E-Mails verschlüsseln?

Immer wieder bekommt man Angebote, man müsse Produkt X kaufen, damit man alle E-Mails verschlüsselt versendet. In meinem Artikel „Transportverschlüsselung“ hatte ich bereits die technischen Gegebenheiten, wie E-Mail-Server untereinander kommunizieren, beschrieben. Einige Praxis-Beispiele sollen das Thema aktuell vertiefen und Ihnen „Best-practice“ liefern:

Alle bekannten E-Mail-Server der Provider in der EU und auch On-Premise und Cloud basierte Exchange Server und namhafte Firewalls mit SSL-interception versenden die E-Mails mit TLS-Verschlüsselung untereinander, d. h. der Transportweg ist mit Passieren der Firewall verschlüsselt und erfüllt die Anforderungen der DSGVO.

Werden E-Mails ins Ausland oder mit Zielpartnern ausgetauscht, deren E-Mailserver kein TLS unterstützt, kann auch keine Transportverschlüsselung dorthin stattfinden (weil die Eingangstür des Ziel- E-Mailservers ja nur Daten unverschlüsselt entgegennimmt). Werden personenbezogene Daten per E-Mail an solche Ziele übermittelt, sollten diese mindestens als kennwortgeschützter Anhang (PDF-Datei mit Kennwort, das nur der Empfänger kennt) übermittelt werden oder aber es kann das DigitalRightsManagement von Microsoft lizensiert und genutzt werden. Das E-Mail Anschreiben darf dann keine
personenbezogenen Daten enthalten.

Besteht die Anforderung, dass die Inhalte nur vom Empfänger (natürliche Person) gelesen werden dürfen, muss ebenfalls mit Kennwort-verschlüsselten Anhängen gearbeitet werden. Ansonsten könnten (dürften aber nicht) die Admins/Backup
Operatoren des Zielunternehmens die Inhalte lesen.

Push-Mail und die Outlook Web App sind ebenfalls https und damit TLS mit mindestens TLS 1.2 verschlüsselt.

Weder in der Datenschutzgrundverordnung, noch in anderen Gesetzestexten liest man, dass die Inhalte der E-Mail selbst verschlüsselt werden müssen. Vorgeschrieben ist hingegen eine Transportverschlüsselung.

Hinweis: Der Artikel stellt keinerlei Rechtsberatung statt, sondern beschreibt die sorgfältig recherchierten Fakten und bietet ein Einsatzszenario auf Best Practice Basis.

Zusammenfassung
  1. Einige Praxis-Beispiele sollen das Thema aktuell vertiefen und Ihnen "Best-practice" liefern: Alle bekannten E-Mail-Server der Provider in der EU und auch On-Premise und Cloud basierte Exchange Server und namhafte Firewalls mit SSL-interception versenden die E-Mails mit TLS-Verschlüsselung untereinander, d.
  2. Besteht die Anforderung, dass die Inhalte nur vom Empfänger (natürliche Person) gelesen werden dürfen, muss ebenfalls mit Kennwort-verschlüsselten Anhängen gearbeitet werden.
  3. Werden personenbezogene Daten per E-Mail an solche Ziele übermittelt, sollten diese mindestens als kennwortgeschützter Anhang (PDF-Datei mit Kennwort, das nur der Empfänger kennt) übermittelt werden oder aber es kann das DigitalRightsManagement von Microsoft lizensiert und genutzt werden.
Verwandte Beiträge

Über den Autor:

Patrick Bärenfänger ist Ihr Experte für IT-Sicherheit und IT-Systeme mit TÜV-Zertifizierungen als IT-Security Manager und -Auditor und über 33 Jahren IT-Erfahrung. Er bietet Ihnen professionelle Dienstleistungen in den Bereichen: Ausbildung und Zertifizierung von Systemkoordinierenden, Infrastruktur-Analyse und -Optimierung zur Azure-Cloud-Migration, IT-Systemprüfungen und Notfallplan/Risiko-Analyse nach anerkannten Standards BSI-Grundschutz und IDW PS330 und Anwendung der künstlichen Intelligenz in der Praxis.

Kommentare

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert