De-MailSchlüssel zum Erfolg
De-Mails ohne zusätzliche Inhaltsverschlüsselung sind für das Sicherheitsniveau hoch zugelassen. Immer wieder aber gab es Diskussionen rund um die Datenübermittlung, für die ein sehr hohes Schutzniveau verlangt wird. Mit der Einführung des Pretty-Good-Privacy-Verfahrens (PGP) ist es jetzt einfacher, De-Mails zusätzlich Ende-zu-Ende (E2E) zu verschlüsseln. Seit Anfang April kann ein Nutzer mit einem Klick ein Zusatzprogramm in Form einer Erweiterung für die Browser Firefox und Chrome im De-Mail-Postfach vom De-Mail-Anbieter herunterladen, installieren und nach wenigen Einstellungen starten. Bis die E2E-Verschlüsselung auf PGP-Basis startklar ist, sind etwa 20 Schritte weniger erforderlich als bei der klassischen E-Mail-Kommunikation. Dem Vorgang wird damit die Komplexität genommen – zumindest für private Nutzer, die sich die Browser-Erweiterung heruntergeladen haben. Wenn größere Firmen und Behörden De-Mails zusätzlich verschlüsseln wollen, müssen sie sich mit der IT-Infrastruktur auseinandersetzen. Sie haben unterschiedliche Möglichkeiten, die E2E-Verschlüsselung zu nutzen. Am einfachsten ist der Einsatz eines so genannten Security Gateways. Diese Systeme übernehmen zentral die Ver- und Entschlüsselung der Nachrichten, sodass keine weiteren Eingriffe in die Infrastruktur erforderlich sind. Wer ein solches System bereits einsetzt, sollte prüfen, ob es auch für PGP geeignet ist. Dann sind in der Regel keine weiteren Anschaffungen erforderlich, um es mit De-Mail zu nutzen.
Add-In für den E-Mail-Client
Alternativ kann jeder Arbeitsplatz mit einem so genannten Add-In für den E-Mail-Client ausgestattet werden. Damit wird jede De-Mail nicht zentral, sondern erst am Arbeitsplatz ver- und entschlüsselt. Im Gegensatz zu Security-Gateway-Lösungen ist diese Variante mit mehr Aufwand bei der Einführung und Nutzung verbunden. Welche Methode sinnvoller ist, hängt von den jeweiligen Anforderungen ab. Unabdingbar für die Nutzung ist, dass sowohl beim Empfänger als auch beim Sender PGP-Verschlüsselungstechnologien vorhanden sind – entweder die Webbrowser-Erweiterung, ein zentrales Security Gateway oder eine dezentrale Erweiterung der E-Mail-Clients über entsprechende Add-Ins. PGP ist ein asymmetrisches Verschlüsselungsverfahren: Es werden immer zwei zusammengehörende Schlüssel genutzt. Dabei dient ein öffentlicher Schlüssel dazu, die Nachrichten zu verschlüsseln. Der Nutzer darf diesen Schlüssel frei weitergeben. E2E-verschlüsselte De-Mails kann nur ein Absender schicken, dem der Empfänger den Schlüssel weitergegeben hat. Somit kann auch niemand unfreiwillig eine PGP-verschlüsselte Nachricht erhalten. Der zweite, private Schlüssel ist geheim. Er wird zur Entschlüsselung genutzt und ist nur dem Eigentümer bekannt. Verliert der Besitzer ihn, kann er keine E2E-verschlüsselten Nachrichten mehr lesen. Der private Schlüssel lässt sich aus der Browser-Erweiterung exportieren und sollte unbedingt auf einem Datenträger gesichert werden.
Sicherer Austausch
Für die praktische Nutzung muss zunächst ein Schlüsselpaar, bestehend aus einem privaten und einem öffentlichen Schlüssel, generiert werden. Das ist simpel: Nach Installation der PGP-Browser-Erweiterung erzeugt der Nutzer per Mausklick ein Schlüsselpaar. Dieses Paar wird im Schlüsselbund der Browser-Erweiterung lokal gespeichert. Im Anschluss lädt der Nutzer Personen oder Institutionen für die verschlüsselte Kommunikation ein. Dabei wird der öffentliche Schlüssel an die Eingeladenen gesendet. Die Herausforderung besteht darin, die Schlüssel zwischen Empfänger und Sender sicher auszutauschen. Bislang funktioniert das semiautomatisch, etwa indem der Sender dem Empfänger seinen öffentlichen Schlüssel per De-Mail mitteilt. Im Gegensatz zur E-Mail-Verschlüsselung steht hinter einer De-Mail-Adresse eine eindeutig identifizierte Person. Somit lässt sich auch der Schlüssel eindeutig zuordnen. Security Gateways unterstützen in der Regel bei der Schlüsselverwaltung. Künftig soll der Austausch automatisch erfolgen – über den öffentlichen Verzeichnisdienst von De-Mail (ÖVD). Davon profitieren insbesondere Verwaltungen und Kommunen, da sie die öffentlichen Schlüssel dann nicht mehr manuell verwalten müssen.
