Montag, 25. November 2024

De-MailSchlüssel zum Erfolg

[10.07.2015] Bislang war die Ende-zu-Ende-Verschlüsselung von De-Mails umständlich. Einfacher macht es jetzt das so genannte Pretty-Good-Privacy-Verfahren: Senden und empfangen kann nur ein Nutzer mit dem jeweils passenden Schlüssel.
Das Pretty-Good-Privacy-Verfahren vereinfacht die Verschlüsselung von De-Mails.

Das Pretty-Good-Privacy-Verfahren vereinfacht die Verschlüsselung von De-Mails.

(Bildquelle: creativ collection Verlag)

De-Mails ohne zusätzliche Inhaltsverschlüsselung sind für das Sicherheitsniveau hoch zugelassen. Immer wieder aber gab es Diskussionen rund um die Datenübermittlung, für die ein sehr hohes Schutzniveau verlangt wird. Mit der Einführung des Pretty-Good-Privacy-Verfahrens (PGP) ist es jetzt einfacher, De-Mails zusätzlich Ende-zu-Ende (E2E) zu verschlüsseln. Seit Anfang April kann ein Nutzer mit einem Klick ein Zusatzprogramm in Form einer Erweiterung für die Browser Firefox und Chrome im De-Mail-Postfach vom De-Mail-Anbieter herunterladen, installieren und nach wenigen Einstellungen starten. Bis die E2E-Verschlüsselung auf PGP-Basis startklar ist, sind etwa 20 Schritte weniger erforderlich als bei der klassischen E-Mail-Kommunikation. Dem Vorgang wird damit die Komplexität genommen – zumindest für private Nutzer, die sich die Browser-Erweiterung heruntergeladen haben. Wenn größere Firmen und Behörden De-Mails zusätzlich verschlüsseln wollen, müssen sie sich mit der IT-Infrastruktur auseinandersetzen. Sie haben unterschiedliche Möglichkeiten, die E2E-Verschlüsselung zu nutzen. Am einfachsten ist der Einsatz eines so genannten Security Gateways. Diese Systeme übernehmen zentral die Ver- und Entschlüsselung der Nachrichten, sodass keine weiteren Eingriffe in die Infrastruktur erforderlich sind. Wer ein solches System bereits einsetzt, sollte prüfen, ob es auch für PGP geeignet ist. Dann sind in der Regel keine weiteren Anschaffungen erforderlich, um es mit De-Mail zu nutzen.

Add-In für den E-Mail-Client

Alternativ kann jeder Arbeitsplatz mit einem so genannten Add-In für den E-Mail-Client ausgestattet werden. Damit wird jede De-Mail nicht zentral, sondern erst am Arbeitsplatz ver- und entschlüsselt. Im Gegensatz zu Security-Gateway-Lösungen ist diese Variante mit mehr Aufwand bei der Einführung und Nutzung verbunden. Welche Methode sinnvoller ist, hängt von den jeweiligen Anforderungen ab. Unabdingbar für die Nutzung ist, dass sowohl beim Empfänger als auch beim Sender PGP-Verschlüsselungstechnologien vorhanden sind – entweder die Webbrowser-Erweiterung, ein zentrales Security Gateway oder eine dezentrale Erweiterung der E-Mail-Clients über entsprechende Add-Ins. PGP ist ein asymmetrisches Verschlüsselungsverfahren: Es werden immer zwei zusammengehörende Schlüssel genutzt. Dabei dient ein öffentlicher Schlüssel dazu, die Nachrichten zu verschlüsseln. Der Nutzer darf diesen Schlüssel frei weitergeben. E2E-verschlüsselte De-Mails kann nur ein Absender schicken, dem der Empfänger den Schlüssel weitergegeben hat. Somit kann auch niemand unfreiwillig eine PGP-verschlüsselte Nachricht erhalten. Der zweite, private Schlüssel ist geheim. Er wird zur Entschlüsselung genutzt und ist nur dem Eigentümer bekannt. Verliert der Besitzer ihn, kann er keine E2E-verschlüsselten Nachrichten mehr lesen. Der private Schlüssel lässt sich aus der Browser-Erweiterung exportieren und sollte unbedingt auf einem Datenträger gesichert werden.

