Wo sind E-Mails sicher?

Wer eine E-Mail sendet, muss sich darüber im Klaren sein, dass der Inhalt nicht privat ist. E-Mails können mit relativ geringem Aufwand abgefangen und anschließend auch gelesen werden. E-Mails sind ein sensibles Thema, wie zuletzt der Wahlkampf in den USA gezeigt hat. Hillary Clinton hätte es fast die Präsidentschaftskandidatur gekostet. Aktuell ist sie wieder im Visier, weil die Enthüllungsplattform Wikileaks teilweise brisante E-Mails von Clintons Chefstrategen John Podesta veröffentlicht hat.


Was die Causa Clinton mit Otto Normalverbraucher zu tun hat

Natürlich, Hillary Clinton spielt in einer anderen Liga. Es geht um Informationen, die Top-Secret sind, und um Vorgänge, die Auswirkungen auf die Weltpolitik haben können. In ihrem Fall ging es 2016 darum, dass sie während ihrer Zeit als US-Außenministerin von 2009 bis 2013 einen privaten E-Mail-Account für ihre gesamte dienstliche Kommunikation genutzt hat. Sie war nicht einmal im Besitz einer amtlichen E-Mail-Adresse. Fast zwei Jahre nach ihrem Ausscheiden aus dem Amt hat es gedauert, bis diese amtlichen E-Mails im Archiv der Regierungskommunikation zur Verfügung standen. Im Fall der von Wikileaks veröffentlichten E-Mails sind geheime Informationen betroffen, Strategien im Wahlkampf, Inhalte vertraulicher Reden. Die Geheimdienste mischen vermutlich in der Sache mit.

Vertrauliche Informationen gibt es auf allen Ebenen der E-Mail-Kommunikation. Persönliche Informationen über Menschen werden weitergegeben, ohne dass der Schutz personenbezogener Daten gewährleistet ist. E-Mails bezeugen Peinlichkeiten, mit denen man selbst angreifbar wird. Manche scheuen sich nicht, vertrauliche Informationen, die in der Papierform im Tresor aufbewahrt werden, im Anhang einer E-Mail mit zu schicken. Das ist hochgradig leichtsinnig. Dabei gibt es Möglichkeiten, sich abzusichern. Auch wenn es nicht um Staatsgeheimnisse und Weltpolitik geht, mit einigen einfachen Maßnahmen lässt sich die E-Mail-Kommunikation absichern.

Sicherheitsmaßnahme 1 - keine privaten Postfächer für berufliche Kommunikation nutzen

Dienstlich versendete E-Mails gehören dem Unternehmen, das jederzeit Zugriff auf Kunden- und Lieferantenkontakte haben sollte. Im Krankheitsfall muss eine Vertretung, wenn ein/e Mitarbeiter/in ausscheidet, die nachfolgende Person auf der Stelle die Kommunikation fortführen können. Nur durch eine zentrale E-Mail-Organisation kann sichergestellt werden, dass die Vorgaben einen sicheren E-Mail-Schriftverkehr eingehalten werden.

Sicherheitsmaßnahme 2 - gesunder Menschenverstand

Würden Sie ihre Steuerunterlagen per Postkarte verschicken: “Wir haben Zahlungsausfälle bei Familie Meier und Müller”? Oder Einzelheiten über Familienverhältnisse der Kunden an die Litfaßsäule schreiben: “Die Ehe ist geschieden, der Sohn psychisch krank. Das solltest Du für das Gespräch mit der Familie wissen”? In dem einen Fall schadet man dem eigenen Unternehmen, wenn diese Informationen öffentlich werden. Der andere Fall ist ein Beispiel für einen eindeutigen Verstoß gegen den Datenschutz. Solche Informationen betreffen die Persönlichkeitsrechte, es sind sogar besonders schützenswerte Daten nach § 3 Absatz 9 des Bundesdatenschutzgesetzes (BDSG)

Sicherheitsmaßnahme 3 - Den Mailserver bewusst wählen

Geschäftlich genutzte E-Mails gehören nicht auf den Server eines Freemail-Anbieters. Wer diese nutzt, sollte wissen, dass die US-Anbieter von Mailservices wie Google, Yahoo oder Hotmail von den US-Behörden gezwungen werden können, Daten herauszugeben. Die deutschen Anbietern wie GMX oder Posteo unterliegen nicht den amerikanischen Rahmenbedingungen.
Eigentlich logisch, doch immer noch nicht selbstverständlich: Die E-Mail-Adressen für die Unternehmenskommunikation sollte unter dem eigenen Domainnamen eingerichtet sein, also beispielsweise konktakt@bestattungsunternehmenxyz(.)de Wenn die Webseite von einem deutschen Anbieter gehostet wird, haben US-Behörden keinen Zugriff. Ganz nebenbei wirkt eine E-Mail-Adresse mit dem Domainnamen auch wesentlich seriöser als eine Adresse mit @web.de oder @t-online.de.

Sicherheitsmaßnahme 4 - Verschlüsselte E-Mail-Kommunikation

Der sicherste Weg Inhalte der E-Mail-Kommunikation vertraulich zu halten, ist die Verschlüsselung der Nachrichten. So kann nur der Empfänger die Nachricht lesen – aber auch nur, wenn er den Entschlüsselungscode kennt und das gleiche Programm benutzt. Am weitesten verbreitet sind Programme, die auf GnuPGP (kryptographierte Dokumente) beruhen. In E-Mail-Desktop-Programm (Outlook oder Thunderbird) übernimmt das das Freeware-Programm Gpg4win.

Wenn man sich die Wege einer E-Mail veranschaulicht, erschließt sich sofort, warum eine vertrauliche Nachricht verschlüsselt werden sollten: Vom Computer des Absenders wird sie zu dessen E-Mail Provider übertragen und dort im Postfach abgelegt. Danach wird die E-Mail an den Provider des Empfängers übertragen und liegt dort im Empfängerpostfach. Erst beim nächsten Abruf wird die E-Mail zum Rechner des Empfängers übertragen, damit sie dort geöffnet und gelesen werden kann. Um die Vertraulichkeit der gesendeten Informationen zu bewahren, muss die E-Mail auf allen Transportwegen und an allen Ablageorten geschützt werden. Wenn das nicht gewährleistet ist, sollten sensible Daten nicht über E-Mail versendet werden.

Eine Ende-zu-Ende-Verschlüsselung setzt daher einen bekannten Schlüssel zwischen Sender und Empfänger voraus. Bei den gängigsten Verfahren Pretty Good Privacy (PGP) und S/Mime, handelt es sich um Public-Key-Verfahren. Vor dem Einsatz der Verschlüsselung tauschen die Kommunikationspartner ihre öffentlichen Schlüssel aus und verschlüsseln die E-Mails dann mit dem jeweiligen öffentlichen Schlüssel des Empfängers. Entschlüsseln kann man die E-Mails dann nur mit dem privaten Schlüsseln des Empfängers.

Ob verschlüsselte E-Mail-Postfächer oder Ende-zu-Ende-Verschlüsselung eingesetzt werden, sollte anhand der Vertraulichkeit der zu senden Informationen und dem Ablageort bewertet werden. Leider ist ein Versand mit Verschlüsselungsverfahren immer noch aufwändiger als ohne. Verschlüsselung ist nur eine Sicherheitsmaßnahme. Genauso wichtig ist die Wahl eines starken und komplexen Passwortes für das E-Mail-Konto.