Künftig sind alle De-Mail-Nutzer in der Lage, im ÖVD ihren öffentlichen PGP-Schlüssel hochzuladen. Bereits heute ist das für die S/MIME-Verschlüsselung möglich. Da sie für Bürger nicht praktikabel ist, wird sie in erster Linie von Behörden und Unternehmen genutzt. Im ÖVD kann sich jeder De-Mail-Nutzer wie in einem Telefonbuch freiwillig mit seiner De-Mail-Adresse und weiteren Kontaktdaten eintragen. Verwaltet wird das Verzeichnis von den De-Mail-Diensteanbietern. Das ÖVD ist fester Teil der vom Bundesamt für Sicherheit in der Informationstechnik (BSI) zertifizierten De-Mail-Infrastruktur. Mit einem Klick sind die Nutzer in der Lage, anbieterübergreifend nach Teilnehmern und öffentlichen Schlüsseln zu suchen. Damit steht künftig eine standardisierte Infrastruktur für den Schlüsselaustausch zur Verfügung – ein Meilenstein gegenüber der heutigen E-Mail-Kommunikation mit Pretty-Good-Privacy-Verfahren. Das ÖVD lässt sich theoretisch beliebig erweitern. Dort könnten zum Beispiel weitere Bürgerdaten vom Nutzer gespeichert und von Kommunen angewendet werden.
Klares Alleinstellungsmerkmal
Der Schritt, den die De-Mail-Diensteanbieter mit der Einführung des PGP-Verfahrens gegangen sind, ist richtig. Er zeigt, wie wichtig ihnen das Thema Sicherheit ist und wie konsequent die Erweiterungen umgesetzt werden, die bereits zur Einführung der De-Mail angekündigt wurden. Privatpersonen, Firmen und Behörden sollen für eine sichere digitale Kommunikation sensibilisiert werden, damit sie auf die De-Mail setzen. Mit dem automatischen Austausch der öffentlichen Schlüssel über das ÖVD in Verbindung mit den weiteren Eigenschaften der De-Mail-Infrastruktur erhält die De-Mail sogar ein klares Alleinstellungsmerkmal.
LivEye: Sicherheitsüberwachung auf Weihnachtsmärkten
[08.11.2024] Für die Sicherheitsüberwachung auf Weihnachtsmärkten hat das Unternehmen LivEye ein neues Konzept entwickelt, das Datenschutz und effektive Gefahrenabwehr kombiniert. mehr...
Hessen: Höhere Cybersicherheit
[05.11.2024] Mit dem Aktionsprogramm Kommunale Cybersicherheit sollen hessische Kommunen umfassender in der IT-Sicherheit unterstützt und auf künftige Cyberangriffe vorbereitet werden. mehr...
SIT: Ein Jahr nach dem Ransomware-Angriff
[04.11.2024] Ein Jahr nach der Cyberattacke auf die Südwestfalen-IT haben die Mitarbeitenden gemeinsam mit den IT-Teams betroffener Kommunen die Systeme wiederhergestellt. Um künftig besser gegen Cyberbedrohungen geschützt zu sein, fordert Geschäftsführer Mirco Pinske klarere gesetzliche Regelungen – etwa die Berücksichtigung kommunaler IT-Dienstleister in der NIS2-Richtlinie. mehr...
Sachsen-Anhalt: Mehr IT-Sicherheit für Kommunen
[04.11.2024] Um die Cybersicherheit in Sachsen-Anhalts Kommunen zu stärken, startete das Land gemeinsam mit dem BSI das Pilotprojekt SicherKommunal. Durch das Projekt sollen Städte, Landkreise und Gemeinden gezielt bei der Verbesserung ihrer IT- und Informationssicherheit unterstützt werden. mehr...