Sicherer Austausch

Für die praktische Nutzung muss zunächst ein Schlüsselpaar, bestehend aus einem privaten und einem öffentlichen Schlüssel, generiert werden. Das ist simpel: Nach Installation der PGP-Browser-Erweiterung erzeugt der Nutzer per Mausklick ein Schlüsselpaar. Dieses Paar wird im Schlüsselbund der Browser-Erweiterung lokal gespeichert. Im Anschluss lädt der Nutzer Personen oder Institutionen für die verschlüsselte Kommunikation ein. Dabei wird der öffentliche Schlüssel an die Eingeladenen gesendet. Die Herausforderung besteht darin, die Schlüssel zwischen Empfänger und Sender sicher auszutauschen. Bislang funktioniert das semiautomatisch, etwa indem der Sender dem Empfänger seinen öffentlichen Schlüssel per De-Mail mitteilt. Im Gegensatz zur E-Mail-Verschlüsselung steht hinter einer De-Mail-Adresse eine eindeutig identifizierte Person. Somit lässt sich auch der Schlüssel eindeutig zuordnen. Security Gateways unterstützen in der Regel bei der Schlüsselverwaltung. Künftig soll der Austausch automatisch erfolgen – über den öffentlichen Verzeichnisdienst von De-Mail (ÖVD). Davon profitieren insbesondere Verwaltungen und Kommunen, da sie die öffentlichen Schlüssel dann nicht mehr manuell verwalten müssen.
Künftig sind alle De-Mail-Nutzer in der Lage, im ÖVD ihren öffentlichen PGP-Schlüssel hochzuladen. Bereits heute ist das für die S/MIME-Verschlüsselung möglich. Da sie für Bürger nicht praktikabel ist, wird sie in erster Linie von Behörden und Unternehmen genutzt. Im ÖVD kann sich jeder De-Mail-Nutzer wie in einem Telefonbuch freiwillig mit seiner De-Mail-Adresse und weiteren Kontaktdaten eintragen. Verwaltet wird das Verzeichnis von den De-Mail-Diensteanbietern. Das ÖVD ist fester Teil der vom Bundesamt für Sicherheit in der Informationstechnik (BSI) zertifizierten De-Mail-Infrastruktur. Mit einem Klick sind die Nutzer in der Lage, anbieterübergreifend nach Teilnehmern und öffentlichen Schlüsseln zu suchen. Damit steht künftig eine standardisierte Infrastruktur für den Schlüsselaustausch zur Verfügung – ein Meilenstein gegenüber der heutigen E-Mail-Kommunikation mit Pretty-Good-Privacy-Verfahren. Das ÖVD lässt sich theoretisch beliebig erweitern. Dort könnten zum Beispiel weitere Bürgerdaten vom Nutzer gespeichert und von Kommunen angewendet werden.

Klares Alleinstellungsmerkmal

Der Schritt, den die De-Mail-Diensteanbieter mit der Einführung des PGP-Verfahrens gegangen sind, ist richtig. Er zeigt, wie wichtig ihnen das Thema Sicherheit ist und wie konsequent die Erweiterungen umgesetzt werden, die bereits zur Einführung der De-Mail angekündigt wurden. Privatpersonen, Firmen und Behörden sollen für eine sichere digitale Kommunikation sensibilisiert werden, damit sie auf die De-Mail setzen. Mit dem automatischen Austausch der öffentlichen Schlüssel über das ÖVD in Verbindung mit den weiteren Eigenschaften der De-Mail-Infrastruktur erhält die De-Mail sogar ein klares Alleinstellungsmerkmal.

Dirk Backofen ist Leiter Marketing Geschäftskunden bei der Telekom Deutschland GmbH.


