Bitte mitlesen… denn wer verschlüsselt schon E-Mails?
Während ich mir die schönstem Plagiate chinesischer Hersteller anschaue, denke ich über die Sicherheitsphilosophie vieler Unternehmen nach. IT-Abteilungen neigen dazu, beim Thema Security nicht zu sparen. Um Netzwerke abzuschotten werden für Unsummen die besten Firewalls und Intrusion-Detection-Systeme angeschafft. Das ist richtig.
Doch was bringt das abgeschottete System, wenn Mitarbeiter unverschlüsselt brisante Daten per E-Mail versenden?
Technische Zeichnungen und sensible Dokumente kursieren so unverschlüsselt im Internet und sind für Industriespionen ein gefundenes Fressen. Das Problem ensteht auf zwei Seiten: Anwender mit mangelndem Sicherheitsbewußtsein und technisch komplizierte Verschlüsselungsmethoden.
Das erste Problem lässt sich durch eine intensive Aufklärung der Anwender und einer konsequenten Sicherheitspolitik lösen. Das zweite Problem ist leider schwieriger. Es gibt leider keine Wunderwaffe für das reibungslose verschlüsseln von E-Mails. Sichere Methoden verlangen Disziplin und Know-How vom Anwender.
Wir selbst setzen in unserem Unternehmen bei der Verschlüsselung auf OpenPGP/GnuPGP. Firmenintern funktioniert dies prima, doch im Alltag mit Kunden, Partnern und Lieferanten stellt dieses komplexe Verschlüsselungsverfahren die reibungslose Kommunikation oftmals auf die Probe.
Ich sehe aber keine Alternative.
In den letzten zehn Jahren Tätigkeit sind mir so manche kreative Methoden von Anwender unter die Augen gekommen.
Meine Hitliste, der unsicheren Schutzmethoden:
- Schützen einer Excel-Tabelle mit der Excel-Passwort-Funktion
- “Verstecken” von sensiblen Informationen in beigefügten Dokumenten (z.B. Powerpoint)
- Verteilen von sensiblen Informationen auf mehrer E-Mails: URL, Name, Passwort
- ZIP-Archive per Passwort schützen und Passwort per E-Mail versenden
- Verschicken sensibler Textinformationen als Grafik im Anhang