Datenschutz: Verschlüsselung von Emails

Die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen hat sich zum Thema Email Verschlüsselung gemeldet und die Informationen dazu auch veröffentlicht. Somit haben Firmen etwas mehr Sicherheit wie die DSVGO in dieser Hinsicht zu interpretieren und umzusetzen.

Die Landesbeauftragte unterscheidet dabei die Transportebene und Inhaltsebene. Der Transport der Daten muss demnach immer verschlüsselt stattfinden und der Technischen Richtlinie “BSI TR-03108-1: Secure E-Mail Transport” des BSI (Bundesamt für Sicherheit in der Informationstechnologie) folgen. Wer sich da einmal näher einlesen möchte, findet die Quelle unter folgendem Link: https://www.bsi.bund.de/DE/Publikationen/TechnischeRichtlinien/tr03108/index_htm.html

Zur Transportverschlüsselung gehören dann die Verfahren StartTLS und TLS, wie Sie die meisten Provider schon seid Jahren anbieten. Bei einem SMTP Account erkennt man das häufig daran, das Sie nicht im Email Programm die Ports 25, sondern 465 oder 587 nutzen und damit die Verschlüsselung auf diesen Ports erzwungen wird. Den unverschlüsselten POP Port erkennt man meist an der ID 110 (IMAP 134), während die verschlüsselten den Port 995 oder IMAP: 993 belegen.

Natürlich bestimmt nicht der Port ob die Daten verschlüsselt transportiert werden, sondern die Verschlüsselung die dahinter steckt und vom Provider aktiviert werden muss. Bei den meisten Providern ist das aber genau so geregelt. Alles was Sie also noch tun müssen wäre zu schauen ob Sie diese Ports in Ihrem Emailserver wie z.B. Microsoft-Exchange oder Tobit – oder Ihrem Email Programm auch nutzen.

Die Verschlüsselung auf dem Transportweg soll verhindern das Mails auf dem Weg zum Zielserver nicht von dritten gelesen werden können. Wenn Sie also den Weg (Transportebene) schon einmal verschlüsselt haben, kommt im Bedarfsfall noch die Verschlüsselung des Inhalts (Inhaltsebene) hinzu.

Hier erwähnt die Landesbeauftragte die Standards S/MIME und OpenPGP, die den Inhalt verschlüsseln, also Ihre Nachricht. Für die meisten Verschlüsselungsverfahren benötigen Sie aber eine öffentlich bekannte Signatur mit einem öffentlichen Schlüssel. Denn Empfänger und Sender müssen den öffentlichen Schlüssel kennen um die Mails wirklich entschlüsseln zu können. Das funktioniert Problemlos nur mit gekauften Signaturen und Anbietern wie D-Trust und dem S/MIME Verfahren. Bei PGP müssen Sie die Schlüssel vorher einmal ausgetauscht haben und es ist nicht in vielen Mailservern eingebaut.

Sofern Sie und Ihr Empfänger Tobit David einsetzen ist es ganz einfach. Sie müssen nur für jedem Benutzer eine 12 Monatige Signatur kaufen und aktivieren und schon können Sie mit einem anderen Empfänger die Mails per S/MIME austauschen und lesen. Auch Microsoft bietet für Exchange Server da einige Lösungen an. Sofern Sie Tobit-David einsetzen und von uns betreut werden, sprechen Sie bitte Ihren Ansprechpartner in der Technik an, damit wir es für Sie aktivieren können.

“Bei der Entscheidung, ob eine Ende-zu-Ende-Verschlüsselung erforderlich ist, sind der Schutzbedarf der übertragenen Daten sowie die Angemessenheit der Maßnahme zu berücksichtigen…..Bei der Übermittlung personenbezogener Daten mit normalem Schutzbedarf besteht die Möglichkeit, dass im Einzelfall der Verzicht auf eine Ende-zu-Ende-Verschlüsselung der Inhaltsdaten statthaft ist.” – so die Landesbeauftragte NRW.

Für Rückfragen und Hilfestellungen zum Thema DSVGO steht Ihnen wie immer unser Herr Böttcher gerne zur Verfügung.

Nachzulesen sind die Informationen unter folgendem Link:
https://www.ldi.nrw.de/mainmenu_Aktuelles/Inhalt/Technische-Anforderungen-an-technische-und-organisatorische-Massnahmen-beim-E-Mail-Versand/Technische-Anforderungen-an-technische-und-organisatorische-Massnahmen-beim-E-Mail-Versand.html