Lösungen: Cybersicherheit stärken
[13.09.2024] Die NIS2-Richtlinie bietet die Chance, die IT-Sicherheit auf ein deutlich höheres Level zu heben, ist aber auch mit Herausforderungen verbunden. Kommunen benötigen zudem Lösungen, die speziellen IT-Sicherheitsanforderungen genügen. mehr...
BSI: IT-Sicherheitskennzeichen für Zoom
[11.09.2024] Für zwei seiner Produkte hat der vielfach genutzte Videokonferenzdienst Zoom das IT-Sicherheitskennzeichen vom Bundesamt für Sicherheit in der Informationstechnik (BSI) erhalten. Geprüft wurden unter anderem der Accountschutz, Rechenzentrumsbetrieb und das Update- und Schwachstellenmanagement. mehr...
IT-Sicherheit: Feuerwehr und Firewall
[02.09.2024] Cyberattacken treffen immer öfter auch Verwaltungen. Um kommunale IT besser abzusichern, fordert Vitako eine Reihe von Maßnahmen: eine stärkere Vernetzung, mehr Mittel, den Ausbau des BSI zur Zentralstelle und die Schaffung eines regulativen Rahmens. mehr...
Schwandorf: Siegel für IT-Sicherheit
[29.08.2024] Die Stadt Schwandorf hat vom bayerischen Landesamt für Sicherheit in der Informationstechnik (LSI) jetzt das Siegel „Kommunale IT-Sicherheit“ erhalten. mehr...
Interview: Wertvolle Lehren gezogen
[14.08.2024] Nach dem umfassenden Cyberangriff arbeitet der IT-Dienstleister Südwestfalen-IT an einer strategischen Neuausrichtung. Im Kommune21-Interview berichtet Geschäftsführer Mirco Pinske, wie die Aufarbeitung vorangeht und welche Konsequenzen bereits gezogen wurden mehr...
München: Hauptabteilung für IT-Sicherheit
[02.08.2024] Die bayerische Landeshauptstadt München misst der IT-Sicherheit einen hohen Stellenwert bei. Um dies zu verdeutlichen, wurde im IT-Referat jetzt eine neue Hauptabteilung für Cybersecurity gegründet. Geleitet wird sie von Chief Information Security Officer Thomas Reeg. mehr...
ITEBO: OpenR@thaus-Vorfall aufgearbeitet
[23.07.2024] Mit seinem Verwaltungsportal OpenR@thaus liefert ITEBO zahlreichen Kommunen eine Basisinfrastruktur, um Leistungen, wie vom OZG vorgesehen, digital anbieten zu können. Im Juni war die Lösung aus Sicherheitsgründen offline gestellt worden. Nun berichtet ITEBO im Detail über den Vorfall und dessen Aufarbeitung. mehr...
Crowdstrike-Panne: Geringe Störungen bei Kommunalverwaltungen
[22.07.2024] Das Update des Sicherheitsdienstleisters Crowdstrike, das am Freitag globale IT-Ausfälle auslöste, hat auch dazu geführt, dass der kommunale IT-Dienstleister SIT seine Systeme sicherheitshalber abgeschaltet hat. Die Auswirkungen auf Kommunen waren aber lediglich geringfügig. mehr...
Interview: Angriffe wird es immer geben
[10.07.2024] Öffentliche Einrichtungen rücken zunehmend in den Fokus von Cyber-Kriminellen und staatlich gelenkten Hackern. Kommune21 sprach mit regio-iT-Geschäftsführer Stefan Wolf, wie Städte und Gemeinden den Gefahren begegnen können. mehr...
OpenR@thaus: Serviceportal nicht erreichbar
[02.07.2024] Wegen einer Sicherheitslücke wurde das Serviceportal OpenR@thaus zum zweiten Mal in kurzer Zeit vom Netz genommen. Davon betroffen sind rund 300 Kommunen. Die Wartungsarbeiten dauern derzeit an. Offenbar besteht ein Zusammenhang zu einer Schwachstelle der BundID, die es erlaubt, relativ einfach auf einer eigenen Website ein BundID-Log-in umzusetzen. mehr...
Märkischer Kreis: Bedrohungslagen nehmen zu
[27.05.2024] Eine 100-prozentige Sicherheit gibt es nicht, der Märkische Kreis geht jedoch viele richtige Wege, um einem Hacker-Angriff vorzubeugen. Das zeigt ein Bericht, den der IT-Sicherheitsbeauftragte des Märkischen Kreises jetzt im Digitalausschuss im Kreishaus Lüdenscheid vorgestellt hat. mehr...