Stichwörter: IT-Sicherheit, De-Mail


Weitere Meldungen und Beiträge aus dem Bereich: IT-Sicherheit
Von links halten Bastian Schäfer von der ekom21, Staatssekretär Martin Rößler und Prof. Dr.-Ing. Jörn Kohlhammer vom Fraunhofer IGD den Förderbescheid des Landes Hessen.

Fraunhofer IGD / ekom21: Cybergefährdungslagen visualisieren

[21.11.2024] Neue interaktive Visualisierungen von IT-Gefährdungslagen sollen in einem Forschungsprojekt des Fraunhofer-Instituts für Graphische Datenverarbeitung IGD und des IT-Dienstleisters ekom21 entstehen. Das vom Land Hessen geförderte Vorhaben berücksichtigt auch die Bedürfnisse kleinerer Institutionen wie Kommunen. mehr...

Modern eingerichteter Sitzungssaal mit weißen Tischen und Wänden.

Märkischer Kreis: Neue IT-Projekte im Fokus

[20.11.2024] Grünes Licht für die Haushaltsansätze im Bereich Digitalisierung und IT gab der Ausschuss für Digitalisierung und E-Government des Märkischen Kreises. Geplant sind Investitionen in IT-Sicherheit, Netzwerkinfrastruktur und den weiteren Ausbau digitaler Services. mehr...

Claudia Plattner (l.), Präsidentin des Bundesamts für Sicherheit in der Informationstechnik (BSI), und Bundesinnenministerin Nancy Faeser präsentieren den Bericht zur Lage der IT-Sicherheit in Deutschland.

BSI: Bericht zur Lage der IT-Sicherheit

[12.11.2024] Die Bedrohungslage bliebt angespannt, die Resilienz gegen Cyberangriffe aber ist gestiegen. Das geht aus dem aktuellen Bericht zur Lage der IT-Sicherheit in Deutschland hervor, den das Bundesamt für Sicherheit in der Informationstechnik (BSI) nun vorgestellt hat. mehr...

LivEye: Sicherheitsüberwachung auf Weihnachtsmärkten

[08.11.2024] Für die Sicherheitsüberwachung auf Weihnachtsmärkten hat das Unternehmen LivEye ein neues Konzept entwickelt, das Datenschutz und effektive Gefahrenabwehr kombiniert. mehr...

Innenminister Roman Poseck eröffnete den Cybersicherheitsgipfel im Regierungspräsidium Darmstadt vor mehr als 100 Vertreterinnen und Vertretern südhessischer Kommunen.

Hessen: Höhere Cybersicherheit

[05.11.2024] Mit dem Aktionsprogramm Kommunale Cybersicherheit sollen hessische Kommunen umfassender in der IT-Sicherheit unterstützt und auf künftige Cyberangriffe vorbereitet werden. mehr...

Illustration: Stilisierter aufgeklappter Laptop mit Piratenfahne über dem Display, einen Ransomware-Angriff symbolisierend.

SIT: Ein Jahr nach dem Ransomware-Angriff

[04.11.2024] Ein Jahr nach der Cyberattacke auf die Südwestfalen-IT haben die Mitarbeitenden gemeinsam mit den IT-Teams betroffener Kommunen die Systeme wiederhergestellt. Um künftig besser gegen Cyberbedrohungen geschützt zu sein, fordert Geschäftsführer Mirco Pinske klarere gesetzliche Regelungen – etwa die Berücksichtigung kommunaler IT-Dienstleister in der NIS2-Richtlinie. mehr...

Screenshot eines pixeligen Bildschirms. Zu sehen ist auf dunklem Grund die hellblaue Schrift "Security", eine Mauszeigerhand zeigt darauf.

Sachsen-Anhalt: Mehr IT-Sicherheit für Kommunen

[04.11.2024] Um die Cybersicherheit in Sachsen-Anhalts Kommunen zu stärken, startete das Land gemeinsam mit dem BSI das Pilotprojekt SicherKommunal. Durch das Projekt sollen Städte, Landkreise und Gemeinden gezielt bei der Verbesserung ihrer IT- und Informationssicherheit unterstützt werden. mehr...

bericht

Lösungen: Cybersicherheit stärken

[13.09.2024] Die NIS2-Richtlinie bietet die Chance, die IT-Sicherheit auf ein deutlich höheres Level zu heben, ist aber auch mit Herausforderungen verbunden. Kommunen benötigen zudem Lösungen, die speziellen IT-Sicherheitsanforderungen genügen. mehr...

