Warum TLS für Ihre E-Mail-Verschlüsselungsstrategie möglicherweise nicht ausreicht

Warum TLS für Ihre E-Mail-Verschlüsselungsstrategie möglicherweise nicht ausreicht

Das digitale Zeitalter hat die Art und Weise, wie wir leben und wie Unternehmen arbeiten, revolutioniert. Moderne Unternehmen können viel intensiver mit ihren Kunden und Auftraggebern kommunizieren. Sie verfügen auch über viel mehr Daten, um ihr Geschäft und das Kaufverhalten ihrer Kunden besser zu verstehen. Diese Daten ermöglichen es den Unternehmen, Effizienzlücken zu schließen, Wachstumschancen zu erkennen und ihre Kunden besser zu bedienen.

Es überrascht nicht, dass diese Daten unglaublich wertvoll sind. Ihr Schutz ist daher entscheidend für das Überleben eines Unternehmens in einem hart umkämpften Markt. Wenn Unternehmen ihre persönlich identifizierbare Informationen (PII), geschützten Gesundheitsinformationen (Protected Health Information, PHI), ihr geistiges Eigentum (Intellectual Property, IP) oder andere vertrauliche Informationen schützen, stellen sie die Kontinuität ihres Geschäftsbetriebs sicher, zeigen, dass sie die Datenschutzbestimmungen einhalten, und bewahren gleichzeitig ihren guten Ruf.

Unternehmen müssen ihre sensiblen Daten schützen, unabhängig davon, ob sie auf Servern gespeichert sind oder per E-Mail oder über andere Kommunikationskanäle ausgetauscht werden. Transport Layer Security (TLS) ist zu einem wichtigen Bestandteil der E-Mail-Sicherheitsstrategie jedes Unternehmens geworden, das sich um die Einhaltung gesetzlicher Vorgaben wie des Payment Card Industry Data Security Standard (PCI DSS), des Health Insurance Portability and Accountability Act (HIPAA) und der General Data Protection Regulation (GDPR/DSGVO) der Europäischen Union bemüht.

Die Verwendung von TLS ist jedoch keine Garantie dafür, dass Ihre E-Mails vor neugierigen Blicken sicher sind. Viele Unternehmen verwenden TLS immer noch unsachgemäß, sodass ihre E-Mails anfällig für unbefugte Zugriffe und Datenlecks sind.

Wie funktioniert TLS??

Damit eine Website oder Anwendung TLS verwenden kann, muss ein TLS-Zertifikat installiert sein. Ein TLS-Zertifikat wird auf den Namen der Person oder des Unternehmens ausgestellt, dem eine Domain gehört. Das Zertifikat enthält wichtige Informationen über den Eigentümer der Domain und den öffentlichen Schlüssel des Servers, die beide wichtig sind, um die Identität des Servers zu verifizieren.

Eine TLS-Verbindung wird durch eine Sequenz eingeleitet, die als TLS-Handshake bezeichnet wird. Jedes Mal, wenn ein Benutzer eine Website besucht, die TLS verwendet, beginnt der TLS-Handshake zwischen dem Gerät des Benutzers (auch als Client-Gerät bezeichnet) und dem Webserver.

Während des TLS-Handshake

  • geben das Gerät des Benutzers und der Webserver an, welche TLS-Version (TLS 1.0, 1.2, 1.3 usw.) sie verwenden möchten,
  • sie entscheiden, welche Cipher Suites sie verwenden möchten,
  • sie authentifizieren die Identität des Servers mit dem TLS-Zertifikat des Servers, und
  • sie generieren Sitzungsschlüssel für die Verschlüsselung von Nachrichten zwischen dem Gerät des Benutzers und dem Webserver, nachdem der Handshake abgeschlossen ist.

Was ist eine Zertifizierungsstelle?

Eine Zertifizierungsstelle (Certificate Authority, CA) ist eine Organisation, die die Identität von Entitäten (z. B. Websites, E-Mail-Adressen, Unternehmen oder Einzelpersonen) überprüft und sie an kryptografische Schlüssel bindet, indem sie elektronische Dokumente, so genannte digitale Zertifikate, ausstellt.

Ein digitales Zertifikat gewährleistet:

  • Authentifizierung – fungiert als Berechtigungsnachweis, um die Identität der Entität zu bestätigen, für die sie ausgestellt wurde
  • Verschlüsselung – für sichere Kommunikation über unsichere Netzwerke
  • Integrität der mit dem Zertifikat signierten Dokumente, so dass ein Dritter sie nicht verändern kann

Was ist der Unterschied zwischen TLS und SSL?

TLS ist aus einem früheren Verschlüsselungsprotokoll namens Secure Sockets Layer (SSL) hervorgegangen, das von Netscape entwickelt wurde. Die Entwicklung von TLS Version 1.0 begann als SSL Version 3.1, doch der Name des Protokolls wurde vor der Veröffentlichung geändert, um anzuzeigen, dass es nicht mehr mit Netscape verbunden war. Daher werden TLS und SSL manchmal synonym verwendet.

Potenzielle Schwachstellen bei TLS

Obwohl TLS und SSL zweifellos eine wichtige Grundlage für die Datensicherheit eines Unternehmens darstellen, weisen sie immer noch Schwachstellen auf.

Report- Asses Your Sensitive Content Communicationsto Privacy and Compliance

Der größte Schwachpunkt ist das mangelnde Verständnis der Unternehmen für die E-Mail-Verschlüsselung. Viele glauben, dass der Transportkanal und damit die E-Mail vollständig gesichert ist, wenn TLS verwendet wird.

Unternehmen sollten jedoch bedenken, dass E-Mail-Nachrichten zwischen den E-Mail-Servern des Absenders und des Empfängers übertragen werden, ein Kommunikationskanal, der Sprünge außerhalb der jeweiligen Netzwerke beinhaltet. Eine E-Mail ist nur bis zum nächsten Mail-Hop geschützt, und es gibt keine Möglichkeit zu kontrollieren, was mit ihr geschieht, sobald sie den nächsten SMTP-Hop (Simple Mail Transfer Protocol) erreicht.

Eine vertrauliche Nachricht könnte daher innerhalb des Unternehmensnetzwerks offengelegt werden, da TLS keine Ende-zu-Ende-Verschlüsselung bietet. TLS sichert nur den Kanal zwischen dem Gerät des Absenders und dem E-Mail-Server des Unternehmens. E-Mails werden jedoch häufig über zusätzliche Server übertragen, auf denen die Verschlüsselung nicht garantiert werden kann.

So können z. B. bei der Virenprüfung und beim Scannen von Inhalten Daten unterwegs von neugierigen Administratoren oder anderen Mitarbeitern eingesehen werden.

Ein weiteres Sicherheitsrisiko liegt in den verwendeten X.509-Zertifikaten. Viele Unternehmen versäumen es, ihre Zertifikate zu validieren, sodass alle sensiblen Daten ungeschützt bleiben.

Unternehmen sollten sicherstellen, dass die Zertifikate von einer vertrauenswürdigen und seriösen Zertifizierungsstelle (CA) ausgestellt wurden. Dies ist alles andere als trivial, da viele Unternehmen ihre Zertifikate selbst signieren.

Die Unternehmen sollten auch prüfen, ob die Zertifikate gültig sind und ob die Algorithmen und Schlüssellängen für die Verschlüsselung dem aktuellen Stand der Technik entsprechen.

Webinar Learn How Automated Email Encryption Delivers Improved Privacy Protection and Compliance

Viele Unternehmen, insbesondere solche, die OpenSSL verwenden, erstellen ihre eigenen Zertifikate, da dies bequemer und kostengünstiger ist, als Zertifikate von einer echten Zertifizierungsstelle zu erwerben. Ja, Zertifikate kosten Geld. Sie müssen gekauft und regelmäßig erneuert werden. Wenn Unternehmen dies versäumen, wird das Zertifikat schließlich widerrufen und die Unternehmen müssen die Zertifizierungsstelle (erneut) für ein neues Zertifikat bezahlen.

Unternehmen sind sich zudem oft nicht bewusst, dass bei Verwendung einer falschen TLS-Version, die kein Perfect Forward Secrecy (PFS) verwendet, Nachrichten von Unbefugten, die die Schlüssel erlangen, entschlüsselt werden können.

Eine weitere bekannte TLS-Einschränkung ist die “optionale TLS”-Systemkonfiguration. Bei “obligatorischem TLS” überträgt das System, von dem die Nachricht stammt, eine E-Mail-Nachricht nur dann, wenn das nächste System in der Kette TLS unterstützt; die Nachricht wird nicht übertragen, wenn dieses System TLS nicht unterstützt. Wenn ein System jedoch “optionales TLS” verwendet, wird es die Nachricht trotzdem übertragen, so dass der Kanal unverschlüsselt und die Nachricht ungeschützt bleibt.

Hier sind einige weitere Gründe, warum TLS möglicherweise nicht ausreicht, um Ihre E-Mail-Kommunikation zu sichern.

TLS schützt E-Mails vor einigen, aber nicht vor allen Arten von Angriffen

TLS allein ist für die E-Mail-Sicherheit nicht ausreichend, da es nur gegen einige Formen von E-Mail-Angriffen schützt. TLS ist besonders wirksam gegen Man-in-the-Middle-Angriffe und Lauschangriffe, die während der Datenübertragung stattfinden. Wenn Sie sensible Daten auf Ihren Servern oder Datenbanken speichern, sollten Sie zusätzlich ein Verschlüsselungsprotokoll wie Pretty Good Privacy (PGP) oder Secure/Multipurpose Internet Mail Extensions (S/MIME) verwenden.

Diese Verschlüsselungsprotokolle stellen sicher, dass ein Hacker, der sich Zugang zum Server verschafft, nicht in der Lage ist, die verschlüsselten Daten zu lesen. Da diese Protokolle nicht darauf angewiesen sind, Klartext über die Leitung zu senden, sind sie weniger anfällig für die Analyse des Datenverkehrs und andere Side-Channel-Angriffe, die verschlüsselte Kommunikationsdatenströme überwachen.

TLS kann anfällig für Downgrade-Angriffe sein

TLS wird normalerweise verwendet, um Verbindungen zwischen Ihrem Computer und einem Server zu schützen, beispielsweise, wenn Sie sich über einen Browser bei Ihrer E-Mail-Adresse anmelden. Es kann aber auch für andere Verbindungen verwendet werden, z. B., um E-Mails von einem Server zu einem anderen zu senden.

Das Problem bei diesem Ansatz ist, dass die gesamte Verbindung nicht verschlüsselt wird. Nur die Daten zwischen dem sendenden und dem empfangenden Server werden verschlüsselt – und diese Server sind möglicherweise nicht besonders gut gesichert. Ein Angriff könnte den Datenverkehr über eine unverschlüsselte Verbindung abfangen und die Nachrichten während der Übertragung mitlesen. Wenn Sie keine Ende-zu-Ende-Verschlüsselung verwenden, setzen Sie Ihre Daten und Ihr Unternehmen einem Risiko aus.

TLS benötigt einen stärkeren Handshake

TLS ist heute das am weitesten verbreitete Verschlüsselungsprotokoll, es hat jedoch seine Grenzen. Um sicherzustellen, dass die E-Mails Ihres Unternehmens von Anfang an sicher und verschlüsselt sind, verwenden Sie STARTTLS mit Verschlüsselungsalgorithmen wie PGP oder S/MIME.

Selbst wenn jemand Ihre E-Mails während der Übertragung abfängt, kann er sie ohne Ihren privaten Schlüssel nicht lesen. Außerdem wird ein Man-in-the-Middle-Angriff dadurch erschwert, dass eine zusätzliche Verschlüsselungsschicht über den ursprünglichen TLS-Handshake gelegt wird.

Wenn Sie vertrauliche Informationen haben, die sicher übertragen werden müssen, sollten Sie in Erwägung ziehen, Ihre E-Mails zusätzlich von einem Drittanbieter verschlüsseln zu lassen.

Kiteworks bietet Ende-zu-Ende-Verschlüsselung und -Sicherheit

Kiteworks ist mehr als nur ein sicherer E-Mail-Anbieter. Kiteworks bietet ein Private Content Network (PCN) für Governance, Compliance und Sicherheit beim Senden und Empfangen sensibler Inhalte innerhalb eines Unternehmens und über die Unternehmensgrenzen hinaus.

Kiteworks gewährleistet Verschlüsselung auf Enterprise-Level sowie einheitliche Sicherheitskontrollen über ein E-Mail-Verschlüsselungs-Gateway und ein Microsoft Outlook-Plugin, eine Web-Anwendung, ein Plugin für Unternehmensapplikationen oder eine mobile Anwendung. Darüber hinaus bietet Kiteworks eine rollenbasierte Richtlinien-Automatisierung, um für die Sicherheit und Compliance der sensibelsten Informationen eines Unternehmens zu sorgen.

Vereinbaren Sie einen Termin für eine individuelle Demo und erfahren Sie, wie Kiteworks den Versand und Empfang von E-Mails mit vertraulichen Informationen unabhängig vom verwendeten Verschlüsselungsstandard automatisiert.

Weitere Informationen

Get started.

It’s easy to start ensuring regulatory compliance and effectively managing risk with Kiteworks. Join the thousands of organizations who feel confident in their content communications platform today. Select an option below.

Lancez-vous.

Avec Kiteworks, se mettre en conformité règlementaire et bien gérer les risques devient un jeu d’enfant. Rejoignez dès maintenant les milliers de professionnels qui ont confiance en leur plateforme de communication de contenu. Cliquez sur une des options ci-dessous.

Jetzt loslegen.

Mit Kiteworks ist es einfach, die Einhaltung von Vorschriften zu gewährleisten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sich schon heute auf ihre Content-Kommunikationsplattform verlassen können. Wählen Sie unten eine Option.

Table of Content
Teilen
Twittern
Teilen
Explore Kiteworks