Datensicherheit im E-Mail-Verkehr

Das wohl meist verwendete Kommunikationsmittel in Unternehmen ist nach wie vor die E-Mail. Ob im Anhang, im E-Mail-Text oder in den Metadaten der E-Mail, an vielen Stellen werden dabei personenbezogene Daten verarbeitet. Daher ist ein bewusster und sicherer Umgang wichtig.

Ohne selbst getroffene Schutzmaßnahmen sollte jedem eines klar sein: „E-Mails, die über das Internet versandt werden, sind für jeden der diese Daten abfängt einsehbar, da die Daten im Klartext versandt werden.“ Verschiedene Maßnahmen können davor schützen.

Verschlüsselung

Das Einfachste, das jeder Benutzer durchführen kann, ist die Verschlüsslung von Anhängen über Komprimierungsprogramme (bspw. 7-Zip oder WinZip). Problem dabei ist, dass der eigentliche E-Mail-Text weiterhin unverschlüsselt bleibt.
Um dies vereinfacht zu verhindern, wurde der Standard STARTTLS eingeführt. Dabei prüft der sendende Mailserver, ob der Empfangsserver TLS (TLS = Transport Layer Security bzw. Transportverschlüsselung) kann. Wenn dies der Fall ist, verschlüsselt der endende Mailserver die E-Mail so, dass nur der Empfangsserver die E-Mail entschlüsseln kann.

Das bayrische Landesamt für Datenschutz hat Unternehmen in Bayern im September 2014 auf dessen Einsatz getestet und 35% der Unternehmen genügten den Anforderungen nicht. STARTTLS wird als „Stand der Technik“ angesehen und sollte deshalb von Ihren Systemadministratoren auf Ihrem E-Mail-Server eingerichtet werden.

Ob Ihr Mailserver diese Anforderungen erfüllt, können Sie unter https://ssl-tools.net/mailservers überprüfen.

Weit mehr Sicherheit bieten sogenannte Ende-zu-Ende Verschlüsslungen, wie PGP oder S/MIME. Dabei können Anhänge und E-Mail-Texte so verschlüsselt werden, dass nur der Empfänger mit einem Passwort diese entschlüsseln kann.

Bei STARTTLS hingegen entschlüsselt der Server die Daten, was es anderen Benutzern oder Hackern immer noch ermöglicht, auf die Daten zuzugreifen. Problem bei der Ende-zu-Ende Verschlüsselung ist jedoch, dass beide Parteien die Verschlüsselungssoftware und ein Zertifikat haben müssen, was leider noch zu wenig verbreitet ist. Insbesondere beim Versand von besonders sensiblen Daten (Gesundheitsdaten, Gehaltsdaten, Religionsdaten, Bankverbindungsdaten von Personen) sollte jedoch eine Ende-zu-Ende-Verschlüsselung eingesetzt werden, um dem Schutzbedarf gerecht zu werden.

Malware

Eine beliebte Angriffsmethode ist nach wie vor der Versand von Schadsoftware via E-Mail, wie z. B. der erfolgreiche Hackerangriff auf den deutschen Bundestag. 2015 hatten mehrere Abgeordnete kompromittierte E-Mails von der UN über die Ukraine Krise erhalten, die einen Link enthielt, über welchen bei Anklicken Schadcode heruntergeladen wurde.

Wie kann man sich vor solchen Angriffen schützen?

Hier sind mehrstufige Virenscannersysteme zum Schutz vor Schadsoftware zu empfehlen. Jedoch bieten solche System keinen 100 prozentigen Schutz und vielmehr muss der Benutzer mit einem verantwortungsbewussten Umgang zum Schutz beitragen. Insbesondere sollte der Benutzer beim Öffnen einer E-Mail folgende Fragen stellen oder Prüfungen vornehmen:

1. Kenne ich den Absender?

2. Kann aus dem Betreff schon auf eine unerwünschte E-Mail geschlossen werden?

3. Befinden sich überhaupt die üblichen Angaben eines „Briefes“ im E-Mail-Text?

4. Passt der Schreibstil zum Absender (Anrede, Schreibweise, Floskeln, Formatierung etc.)

5. Müssen Inhalte nachgeladen werden, um die E-Mail zu verstehen? (Bitte nicht tun!)

6. Muss eine Internetseite aufgerufen werden, um den Sinn und Zweck einer E-Mail zu verstehen oder den Inhalt abzurufen?

7. Wenn man mit der Maus über einen Link geht (ohne anklicken!), sollte der tatsächliche Pfad angezeigt werden. Stimmt dieser mit der angegebenen Adresse oder bekannten Adressen überein? Oder endet er auf Dateiendungen für Programme wie .exe, .msi, .app, dmg, …?

