Sie sind hier: Startseite » Markt » Tipps und Hinweise

E-Mails müssen für Empfänger lesbar sein


Fünf Herausforderungen bei der E-Mail-Verschlüsselung in der Cloud
Es wäre zu einseitig, On-Premise als per se sicher und die Cloud als grundsätzlich unsicher zu betrachten


Von Marcel Mock, CTO und Mitbegründer von totemo

Software-as-a-Service (SaaS) erleichtert Unternehmen in vielerlei Hinsicht das Leben: Die Provider stellen nicht nur sicher, dass ausreichend Rechenleistung verfügbar ist. Sie spielen auch Updates und Patches für Anwendungen wie Office oder E-Mail-Dienste ein und schließen Sicherheitslücken so schnell. Besonders nach den kritischen Schwachstellen im Microsoft Exchange Server Anfang März erhöht dieser Aspekt die Attraktivität von Microsoft 365 (M365) als SaaS-Lösung.

Allerdings dürfen sich Unternehmen nicht darauf verlassen, dass sie damit rundum geschützt sind. Bis ein Patch bereitsteht, vergehen mitunter einige Tage, in denen Angreifer auf dem Server gespeicherte E-Mails abgreifen könnten. Sind sie unverschlüsselt, können alle Informationen kopiert und gelesen werden. Das ist aber nicht alles. Folgende fünf Herausforderungen cloud-basierter E-Mail-Infrastrukturen müssen Unternehmen berücksichtigen.

1. Der Datenschutz muss sichergestellt sein
Die Datenschutz-Grundverordnung (DSGVO) der EU schreibt den Schutz personenbezogener Daten vor – auch in E-Mails. Unternehmen sollten diese immer verschlüsselt versenden. So stellen sie die Compliance sicher und schützen persönliche Daten oder Geschäftsgeheimnisse.

Es wäre zu einseitig, On-Premise als per se sicher und die Cloud als grundsätzlich unsicher zu betrachten. Verschlüsselung ist deshalb sowohl bei E-Mails, die in der Cloud liegen, als auch bei On-Premise-Infrastrukturen essenziell. Ist die Cloud alleiniger Speicher aller E-Mails, werden zusätzliche Maßnahmen für den Datenschutz umso wichtiger. Die bestehenden Sicherheitskontrollen für den physisch abgegrenzten Zugriffsbereich des Unternehmens greifen dann nicht mehr.

2. Unternehmen brauchen die Hoheit über ihre Daten
M365 hat eine eigene Verschlüsselungstechnologie integriert. Damit schützen Unternehmen zwar E-Mails und Dokumente zunächst, geben mittel- bis langfristig aber die Hoheit über ihre Daten ab. Das ist so, als würde man jemandem eine verschlossene Geldkassette anvertrauen und den Schlüssel mit Klebestreifen an der Unterseite befestigen.

Microsoft wird für sich selbst diesen Schlüssel vermutlich nicht nutzen. Doch der „Cloud Act“ von 2018 erlaubt US-Behörden Zugriff auf Daten, die auf Servern von US-Unternehmen gespeichert sind – auch im Ausland und rückwirkend. Sicherer ist es darum, wenn die Kontrolle über die Schlüssel im eigenen Unternehmen bleibt.

3. Die Verschlüsselung muss nutzerfreundlich sein
Verschlüsselung ist kein einfaches Thema. Diese zum Beispiel mit S/MIME-Zertifikaten selbst in die Hand zu nehmen, setzt technisch sehr versierte Mitarbeiter voraus und ist oft keine gute Vorgehensweise.

Damit eine Verschlüsselung nicht am Widerstand der Mitarbeiter scheitert, muss sie also nutzerfreundlich sein. Idealerweise läuft die Verschlüsselung automatisiert und im Hintergrund ab. Die Anwender müssen sich dann nicht um die Verwaltung von Schlüsseln und Zertifikaten sowie die Registrierung der Nutzer kümmern – sie können sich ihren eigentlichen Aufgaben widmen.

4. Die E-Mails müssen für den Empfänger lesbar sein
Wenn Unternehmen E-Mails verschlüsseln, müssen Kommunikationspartner einbezogen werden. Es gibt verschiedene Verschlüsselungsstandards wie S/MIME und (Open)PGP, die untereinander nicht kompatibel sind. Viele KMU und die meisten Privatnutzer haben außerdem weder die Technologie noch das Know-how, um Nachrichten zu entschlüsseln.

Unternehmen müssen sich auf die Vielfalt der Verschlüsselungsstandards einstellen und sich flexibel an den Standard der Partner anpassen können. Das bedeutet auch, eine Alternative anzubieten, falls diese keine Verschlüsselung einsetzen, damit verschlüsselte Mails nicht ungelesen bleiben.

5. Was passiert mit alten, unverschlüsselten E-Mails?
Wenn Unternehmen mit ihrer E-Mail-Infrastruktur zu M365 migrieren, gilt die Verschlüsselung nur für neue Nachrichten. Was passiert mit den unverschlüsselten E-Mails, die vom On-Premise-Server in die Cloud umziehen? Sie sollten nicht im Klartext erhalten bleiben, denn damit können sie von Angreifern gelesen werden.

Wie Unternehmen den Herausforderungen begegnen
Unternehmen sollten einerseits mit einer Verschlüsselung ihrer E-Mails für mehr Sicherheit und Datenschutz sorgen. Andererseits möchten sie die Hoheit über ihre Daten behalten, Altlasten schützen und eine nutzerfreundliche Lösung sowohl für Kommunikationspartner als auch für Mitarbeiter bieten.

