Zudem können die verschlüsselten Nachrichten nur zwischen S/MIME-Nutzenden ausgetauscht werden. Nicht zuletzt machen es verschlüsselte Inhalte Gateway-Scannern und anderen Erkennungsmechanismen schwer, Viren zu entdecken. Trotz alledem sind S/MIME-Zertifikate meiner Erfahrung nach noch immer die beste Option.
Bei der Konfiguration eines Sicherheitszertifikats auf einem Mail-Client ist in der Regel externe Unterstützung gefragt. Dies umfasst selbstverständlich auch die Umsetzung aller Maßnahmen, die laut der technischen Richtlinie „Sicherer E-Mail-Transport“ (BSI TR-03108) sowie dem Sicherheitsstandard ISO/IEC 18033-3:2005 erforderlich sind.
Wie sensibilisieren Sie Mitarbeitende für E-Mail-Security?
Ganz gleich, für welche Technologie Sie sich entscheiden: Wenn Ihre Mitarbeitenden Sicherheitsrisiken nicht erkennen, ist alles vergebens. Security-Awareness-Trainings sind deshalb dringend anzuraten. Sie sollten sowohl auf Managementebene als auch mit den übrigen Mitarbeitenden erfolgen. Gleichzeitig muss die Sicherheitsstrategie der Organisation gewährleisten, dass jegliche Art von Cyberangriffen frühzeitig entdeckt werden. Die Sicherheitsrichtlinien müssen regelmäßig auf Korrektheit und Aktualität überprüft und nach jeder Aktualisierung zur Bekanntgabe an alle Mitarbeitenden weitergegeben werden.
Welche Themen umfasst ein Security-Awareness-Training?
Im ersten Schritt richten sich Security-Awareness-Trainings an die Managementebene. Hier erfahren Informationssicherheitsbeauftragte, Chief Information Security Officers und Information Security Manager, worauf es ankommt und wie die Mitarbeitenden abteilungsübergreifend für das Thema Cybersicherheit sensibilisiert werden können.
Eines der Standard-Themen einer Security-Awareness-Kampagne sind Phishing-Angriffe – die häufigste Ursache für Datenschutzverstöße. Kriminelle verschicken betrügerische Nachrichten per E-Mail, SMS, über soziale Medien oder über Instant-Messenger. Durch das Anklicken eines Fake-Links werden Nutzerinnen und Nutzer dazu aufgefordert, vertrauliche Informationen wie Kreditkartennummern, Passwörter oder Zugangsdaten preiszugeben. Ein „Report-Phishing-Button“ ermöglicht das einfache und unkomplizierte Melden solcher betrügerischen E-Mails.
Auch Passwörter und Authentifizierung sind fester Bestandteil eines Security-Awareness-Trainings. Zwar ist so gut wie allen in der Theorie bekannt, dass sie keine einfachen oder häufig verwendeten Passwörter haben sollten – die Praxis sieht jedoch anders aus. In einer Security-Awareness-Kampagne kann vermittelt werden, wie sich eine wirksame Passwortstrategie implementieren lässt.
Weitere mögliche Themen sind die typischen Gefährdungen bei der Nutzung mobiler Geräte, von Wechselmedien oder im Homeoffice. Die Teilnehmenden können außerdem lernen, wie eine Clean-Desk-Policy das Sicherheitsniveau erhöht und welche Einstellungen man vornehmen sollte, damit WLAN, Kabel und VPN-Verbindungen sicher konfiguriert sind. In Bezug auf Cloud Computing kann vermittelt werden, welche Risiken aus einer fehlenden Rechtevergabe entstehen und auf was besonders zu achten ist. Zudem können die Teilnehmenden lernen, wie sie den Mitarbeitenden beibringen, ihre Social-Media-Accounts zu schützen. Eine weitere besonders interessante Problematik ist das Social Engineering – also die zwischenmenschliche Beeinflussung, die heute eine der häufigsten und effektivsten Methoden ist, wie sich Dritte Zugang zu sensitiven Informationen verschaffen. Im Training erfahren die Teilnehmenden, welche Tricks Kriminelle anwenden und wie man sich als Organisation dagegen schützen kann.
Die Security-Awareness-Trainings sollten jährlich wiederholt werden, um identifizierte Sicherheitsrisiken, Nichtkonformitäten und Lessons learned aus möglichen Sicherheitsvorfällen aufzunehmen. Bei den Trainings „für alle“ – also auf Ebene der Mitarbeitenden – hat es sich bewährt, verschiedene Methoden wie Präsenzschulungen und E-Learning-Angebote miteinander zu kombinieren. Dabei sollten die Teilnahmequoten fortlaufend überwacht werden.
Durch regelmäßige Security-Awareness-Trainings bekommen Mitarbeitende aller Ebenen einen Überblick über potenzielle Bedrohungen. Zusätzlich werden weitere Themen aufgegriffen, die das Sicherheitsbewusstsein erhöhen – und damit das Sicherheitsniveau der gesamten Organisation. Ein so verantwortungsvoller Umgang mit Daten kann die Reputation der Gesamtorganisation steigern. Dies gelingt nur, wenn erkannt wird, dass die Sicherheit eine Verantwortung aller Mitarbeitenden ist.