Das größte Risiko für ein Unternehmen, das seine E-Mails nicht sichert, besteht darin, dass es anfällig für E-Mail-Hacking-Aktivitäten ist, was zum Diebstahl von geistigem und finanziellem Eigentum sowie zur Schädigung der Marke und zum Verlust des Kundenvertrauens führen kann. Je nach Branche oder Gerichtsbarkeit, in der die Unternehmen tätig sind, können sie auch mit bestimmten Compliance-Risiken konfrontiert werden.Die Zahl der BEC-Angriffe hat in den letzten Jahren explosionsartig zugenommen, und das über verschiedene Regionen und Geschäftsbereiche hinweg. Laut den jüngsten „Internet Crime Reports“ (ICRs) des FBI haben Unternehmen in den USA zwischen 2014 und 2021 insgesamt 8,6MilliardenUS-Dollar durch BEC-Angriffe verloren− davon allein 2,4MilliardenUS-Dollar im Jahr2021.
Welche Gefahren stellen E-Mail-Angriffe für Unternehmen dar?
Es gibt zwei Arten von E-Mail-Hacking-Aktivitäten:
- Phishing: Wenn allgemeine Mitteilungen an einen größeren Kreis potenzieller Opfer gesendet werden
- Spear-Phishing oder BEC-Angriffe (Business Email Compromise): gezielte und geplante Angriffe auf eine Einzelperson oder eine Gruppe mit folgenden Zielen:
- Extrahieren sensibler Informationen
- Installation von Schadsoftware im Netzwerk
- Überweisen von Geld auf Konten, die den Angreifern gehören
Das Signieren und Verschlüsseln von E-Mails hilft Unternehmen, E-Mail-Hacking und damit den Diebstahl von geistigem Eigentum und Kapital zu verhindern. Außerdem werden Marken- und Reputationsschäden gemindert, die entstehen können, wenn ein Unternehmen die Kontrolle über sensible Daten verliert. Die Einführung digital signierter und verschlüsselter E-Mail-Technologien behebt zudem die damit verbundenen Probleme, die dazu führen können, dass Unternehmen verschiedene Compliance-Vorschriften wie HIPAA und DSGVO nicht einhalten können. Die Einhaltung der verschiedenen Datenschutz- und Sicherheitsvorschriften verringert das Risiko für Unternehmen, bei Nichteinhaltung hohe Strafen zahlen zu müssen.
Welche Vorschriften verlangen die Verschlüsselung von E-Mails?
Je nach Branche, geografischer Lage und Standort des Unternehmens müssen die Organisationen unterschiedliche Vorschriften beachten. In den USA schreibt beispielsweise der „Health Insurance Portability and Accountability Act“ (HIPAA) vor, dass Organisationen sensible Gesundheitsdaten von Patienten vor der Weitergabe ohne deren Wissen oder Zustimmung schützen müssen. Nach Angaben des U.S. Department of Health and Human Services beliefen sich die Kosten für HIPAA-Verstöße allein im Jahr2020 auf 13MillionenUS-Dollar.
In der Europäischen Union besagt die Datenschutz-Grundverordnung (DSGVO), dass personenbezogene Daten vollständig geschützt werden müssen. Ist dies nicht der Fall, können Unternehmen mit Geldbußen von bis zu 4% ihres Vorjahresumsatzes bzw. bis zu 20MillionenEuro belegt werden. Als Erweiterung der DSGVO ist in Dänemark zum Beispiel die Verschlüsselung von E-Mails mit sensiblen personenbezogenen Daten für Unternehmen seit 2019 verpflichtend.
Phishing-Angriffe sind nach wie vor eine der Hauptursachen für Datenschutzverletzungen im Gesundheitswesen. Laut dem FBI-Bericht zur Internetkriminalität haben Unternehmen durch BEC-Angriffe bereits 2,4MilliardenUS-Dollar verloren. Ein Phishing-Angriff ist oft der erste Schritt in einem mehrstufigen Angriff, bei dem anschließend Malware oder Ransomware eingesetzt wird.
Laut dem Bericht des HIPAA Journal über Datenschutzverletzungen im Gesundheitssektor („Healthcare Data Breach Report“) sind Verstöße gegen die Datenschutzbestimmungen im Gesundheitswesen per E-Mail nach Phishing-Angriffen die zweithäufigste Angriffsart.
Im Jahr2021 untersuchte das Office for Civil Rights (OCR) insgesamt 277E-Mail-Verstöße im Gesundheitswesen, von denen 83% auf Hackerangriffe oder IT-Vorfälle zurückzuführen waren.
Im Jahr2020 wurde mehr als 1 Verstoß bezüglich E-Mail-Konten alle zwei Tage gemeldet, aber in diesem Jahr standen die Verletzungen von E-Mail-Konten sogar an zweiter Stelle hinter den Verletzungen von Netzwerkservern. Auf Netzwerkservern werden häufig große Mengen an Patientendaten gespeichert, die ein bevorzugtes Ziel für Hacker und Ransomware-Banden darstellen.
Wie funktioniert die E-Mail-Verschlüsselung?
Derzeit gibt es zwei Ansätze für die Sicherung von E-Mails:
- PGP (Pretty Good Privacy)
- S/MIME (basierend auf RSA und x.509-Zertifikaten)
OpenPGP und S/MIME sind sich in mancherlei Hinsicht sehr ähnlich: Sie bieten beide Authentifizierung durch digitale Signaturen und Datenschutz durch Datenverschlüsselung. Obwohl OpenPGP viele Befürworter hat, wird es auf dem Markt deutlich weniger unterstützt. S/MIME wird von vielen Softwareanbietern unterstützt und ist in den meisten gängigen E-Mail-Programmen enthalten.
Bei der Verschlüsselung mit öffentlich hinterlegten Schlüsseln (Public Key Encryption) gibt es zwei Arten von Schlüsseln: Ein Schlüssel kann öffentlich hinterlegt werden, der andere bleibt privat. Der Absender verschlüsselt die Nachrichten mit dem öffentlich hinterlegten Schlüssel des Empfängers. Der Empfänger entschlüsselt die Nachricht mit seinem privaten Schlüssel. Wenn eine Nachricht an mehrere Empfänger gesendet wird, wird die E-Mail separat mit dem öffentlich hinterlegten Schlüssel der einzelnen Empfänger verschlüsselt.
Digitale Signaturen verwenden die gleichen Paare aus öffentlichem und privatem Schlüssel, allerdings in umgekehrter Reihenfolge. Der Absender erstellt einen sicheren Hash-Wert der Nachricht und verschlüsselt diesen Hash-Wert mit seinem eigenen privaten Schlüssel. Jeder kann diesen Hash-Wert entschlüsseln (und überprüfen, indem er denselben Hash-Wert mit der Originalnachricht vergleicht), indem er ihn einfach mit dem öffentlich hinterlegten Schlüssel des Absenders entschlüsselt. Da nur der Besitzer des privaten Schlüssels, der mit dem öffentlich hinterlegten Schlüssel verknüpft ist, die Nachricht verschlüsselt haben kann, kann sie entsprechend validiert werden. Dies gewährleistet Integrität und Nachweisbarkeit. Nachweisbarkeit, da der Absender später nicht abstreiten kann, dass er die Nachricht gesendet hat.
Die S/MIME-Lösungvon Entrust bietet Organisationen die Möglichkeit, das Risiko des Verlustes von Unternehmensdaten durch E-Mails drastisch zu reduzieren. Die Identitätsverschlüsselung und die durchgängige Verschlüsselung für interne und externe E-Mails von Entrust sowie die Automatisierungs- und Lifecycle-Management-Funktionen ermöglichen es Organisationen, ihre Compliance und Sicherheitslage zu verbessern, was mit anderen Lösungen so nicht möglich wäre.
RSA ist das einzige kryptografische Protokoll mit öffentlich hinterlegtem Schlüssel, das ein Signieren und Verschlüsseln von E-Mails ermöglicht. SSL/TLS-Zertifikatekönnen nicht zu diesem Zweck verwendet werden. Es gibt jedoch auch andere Verschlüsselungstechnologien, die mit S/MIME zusammen genutzt werden können, um den Schutz von Nachrichten während der Übertragung zu gewährleisten. Zum Beispiel: „Transport Layer Security“ (TLS), die früher als „Secure Sockets Layer“ (SSL) bezeichnet wurde. Diese Protokolle verschlüsseln den Tunnel oder die Route zwischen den E-Mail-Servern, um das Ausspähen und Abhören zu verhindern. Sie verschlüsseln auch die Verbindung zwischen E-Mail-Client und E-Mail-Server. S/MIME kann mit ihnen eingesetzt werden, ist aber nicht von ihnen abhängig.
Verschlüsselt VPN E-Mails?
VPN verschlüsselt keine E-Mails. Es ist kein Werkzeug zum Schutz vor Hackerangriffen, Viren oder Malware und es hilft weder beim Schutz der Inhalte in der E-Mail noch bei der Authentifizierung des E-Mail-Absenders.
Der Akt des digitalen Signierens und Verschlüsselns einer E-Mail ermöglicht es einem Mitarbeiter, zu beweisen, dass die Anhänge und der Inhalt von der E-Mail-Adresse des Absenders stammen und dass sie während der Übertragung nicht verändert wurden. Dies ist auch als Nachweisbarkeit bekannt und kann durch verschiedene Gesetze vor Gericht abgesichert werden.
Wenn Mitarbeiter in einem Unternehmen Zugang zu ihren eigenen S/MIME-Zertifikaten haben, können Empfänger und Absender leichter identifiziert werden, was wiederum dazu beitragen kann, die Auswirkungen eines BEC-Angriffs zu begrenzen.
S/MIME-Zertifikate von Entrust enthalten den Namen der Organisation, der Person und der E-Mail-Adresse und ermöglichen es den Empfängern, SPAM- oder Phishing-E-Mails von den E-Mails eines legitimen Absenders zu unterscheiden.
Wie sehen signierte und verschlüsselte E-Mails in Outlook und Apple Mail aus?
Es ist sehr einfach zu erkennen, wie eine vertrauenswürdige E-Mail nach der Einrichtung eines sicheren E-Mail-Zertifikats in Microsoft Outlook und MacOS aussieht. Nachfolgend sehen Sie Bilder von vier Beispielen:
- signierte E-Mail
- verschlüsselte E-Mail
- signierte und verschlüsselte E-Mail
- unsignierte und unverschlüsselte E-Mails
Es gibt drei primäre Vertrauensindikatoren in Outlook und MacOS:
- das rote Band, das anzeigt, dass diese E-Mail signiert ist.
- das Vorhängeschloss-Symbol, das anzeigt, dass diese E-Mail verschlüsselt ist.
- Sie können die Identität des Absenders auf der linken Seite der E-Mail überprüfen: Sie wurde von Benutzer1, einem Mitarbeiter von UnternehmenX, unterzeichnet.
Im Gegensatz dazu wird im Falle einer nicht vertrauenswürdigen E-Mail ohne Signatur und Verschlüsselung kein Band oder Sicherheitsschloss angezeigt. In diesem Fall ist es technisch möglich, dass die Absenderadresse von Benutzer1 gefälscht wird.
Bitte beachten Sie, dass diese Funktionen zur Verfügung stehen, sobald beide Benutzer ihre öffentlich hinterlegten Schlüssel ausgetauscht haben.
Weitere Informationen finden Sie in der Wissensdatenbank von Entrust.
Wenn ein S/MIME-Zertifikat auf einem Android- oder iPhone-Gerät installiert ist, wird auf der rechten Seite des Bildschirms ein offenes und ein geschlossenes Vorhängeschloss angezeigt. Um eine verschlüsselte E-Mail zu versenden, muss der Benutzer nur auf das Vorhängeschloss-Symbol tippen.
E-Mails können automatisch signiert werden, wenn Sie diese Option in den Einstellungen aktivieren. Der Prozess ist in Teil2, Schritt6, des technischen Hinweises von Entrust dargestellt.
Wie verschlüsselt und signiert man eine E-Mail mit einem S/MIME-Zertifikat?
Um eine E-Mail-Nachricht zu signieren und/oder zu verschlüsseln, klicken Sie einfach auf die Schaltflächen „Signieren“ und/oder „Verschlüsseln“, die in einem E-Mail-Dialog zum Verfassen einer Nachricht auf der Registerkarte „Optionen“ angezeigt werden.
