Sicherheit

Nutzung privater E-Mail-Konten: Bequemlichkeit vs. Sicherheit

Mal schnell in der Mittagspause nachschauen, ob die Amazon-Bestellung schon auf dem Weg ist. Und bei der Gelegenheit auch gleich die E-Mails checken, die Kollegen geschrieben haben: Die Nutzung privater E-Mail-Konten zum Zwecke firmeninterner Kommunikation gehört in Unternehmen längst zum Alltag. Doch gerade bei geschäftlicher Kommunikation ist Achtsamkeit geboten. Nicht selten geht es hierbei um sensible und vertrauliche Daten, die keinesfalls in die Hände neugieriger Dritter gelangen sollten. Wenigen Führungskräften und Mitarbeitern ist bewusst, welchem Risiko sie das eigene Unternehmen durch die Nutzung privater E-Mail-Konten aussetzen, kommt die unverschlüsselte E-Mail-Kommunikation einem öffentlichen Gespräch doch sehr nahe. Ist Bequemlichkeit wirklich mehr wert als Datensicherheit?

Mehr als die Hälfte aller Boardmitglieder nutzen private E-Mail-Konten

Bei einer Befragung von 411 globalen Board-Mitgliedern und Assistenzen im Zusammenhang mit Forrester Consulting wurde festgestellt, dass mehr als 50 Prozent der Vorstandsmitglieder und Assistenzen ihre privaten E-Mails für die interne Kommunikation mit dem Vorstand verwenden. Boardmitglieder und Direktoren sind mit 56 Prozent die häufigsten Nutzer von privaten E-Mails, gefolgt von C-Level-Führungskräften mit 51 Prozent. Selbst unter den Führungsgremien, die Board-Portal-Software verwenden, verwenden 55 Prozent immer noch private E-Mail-Konten für die interne Kommunikation. Lesen Sie die vollständige Studie hier.

Eine erstaunliche Entwicklung, denn schon vor den Zeiten von WikiLeaks und Edward Snowden war jedem, der sich auch nur ein wenig mit der digitalen Welt auseinandergesetzt hatte, klar, dass das Kommunikationsmittel E-Mail alles andere als sicher ist. Als prominentes (Negativ-)Beispiel verwendete Hillary Clinton während ihrer Zeit als US-Außenministerin von 2009 bis 2013 einen privaten E-Mail-Account für ihre gesamte, teils geheimdienstliche Kommunikation. Diese Fahrlässigkeit wurde ihr bei den Präsidentschaftswahlen wohl mit zum Verhängnis.

 

Eine unverschlüsselte E-Mail ist wie eine Postkarte

Doch was macht die herkömmliche E-Mail so unsicher? Einfach ausgedrückt kann man eine unverschlüsselte E-Mail mit einer Postkarte vergleichen, deren Inhalt auf dem Weg zum Empfänger von jedem, der sie in der Hand hält, gelesen werden kann. Die technischen Hürden, die zum Mitlesen unverschlüsselter Nachrichten überwunden werden müssen, sind für den Fachkundigen relativ niedrig, insbesondere wenn sich dieser im gleichen Netzwerk aufhält.

Um das Risiko der Nutzung unverschlüsselter E-Mail-Korrespondenz richtig einschätzen zu können, muss man sich zunächst im Klaren sein, dass eine E-Mail bis zur Ankunft beim eigentlichen Empfänger wie eine reale Postsendung mehrere Stationen durchläuft. Zunächst wird die Mail an den Internetprovider geschickt. Dieser leitet sie weiter an den Anbieter des eigenen Mail-Postfachs. Von diesem wird sie dann zum E-Mail-Anbieter des Empfängers geschickt, welcher sie schließlich über seinen Internetprovider abruft. Hat ein E-Mail-Anbieter seinen Sitz beispielsweise in den Vereinigten Staaten, wie etwa der beliebte Dienst „Gmail“ des Google-Mutterkonzerns Alphabet, kann eine Information schon einmal um den halben Globus reisen, bis sie beim Kollegen drei Zimmer weiter auf dem Bildschirm erscheint. Anhand dieses Beispiels wird deutlich, wie wichtig es für die Wahrung der Vertraulichkeit der Information ist, die E-Mail auf allen Übermittlungswegen und an allen Ablagestationen durch Verschlüsselung zu schützen.

Zwar bieten viele Anbieter für Nutzer von E-Mail-Clients wie Microsofts Outlook oder Thunderbird von Mozilla mittlerweile erweiterte Verschlüsselungsprotokolle wie SMTPS, POP3S oder IMAPS an, doch müssen diese händisch konfiguriert werden, was den technisch weniger bewanderten Nutzer schon einmal überfordern kann. Wer seine Mails gerne im Browser checkt, sollte analog zu Obigem nur über eine verschlüsselte Verbindung wie HTTPs mit seinem E-Mail-Provider kommunizieren. Doch was genau geschieht dann auf dem Server des jeweiligen Providers mit der Firmenmail? Die Antwort ist: Man weiß es nicht. So ist es jedem selbst überlassen, ob man den Datenschutzkonzepten von Konzernen wie Google und Co. Vertrauen schenkt. Man sollte sich jedoch in Erinnerung rufen, dass gerade die für die weltweite Internetkommunikation unerlässlichen Internetknoten und Tiefseekabel in der Vergangenheit und auch in der Gegenwart Ziel diverser Datensammelaktionen ausländischer und inländischer Geheimdienste waren und immer noch sind.

