EMail und Verschlüsselung für Doofe (DSGVO)

Dieses Thema im Forum "Tech & FAQ Forum" wurde erstellt von SeanDileny, 16 Mai 2018.

  1. SeanDileny

    SeanDileny Bekanntes Mitglied

    Registriert seit:
    24 April 2001
    Beiträge:
    4.705
    Moin,
    ich beschäftige mich gerade (wie die meisten Unternehmer :( ) mit dem Thema DSGVO.
    Dabei habe ich nun mehrere Meinungen und Aussagen zum Thema Verschlüsselung von Emails erhalten.

    Ich bin technisch nicht superfit, und kenne bisher Stichwörter wie S/MIME und TLS.

    S/MIME ist wohl eine Inhaltsverschlüsselung, also Ende zu Ende Verschlüsselung, richtig? Die erfordert aber ja, dass der Empfänger ein Zertifikat von mir hat (was unpraktisch ist in der Kundenkorrespondenz).
    Ohne Schlüssel kann keiner die Email lesen, nichtmal der Empfänger, richtig?

    TLS ist ja eine Transportverschlüsselung, soweit ich es weiss. Bedeutet also für mich als Laien, dass der Weg von mir bis zum Empfänger verschlüsselt ist.

    Jetzt mal ganz für Doofe gefragt:
    Was kann bei TLS genau schlimmstenfalls passieren?
    Kann die Email auf dem Weg vom Client zum Server oder von Server zu Server im Klartext gelesen werden?
    Falls nicht, ist die Email (auf dem Transportweg) komplett verschlüsselt oder nur der Body? Hab ich nämlich auch schon gehört, dass der Betreff z.B. nicht verschlüsselt ist. Daher sollte man da rein keine sensiblen Daten schreiben.
    Gestern wurde mir eine Meinung von einem angeblichen IT Experten über Dritte zugetragen, dass nur der Weg von Client zu Server verschlüsselt sei.
  2. Theoderix

    Theoderix Miesepeter

    Registriert seit:
    22 April 2001
    Beiträge:
    3.062
    Wegen S/Mime. Ja, der Empfänger benötigt ein Zertifikat, falls du ihm etwas schickst und vice versa. Du verschlüsselst mit dem öffentlichen Zertifikat des Empfängers und umgekehrt. Sobald du eine E-Mail verschickt hast, hat der angeschriebene deinen öffentlichen Key und kann dir verschlüsselt antworten. Du kannst den public key auf die Webseite stellen, dann kann der Kunde auch bei Erstkontakt verschlüsselt schreiben oder die erste Anfrage des Kunden bleibt unverschlüsselt, bei deiner Antwort schickst du bereits deinen Key mit. Selbstredent benötigt dein Kunde damit du ihm verschlüsselt antworten kannst auch einen S/Mime key. Die Mails sind dann solange verschlüsselt und zeigen kruden Buchstabensalat bis du sie mit deinem key entschlüsselst.
    SpRuZ und SeanDileny sagen Danke.
  3. SeanDileny

    SeanDileny Bekanntes Mitglied

    Registriert seit:
    24 April 2001
    Beiträge:
    4.705
    Ok, dieser Weg ist ja der sicherste, aber fällt für mich leider raus, weil das kein Kunde machen wird/kann.
    Und bezogen auf TLS - wie sicher oder unsicher ist das ganze?
    Dass ein falscher Empfänger die Email lesen kann ist mir klar und lässt sich dann halt nicht vermeiden.
    Was aber ist mit dem Transportweg genau?

    Ich hab grad mal einen test über Checktls gemacht und alles war positiv. Was das jetzt aber bedeutet, weiss ich nicht.
  4. feuerhunter

    feuerhunter Unrechthaber

    Registriert seit:
    26 April 2001
    Beiträge:
    1.311
    Bist Du Dir da sicher? Vielleicht fällt das auch auf fruchtbaren Boden und die Kunden warten nur darauf: "Fällt für mich leider raus, weil das kein Dienstleister/Auftragnehmer machen wird/kann".

    Irgendjemand muss anfangen. OK, ich bin mit Threema auch gescheitert. Aber nur, weil die meisten zu doof sind/keine Bock darauf haben, den private key auf das neue Handy zu übernehmen...
    SpRuZ sagt Danke.
  5. Theoderix

    Theoderix Miesepeter

    Registriert seit:
    22 April 2001
    Beiträge:
    3.062
    Mir ist nicht klar, wieso du einen Gegensatz zwischen TLS und S/Mime aufmachst.

