Es war kein Geringerer als Tim Cook, der vor wenigen Wochen die DS-GVO als Basis für einen weltumspannenden Datenschutz lobte. Der Weg zu einem besseren Datenschutz sei wie eine Reise, sagte der Apple-Chef – und auch die längste Reise beginnt bekanntermaßen mit dem ersten Schritt, möchte man hinzufügen. Einen langen Weg noch vor sich haben da die Vereinigten Staaten, die beim Schutz der Privatsphäre schon geradezu traditionell hinter Europa herhinken.

Doch nun kommt Bewegung in die Sache, Politik und Unternehmen in den USA sind aufmerksam geworden und suchen nach Lösungen. Nach europäischem Vorbild haben die US-Bundesstaaten Kalifornien und Vermont bereits neue Datenschutzgesetze erlassen. Ich nehme an, dass die Bundesebene in den USA nachziehen wird – und dass diese Datenschutzgesetze die IT-Branche und ihre Kunden nachhaltig beeinflussen werden. Als die DS-GVO im Mai endgültig in Kraft trat, endete eine zweijährige Übergangszeit – und damit die Schonfrist für Unternehmen und Behörden. Von Geldbußen, die wegen vermeidbarer Datenverstöße verhängt werden, wird 2019 einiges zu hören sein.

Präzedenzfall geschaffen
Ein Präzedenzfall wurde mit Artikel 25 der DS-GVO bereits geschaffen. Hier sind die Rahmenbedingungen formuliert, wie Unternehmen Datenschutz durch Technikgestaltung und Voreinstellungen („Privacy-by-Design“ und „Privacy-by-Default“) umsetzen müssen. Diese Grundsätze erfordern es, Daten, wo immer es möglich ist, anonymisiert beziehungsweise pseudonymisiert zu erheben und verschlüsselt zu verarbeiten. Keine leichte Aufgabe…

Während die DS-GVO in vielen Fällen bewusst vage vom „Stand der Technik“ spricht, so auch in Artikel 32 („Sicherheit der Verarbeitung“), fordert sie dort explizit die „Verschlüsselung personenbezogener Daten“. Damit ist natürlich nicht gemeint, dass Unternehmen nur noch über verschlüsselte E-Mails kommunizieren dürfen. Wohl aber, dass Faktoren wie der Schutzbedarf der Daten zu berücksichtigen sind. Die Verordnung bezieht sich ausschließlich auf personenbezogene Daten, aber auch andere vertrauliche Daten sollten diesen Schutz erfahren.

Die E-Mail ist tot, lange lebe die E-Mail
Und dennoch haben Forscher in diesem Jahr geraten, vorerst auf Verschlüsselung in E-Mail-Clients zu verzichten. Sie hatten die Verschlüsselung von E-Mail-Systemen ausgehebelt und Details über Sicherheitslücken in den beiden Verschlüsselungsverfahren PGP und S/MIME veröffentlicht. Unter bestimmten Bedingungen lassen sich E-Mails entschlüsseln, auch nachträglich.

Die Folgerung der Forscher – E-Mail sei kein sicheres Kommunikationsmedium – ist nichts Neues. Was zugleich die gute und die schlechte Nachricht ist. Im Prinzip entspricht eine E-Mail einer Postkarte: Sie ist günstig und schnell zuzustellen, ihr Inhalt ist aber für jeden lesbar und auch modifizierbar, der sie transportiert. Was auf dem Transportweg der einzelnen E-Mails passiert, welche Stationen beteiligt sind, bleibt den Anwendern verborgen. Auf Verschlüsselung in E-Mail-Clients zu verzichten, wäre also in etwa so, als ob man grundsätzlich seine Haustüre offenstehen lässt, weil es ohnehin zu viele Einbruchsdelikte zu beklagen gibt. Auch 2019 werden wir also nicht das Ende der E-Mail-Verschlüsselung erleben, warum auch?

