Sichere E-Mails

von Peter | Mai 13, 2019 | Datenschutz | 0 Kommentare

Hier unsere Empfehlung zum Schutz von E-Mails. Die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LfDI) hat Empfehlungen zur sicheren Kommunikation per E-Mail veröffentlicht. Die Empfehlungen wurden unter dem Vorbehalt späterer Anpassungen gegeben. E-Mails bestehen grundsätzlich aus den Inhaltsdaten wie Text und Anhänge und Metadaten wie Absender und Empfänger, Datum und Betreff.

Beide können unter Umständen personenbezogene Daten beinhalten. Deshalb ist bei der Übermittlung von E-Mails grundsätzlich zwischen einer Verschlüsselung auf Inhaltsebene und einer Verschlüsselung auf Transportebene zu unterscheiden. Aber was heißt das?

1. Inhaltsebene
Nach Angaben des LfDI kommen für die Verschlüsselung des Inhaltes in erster Linie zwei Standards infrage: S/MIME und OpenPGP. S/MIME und OpenPGP sind sogenannte Ende-zu-Ende-Verschlüsselungen. Dies bedeutet, dass die Nachricht auf dem System des Absenders verschlüsselt und auf dem System des Empfängers entschlüsselt wird. Damit liegt sie auf dem Übertragungsweg niemals im Klartext vor. Beide Standards unterstützen auch digitale Signaturen.
2. Transportebene
Von der Verschlüsselung des Inhaltes werden jedoch nicht die Metadaten erfasst. Diese liegen bei der Übertragung weiterhin im Klartext vor. Anders bei einer Verschlüsselung auf Transportebene. Dabei werden sowohl Meta- als auch Inhaltsdaten auf der Verbindung zwischen Mail-Client und Server bzw. zwischen verschiedenen Mail-Servern verschlüsselt. Dadurch wird sichergestellt, dass die Mail bei der Übermittlung nicht von Dritten gelesen werden kann. Das LfDI empfiehlt, bei der Wahl der Transportverschlüsselung folgende Punkte zu beachten:

  • Die Transportverschlüsselung sollte entsprechend der Technischen Richtlinie „BSI TR-03108 Sicherer E-Mail-Transport“ implementiert sein. Abweichungen von der Richtlinie sind statthaft.
  • Bei besonders schutzwürdigen Daten (z.B. Kontobewegungsdaten, Finanzierungsdaten, Daten zum Gesundheitszustand, Beschäftigtendaten) ist eine alleinige Transportverschlüsselung möglicherweise nicht ausreichend. Zusätzliche technische und organisatorische Maßnahmen, wie z. B. eine Ende-zuEnde-Verschlüsselung können geboten sein.
  • Der Betreff der E-Mail sollte keine personenbezogenen Daten enthalten.
Nach oben