parallax background

Sichere E-Mail dank TLS 1.2 Verschlüsselung

6 Monate Datenschutzgrundverordnung – Entwicklungen aus Rechtsprechung und IT (Teil 2)
28. November 2018
 

Viele, viele Software-Service-Vertriebsprofis werfen mit Sicherheitsphrasen um sich, um Cybersicherheit einfach klingen zu lassen. Doch das ist ein Irrtum. Die Technologien von Hackern und Kriminellen werden heutzutage immer fortschrittlicher und ausgefeilter. Das macht auch die E-Mail Verschlüsselung zur Einhaltung des Datenschutzes nicht einfacher. TLS Verschlüsselung ist eine Lösung für das Sicherheitsproblem, wenn sie richtig angewandt wird. Der Teufel steckt im Detail.

"Nicht alle TLS sind gleichwertig. Nicht alle E-Mails, von denen man denkt, dass sie von TLS stammen, werden tatsächlich sicher übertragen"
- Steve Anderson, Versicherungstechnik-Experte & LinkedIn Influencer.

Dieser Blogbeitrag blickt hinter die Kulissen der obigen Aussage. Wir entschlüsseln und erklären auf einfache Art und Weise den Begriff TLS und insbesondere TLS 1.2 und zeigen, warum besonders die Details wichtig sind.

Was ist TLS Verschlüsselung?

TLS steht für Transport Layer Security. Dies ist eine Methode, um die Kommunikation zwischen zwei beteiligten Geräten zu verschlüsseln. Dies wird hauptsächlich verwendet, wenn Personen von Ihrem Webbrowser aus mit einem Webserver kommunizieren (angezeigt als "grünes Schloss"). Es ist einfach für den Browser, "unsichere" Verbindungen und Popup-Warnungen anzuzeigen oder eine Seitenanzeige zu deaktivieren. TLS ist in verschiedenen Versionen verfügbar. Begonnen hat alles mit TLS 1.0 und TLS 1.1. Inzwischen sind die Versionen TLS 1.2 und TLS 1.3, die höhere Sicherheitsstandards bieten, häufig in Gebrauch. Das ist jedoch nicht immer der Fall.

Herausforderungen für die E-Mail-Kommunikation

Nehmen wir an, Sie haben ein privates E-Mail-Konto bei Gmail. Selbstverständlich ist die Verbindung von Ihrem Endgerät zum Google E-Mail-Server sicher, wenn Sie sich über den Chrome Browser bei Gmail anmelden.

Aber was ist mit der E-Mail, nachdem Sie auf Senden geklickt haben, sie den Google Gmail-Server verlässt und an den Empfänger weitergeleitet wird?

Hier kann "Opportunistic TLS" verwendet werden. Es wird standardmäßig bei vielen großen E-Mail-Anbietern (Microsoft Hosted Exchange Office 365, Gmail, 1&1 etc.) verwendet. Was genau das ist, dazu später mehr.

Sicher oder nicht?

Erinnern wir uns zunächst an den für die meisten Anwender wichtigsten Teil der E-Mail-Kommunikation - nämlich, dass die E-Mail zum gewünschten Empfänger gelangt. Bisher war es ein nachträglicher Gedanke, ob der Transportweg sicher war und sie auch tatsächlich nur vom gewünschten Empfänger gesehen wurde. Heutzutage versenden wir jedoch nicht mehr nur Termineinladungen zum sonntäglichen Picknick im Park per E-Mail, sondern persönliche und sensible Daten an Steuerberater, Ärzte, Behörden uvm.
Die E-Mail Anbieter schützen die Nachrichten standardmäßig zunächst über opportunistisches TLS. Hier startet der sendende Server, in unserem Fall Gmail, den Versuch zuerst mit einer sicheren TLS-E-Mail-Übertragung (SMTP) zu senden, sollte sich hierzu die "Gelegenheit" ergeben. Ist dies nicht der Fall und der Server kann auf keine sichere TLS Transportverbindung zum Senden zurückgreifen, kehrt er zu einer weniger sicheren oder unsicheren Übertragung zurück. Ganz automatisch und für den Sender unsichtbar.


Auf den Punkt gebracht: Jeder, der E-Mails empfängt, hat sicherlich die gleiche Einstellung und wird den Versand von E-Mails von Google Mail über eine sichere Verbindung annehmen, richtig? Falsch.

Laut dem Transparenzbericht von Gmail, der kontinuierlich aktualisiert wird, werden 88% bis 91% der ein- und ausgehenden E-Mails von und nach Gmail über TLS Verschlüsselung gesendet. Das bedeutet, dass in der Regel mehr als 10% ohne jegliche Sicherheit gesendet und empfangen werden. In anderen Worten gesagt, senden oder erhalten Nutzer E-Mails von Gmail ohne jeglichen Schutz und Sicherheit in 1 von 10 Fällen.

Die Problematik

Keiner dieser Transparenzberichte unterscheidet, welche der vielen TLS-Verbindungen als unsicheres TLS gelten. Im Allgemeinen gibt es Versionen mit unterschiedlicher Sicherheit. Die bereits erwähnten Versionen TLS 1.0, TLS 1.1, TLS 1.2 und jetzt TLS 1.3. Immer mehr europäische Länder veröffentlichen Empfehlungen oder Vorschriften, um ein bestimmtes TLS-Niveau zu erzwingen, um opportunistisches TLS oder gar eine unverschlüsselte Lieferung zu vermeiden. Wir haben solche Regelungen bereits in Dänemark, Deutschland und der Schweiz gesehen.

