Abhörsichere Mails: So gehen Unternehmen auf Nummer sicher

Abhörsichere Mails: So gehen Unternehmen auf Nummer sicher

Security-Experte Martin Prager empfiehlt Unternehmen, sich die Partner in der IT sorgfältig auszusuchen. Speziell, wenn diese amerikanische Wurzeln haben.

Martin Prager ist Sicherheitsexperte und engagiert sich in der Fachgruppe Unternehmensberatung und Informationstechnologie der Wirtschaftskammer Wien . Im Gespräch mit FORMAT.AT skizziert er die Grundlagen abhörsicherer Mails.

Format : Was verstehen Sie konkret unter abhörsicheren Mails?

Martin Prager : Das ist die Schlüsselfrage überhaupt. Ein Mail ist ja wie eine Postkarte. Im Prinzip ist alles offen, das heißt, es kann sich jemand in die Leitung einhängen und zuhören. Doch man kann recht leicht etwas dagegen tun. Grundlage dafür ist das Verständnis, wie Mails funktionieren. Es gibt drei Strecken für den Mailverkehr: Zunächst vom Nutzer, also vom Verfasser der Mail, zu seinem Server, dieser Sendeserver sendet es dann an den Empfangsserver, von dort holt es sich der Empfänger aktiv ab. Das sind die drei Strecken, die es gibt.

Und alle drei sollten sicher sein?

Prager : Genau. Es beginnt auf der ersten Strecke vom Empfänger zum Server: Wo steht dieser Server? Wenn das in der Firma ist, ist dieser Bereich lokal abzusichern. Und auf der Strecke zwischen Server und Empfänger kann https verwendet werden, das ist eine einfache Konfiguration. Bleibt die Strecke zwischen den Postservern: Korrekt konfigurierte Server kommunizieren ausschließlich via SSL. Nun kommt aber das große Aber: Wer betreibt die Mailserver, wo stehen sie? Vertraut man diesem Partner? Ich würde alle Freemail-Systeme als nicht sicher einstufen. Das ist nichts gegen Google oder GMX, aber umsonst gibt es eben gar nichts. Es braucht keiner glauben, dass dort kein Data-Mining passiert. Das ist an sich nichts Böses, aber man muss es halt wissen. Sichere Mails sind also dann gegeben, wenn ich die gesamte Strecke unter Kontrolle habe.

Klingt gar nicht so kompliziert.

Prager : Sicherheit ist relativ einfach möglich, doch man muss es halt tun. Man kann ja beispielsweise die Anhänge verschlüsseln und man könnte auch die Mails selbst mit einer Signatur versehen, ebenso die Anhänge.

Was braucht also ein Unternehmen, um auf Nummer sicher zu gehen?

Prager : Unternehmen sollten generell keine Freemails verwenden und man sollte den entsprechenden Dienstleister sorgfältig auswählen. Also nach das Bestbieter-Prinzip vorgehen, nicht nach dem Billigstbieter-Prinzip. Was nicht heißt, dass Mails teuer sein müssen, es kommt halt auf die Anforderungen an. Wenn ich streng geheime Dokumente habe, brauche ich eine ganz andere Ebene der Sicherheit.

Ist das Thema nun angesichts der NSA-Debatten etc. besonders interessant?

Prager : Die von uns, die in der Security tätig sind, haben längst gewusst, dass die Geheimdienste Gesetze brechen und mitlesen. Neu ist, dass das auch befreundete Staaten tun. Das ist eine ganz andere Ebene. Wir dürfen uns aber keine Illusionen machen, dass das nicht auch andere Staaten wie China tun.

Und die Konsequenzen?

Prager : Ich kann keiner Firma raten, eine Cloud-Lösung mit einem Unternehmen zu machen, das entweder amerikanischen Ursprung oder dort eine Niederlassung hat – diese unterliegt ja der amerikanischen Gesetzgebung. Das heißt, Microsoft beispielsweise muss Informationen auf Aufforderung an US-Behörden weitergeben. Ich muss meine Partner also noch sorgfältiger auswählen. Für mich als Vertreter der Wirtschaftskammer ist von besonderer Relevanz, dass auch Wirtschaftsspionage betrieben werden kann. Wir müssen uns davor schützen. IT-Security liegt übrigens in der Verantwortung der Geschäftsführung.

Haben Sie weitere Tipps und Hinweise, wie Sicherheit in der Praxis funktioniert?

Prager : Ganz gewöhnliche Vorsichtsmaßnahmen treffen, so wie ich keine Türe offen lasse. Also keine Passwörter auf die Tastatur kleben, keine Auskunft am Telefon geben. Es macht auch Sinn, den Virenschutz auf dem jüngsten Stand zu halten. Abgesehen davon hilft es, Fachleute dafür zu engagieren. Das ist deutlich billiger als danach etwas reparieren zu müssen.

Business Solution

IT-Experten fordern mehr Geld für Sicherheit

Business Solution

Mobile Apps: Unternehmen schöpfen Potenziale nicht aus

Business Solution

Office 2016: Microsoft eifert Google nach