8. Wenn man mit der Maus über den Anhang geht (ohne anklicken!), sollte der vollständige Dateiname mit Endung angezeigt werden. Stimmt die Endung mit dem angezeigten Programm überein (Zip-Datei endet aber auf .exe)? Würde der Absender eine solche Datei versenden? Endet die Dateiendung auf Kürzel, die für ein Programm sprechen, wie .exe, .msi, .app, dmg, …

Phishing

E-Mails werden auch gerne dazu verwendet, Daten mit Hilfe von Phishing „abzufischen“, in dem einem Empfänger vorgegaukelt wird, ein bekannter seriöser Absender zu sein. Häufig geht es darum, Passwörter zu Onlineanwendungen oder Transaktionscodes (TANs) im Onlinebanking zu erhalten.

1. Stellen Sie sich die Frage, ob der Absender Sie per E-Mail mit dem Problem kontaktieren oder ob er es über einen anderen Weg probieren würde? – Eine Bank wird niemals in einer E-Mail nach Transaktionscodes fragen!

2. Wenn Links aufgerufen werden sollen, sollte man mit der Maus über den Link geht (ohne anklicken!). Der vollständige Pfad sollte dann angezeigt werden und mit der angegebenen Adresse oder bekannten Adressen übereinstimmen.

3. Wenn die Seite aufgerufen wird, sollte überprüft werden, ob in der Adresszeile ein Schloss angezeigt wird. Wenn dies angeklickt wird, müsste der Name des Unternehmens anzeigt werden.

4. Das Design und die Daten auf der Webseite sollten mit dem standardmäßigen Design des Unternehmens übereinstimmen!

SPAM

Eingegangen unerwünschte E-Mail-Werbung (SPAM) ist aus Datensicherheitssicht das kleinere Übel, da bis auf verschenkte Arbeitszeit und Speicherplatz kaum weitere Probleme vorliegen. Bei einigermaßen seriösen Werbetreibenden können die Werbemaßnahmen zumeist über in den E-Mails angegebenen Abmeldelinks abbestellt werden. Die anderen Anbieter können über die kontinuierliche Verwendung von Blockierlisten ausgesiebt werden. Natürlich kann auch gegen ungerechtfertigte E-Mailwerbung Klage erhoben oder die zuständige Datenschutzaufsichtsbehörde eingeschaltet werden.

Ein viel größeres Problem für Unternehmen ist meist, dass diese vielleicht selbst unerwünschte E-Mail-Werbung versenden und dann von Unterlassungsklagen oder Prüfungen der Datenschutzaufsichtsbehörden betroffen sind. Um dies zu verhindern, sollten wichtige Grundsätze eingehalten werden:

1. Nicht auftragsbezogene E-Mails sollten vermieden werden

2. Keine Werbung in Auto-Respons-Mails, Disclaimern oder Abwesenheitsnotizen.

3. Personen die Newsletter/E-Mail-Werbung erhalten, müssen schriftlich eingewilligt haben, mittels eines Double-Opt-In-Verfahrens dem Erhalt zugestimmthaben oder bei einer Bestellung eines Produktes auf den Erhalt des Newsletters ausdrücklich hingewiesen worden sein.

4. Newsletter/E-Mail-Werbung müssen einen Hinweis zu einer Widerspruchsmöglichkeit enthalten, die keine höheren Anforderungen stellt, die für den Zugang zum Newsletter/E-MailWerbung gelten.

Datenschutzvorfall

Wie eingangs beschrieben, ist die Verwendung von E-Mails heute alltäglich geworden.
Gerade in Routineabläufen entstehen schnell Fehler, in dem bspw. E-Mails an den falschen Empfänger gesandt werden, falsche Anhänge ausgewählt werden oder größere Empfängerkreise im CC als im BCC eingetragen werden.

Wenn Fehler passieren, ist ein ordnungsgemäßer Umgang wichtig!

Mit Einführung der Datenschutz Grundverordnung werden die Regelungen zum „Incident-Response-Management“ massiv verschärft. Hiernach sind ausnahmslos alle Datenschutzvorfälle zu dokumentieren.

Den Aufsichtsbehörden ist diese Dokumentation auf Anfrage zur Verfügung zu stellen.
Bestehen erhöhte Risiken für den Betroffenen durch den Datenschutzvorfall muss dieser den Aufsichtsbehörden gemeldet werden und gegebenenfalls die Betroffenen informiert werden.

Wird dies nicht vorgenommen und die Aufsichtsbehörde wird bspw. durch Anzeige eines Betroffenen auf den Vorfall aufmerksam gemacht, können hohe Bußgelder verhängt werden.

Michael Konitzer, Oktober 2017

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.