Wie Sie Know-How-Klau via E-Mail verhindern

Allein in Deutschland versenden 3.000.000 Unternehmen jeden Werktag etwa 3.000.000.000 E-Mails. Häufig enthalten sie vertrauliche Interna oder personenbezogene Daten, die oft unbemerkt von Kriminellen mitgelesen und missbraucht werden.

Anne Alsfasser spricht mit Diplom-Technomathematiker Georg Nestmann über Sicherheitslücken im E-Mail-Versand.

Sicherheitslücke E-Mail-Verkehr

Alsfasser: Viele Verantwortliche in kleinen oder mittleren Unternehmen gehen davon aus, dass solche Horrorszenarien ein Problem von Konzernen oder Aktiengesellschaften seien. Auch einer meiner Kunden, Geschäftsführer eines Produktionsbetriebes mit rund 55 Mitarbeitern, glaubte bis letzte Woche, dass ihm so etwas nicht passieren könne. Jetzt weiß er es sicher: Ihm wurden durch einen großflächigen Cyberangriff wettbewerbsentscheidende Informationen gestohlen.

Wie Postraub: Der Man-in-the-Middle

Im Fall von Matthias M. wurde das Unternehmen durch einen sogenannten Man-in-the-Middle-Angriff ausspioniert, dies bestätigte das zuständige Kommissariat für Computer- und Internetkriminalität.

In den letzten zwei Wochen meldeten sich mehrere Unternehmer mit der Sorge, dass Hacker versuchen, die aktuelle Krisensituation für Angriffe auszunutzen. Was macht die E-Mail für Cyberkriminelle so interessant?

Nestmann: Einfacher als ein Angriff auf die Server eines Unternehmens ist es, ausgehende E-Mails mitzulesen. Allein in Deutschland versenden 3.000.000 Unternehmen jeden Werktag etwa 3.000.000.000 E-Mails. Teils mit vertraulichen Inhalten oder dazu geeignet, Vertrauensbeziehungen auszuspionieren und Wettbewerbsvorteile abzuschöpfen.

E-Mails sind wie Postkarten

Eine E-Mail ist wie eine Postkarte. Unbefugte Dritte können ungesicherte E-Mails wie eine Postkarte einfach mitlesen. Das zeigen auch die E-Mail-Skandale der letzten Jahre – weltweit genauso wie im deutschen Mittelstand. Das sind lukrative Ziele. Da ist viel Know-how zu holen, da liegen Datenschätze. Und obwohl sich viele Unternehmen durchaus Mühe geben, fremde Zugriffe zu blockieren, wird genau dann nicht aufgepasst, wenn diese Daten im täglichen E-Mail-Versand häppchenweise das Unternehmen verlassen.

Im deutschen Mittelstand ist viel Know-how zu holen, da liegen Datenschätze.

Georg Nestmann, comcrypto

Alsfasser: Eine E-Mail kann also – wie eine Postkarte – von jedem gelesen werden. Ich beschreibe es noch einmal mit meinen Worten: der Absender schickt die Postkarte an den Adressaten. Jeder, der die Postkarte auf ihrem Postweg in den Händen hält, kann sie lesen. Aus diesem Grund nutzt man in der analogen Welt Postkarten für Grüße, aber nicht zum Austausch von Vertraulichkeiten. Dafür gibt es Briefe oder – noch sicherer – Einschreiben.

Know-How-Klau: Millionenschäden

Nestmann: Genau. Die IT im eigenen Unternehmen ist häufig nicht das Problem und auch die Empfänger von E-Mails sind fast immer gut abgesichert. Dazwischen aber ist Wild-West.

Nichts ist leichter, als mit Hilfe gefälschter Zertifikate E-Mails mitzulesen. Solche Man-in-the-Middle-Angriffe können über Jahre unerkannt bleiben und Millionenschäden verursachen.

Der Datenverlust über E-Mail-Spionage bleibt lang unerkannt.

Georg Nestmann, comcrypto

Die Kommunikationspartner bemerken den Datenverlust erst, wenn Interna ausgenutzt werden und die Situation entgleitet. Anders als zum Beispiel beim Aufruf sicherer Websites, bei denen der Browser selbstständig prüft, ob die Seite vertrauenswürdig ist und dann auch nur über eine verschlüsselte Verbindung Daten versendet, gab es das für E-Mails bisher nicht.

Müssen Unternehmen E-Mails verschlüsseln?

