Das sichere Verschicken von E-Mails ist so eine Sache: Um vor allen Unwägbarkeiten geschützt zu sein, müssen Nutzerinnen und Nutzer etwas Aufwand betreiben, der über den passwortgeschützten Zugang zum E-Mail-Programm hinausgeht. Aber welche Maßnahmen sind eigentlich gesetzlich vorgeschrieben? Wann ist die Verschlüsselung von E-Mails Pflicht?
Hier ist die Verschlüsselung von E-Mails Pflicht
Das Verschlüsseln von E-Mails war bereits vor dem Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) in einigen Fällen Pflicht. Bereits im Bundesdatenschutzgesetz wurde die Verschlüsselung als Möglichkeit genannt, nutzerbezogene, sensible Daten zu schützen. Mit der DSGVO wurde diese Forderung vehementer und erkenntlicher, wirklich neu ist sie jedoch nicht.
Aber wann ist die Verschlüsselung von E-Mails nun also Pflicht? Sicher trifft es nicht jede Mail, die an den Kollegen und die Geschäftspartnerin geschickt wird.
In der DSGVO ist relativ klar ersichtlich, wann die Verschlüsselung ein Muss ist, denn personenbezogene Daten müssen laut Art. 5 Abs. 1 lit. f DSGVO „in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen […]“.
In Art. 32 Abs. 1 Satz 1 DSGVO heißt es dann weiter, dass „geeignete technische und organisatorische Maßnahmen“ getroffen werden müssen, „um ein dem Risiko angemessenes Schutzniveau zu gewährleisten“ sind. Es werden außerdem die Pseudonymisierung und Verschlüsselung personenbezogener Daten als Möglichkeit der sicheren Datenverarbeitung genannt.
Was sind personenbezogene Daten?
Wenn wir mit den Kolleginnen und Kollegen per Mail den nächsten Meeting-Termin absprechen, handelt es sich sicher nicht um einen schützenswürdige Information. Wird jedoch die Geburtstagsliste mit den Geburtstagen der Mitarbeitenden herumgeschickt – was an sich als kritisch zu betrachten ist – ist dies jedoch schwierig.
Im Art. 9, Absatz 1 DSGVO wird erläutert, was personenbezogene Daten sind:
- sexuelle Orientierung
- biometrische Daten
- ethnische Herkunft
- politische Meinung
- religiöse Überzeugungen
- Gesundheitsdaten
Mindestens genauso sensibel sind Daten wie Adressen und Telefonnummern. Natürlich: In der Signatur einer geschäftlichen E-Mail finden sich solche Daten auch. Hierbei ist eine Veröffentlichung dieser Daten in einem bestimmten Nutzerkreis – den Adressaten der jeweiligen E-Mail – jedoch gewollt. Werden jedoch Kundendaten unverschlüsselt per E-Mail verschickt, kann das Folgen haben.
Arten von Verschlüsselung der E-Mails
Es gibt zwei gängige Optionen der Verschlüsselung von E-Mails, die Inhalts- und Transportverschlüsselung.
Bei der Inhaltsverschlüsselung wird der komplette Inhalt – bis auf den Betreff, Absender und Empfänger – verschlüsselt. Nur der Sender und der Empfänger können wissen, was in der E-Mail steht. Hackt jemand den Zugang, kann er die E-Mail trotzdem nicht lesen.
So funktioniert die Inhaltsverschlüsselung von E-Mails
Damit eine E-Mail mit Inhaltsverschlüsselung – die sogenannte Ende-zu-Ende-Verschlüsselung – lesbar wird, muss ein Code erstellt werden, der sogenannte Schlüssel. Diesen öffentlichen Schlüssel kann die Nutzerin bzw. der Nutzer an alle Personen schicken, von denen er bzw. sie eine E-Mail erhalten möchte, der Schlüssel kann auch in der E-Mail-Signatur stehen.
Geheim muss der öffentliche Schlüssel nicht sein, dafür aber der private Schlüssel. Dieser zweite Schlüssel wird vom E-Mail-Programm der Nutzerin bzw. des Nutzers erstellt. Möchte nun jemand eine E-Mail an die Person schicken, benötigt dieser Sender zunächst den öffentlichen Schlüssel. Geht die E-Mail bei dem Betroffenen ein, wird sie vom E-Mail-Programm mittels des zweiten, sicheren Schlüssels entschlüsselt.
Aber Vorsicht: Hat das E-Mail-Programm die E-Mail entschlüsselt, wird sie unverschlüsselt und somit lesbar im Programm abgespeichert. Verschafft sich jemand Zugang zum Rechner, kann also auf die E-Mail zugegriffen werden.
So funktioniert die Transportverschlüsselung von E-Mails
Bei der Transportverschlüsselung wird nicht die E-Mail selbst verschlüsselt, sondern nur die Verbindung selbst. Das bedeutet aber auch: Gelingt es Unbefugten, die Verbindung zu hacken, sind alle Inhalte sofort lesbar. Trotzdem ist diese Art der Verschlüsselung geläufiger und wird auch von vielen Providern eingesetzt.
Verschlüsselung von E-Mails in interner Kommunikation
Ob Unternehmen auch intern ihre E-Mails verschlüsseln, kommt auf die jeweilige Situation an. Stehen die Rechner in einem Raum, der leicht für nicht-befugte Personen zugänglich ist, dann sind neben dem Verschlüsseln von E-Mails weitere Maßnahmen zu treffen, um die Sicherheit der E-Mails zu gewähren.
Hier kann es auch schon reichen, ein Anti-Viren-Schutz-Programm zu nutzen, dass auch die Sicherheit der E-Mail-Kommunikation im Blick hat. Eine weitere Rolle spielt die Art des jeweiligen Endgerätes. Für das berufliche Verwenden von Smartphones gelten besondere Vorschriften, um eine sichere Verbindung zum Verschicken und Empfangen von E-Mails gewährleisten zu können.
Sind im Unternehmen alle Rechner frei zugänglich und zudem nicht passwortgeschützt, dürfen in keinem Fall sensible Daten versendet werden.
Ende-zu-Ende-Verschlüsselung oder nur eine verschlüsselte Verbindung?
Ob nun eine Transport- oder Inhaltsverschlüsselung angewendet wird, hängt von den Strukturen und der Branche des Unternehmens oder der Organisation, der Mitarbeiterstruktur und den internen Arbeitsabläufen ab. Gehört die Arbeit mit sensiblen Daten zum Kerngeschäft des Unternehmens, ist eine Ende-zu-Ende-Verschlüsselung angeraten.
Gehört die Kommunikation über digitale Wege nicht zu den täglichen Arbeitsabläufen, ist dies vielleicht nicht notwendig. Es gilt immer, die „angemessene Sicherheit der personenbezogenen Daten“ zu gewährleisten, wie es in der DSGVO heißt. Was angemessen ist, muss individuell abgewogen werden.