Unabhängige E-Mail-Verschlüsselungslösungen sind dafür notwendig. Diese automatisieren das Schlüssel- und Zertifikatsmanagement und verschlüsseln bestehende Postfächer vor der Migration. Bei der Auswahl können serviceorientierte Unternehmen darauf achten, dass die Lösung möglichst viele Verschlüsselungsstandards unterstützt und eine alternative Methode für E-Mail-Empfänger ohne passende Ausstattung bietet. Das erst macht Microsoft 365 zum sicheren E-Mail-Speicher in der Cloud. (totemo: ra)

eingetragen: 17.06.21
Newsletterlauf: 06.09.21

totemo: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Kostenloser PMK-Verlags-Newsletter
Ihr PMK-Verlags-Newsletter hier >>>>>>


Meldungen: Tipps und Hinweise

  • Optimale Wissensspeicher

    Graphdatenbanken sind leistungsstarke Werkzeuge, um komplexe Daten-Beziehungen darzustellen und vernetzte Informationen schnell zu analysieren. Doch jeder Datenbanktyp hat spezifische Eigenschaften und eignet sich für andere Anwendungsfälle. Welche Graphdatenbank ist also wann die richtige? Aerospike empfiehlt Unternehmen, ihre Anforderungen unter vier Gesichtspunkten zu prüfen.

  • Zugang zu anfälligen Cloud-Hosts

    Zwischen 2023 und 2024 haben laut einer aktuellen Studie 79 Prozent der Finanzeinrichtungen weltweit mindestens einen Cyberangriff identifiziert (2023: 68 Prozent). Hierzulande berichtet die BaFin, dass 2023 235 Meldungen über schwerwiegende IT-Probleme eingegangen sind. Fünf Prozent davon gehen auf die Kappe von Cyberangreifern.

  • Wachsende SaaS-Bedrohungen

    Die jüngsten Enthüllungen über den massiven Cyberangriff von Salt Typhoon auf globale Telekommunikationsnetzwerke sind eine deutliche Erinnerung an die sich entwickelnde und ausgeklügelte Natur von Cyberbedrohungen. Während die Angreifer sich darauf konzentrierten, Kommunikation abzufangen und sensible Daten zu entwenden, werfen ihre Handlungen ein Schlaglicht auf ein umfassenderes, dringenderes Problem: die Unzulänglichkeit traditioneller Datensicherungsmethoden beim Schutz kritischer Infrastrukturen.

  • Einführung des Zero-Trust-Frameworks

    Die Cyber-Sicherheit entwickelt sich mit rasanter Geschwindigkeit, weshalb eine traditionelle Verteidigung den Anforderungen nicht mehr gerecht wird. Moderne Cyber-Bedrohungen bewegen sich inzwischen mühelos seitlich innerhalb von Netzwerken und nutzen Schwachstellen aus, die mit traditionellen Perimeter-Schutzmaßnahmen nicht vollständig behoben werden können.

  • Leitfaden für eine erfolgreiche DRaaS-Auswahl

    Investitionen in DRaaS (Disaster-Recovery-as-a-Service) sind sinnvoll und zukunftsweisend, denn DRaaS hilft den Unternehmen, ihre IT-Systeme und Daten im Fall eines Datenverlusts schnell wiederherzustellen. Allerdings sollte man im Vorfeld eine gründliche Marktanalyse durchführen und sich über die Funktionsweise und Kosten der verschiedenen Lösungen informieren.

  • ERP-Software muss ein Teamplayer sein

    So wichtig ERP-Systeme auch sind, bei der Auswahl der richtigen Lösung und Anbieter gibt es für Unternehmen eine Reihe von Aspekten zu beachten - schließlich bringen nur passgenaue und ausgereifte Systeme auch die erwünschten Vorteile. IFS erklärt, worauf es bei der Suche ankommt.

  • Grundlage für zukunftssichere Rechenzentren

    Rechenzentren sind das Rückgrat unserer digitalen Welt. Betreiber dieser Infrastrukturen stehen dabei vor immensen Herausforderungen: Sie müssen nicht nur den ununterbrochenen Betrieb und höchste Sicherheitsstandards sicherstellen, sondern auch strengere Umwelt- und Effizienzkriterien einhalten.

  • Cloud-basierte Tests

    Mit der Digitalisierung steigt das Datenvolumen und der Energieverbrauch. Daher stehen Unternehmen jetzt vor der Herausforderung, ihre IT nachhaltiger zu gestalten. Auch das Qualitätsmanagement kann dazu einen wertvollen Beitrag leisten, indem es den CO2-Fußabdruck von Software verringert.

  • Was ist der richtige Cloud-Speicher für KMU?

    Verschiedene Arten von Unternehmen haben unterschiedliche IT-Anforderungen. So haben kleine und mittelständische Unternehmen natürlich nicht die gleichen Anforderungen wie große internationale Unternehmen.

  • ITAM on-premises versus Software-as-a-Service

    IT Asset Management (ITAM) schafft die Basis für Cybersecurity, Kostenkontrolle und effizientes IT-Management. Doch vor allem im Mittelstand fehlen häufig Manpower und Expertise, eine ITAM-Lösung inhouse zu betreiben. Software-as-a-Service-Angebote versprechen Abhilfe.

Skalierbarkeit mit Multi Cloud Fehlkonfigurationen öffnen Kriminellen Tür und Tor

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen