Matthias Scharwies: Technische Grundlagen der E-Mail Verschlüsselung

Beitrag lesen

Wie muss ich den E-Mail Verkehr mit Auftraggebern und Auftragnehmern in Bezug auf die DSGVO sichern?

Diese Frage will der zweite Teil der Serie Die DSGVO in der Praxis umsetzen beleuchten:

Grundsätzlich muss man bei der Verschlüsselung bezogen auf E-Mails zwischen der Transportverschlüsselung (SSL/TLS oder STARTTLS) und Inhaltsverschlüsselung (S/MIME oder OpenPGP) unterscheiden.

Bei der Transportverschlüsselung wird der Kanal zwischen E-Mail Client (Web-Client oder Desktop-Client des Senders und/oder Empfängers) und E-Mail Server (des Senders und/oder des Empfängers) verschlüsselt. Durchläuft die Nachricht während des Versands andere „fremde“ E-Mail-Server, die weder dem Sender noch dem Empfänger zuzuordnen sind, so haben weder Sender noch Empfänger einen Einfluss auf diese Server, demnach ist hier nicht gewährleistet, dass der Kanal, über welchen die Nachricht übertragen wird, bei diesen „fremden“ E-Mail Servern verschlüsselt ist. Auf fremden E-Mail Servern ist somit keine Transportverschlüsselung garantiert.

Bei der Inhaltsverschlüsselung wird die Nachricht selbst verschlüsselt, somit liegt die Nachricht nur beim Sender und beim Empfänger im Klartext vor. Einem Angreifer, der die Nachricht während der Übertragung abfangen würde, läge nur die verschlüsselte Nachricht vor. Zur verschlüsselten Übertragung wird ein asynchrones Verschlüsselungsverfahren wie z.B. S/MIME oder OpenPGP verwendet. Die nachfolgenden beiden Videos erklären OpenPGP im Detail. Das erste Video erläutert die Theorie (interessant vor allem ab 5 Minuten und 10 Sekunden), das zweite Video erläutert die Praxis. Aus dem zweiten Video sollte ersichtlich werden, dass bei der Inhaltsverschlüsselung von E-Mails etwas Arbeit erforderlich ist. Sowohl beim Senden als auch beim Empfangen von verschlüsselten E-Mail sind Vorbereitungen beim Sender UND beim Empfänger zu treffen.

  • Möchte man eine verschlüsselte E-Mail versenden, so muss man zunächst den öffentlichen Schlüssel des Empfängers erhalten. Dazu müssen sowohl Sender und Empfänger Ihren E-Mail Client für PGP konfigurieren.
  • Möchte man eine verschlüsselte E-Mail empfangen, so muss man zunächst dem Empfänger den eigenen öffentlichen Schlüssel zukommen lassen. Dazu müssen sowohl Sender und Empfänger Ihren E-Mail Client für PGP konfigurieren.

In der Praxis ist konsequente Inhaltsverschlüsslung mit ALLEN E-Mail Partnern deshalb nicht umsetzbar, zum einen, weil nicht alle E-Mail Partner über das nötige Know How verfügen um PGP einzurichten, zum anderen, weil der Aufwand ein zumutbares Maß übersteigen würde.

DSGVO und E-Mail Verschlüsselung

Die DSGVO fordert einen angemessenen Schutz personenbezogener Daten. Nun stellt sich die Frage wie angemessen laut Gesetzgeber definiert wird. Genau das ist der Knackpunkt. Zum aktuellen Zeitpunkt liegt hier noch keine Definition vor. Man wird hier abwarten müssen, bis der Gesetzgeber dies genauer definiert oder bis eine Klage vorliegt bezüglich welcher der EuGH entsprechend entscheidet.

  • Grundsätzlich bin ich der Meinung, dass bei einem EuGH-Urteil angemessen bezogen auf die Transportverschlüsselung sicherlich zutreffen wird, zumal ich keinen deutschen Mailanbieter kenne der noch ohne Transportverschlüsslung arbeitet und da die Einrichtung damit garnicht anders möglich ist.
  • Hinsichtlich der Inhaltsverschlüsselung bin ich der Meinung, dass aufgrund der nicht möglichen (zumindest bezogen auf ALLE Mailpartner) bzw. nur sehr aufwändig möglichen Umsetzung in der Praxis „angemessen“ bei einem EuGH-Urteil nicht zutreffen wird.

Mein persönliches Fazit aus DSGVO Perspektive

Transportverschlüsslung sollte unbedingt angewandt werden.

Auf Inhaltsverschlüsselung kann man weitgehend verzichten, wobei dies für sensible Daten empfehlenswert ist. Versicherungen und Banken schicken immer öfter nur Infos, dass Nachrichten zum Download bereitliegen.

über den Autor

Autor: Karl Heinz
Webseite: www.sem-united.eu
GoogleAdWords vom Experten