Alsfasser: Die DSGVO verlangt den Schutz personenbezogener Daten. Deswegen verschlüsseln zum Beispiel Steuerberater ihre E-Mails. Müssen alle Unternehmen Ihre E-Mails verschlüsseln?

Nestmann: Ja, sagt die DSGVO, wenn es um Personendaten geht. Ja, sagt auch der Unternehmerverstand, wenn es um Kundenbeziehungen, Ausschreibungen und Geschäftsgeheimnisse geht. In der Praxis sieht es aber oft anders aus.

Mangelndes Bewusstsein beim Know-How-Schutz

Alsfasser: Der Unternehmer muss erst einmal um die dringende Notwendigkeit wissen, seinen E-Mailverkehr zu schützen. Was denken Sie, wie viele Unternehmen tun bereits jetzt die richtigen Dinge, um Datenraub und -missbrauch im E-Mailverkehr effektiv zu verhindern?

Nestmann: Wir gehen davon aus, dass vielleicht ein Prozent der Unternehmen wirklich effektive Maßnahmen betreibt, um den E-Mail-Versand zu schützen und die Datenschutzpflichten zu erfüllen. Das liegt daran, dass die Aufwände enorm sind und ein Unternehmen für jeden Empfänger einzeln eine Lösung finden muss. Das spüren gerade jetzt auch viele Mitarbeiter im Home-Office und das erfahren auch viele Kunden sehr negativ, wenn sie mit Passwörtern oder verschlüsselten PDF umgehen müssen.

Vielleicht ein Prozent der Unternehmen betreiben wirklich effektive Maßnahmen, um den E-Mail-Versand zu schützen und die Datenschutzpflichten zu erfüllen.

Georg Nestmann, comcrypto

Das nervt: Passwortgesicherte PDF

Alsfasser: Der Umgang mit passwortgesicherten E-Mails und verschlüsselten PDFs kennt jeder. Und nervt jeden. Geht das auch einfacher? Denn genau das ist es, was Unternehmen wollen: einfache Lösungen, die funktionieren.

Nestmann: Die bisherigen Lösungen am Markt sind sehr teuer und nur schwierig zu administrieren. Davon kann jeder IT-Verantwortliche ein Lied singen. Da geht es schon bei der Akzeptanz der eigenen Mitarbeiter los und hört bei den Beschwerden der Empfänger und Datenschutzbeauftragten längst nicht auf. Allzu oft werden E-Mails dann trotzdem unverschlüsselt verschickt. Ob aus Bequemlichkeit oder weil es schnell gehen muss oder weil wieder einmal das Passwort vergessen wurde. Die mit bester Absicht installierten Sicherheitsmaßnahmen bleiben folglich wirkungslos.

Sicherheit statt Mitarbeiterbeschäftigung

Nestmann: Das Ziel für unsere eigene, wirklich wirtschaftstaugliche Lösung war es also, die E-Mail nicht komplizierter zu machen, sondern den sicheren E-Mail-Versand flächendeckend von der Technik erledigen zu lassen. Sicherheit statt Mitarbeiterbeschäftigung, Empfängerfreundlichkeit statt Passwortprobleme.

E-Mail-Versand einfach und sicher

Wir haben eine Lösung für Unternehmen entwickelt, die einfach und selbstständig den kompletten E-Mail-Versand datenschutzkonform absichert, jeden Empfänger sicher erreicht und trotzdem nicht mit Passwörtern nervt. Das funktioniert für Freiberufler und KMU bis hin zu Behörden und großen Konzernen mit tausenden von E-Mail-Postfächern.

Alsfasser: Schenken Sie mir und unseren Lesern ein Statement zum Schluss unseres Gesprächs?

Nestmann: E-Mail ist ein einfaches und universelles Kommunikationsmittel und das soll es auch bleiben.

Über Comcrypto

Die Comcrypto mit Sitz in Chemnitz entwickelt kryptografische Systeme zum Schutz der Vertraulichkeit und Integrität asynchron übermittelter, digitaler Daten. Anwendungsfelder sind der sichere E-Mail-Versand für Unternehmen und die Übertragung von Geräte- und Maschinendaten im Internet of Things. Die Geschäftsführung teilen sich Georg Nestmann (30, CEO, Diplom-Technomathematiker), Alexander Woeschka (32, COO, Diplom-Ingenieur) und Hendrik Nöll (33, CTO, Diplom-Informatiker).