BMWi-Studie über Hemmnisse bei elektronischer Verschlüsselung

Die BMWi-Studie über Hemmnisse bei der elektronischen Verschlüsselung bestätigt: Es wird nur getan, was getan werden muss. Technisch möglich sei Verschlüsselung in 72 Prozent der Unternehmen. 94 Prozent der Befragten sehen Verschlüsselung als Grundsatz einer ordentlichen Geschäftsführung. Die Sorge vor Aufwand und Kosten schiebt jedoch Investitionen auf die lange Bank.

Schlechte Usability oder mangelnde Fachkenntnisse behinderten den Einsatz vorhandener Lösungen. Die Eigenmotivation, aus der Analyse der Bedrohungslagen heraus die E-Mail-Kommunikation zu verschlüsseln, ist in vielen Fällen entsprechend nicht ausreichend. Um Verschlüsselung zum Standard zu machen, muss eine gewisse Fremdmotivation über den Druck von Geschäftspartnern, Kunden und auch gesetzlichen oder branchenspezifischen Vorgaben hinzukommen.

Ein Beispiel: EDI@Energy

Ein erfolgreiches Beispiel ist die Einführung der „EDI@Energy – Regelungen zum Übertragungsweg“ in der Energiewirtschaft im letzten Jahr. Die gesamte elektronische Marktkommunikation der deutschen Energiewirtschaft ist nun nach aktuellsten Sicherheitsstandards verschlüsselt. Verantwortlichkeiten und Sanktionen für die möglichen Fehlerfälle wurden definiert, was dazu führt, dass es keine unverschlüsselten E-Mails zwischen Marktpartnern der Energiebranche mehr gibt.

Technisch wird die Verschlüsselung über Secure Email Gateways gelöst, die automatisiert im Hintergrund arbeiten.

Ein Drittel ohne Verschlüsselung-  trügerische Sicherheit bei den anderen

Eine verschlüsselte Datenübertragung – zu der auch E-Mails zählen – sei laut der BMWi-Studie bei 72 Prozent der KMU und über 91 Prozent der Grossunternehmen verfügbar. Dies bedeut aber nicht, dass die vorhandenen Verschlüsselungslösungen flächendeckend genutzt werden. Dies ist jedoch von grosser Wichtigkeit. Die einzelne E-Mail mit brisanten, schützenswerten Inhalten zu verschlüsseln, ist nur die halbe Miete, denn was passiert mit den verbleibenden E-Mails, die das Unternehmen ungeschützt erreichen und verlassen?

In Zeiten günstigen Speicherplatzes und effizienter Big-Data-Analysen ist ein mögliches Angriffsszenario, den gesamten E-Mail-Verkehr eines Unternehmens abzufangen und strukturiert auszuwerten. Dies gewährt einen sehr intimen Einblick in Unternehmen und deren Geschäftsbeziehungen. Dieser realen Sicherheitsbedrohung kann nur mit Secure Email Gateways als hoch automatisierter Infrastrukturlösungen begegnet werden.

Schlussfolgerungen

Oft kostenfreie Einzelplatzlösungen, wie sie derzeit beim Grossteil der KMU im Einsatz sind, skalieren nicht und führen tatsächlich zu hohen Aufwänden und Schulungsbedarf.

Vorgaben, die den Einsatz flächendeckender Verschlüsselungslösungen unter Verwendung sicherer Technologien fordern, wären die logische Folge der Studie. Gesetzgeber und Branchenverbände wären aufgefordert, feste Regeln zu etablieren. Stattdessen werden neue Awareness-Kampagnen ins Leben gerufen und an die Vernunft der Unternehmen appelliert, mit einem IT-Kompass als Handreichung, der die aktuelle Marktsituation nur unzureichend erfasst.

Unabhängig von der BMWi-Studie werden in Kürze Vorgaben gültig, welche die Verschlüsselung in Unternehmen forcieren. Aufgrund des IT-Sicherheitsgesetzes stehen nach der Energiebranche demnächst weitere kritische Infrastrukturen im Fokus. Ähnliche Vorgaben zur sicheren elektronischen Kommunikation werden erwartet. (Quelle: Zertificon)

Auch die Europäische Datenschutz-Grundverordnung (EU DS-GVO) nimmt Unternehmen bei der Verarbeitung personenbezogener Daten in die Pflicht. Mehr darüber in der aktuellen Ausgabe von Management & Qualität.