Sie versenden Emails an Geschäftspartner oder Freunde die vertrauliche Informationen enthalten?
Wie definieren Sie eigentlich „vertraulich“? Wir kennen mehrere Schutzklassen von öffentlich, vertraulich innerhalb des Unternehmens, vertraulich im Team, geheim und nur einem sehr kleinen Benutzerkreis bekannt. Typische Vertraulichkeitsklassen sind:
- Geheim
- Vertraulich
- Intern
- Öffentlich
Bestimmen Sie ihr eigenes Risiko
- Welche Informationen enthalten Ihre Emails? Es ist wichtig sich darüber klar zu werden welche Vertraulichkeitsanforderung Sie tatsächlich haben. Der Aufwand um Emails und darin enthaltene Daten geheim zu halten steigt mit der Vertraulichkeitsstufe.
- Stellen Sie fest wo Emails liegen (engl.: at rest) oder worüber sie transportiert werden (engl.: in transit). Das klingt etwas umständlich, erweitert jedoch Ihr Verständnis um zu verstehen welche vertraulichen Emails auf Festplatten, USB-Sticks, Backups oder eben fremden Computern liegen. (Dort werden übrigens mit ziemlicher Sicherheit Backups erstellt in denen Ihre Daten auch nach dem Löschen verbleiben!)
- Wie hoch ist die Wahrscheinlichkeit das jemand diese Emails in die Hände bekommt? Wer könnte das sein? Empfänger die Sie kennen und mit diesen Emails „gegen“ Sie vorgehen könnten?
Nachdem Sie sich nun den Wert dieser Emails sowie die Wahrscheinlichkeit dass diese in falsche Hände geraten könnten vorstellen können, ist es möglich das Risiko zu ermitteln. Bei einer qualitativen Risikoanalyse untserscheidet man mehrere Vertraulichkeits-Klassen: nicht kritisch (weil öffentlich verfügbar), etwas kritisch (eigene Ideen) und sehr kritisch (Patente, persönliche Daten, etc.). Die Wahrscheinlichkeit das diese Daten in falsche Hände geraten könnte unterteilen Sie in Klassen wie: kaum möglich, wahrscheinlich und sehr wahrscheinlich. Multipliziert man beide Werte dann ergibt sich daraus das Risiko des Vertraulichkeitsverlustes. Ich werde in einem anderen Artikel auf Risikobestimmung nocheinmal eingehen.
Typische Maßnahmen
Jetzt lässt sich erkennen welche Maßnahmen erforderlich sind. Entweder genügt es bereits Emails auf dem Transportweg von Ihrem Computer über die verschiedenen Mailserver bis zum eigentlichen Ziel abzusichern (verschlüsseln). In diesem Fall achtet man auf TLS Verbindungen zwischen Email-Client und dem Email-Server. Oder Sie stellen fest dass sogar eine Ende-zu-Ende Verschlüsselung Ihrer Emails notwendig ist, also von Absender bis Empfänger insbes. Leser. In diesem Fall wählen Sie die Verschlüsselungsmethode (S/MIME oder PGP) und anschließend die Stärke der Verschlüsselung aus.
Darüber hinaus könnten Sie Sorge haben dass Emails auf Ihrer Festplatte ebenfalls in falsche Hände geraten könnten. Wenn der Computer öfter auf Reisen ist oder in einem Büro steht zu dem Ihnen unbekannte Personen Zugang haben, dann sind Maßnahmen auch hier wichtig. Verschlüsseln Sie Ihre Festplatten und eventuell sogar Backups oder USB-Sticks. Welche Maßnahmen hier sinnvoll sind werde ich in einem weiteren Beitrag beleuchten.
Auf dem Markt sind u.a. folgende Hilfsmittel geeignet:
- Klassifizierungs-Werkzeuge die sich in das Email-Programm integrieren lassen und den Absender auffordern eine Klassifizierung vor Speichern oder Absenden einer Email vorzunehmen.
- Werkzeuge die sich in Office-Programme integrieren lassen um Dateien vor dem Speichern zu klassifizieren.
- Email-Verschlüsselungslösungen die diese Klassifizierung nutzen um den Absender vor dem Versandt zur Angabe des Verschlüsselungs-Schlüssels aufzufordern.
- Festplatten und USB-Stick Verschlüsselungsprogramme sowie Datei-Verschlüsselungs-Software (teilw. integriert in Paketmanager).