 

Ende-zu-Ende-Verschlüsselung

Wer in Sachen E-Mail-Kommunikation ganz sicher gehen möchte, kommt wohl um eine Ende-zu-Ende-Verschlüsselung nicht herum. Hierfür brauchen beide Kommunikationsteilnehmer lediglich den öffentlichen Schlüssel ihres Kommunikationspartners. Allerdings ist zu beachten, dass bei einer Ende-zu-Ende-Verschlüsselung nur der Inhalt der E-Mail geschützt wird, Meta-Daten über Sender und Empfänger sind sichtbar. Hier kann der Einsatz von Transportverschlüsselung empfehlenswert sein.

Eine dem normalen Nutzer wohl geläufigere Gefahr, welche durch die Nutzung von privaten E-Mail-Konten zu geschäftlichen Zwecken auftritt, ist, wenn der Absender einer empfangenen Mail unbekannt ist oder nur vorgibt, ebendieser Absender zu sein. Einmal unbedacht mit der privaten E-Mail-Adresse bei einer dubiosen Seite registriert und schon flattern die Spam-Mails dutzendfach in den virtuellen Briefkasten.

 

Gefahr durch Phishing-Mails

Wer jetzt denkt, jeden Betrugsversuch schon auf 100 Meter Entfernung riechen zu können, wiegt sich in trügerischer Sicherheit. Am einfachsten zu durchschauen sind dabei noch die sogenannten Phishing-Mails. Mit dieser Methode sollen dem Nutzer Zugangsdaten zu passwortgeschützten Bereichen wie etwa dem eigenen E-Mail-Konto entlockt werden. Häufig werden dazu täuschend echt aussehende E-Mails versendet, in denen aufgefordert wird, sich über einen Link bei einer ebenfalls täuschend echt wirkenden Imitat-Seite einzuloggen. Geschieht dies, und sei es nur aus Unachtsamkeit, hat der Angreifer im Handumdrehen Zugriff auf das eigene Postfach. Ein Irrtum mit katastrophalen Folgen, insbesondere wenn dadurch ein Großteil der Firmenkommunikation gleich mitgekapert wird.

Ein weit verbreiteter Irrtum ist auch, dass, wenn man eine E-Mail nur anschaut ohne deren Anhang zu öffnen, nichts passieren kann. Die Gefahr liegt aber darin, dass heutzutage viele E-Mails im HTML-Format verschickt werden. Dies hat den zugegebenermaßen bestechenden Vorteil, dass sich Grafiken oder bestimmte Formatierungen leichter und ansprechender darstellen lassen. Allerdings ist es ein leichtes, auf diese Weise schädlichen HTML-Code durchzuschleusen, welcher bereits mit dem Öffnen der E-Mail ausgeführt wird. Wer die HTML-Darstellung nicht deaktiviert hat, hat schnell das Nachsehen. Ruft der Betroffene die E-Mail über den Firmenrechner auf, ist je nach Schädling im schlimmsten Fall gleich das ganze Firmennetzwerk betroffen.

Doch auch hinter einem scheinbar vertrauenswürdigen Absender kann sich jemand ganz anderes verbergen, denn Absenderadressen lassen sich leicht fälschen. Nur wer sich die Absenderadresse genau anschaut, fährt relativ sicher. Eine endgültige Sicherheit gibt es in solch einem Fall jedoch nicht. Grundsätzlich gilt: Hat man Zweifel an der Herkunft der E-Mail, lieber auf Nummer sicher gehen und löschen. So kommt es etwa immer wieder vor, dass ein von Schadsoftware befallener Rechner eines Kollegen oder Bekannten selbstständig versucht, seine Infektion über das Anschreiben von Personen im Adressverzeichnis des befallenen Rechners zu verbreiten.

Anhand dieser Beispiele sollte klar geworden sein, dass die Nutzung privater E-Mail-Konten für die Firmenkorrespondenz ein beträchtliches Risiko darstellt. Sei es, dass mitgelesen wird, Zugangsdaten ausgespäht werden oder durch versteckte Hintertürchen Schadsoftware in das Firmennetzwerk eingeschleust wird. So sollte für eine professionelle und sichere Kommunikation stets der Weg über die Verschlüsselung gewählt werden. Für Unternehmen sind hierbei nicht zuletzt wegen ihrer leichten Bedienbarkeit spezielle interne Kommunikationsmodelle interessant. Die private E-Mail sollte aber in jedem Fall dort belassen werden, wo sie hingehört: zu Hause.

VORGESTELLTE BLOGS