Warum wurde ReddFort M-Protect entwickelt?

Eine repräsentative Studie von Corporate Trust zum Thema Industriespionage1 stellt fest, dass nur 16% der deutschen Unternehmen E-Mail-Verschlüsselung als Instrument der IT-Sicherheit nutzen. Gleichzeitig geben aber mehr als die Hälfte der befragten Unternehmen an, bereits einen nachweislichen Spionagefall oder begründeten Verdacht auf Spionage gehabt zu haben, wobei nahezu jedes zweite der betroffenen Unternehmen das „Abhören/Abfangen von elektronischer Kommunikation“ als bewiesene oder vermutete Handlung des Angreifers angibt.

Dies zeigt deutlich, wie zunehmend wichtig der Schutz und die Verschlüsselung der Unternehmenskommunikation, insbesondere von E-Mail, für Unternehmen heutzutage sind. Sie ist zwar kein Garant dafür, nicht angegriffen zu werden, erhöht jedoch wesentlich die Schwelle für potentielle Angreifer, in den Besitz unternehmenskritischer Daten zu gelangen.

Vor diesem Hintergrund verwundert, dass selbst IT-Verantwortliche und Geschäftsführung in puncto Email-Verschlüsselung oft eine gewisse Sorglosigkeit an den Tag legen. Aussagen wie „Wir würden Email-Verschlüsselung einsetzen, aber sie ist unpraktisch und nicht handhabbar“, oder „Wirklich sichere Verschlüsselung gibt es in der Praxis nicht“ deuten darauf hin, dass am Markt echter Bedarf an einer flexibel einsetzbaren, praktikablen und nachweislich sicheren Lösung zur Verschlüsselung unternehmenskritischer Email-Kommunikation besteht.

Neben dem unter Sicherheitsaspekten ungünstigsten Fall der Übermittlung von Emails im Klartext trifft man in der Praxis häufig eine Transportverschlüsselung via TLS zwischen den Mailclients und dem Mailserver an. Worüber sich Anwender jedoch häufig nicht im Klaren sind: Trotz TLS können Emails auf den Mailservern frei gelesen werden. Die Transportverschlüsselung sorgt lediglich für die Vertraulichkeit der Emails auf dem Weg durch das Internet, nicht aber auf den Mailservern selbst. Zudem hängt die Haltbarkeit der Vertraulichkeit von der Stärke der Verschlüsselung in TLS ab. Hier zeigen bekannt gewordene Angriffe von Geheimdiensten, dass TLS dazu gebracht werden kann, nur ganz schwache Verschlüsselung anzuwenden, die faktisch keinen Schutzwert hat.

Einen besseren Schutz bietet eine durchgehende Ende-zu-Ende-Verschlüsselung, z.B. via PGP. PGP wird jedoch in der Praxis relativ selten eingesetzt, was zumeist auf die Komplexität der Einrichtung zurückgeführt wird. Der häufigste Kritikpunkt ist die umständliche und aufwändige Einrichtung und Benutzung, denn PGP leidet - wie alle PKI-basierten Systeme - unter der Schwierigkeit, die Echtheit und Gültigkeit der öffentlichen Schlüssel sicher und einfach zu gewährleisten.
Die Haltbarkeit der Verschlüsselung hängt von der Länge der RSA-Schlüssel, der Steigerung der Rechenkraft und Fortschritten bei Algorithmen zu Faktorisierung ab. Nach heutigem Stand können 2048/4096-RSA-Schlüssel noch drei bis fünf Jahre halten.

1 Corporate Trust - Business Risk & Crisis Management GmbH: “Industriespionage 2014 – Cybergeddon der deutschen Wirtschaft durch NSA & Co?“ (www.corporate-trust.de/pdf/CT-Studie-2014_DE.pdf)