In Zeiten neuer und strengerer Datenschutzauflagen wird das Thema Datenverschlüsselung für immer mehr Unternehmen zum wichtigen Arbeitsbereich – Auch für E-Mail-Marketer. Dazu haben wir Roland Latzel, Director of Marketing bei MailStore, zum Interview eingeladen.
Hallo Roland! Schön, dass wir dich für ein Interview gewinnen konnten. Könntest du dich kurz vorstellen und uns ein bisschen zu deinem beruflichen Hintergrund erzählen?
Danke, dass Ihr mir die Gelegenheit gebt in Eurem Blog etwas zum Thema E-Mail-Verschlüsselung zu erzählen. Ich bin 42 Jahre alt, lebe mit meiner Familie am schönen Niederrhein und leite das Marketing bei der MailStore Software GmbH in Viersen. Wir entwickeln seit 2006 professionelle E-Mail-Archivierungssoftware speziell für den Mittelstand.
Der Schutz eigener Daten wird immer wichtiger – dementsprechend auch das Thema Verschlüsselung. Welche Arten der Datenverschlüsselungen in E-Mails gibt es?
Grundsätzlich hilft Verschlüsselung zunächst einmal dabei, Unbefugten den Zugriff auf sensible Daten zu verwehren.
Im Kontext der E-Mail würde ich grundlegend Transportverschlüsselung und die eigentliche Ende-zu-Ende-Verschlüsselung von E-Mails unterscheiden. Die Unterscheidung ist gerade für den Laien nicht immer einfach, da auch beides zusammen eingesetzt wird und auch durchaus Sinn ergeben kann.
Ende-zu-Ende-Verschlüsselung: Bei einer verschlüsselten E-Mail ist lediglich der E-Mail-Body verschlüsselt. Das bedeutet, dass Informationen, wie zum Beispiel Absender, Empfänger, Zustellort, Zustelldatum, IP-Adressen und der Betreff einer E-Mail nicht verschlüsselt werden können. Da in diesen Daten oft schon unternehmensinterne und sensible Informationen übermittelt werden, muss das jeweilige Unternehmen entscheiden, wie sinnvoll eine E-Mail-Verschlüsselung ist und ob diese einen Mehrwert bietet.
Um neben den E-Mail-Inhalten auch die E-Mail-Kopfzeilen verschlüsselter E-Mails möglichst geheim zu halten, oder um bei der Übertragung unverschlüsselter E-Mails einen gewissen Schutz vor dem Mitlesen durch Dritte zu gewährleisten, sollte eine E-Mail im Idealfall immer mit einer SSL- / TLS-Verschlüsselung auf Transportebene abgesichert werden. Diese Transportverschlüsselung wird bereits wesentlich häufiger eingesetzt als die E-Mail-Verschlüsselung. Damit werden sicherheitskritische Daten, wie Benutzernamen und Kennwörter, aber auch E-Mail-Inhalte, verschlüsselt und damit für Dritte unzugänglich übertragen.
Was genau wird bei E-Mails verschlüsselt?
Sendest du eine E-Mail unverschlüsselt an einen Empfänger, so kann der Inhalt der E-Mail relativ leicht mitgelesen werden. Bildlich gesprochen entspricht das in etwa dem Inhalt einer Postkarte – dieser ist ohne großen Aufwand auch von unbefugten Dritten mitzulesen.
Gerade im Marketing wird die DSGVO ganz großgeschrieben. Das gilt auch für E-Mail-Marketing. Was für Möglichkeiten gibt es E-Mails zu verschlüsseln?
Grundlegend ist zwischen client- oder serverseitiger E-Mail-Verschlüsselung zu unterscheiden. Ohne hier bereits in die technischen Details abzutauchen, gibt es für den Anwender einen sehr relevanten Unterschied. Während bei der client-seitigen E-Mail-Verschlüsselung der Anwender selbst dafür verantwortlich ist, ob eine E-Mail korrekt verschlüsselt versendet wird, ist bei der server-seitigen E-Mail-Verschlüsselung das Unternehmen bzw. üblicherweise die IT-Abteilung in der Verantwortung, dass E-Mails zentral – zum Beispiel über ein E-Mail-Gateway – verschlüsselt versendet werden.
