Vertrauliche Emails

Versenden Sie Emails an Geschäftspartner oder Freunde die auch vertrauliche Informationen enthalten?

Wie definieren Sie „vertraulich“? Wir kennen mehrere Schutzklassen von öffentlich, vertraulich innerhalb des Unternehmens, vertraulich im Team, geheim und nur einem kleinen Benutzerkreis bekannt. Typische Vertraulichkeitsklassen sind:

  • Geheim
  • Vertraulich
  • Intern
  • Öffentlich

Bestimmen Sie Ihr Risiko

  1. Welche Informationen enthalten Ihre Emails? Es ist wichtig sich darüber klar zu werden welche Vertraulichkeitsanforderung Sie tatsächlich haben. Der Aufwand um Emails geheim zu halten steigt mit der Vertraulichkeitsstufe!
  1. Stellen Sie fest wo Emails liegen und wie sie transportiert werden . Das erweitert Ihr Verständnis um zu verstehen welche vertraulichen Emails auf Festplatten, USB-Sticks, Backups oder eben fremden Computern liegen. (Dort werden übrigens mit ziemlicher Sicherheit Backups erstellt in denen Ihre Daten auch nach dem Löschen verbleiben!)
  1. Wie hoch ist die Wahrscheinlichkeit das jemand diese Emails in die Hände bekommt? Wer könnte das sein? Empfänger die Sie kennen und mit diesen Emails „gegen“ Sie vorgehen könnten?

Nachdem Sie sich nun den Wert dieser Emails kennen sowie die Wahrscheinlichkeit dass diese in falsche Hände geraten könnten bekannt ist, ist es möglich das Risiko zu ermitteln. Bei einer qualitativen Risikoanalyse untserscheidet man mehrere Vertraulichkeits-Klassen: nicht kritisch (weil öffentlich verfügbar), etwas kritisch (eigene Ideen) und sehr kritisch (Patente, persönliche Daten, etc.). Die Wahrscheinlichkeit das diese Daten in falsche Hände geraten könnte unterteilen Sie in Klassen wie: kaum möglich, wahrscheinlich und sehr wahrscheinlich. Multipliziert man beide Werte dann ergibt sich daraus das Risiko des Vertraulichkeitsverlustes. Ich werde in einem anderen Artikel auf Risikobestimmung nocheinmal eingehen.

Typische Maßnahmen

Jetzt lässt sich erkennen welche Maßnahmen erforderlich sind. Entweder genügt es bereits Emails auf dem Transportweg von Ihrem Computer über die verschiedenen Mailserver bis zum eigentlichen Ziel abzusichern (verschlüsseln). In diesem Fall achtet man auf TLS Verbindungen zwischen Email-Client und dem Email-Server. Oder Sie stellen fest dass sogar eine Ende-zu-Ende Verschlüsselung Ihrer Emails notwendig ist, also von Absender bis Empfänger insbes. Leser. In diesem Fall wählen Sie die Verschlüsselungsmethode (S/MIME oder PGP) und anschließend die Stärke der Verschlüsselung aus.

Darüber hinaus könnten Sie Sorge haben dass Emails auf Ihrer Festplatte ebenfalls in falsche Hände geraten könnten. Wenn der Computer öfter auf Reisen ist oder in einem Büro steht zu dem Ihnen unbekannte Personen Zugang haben, dann sind Maßnahmen auch hier wichtig. Verschlüsseln Sie Ihre Festplatten und eventuell sogar Backups oder USB-Sticks. Welche Maßnahmen hier sinnvoll sind werde ich in einem weiteren Beitrag beleuchten. 

Auf dem Markt sind u.a. folgende Hilfsmittel geeignet: 

  • Klassifizierungs-Software die sich in das Email-Programm integrieren lassen und den Absender auffordern eine Klassifizierung vor Speichern oder Absenden einer Email vorzunehmen. 
  • Software die sich in Office-Programme integrieren lassen um Dateien vor dem Speichern zu klassifizieren. 
  • Email-Verschlüsselungslösungen die diese Klassifizierung nutzen um vor dem Versandt den Absender zur Angabe des Verschlüsselungs-Schlüssels aufzufordern.
  • Festplatten und USB-Stick Verschlüsselungsprogramme sowie Datei-Verschlüsselungs-Software (teilw. integriert in Paketmanager).