Mit Blick auf TLS 1.0 gibt es bekannte Risiken. Insbesondere einen TLS-Downgrade-Angriff. Kurz gesagt, ein Hacker kann den TLS 1.0-Check abfangen, der dem Server zur Serverkommunikation vorausgeht, um den sendenden Server dazu zu bringen, die Nachricht auf unsichere Weise zu senden. Sicherheitsexperten versuchen seit mehr als einem Jahrzehnt IT-Administratoren dazu zu bringen, von TLS 1.0 auf TLS 1.2 umzusteigen; aber die Nutzung dauert nach wie vor massenhaft an und macht in der Regel mehr als 15% aller TLS-E-Mail-Verbindungen aus. Also, vielleicht versenden Sie 10% Ihrer E-Mails unsicher (kein TLS) plus 15% Ihrer Nachrichten mit einer TLS Version mit bekannten Sicherheitsproblemen. Dann haben Sie als Absender ein Problem mit mindestens 25% Ihrer E-Mails (1 in 4 E-Mails!). Wenn Sender mit Kunden in kleineren Unternehmen oder Einzelpersonen kommunizieren, ist der Prozentsatz wahrscheinlich höher.

Der Weg in die Zukunft

Microsoft erklärt in einem Blogpost von 2018, dass sie TLS 1.0 nicht mehr unterstützen werden, "Das bedeutet nicht, dass Office 365 TLS 1.0- und 1.1-Verbindungen blockiert. Es gibt kein offizielles Datum für das Deaktivieren oder Entfernen von TLS 1.0 und 1.1 im TLS-Dienst für Kunden [E-Mail] Verbindungen."

Bedenken Sie, dass TLS 1.0 in einigen Kreisen als nicht konform bekannt ist (z.B. PCI Financial Compliance Standard, Schweizer Zollbehörde etc.). Was ist mit HIPAA, PII und NPI? Der Einhaltung der DSGVO Datenschutz Grundverordnung? Wenn es bekannte Schwachstellen mit TLS 1.0 gibt, würde man glauben, dass sie nicht als "datenschutzkonformes" Übertragungsmittel angesehen werden darf. Die Zeit wird es zeigen.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) in Deutschland empfiehlt bereits die Verwendung von TLS 1.2 als sicheren Transportweg für die E-Mail-Kommunikation.

Lösung: Forced TLS Level mit Auto-Fallback

Frama RMail als Add-on zu Gmail, Office 365, Zimbra oder einem beliebigen Webmail Anbieter garantiert die E-Mail Verschlüsselung mit einer sicheren TLS Version. Sollte beim Empfänger keine sichere Version wie TLS 1.2 verfügbar sein, oder auch gar kein TLS ist das kein Problem. Frama RMail kehrt automatisch zu einer alternativen Methode der sicheren E-Mail-Übertragungsverschlüsselung zurück und das dynamisch ohne Sender oder Empfänger zu stören oder zu belasten. RMail erzwingt eine sichere TLS Verschlüsselung, wenn verfügbar, und wenn nicht, die Rückkehr zur AES 256-Bit-PDF-Verschlüsselung. Der Empfänger kann entweder den empfangenen Sicherheitsbericht in seinem E-Mail-Programm einsehen oder es bei Bedarf in einem PDF-Dokument anzeigen, um Sicherheit und Compliance zu gewährleisten.
Frama RMail unterstützt erzwungene TLS-Verbindungen, die auf TLS 1.2 basieren.

Als Absender können Sie nun Ihre E-Mail-Zustellung über TLS 1.2 zur Einhaltung der europäischen Datenschutzverordnung DSGVO erzwingen. Und wenn TLS 1.2 nicht verfügbar ist, verwenden Sie das SecurePDF Fallback, um die Einhaltung der Vorschriften und den Datenschutz aufrechtzuerhalten.

Fazit

  1. Microsoft Office 365, Gmail und andere "opportunistische TLS"-Systeme senden wahrscheinlich mindestens 25% der E-Mails ohne Sicherheit oder in einer unsicheren, weniger als einer (Datenschutz-) konformen Weise.
  2. Es gibt keine einfache Lösung für diese Systeme. Die Option E-Mails über eine unsichere TLS-Verbindung überhaupt nicht zuzustellen würde zu Chaos für Sender und Empfänger führen. Es scheint, das große Anbieter wie Microsoft es vorziehen lieber unsicher zu liefern als gar nicht, wie in diesem Blogpost deutlich wird.

Frama RMail für Outlook und Gmail unterstützt jetzt erzwungene TLS auf Basis von TLS 1.2 Verbindungen, um die Einhaltung von Compliance und Datenschutz weltweit zu gewährleisten.



Dieser Artikel wurde in Zusammenarbeit mit Zafar Khan, CEO RPost Inc., erstellt.
 
Volker Sommerfeld
Volker Sommerfeld
Product Manager eServices and Head of Marketing Services, creator of unique links and flows between physical and digital worlds. Passionate about nature, photography, music and mountain bikes.

Es können keine Kommentare abgegeben werden.