Risiko: Versand unverschlüsselter EMails

Die unverschlüsselte E-Mail birgt erhebliche Gefahren in sich, da sie keinerlei Vertraulichkeit gewährleistet. Absender- und Empfängerinformationen sowie der Inhalt der Nachricht werden im Klartext über das Internet transportiert. Dabei werden die E-Mails von Server zu Server geschickt und mehrfach zwischengespeichert. Auf jedem dieser Server kann die Nachricht von einem Administrator oder Angreifer gelesen werden. Die Vertraulichkeit einer unverschlüsselten E-Mail wird folglich oft mit jener einer Postkarte verglichen.

Unverschlüsselte E-Mail-Nachrichten sind für den eigenen Arbeitgeber und Mitarbeiter der Informatikabteilung einfach einsehbar. Verschlüsselungen dienen heute auch vor der Neugier im eigenen Umfeld.

End-to-End-Verschlüsselungen zwischen Mitarbeitern und externen Personen sind jedoch aufgrund der Missbrauchsgefahr (Viren, Verletzung des Geschäftsgeheimnisses), der Verfügbarkeitsprobleme bei archivierten, geschäftrelevanten E-Mails sowie durch die Verhinderung der Geschäftskontrolle im Firmenumfeld nicht erwünscht. Stattdessen sollte ein zentraler Dienst bzw. eine zentrale Appliance im Unternehmen für Ver- und Entschlüsselungen sorgen.

Ein unangemessener Umgang mit E-Mail kann dazu führen, dass Betriebs- und Geschäftsgeheimnisse offenbart werden. Konzepte, Ideen, geistige Werke, persönlichkeitsrelevante Informationen werden abgefangen und kopiert. Die finanziellen Folgen und der Imageverlust bedrohen das betroffene Unternehmen in seiner Existenz.

Die Verletzung von Geheimhaltungspflichten und Persönlichkeitsrechten können privatrechtlich zu Schadenersatz- und Genugtuungszahlungen, strafrechtlich zu Busse oder Gefängnis und standesrechtlich zu einschneidenden Disziplinarmassnahmen führen. Dem Mitarbeiter, der die Geheimnisoffenbarung zu verantworten hat, drohen arbeitsrechtliche Konsequenzen.

Es gehört zur rechtlichen Verantwortung der Geschäftsleitung und des Verwaltungsrates einer Unternehmung, die Anforderungen an die IT-Sicherheit zu kennen und die notwendigen technischen und organisatorischen Massnahmen festzulegen. Sie sind verantwortlich für Organisation und Kontrolle der Informationssicherheit. Die Unternehmensleitung kann sicherheitsrelevante Entscheidbefugnisse spezialisierten Mitarbeitern des Unternehmens delegieren, z.B. dem Leiter der IT-Abteilung. Dieser steht im Rahmen seiner arbeitsvertraglichen Tätigkeit in der Verantwortung. Das betrifft auch alle anderen Arbeitnehmerinnen und Arbeitnehmer. Sie haben die ihnen übertragene Arbeit sorgfältig auszuführen und die berechtigten Interessen des Arbeitgebers in guten Treuen zu wahren. Dazu zählt auf jeden Fall auch die Sorgfalt beim Einsatz von E-Mail.

Verschlüsselungsverfahren
Der Stand der Technik lässt die Verschlüsselungen von elektronischen Informationen, insb. E-Mail-Nachrichten, ohne weiteres zu. Die heute erhältlichen Programme sind einfach zu handhaben und erschwinglich. Es ist heute sogar möglich, verschlüsselte Nachrichten zu versenden, die vom Empfänger ohne spezielle Software, Schlüssel oder Zertifikate eingesehen werden können. Dem Empfänger ist es sogar möglich, seine Antwort ohne weiteres verschlüsselt zurückzusenden.

Unterschieden wird zwischen symmetrischen und asymmetrischen Verschlüsselungsverfahren. Bei symmetrischen Algorithmen wird derselbe Schlüssel (Single-Key) für Ver- und Entschlüsselung verwendet. Die Schlüssellänge beträgt standardmässig 128 Bit. Damit der Empfänger die verschlüsselte Nachricht einsehen kann, benötigt er einen Passwortzugang. Komplexer und sicherer ist das asymmetrische Verschlüsselungsverfahren. Es beruht auf einem mathematisch verwandten Schlüsselpaar (Public-Key und Private-Key). Ein Schlüssel verschlüsselt, der andere entschlüsselt die Nachricht. Ein Benutzer verfügt also über einen geheimen Private-Key (z.B. auf einer mit einem PIN-Code geschützten Chipkarte) und einen im Internet veröffentlichten Public-Key. Ein Zertifikat (digitales Dokument) bindet die Identität einer Person an einen Public-Key. Zertifikate werden von Certification Authorities (Zertifizierungsstellen) ausgestellt. Zum Austausch von vertraulichen Nachrichten mittels asymmetrischer Verschlüsselungsverfahren benötigen beide Parteien je ein Schlüsselpaar.

Verschlüsselung darf nicht mit der digitalen Signatur verwechselt werden. Informationen können digital signiert werden, um durch ein mathematisches Hash-Verfahren (einen digitalen «Fingerabdruck» der Information) die Echtheit bzw. Unverändertheit der Nachricht zu beweisen. Aktuelle Lösungen bieten die Kombination von Verschlüsselung und digitaler Signatur an.

Die als Open Source frei zugängliche GNU Privacy Guard-Software (GPG) erlaubt die Verschlüsselung und das Signieren von Daten. Die Software ist mit einer vielseitigen Schlüsselverwaltung ausgestattet und verfügt über Zugriffsmodule für alle Arten von öffentlichen Schlüsselverzeichnissen. Mit verschlüsselten und digital signierten E-Mails kann die Vertraulichkeit sowie die Authentizität und Integrität der Daten gewährleistet werden.

Auch eine alternative Datenverschlüsselung von Dateien, welche einer E-Mail als Anhang hinzugefügt werden, ist heute sicherer als die unverschlüsselte Kommunikation. Symmetrische Verschlüsselungen sind innerhalb der MS-Office-Programme einfach möglich. Word, Excel oder Powerpoint können mit einem Passwort ausgestattet werden. Der Empfänger des Dokumentes muss das Passwort kennen, d.h. dieses muss ihm mindestens einmal telefonisch mitgeteilt werden. Sich nur auf eine symmetrische Verschlüsselung für Microsoft-Dateien zu verlassen, ist jedoch ungenügend. Dieser Schutz gilt als einfach umgehbar.

Quelle: weka.ch

Beste Gruesse
Ralph Wagner
————————-
NEWS
http://tinyurl.com/2vxl5gq
————————-
WebSite
http://www.gestaltungen.ch
————————-
BLOG
https://gestaltungenaffoltern.wordpress.com
————————-
WebSite für Ihr Unternehmen
http://gestaltungen.ch/de_website_analyse_check.php
http://gestaltungen.ch/de_website_angebot_check.php
————————-

Advertisements

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s