E-Mails verschlüsseln?

Immer wieder bekommt man Angebote, man müsse Produkt X kaufen, damit man alle E-Mails verschlüsselt versendet. In meinem Artikel „Transportverschlüsselung“ hatte ich bereits die technischen Gegebenheiten, wie E-Mail-Server untereinander kommunizieren, beschrieben. Einige Praxis-Beispiele sollen das Thema aktuell vertiefen und Ihnen „Best-practice“ liefern:

Alle bekannten E-Mail-Server der Provider in der EU und auch On-Premise und Cloud basierte Exchange Server und namhafte Firewalls mit SSL-interception versenden die E-Mails mit TLS-Verschlüsselung untereinander, d. h. der Transportweg ist mit Passieren der Firewall verschlüsselt und erfüllt die Anforderungen der DSGVO.

Werden E-Mails ins Ausland oder mit Zielpartnern ausgetauscht, deren E-Mailserver kein TLS unterstützt, kann auch keine Transportverschlüsselung dorthin stattfinden (weil die Eingangstür des Ziel- E-Mailservers ja nur Daten unverschlüsselt entgegennimmt). Werden personenbezogene Daten per E-Mail an solche Ziele übermittelt, sollten diese mindestens als kennwortgeschützter Anhang (PDF-Datei mit Kennwort, das nur der Empfänger kennt) übermittelt werden oder aber es kann das DigitalRightsManagement von Microsoft lizensiert und genutzt werden. Das E-Mail Anschreiben darf dann keine
personenbezogenen Daten enthalten.

Besteht die Anforderung, dass die Inhalte nur vom Empfänger (natürliche Person) gelesen werden dürfen, muss ebenfalls mit Kennwort-verschlüsselten Anhängen gearbeitet werden. Ansonsten könnten (dürften aber nicht) die Admins/Backup
Operatoren des Zielunternehmens die Inhalte lesen.

Push-Mail und die Outlook Web App sind ebenfalls https und damit TLS mit mindestens TLS 1.2 verschlüsselt.

Weder in der Datenschutzgrundverordnung, noch in anderen Gesetzestexten liest man, dass die Inhalte der E-Mail selbst verschlüsselt werden müssen. Vorgeschrieben ist hingegen eine Transportverschlüsselung.

Hinweis: Der Artikel stellt keinerlei Rechtsberatung statt, sondern beschreibt die sorgfältig recherchierten Fakten und bietet ein Einsatzszenario auf Best Practice Basis.

Verwandte Beiträge
Java planmäßiges Sicherheitsupdate
und Microsoft zieht Office build 7969 zurück: Oracle hat heute das Update 131 für Java Version 8 veröffentlicht. Darin sind
UEFI-Sicherheitslücke in Notebooks und PCs
vor einigen Monaten sorgte eine kritische Sicherheitslücke in lenovo Consumer Notebooks für Handlungsbedarf. Nun wurden auch Sicherheitslücken in den UEFI
Jetzt auch noch HIVE Nightmare
Elm Street lässt grüßen: Beim Schließen der kritischen #Sicherheitslücken in #Windows hat Microsoft die Print Nightmare Lücke nicht vollständig gepatcht.
Über den Autor:

Patrick Bärenfänger ist TÜV-zertifizierter IT-Security Manager und -Auditor und seit über 30 Jahren in der IT-Branche. Seine Schwerpunkte sind die Ausbildung/Zertifizierung von Systemkoordinatoren, Lizenz-Audits und IT-Systemprüfungen nach BSI-Grundschutz-Katalogen und IDW PS 330 und die Intrastruktur-Analyse und -Optimierung.

Kommentare

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht.