Seit dem NSA-Skandal erhält das Thema Verschlüsselung von Daten und E-Mails deutlich mehr Aufmerksamkeit – ob aber auch die Nutzung dieser Technologie zunimmt, möchten wir uns einmal etwas genauer ansehen.

Google stellte in dieser Woche die Ergebnisse einer Studie vor, nach der die Verschlüsselung von E-Mails große Fortschritte macht. Der Suchmaschinengigant untersuchte gemeinsam mit den Universitäten von Michigan und Illinois, wie viele E-Mails in den Jahren zwischen 2013 und 2015 verschlüsselt versendet wurden. Dabei wurde insbesondere die Verschlüsselung von eingehenden E-Mails betrachtet. Das Resultat: Laut Studie stieg die Zahl an verschlüsselten E-Mails, die von Nicht-Gmail-Accounts stammten und die beim Google-Dienst Gmail eintrafen, von 33% auf 61% an. (Zur Klarstellung: Betrachtet wird von Google die Verschlüsselung der Übertragung via TLS, nicht die Verschlüsselung der E-Mail an sich, via S/MIME oder PGP.) Gleichzeitig trugen insgesamt über 94% aller eingehenden Nachrichten irgendeine Form von Authentifizierung (DKIM, SPF oder DMARC).

 

Googles Studie bildet nicht die Gesamtheit des E-Mail-Verkehrs ab

Diese Ergebnisse klingen erst einmal gut und logisch im Zuge der Snowdon-Enthüllungen. Schließlich wurde Unternehmen und Privatpersonen auf eindeutige Art und Weise klargemacht, dass sie sich um den Schutz ihrer E-Mail-Kommunikation kümmern müssen. Und dennoch: Bilden die von Google erhobenen Zahlen auch die Realität in Unternehmen ab?
hs-product-feature-detail-0004Wir haben uns einmal den eingehenden E-Mail-Verkehr im Hornetsecurity Spamfilter Service angesehen und analysiert. Unsere Zahlen sprechen eine andere Sprache: So konnten wir zwar ebenfalls feststellen, dass die Zahl unverschlüsselter E-Mails in den letzten Monaten sank, sie ist jedoch immer noch auf einem sehr hohen Niveau: Der Anteil unverschlüsselter eingehender E-Mails liegt bei ca. 67 Prozent. Verwendet wird zur Verschlüsselung fast ausschließlich TLS, also die Verschlüsselung während der Übertragung einer E-Mail. Mit PGP oder S/MIME verschlüsselte Mails machen nur etwa 0,004 Prozent des Gesamt-Traffics aus.

Wie kommt eine solche Diskrepanz zustande? Dies dürfte sehr stark an den unterschiedlichen Nutzern liegen, die die analysierten E-Mails verschickt haben. Google-Nutzer sind vor allem Privatanwender, die E-Mails mit anderen Privatanwendern austauschen. Diese Kommunikationspartner wiederum pflegen ihre E-Mail-Konten hauptsächlich bei anderen großen Providern wie Yahoo oder Outlook.com, die in den vergangenen Monaten zusätzliche Sicherheits-Features eingebaut haben. Betrachtet man die Situation in Deutschland, ist die Situation ähnlich: Der Großteil der deutschen Privatpersonen hat einen E-Mail-Account bei Web.de, GMX, T-Online oder Freenet. Diese Provider verschlüsseln mit „E-Mail made in Germany“ automatisch die Übertragung von Nachrichten, wenn diese zwischen diesen Partner im E-Mail made in Germany Verbund, darunter auch Hornetsecurity, ausgetauscht werden. Darüber hinaus nutzen professionelle Provider beim Versand mittlerweile routinemäßig TLS, wenn die Empfängerseite das unterstützt. Und genau da liegt der Hase im Pfeffer: Viele Unternehmen, die eigene Mailserver betreiben oder bei lokalen Systemhäusern hosten lassen, schützen ihre E-Mail-Kommunikation noch immer nicht mit Verschlüsselungsmethoden wie TLS, obwohl sie firmenkritische und sensible Daten per E-Mail versenden und empfangen.

 

Unternehmens-Kommunikation hinkt in Punkto Sicherheit hinterher

Das bedeutet: E-Mails von Privatpersonen sind mittlerweile besser geschützt als Unternehmens-E-Mails. Der Grund dafür ist vermutlich, dass Firmen, anders als Privatnutzer, selber für den Schutz ihrer E-Mail-Kommunikation sorgen müssen, jedenfalls dann, wenn sie E-Mail in Eigenregie betreiben. Die Implementierung der zur Verschlüsselung notwendigen Technologien ist zwar nicht übermäßig schwierig, erfordert aber schon ein bestimmtes Fachwissen und verursacht durchaus einigen Aufwand. Hier zeigt sich einmal mehr der Vorteil von Cloud-Services, wie die Hornetsecurity E-Mail-Verschlüsselung: Aktuelle Technologie kann ohne eigenen Aufwand genutzt werden, die Sicherheit wird schon dadurch verbessert. Die Zurückhaltung vor allem im Mittelstand gegenüber Cloud Services ist deshalb unangebracht und sorgt u.a. dafür, dass die IT-Sicherheit im Mittelstand schlechter ist, als sie sein könnte und sollte.