Kreissparkasse Köln: Sichere Mailverschlüsselung trotzt Cyberrisiken

Ein Artikel von red | 27.07.2020 - 09:36

Als die GVV den Cysmo-Check für die Domain der Kreissparkasse Köln durchgeführt hat, staunte man nicht schlecht. „100 Prozent im Bereich der Mailverschlüsselung, das sieht man extrem selten“, lobte der Leiter der Abteilung Ver-/Betrieb, GVV-Kommunal, Joachim Krampetzki das Ergebnis der Kreissparkasse Köln.

Auch wenn die Mailverschlüsselung nur ein Teilaspekt der Cybersicherheit eines Unternehmens ist und für sich allein noch kein vollumfängliches Bild eines Risikoprofils zeichnet, so ist doch gerade die Mailkommunikation für viele Unternehmen als geschäftskritisch anzusehen.

Dies nahm PPI, Hersteller des Cyberrisikobewertungstools Cysmo, zum Anlass, um in einer Stichprobe von 3.000 zufällig ausgewählten Unternehmen die Aktualität der Verschlüsselungsversionen zu prüfen.

Mailverschlüsselung – Risiko Datenverlust

Wenn zwei Mailserver miteinander kommunizieren, werden alle Daten (Mails) auf dem Transport verschlüsselt. Dazu wird die sogenannte TLS (Transport Layer Security)-Technologie verwendet. Der Vorgänger von TLS heißt SSL (Secure Sockets Layer) und stammt noch aus den 90er Jahren. Zwei miteinander kommunizierende Mailserver einigen sich im Vorfeld auf die „beste“ Version, die dann beide bei der Kommunikation verwenden. Als Unternehmen muss man sich nicht zwingend für eine Version entscheiden. Es besteht auch die Möglichkeit, eine Vielzahl von Versionen parallel zu unterstützen. Können sich die Mailserver nicht auf eine Version einigen, weil zum Beispiel das eine Unternehmen nur aktuelle und das andere nur veraltete Versionen verwendet, ist eine Kommunikation nicht möglich.

Cyberkriminelle bedienen sich bei einem Angriff der sogenannten „Downgrade Attacke“. Hierbei wird der Mailserver dazu gezwungen, eine möglichst alte und unsichere Verschlüsselungstechnologie, die noch im Einsatz ist, für den Transport der Mail zu verwenden. In diesem Fall kann sie dann vom Angreifer abgefangen und entschlüsselt werden, das heißt Daten können unter Umständen mitgelesen werden.

Leider sehen wir noch viele Unternehmen, die zusätzlich zu den aktuellsten Verschlüsselungstechnologien auch ältere, unsichere Versionen verwenden. Vermutlich aus der Angst getrieben, dass sie für ihre Kunden, die ausschließlich ältere Versionen verwenden, nicht mehr erreichbar sein könnten.

Sebastian Scholz, Partner bei PPI

Stichprobe deckt auf – Unternehmen im Irrglauben

PPI hat bei einer Stichprobe von 3.000 Unternehmen, welche hinsichtlich der im Einsatz befindlichen Versionen getestet wurden, Folgendes festgestellt:

•Der vom BSI (Bundesamt für Sicherheit in der Informationstechnik) empfohlene Mindeststandard (TLS Version 1.2) wurde nur von drei Prozent der Unternehmen umgesetzt.

•97 Prozent hingegen setzten zusätzlich veraltete beziehungsweise unsichere Verschlüsselungstechnologien ein.

„In unserer Analyse konnten wir feststellen, dass die Sorge der Unternehmen bezüglich einer Nichterreichbarkeit unbegründet ist“, fährt Sebastian Scholz fort. „Lediglich 0,1 Prozent der Unternehmen hatten ausschließlich veraltete Verschlüsselungs-technologien im Einsatz.