Wo liegen die Unterschiede zwischen client- und serverseitigen Verschlüsselungen?
Bei der clientseitigen Verschlüsselung sind ausschließlich der Absender und der Empfänger in der Lage die E-Mails zu lesen. Hier werden die Daten auf dem System des Absenders verschlüsselt, somit ist nur der beabsichtigte Empfänger in der Lage die Nachrichten zu entschlüsseln und anschließend zu lesen. Keine außenstehende Person kann die Nachrichten lesen oder manipulieren.
Bei der serverseitigen Verschlüsselung werden die E-Mails auf dem E-Mail-Server oder einem E-Mail-Gateway verschlüsselt, sprich beim Aus- und Eingang ins Unternehmen. Bei diesem Verfahren ist der Anwender nicht mehr in das eigentliche Verschlüsselungsverfahren involviert. Er sendet und empfängt seine E-Mails, ohne die Verschlüsselung zu bemerken.
Wie sinnvoll hältst du es Newsletter zu verschlüsseln?
Eine Transportverschlüsselung sollte mittlerweile Standard sein. Manche Mail-Server nehmen erst gar keine E-Mails von anderen Mail-Servern an, die unverschlüsselt versenden. Die eigentliche Verschlüsselung von E-Mails halte ich im Kontext von Newslettern für vernachlässigbar. Sensible Inhalte werden hoffentlich nicht im Rahmen von Marketing-Mails versendet. 😊
Wirkt sich die Verschlüsselung von E-Mails auf die Zustellbarkeit aus? Ist das ein wichtiger Faktor, um nicht im Spam-Ordner der Abonnenten zu landen?
Während sich der Einsatz von sauber konfigurierter Transportverschlüsselung durchaus positiv auf die Zustellbarkeit auswirken kann, lässt sich dies nicht pauschal für die Ende-zu-Ende-Verschlüsselung sagen, da es sowohl von den eingesetzten Anti-Spam-Lösungen als auch deren Konfiguration abhängt wie mit derart verschlüsselten und somit in der Regel nicht scanbaren E-Mails umgegangen wird. Aufgrund der stetig wachsenden Gefahr, Opfer von Malware-Angriffen zu werden, ist man als Unternehmen gut beraten, nur scannbare E-Mails anzunehmen bzw. passieren zu lassen. Ein namhafter Anbieter von Unified Threat Management Lösungen hat aus diesem Grund kürzlich angekündigt, die Standardeinstellungen in seinen Produkten zu ändern und unscannbare und verschlüsselte Daten zu blockieren, bzw. in Quarantäne zu verschieben.
Gibt es Situationen, in welchen es eher ungünstig ist, E-Mails oder Newsletter Ende-zu-Ende zu verschlüsseln?
Zum einen gibt es keinen umfassenden SPAM- und Virenschutz, da verschlüsselte E-Mails nicht überprüft werden und somit ohne Kontrolle und mit einem potenziellen Sicherheitsrisiko in die Unternehmensumgebung gelangen können.
Des Weiteren läuft ein Unternehmen Gefahr, ohne ein Konzept zur Schlüsselverwaltung keinen Zugriff mehr auf die Daten zu haben, sollte der Schlüssel absichtlich oder unabsichtlich verloren gehen.
Beim Archivieren verschlüsselter E-Mails können diese durch eine Suche nach Inhalten nicht gefunden werden. Die bringt ggf. Compliance-Probleme mit sich, da ein Auditor möglicherweise nicht alle relevanten Unterlagen finden kann.
Danke Roland für das Interview mit mailflatrate!
Sehr gerne. Wir freuen uns natürlich über neue Leser unseres eigenen MailStore Blogs. Neben unserem Kernthema E-Mail-Archivierung, schreiben wir auch häufig über rechtliche Aspekte wie die DSGVO.