Zwei Versionen der Videokonferenzlösung Zoom haben ein IT-Sicherheitskennzeichen vom Bundesamt für Sicherheit in der Informationstechnik erhalten.

BSI: IT-Sicherheitskennzeichen für Zoom

[11.09.2024] Für zwei seiner Produkte hat der vielfach genutzte Videokonferenzdienst Zoom das IT-Sicherheitskennzeichen vom Bundesamt für Sicherheit in der Informationstechnik (BSI) erhalten. Geprüft wurden unter anderem der Accountschutz, Rechenzentrumsbetrieb und das Update- und Schwachstellenmanagement. mehr...

Die Panelteilnehmenden des Vitako-Empfangs.
bericht

IT-Sicherheit: Feuerwehr und Firewall

[02.09.2024] Cyberattacken treffen immer öfter auch Verwaltungen. Um kommunale IT besser abzusichern, fordert Vitako eine Reihe von Maßnahmen: eine stärkere Vernetzung, mehr Mittel, den Ausbau des BSI zur Zentralstelle und die Schaffung eines regulativen Rahmens. mehr...

Bayerns Finanz- und Heimatminister Albert Füracker (2.v.r.) übergibt das LSI-Siegel „Kommunale IT-Sicherheit“ an die Stadt Schwandorf.

Schwandorf: Siegel für IT-Sicherheit

[29.08.2024] Die Stadt Schwandorf hat vom bayerischen Landesamt für Sicherheit in der Informationstechnik (LSI) jetzt das Siegel „Kommunale IT-Sicherheit“ erhalten. mehr...

Mirco Pinske

Interview: Wertvolle Lehren gezogen

[14.08.2024] Nach dem umfassenden Cyberangriff arbeitet der IT-Dienstleister Südwestfalen-IT an einer strategischen Neuausrichtung. Im Kommune21-Interview berichtet Geschäftsführer Mirco Pinske, wie die Aufarbeitung vorangeht und welche Konsequenzen bereits gezogen wurden mehr...

In München kümmert sich jetzt eine eigene Hauptabteilung um die IT-Sicherheit.

München: Hauptabteilung für IT-Sicherheit

[02.08.2024] Die bayerische Landeshauptstadt München misst der IT-Sicherheit einen hohen Stellenwert bei. Um dies zu verdeutlichen, wurde im IT-Referat jetzt eine neue Hauptabteilung für Cybersecurity gegründet. Geleitet wird sie von Chief Information Security Officer Thomas Reeg. mehr...

ITEBO: OpenR@thaus-Vorfall aufgearbeitet

[23.07.2024] Mit seinem Verwaltungsportal OpenR@thaus liefert ITEBO zahlreichen Kommunen eine Basisinfrastruktur, um Leistungen, wie vom OZG vorgesehen, digital anbieten zu können. Im Juni war die Lösung aus Sicherheitsgründen offline gestellt worden. Nun berichtet ITEBO im Detail über den Vorfall und dessen Aufarbeitung. mehr...

Zentralisierte Daten zur Auswirkung der Crowdstrike-/Azure-Panne auf Kommunalverwaltungen liegen dem BSI nicht vor. Einzelne Kommunen melden Ausfälle in geringem Maß.

Crowdstrike-Panne: Geringe Störungen bei Kommunalverwaltungen

[22.07.2024] Das Update des Sicherheitsdienstleisters Crowdstrike, das am Freitag globale IT-Ausfälle auslöste, hat auch dazu geführt, dass der kommunale IT-Dienstleister SIT seine Systeme sicherheitshalber abgeschaltet hat. Die Auswirkungen auf Kommunen waren aber lediglich geringfügig. mehr...