Die Chefmasche bleibt „attraktiv“
Ziel der „Business E-Mail Compromise“ (auch „Chefmasche“, „Chefbetrug“ oder „CEO Fraud“) genannten Methode ist es, ein Unternehmen – genauer gesagt: einen Mitarbeiter – so hereinzulegen, dass Geld auf das Konto der Angreifer fließt. Dafür nutzen die Cyber-Kriminellen ganz gezielt die „Schwachstelle Mensch“ aus: Sie schlüpfen in die Rolle eines Vorgesetzten oder wichtigen Kollegen und senden Social-Engineering-Mails direkt an ihr vorher identifiziertes Opfer, um es zur Überweisung zu veranlassen.

Mehrere Aspekte machen die Chefmasche für Angreifer so „attraktiv“. Sie lässt sich relativ unkompliziert handhaben und ist mit vergleichsweise geringen Kosten verbunden, weil eine aufwändige Infrastruktur nicht nötig ist. Zwar können die Kriminellen nicht wie bei herkömmlichen Online-Betrugsfällen nach dem Gießkannenprinzip vorgehen, sondern müssen zuerst den besten Weg auskundschaften, um eine für das Opfer glaubhafte E-Mail überhaupt erstellen zu können – aber das lässt sich häufig schon mit einer ausgeklügelten Suchabfrage in sozialen Medien bewerkstelligen.

Zumal den höheren Vorabinvestitionen auch größere Gewinne gegenüberstehen: Das FBI, das diese Angriffsart seit Oktober 2013 beobachtet, beziffert den weltweit seitdem entstandenen Schaden auf über zwölf Milliarden US-Dollar – das ist noch einmal mehr als eine Verdopplung über die vergangenen eineinhalb Jahre. Und schließlich sind die Angriffe sehr schwer zu entdecken, weil die E-Mails ja eben keinen Schadcode enthalten, bei dem IT-Sicherheitslösungen Alarm schlagen könnten.

Sind Unternehmen all dem schutzlos ausgeliefert? Keinesfalls. Voraussetzung ist, dass sie die Art ändern, in der die Anwender kommunizieren. Die bisher bekannt gewordenen Vorfälle – bis hin zur aktuellen Warnung des BSI im Fall „Emotet“ – zeigen, dass die Sensibilisierung von Mitarbeitern für das Thema Cyber-Sicherheit in Form von regelmäßigen Schulungen unabdingbar ist, aber nicht isoliert betrachtet werden sollte.

Passwort-Verwaltung wird einfacher
Das Internet ist seit langem aus unserem täglichen Leben nicht mehr wegzudenken, und stellt die Menschen doch vor große Herausforderungen. Man denke nur an die Verwendung von Passwörtern im Rahmen von Multi-Faktor-Authentifizierung.

Die gute Nachricht: Best-Practice-Methoden für Online-Sicherheit werden immer wichtiger. Die schlechte Nachricht: Das ist mit Aufwand verbunden, (zu) viele Benutzer leiden inzwischen an „Passwort-Ermüdung“. Sie müssen den Überblick über eine wachsende Anzahl von Online-Konten und Kennwörtern behalten. Die Folge sind unsichere Praktiken wie die Nutzung desselben Benutzernamens und Kennworts für mehrere Websites – oder das häufige Zurücksetzen von Passwörtern, was eine gern ausgenutzte Sicherheitslücke darstellt. In der Tat sind Passwort-Missbrauch und -Missmanagement die Ursache für die meisten Datenschutzverletzungen.

Ich glaube, dass neue Technologie-Ansätze künftig den Spagat schaffen und die Anwendung von Passwörtern beim Austausch verschlüsselter Nachrichten und Dateien deutlich vereinfachen werden.

Über Matthias Kess
Matthias Kess ist CTO der befine Solutions AG mit Sitz in Freiburg im Breisgau, die Kommunikationslösungen für Unternehmen entwickelt und vertreibt.

Anwender können sich auch im Blog informieren.