Zertifikate, signierte E-Mails, symmetrische- und asymmetrische Verschlüsselung, S/MIME, TLS und PGP – für viele, die sich nicht regelmäßig mit dem Thema E-Mail-Verschlüsselung beschäftigen, sind diese Begriffe lediglich böhmische Dörfer. Spätestens mit der neuen Datenschutzgrundverordnung (DSGVO) steht dieser Punkt allerdings ganz oben auf der To-do-Liste vieler Unternehmen. Insbesondere bei kleinen und mittelständischen Betrieben fehlt jedoch das nötige Wissen, um mit der Verschlüsselung ihrer E-Mail-Kommunikation die neuen Vorgaben umsetzen zu können. Hornetsecurity geht in diesem Beitrag auf einige grundlegende Begrifflichkeiten und Technologien rund um die E-Mail-Verschlüsselung ein.

Asymmetrische- und symmetrische E-Mail-Verschlüsselung – wo liegen die Unterschiede?

Betrachtet man die asymmetrische und symmetrische E-Mail-Verschlüsselung genauer, wird man sehr schnell feststellen, dass diese grundlegend verschieden sind. Im Wesentlichen unterscheiden sie sich durch die Anzahl und die Art der eingesetzten Schlüssel.

Bei der symmetrischen E-Mail-Verschlüsselung wird derselbe Schlüssel sowohl zum Ver- als auch zum Entschlüsseln der Mail genutzt. Das bedeutet, dass Absender und Empfänger einer E-Mail denselben Schlüssel besitzen und diesen gemeinsam verwenden. Somit ist dieses Verfahren zwar sehr einfach, aber seine Sicherheit ist essentiell an die Geheimhaltung der Schlüssel gebunden – gerät der Schlüssel in die Hände eines Dritten, kann dieser die gesamte Kommunikation entschlüsseln.

Bei der asymmetrischen E-Mail-Verschlüsselung kommen insgesamt vier Schlüssel zum Einsatz, jeweils ein Schlüsselpaar – ein öffentlicher und ein privater Schlüssel – pro Kommunikationspartner. Der öffentliche Schlüssel ist für jeden Kommunikationswilligen zugänglich und wird mit dem Zertifikatsaustausch übertragen. Er wird für die Verschlüsselung der Daten, in unserem Fall E-Mails, verwendet.

Um die verschlüsselten Daten wieder zu entschlüsseln, wird der zum öffentlichen Schlüssel zugehörige private Schlüssel benötigt. Das Schlüsselpaar steht zwar in einer mathematischen Abhängigkeit zueinander, praktisch ist es allerdings nahezu ausgeschlossen, sie zu errechnen.

S/MIME, PGP und TLS– was steckt hinter den Abkürzungen?

Bei PGP und S/MIME handelt es sich um asymmetrische Verschlüsselungsverfahren. Beide Verfahren haben einen entscheidenden Vor- und Nachteil. Der Vorteil ist, dass auch der E-Mail-Provider des Absenders und Empfängers keinen Einblick in die E-Mail hat. Der Nachteil hingegen ist, dass nur die Nachricht verschlüsselt wird. Absender und Empfänger sowie der Betreff lassen sich trotzdem auslesen.

Untereinander unterscheiden sich die E-Mail-Verschlüsselung mit S/MIME und PGP im Wesentlichen in der Ausstellung der Zertifikate. Während PGP (auch als OpenPGP bezeichnet) eine Open-Source-Lösung darstellt, bei der sich im Prinzip jeder seine eigenen Zertifikate erstellen kann, erfolgt die Zertifizierung bei S/MIME über offizielle Zertifizierungsstellen, die sogenannten Certificate Authorities (CA).

TLS unterscheidet sich nochmals grundlegend von der E-Mail-Verschlüsselung mit S/MIME oder PGP. Hier wird nicht die E-Mail selbst verschlüsselt, sondern lediglich die Verbindung zwischen den zwei kommunizierenden Servern. Auf dem Transportweg kann die E-Mail somit nicht abgegriffen werden, doch auf den jeweiligen Mailservern liegt sie unverschlüsselt vor.

E-Mail-Verschlüsselung umsetzen – es gibt nicht „den einen“ Weg

Alle Wege führen nach Rom – doch welche führen zu einer gesetzeskonformen E-Mail-Verschlüsselung? Tatsächlich bestehen für Unternehmen mehrere Möglichkeiten, diese umzusetzen. Die prominentesten sind so genannte On-Premise- sowie Cloud-Lösungen.

Bei den On-Premise-Lösungen erfolgt die Verschlüsselung der E-Mails direkt vor Ort, also bei den Unternehmen selbst. Dabei kann die E-Mail-Verschlüsselungssoftware von einem externen Anbieter zugekauft, angemietet oder auch ganz in Eigenregie betrieben werden. Dieses Verfahren bietet dem Unternehmen zwar eine hohe Transparenz und Entscheidungsfreiheit, zieht aber einen nicht zu unterschätzenden Verwaltungs- und Administrationsaufwand mit sich. Auch die Kosten für Wartung und Betrieb sind nicht unerheblich.. On-Premise-Lösungen gelten heutzutage als Auslaufmodell und werden zunehmend durch das moderne Cloud-Computing verdrängt.

Bei der Cloud-Computing-Alternative, auch „SaaS“-Lösung (Software as a Service) genannt, nimmt der Security-Provider dem Unternehmen sämtlichen Aufwand, wie etwa die Administration, die Verwaltung und den Betrieb, ab. Der gesamte E-Mail-Verkehr des Unternehmens wird dann über die Server des Security-Providers abgewickelt, so auch beim E-Mail-Verschlüsselungsservice von Hornetsecurity. Der Weg zwischen Mailserver des Kunden und dem Service-Provider ist per TLS geschützt. Diese Lösung zeichnet sich insbesondere durch den wegfallenden Verwaltungs- und Administrationsaufwand für ein Unternehmen aus. Um letztendlich eine vollständig abgesicherte E-Mail-Kommunikation zu gewährleisten, können und sollten TLS und S/MIME allerdings gleichzeitig verwendet werden. Nur so ist die E-Mail selbst, als auch ihr Transportweg verschlüsselt.

Weiterführende Informationen:

• Hornetsecurity Service: E-Mail-Verschlüsselung
• Informationen zu IT-Sicherheitsthemen finden Sie ab sofort in der Hornetsecurity Wissensdatenbank.
• Infografiken zur E-Mail-Verschlüsselung