    Das eine verschlüsselt deine E-Mail während des Transports und kann, falls der falsche Absender gewählt wurde von Hinz-und-Kunz an diesem genauen E-Mail Client gelesen werden, imho ebenfalls vom Hoster des E-Mail Accounts auf dem Server.
    Wenn du mit S/Mime zusätzlich verschlüsselst kann das eben nur der lesen, der auch das entsprechende Zertifikat besitzt, und der Provider/ Hoster bleibt außen vor.

    Das Argument mit dem Kunden lasse ich nicht gelten.

    Den Service anbieten kann man doch, wenn der Kunde das dann nicht nutzt und weiterhin lieber unverschlüsselt(wer sagt dir das der TLS aktiviert hat) kommuniziert liegt der schwarze Peter dann auf dessen Seite(vermutlich über Bande aber doch wieder bei dir).

    Ich habe bei den kleinen Seiten die ich betreue ein S/Mime public key zum runterladen auf der Homepage untergebracht, einen Link zu einem Artikel bei heise(warum verschlüsseln und wie) und den Hinweis, dass wir(heisst der Inhaber der Praxis) diesen Service der verschlüsselten Kommunikation anbieten.
    Genutzt hat es in den letzten Jahren ein Patient, der Rest schickt seine "Ich habe Syphillis und tropfe aus dem Schwanz" E-Mails lieber weiterhin nach Art der guten alten Postkarte durch Netz....von daher verstehe ich dein Problem mit der Kundenakzeptanz durchaus :D, nur das sollte eben nicht Grund sein es nicht anzubieten. Finde ich zumindest.
  6. SeanDileny

    SeanDileny Bekanntes Mitglied

    Registriert seit:
    24 April 2001
    Beiträge:
    4.705
    Ok, das ist auch eine Möglichkeit. Ich dachte, wenn ich mich einmal dafür entscheide, müssen die Kunden mitziehen. Ich muss aber vor dem versenden einer E-Mail nachsehen, ob der Empfänger das Zertifikat nutzt, oder?
  7. Theoderix

    Theoderix Miesepeter

    Registriert seit:
    22 April 2001
    Beiträge:
    3.062
    Kommt auf deine Einstellung im E-Mail Client an. Wenn du die Einstellung "notwendig" unter S/MIMe Sicherheit bspw. im Thunderbird einstellst, gibts einen Fehlerhinweis falls kein Zertifikat vorliegt, nervt, aber damit weisst du wer keins hat beim Absenden. ;)
    Falls dir das auf den Keks geht, kannst du auch sagen "nie", dann schickt er unverschlüsselt außer du aktivierst da direkt vor Versenden mit einem Häkchen.
  8. Rubb

    Rubb Rover

    Registriert seit:
    7 Oktober 2001
    Beiträge:
    7.196
  9. pgp8

    pgp8 Bekanntes Mitglied

    Registriert seit:
    13 Juni 2001
    Beiträge:
    2.488
  10. pgp8

    pgp8 Bekanntes Mitglied

    Registriert seit:
    13 Juni 2001
    Beiträge:
    2.488
    man kann den text ja auch schon vorher mit irgendeim tool ala pgp openpg gpg4win oder ähnlichen verschlüsseln und in die mail einfügen, dann ist egal ob ein "transportprotokoll" das programm oder sonstwas "spinnt"...
  11. EchtAtze

    EchtAtze Bekannter Mitglied

    Registriert seit:
    9 Juni 2001
    Beiträge:
    4.957
    Nur um das mit TLS nochmal konkret zu nennen:

    TLC verschlüsselt nur die Verbindung zwischen deinem Client und dem Server deines Anbieters.

    Wie die E-Mail dann zum Server des Anbieters deines Kunden kommt, und wie der sie von dort auf seinen Client zieht, kannst du damit nicht beeinflussen.
  12. DrSnuggles

    DrSnuggles Xanatos

    Registriert seit:
    31 Oktober 2004
    Beiträge:
    20.916
    Ja, eine Alternative zu S/Mime ist PGP.
    Insbesondere mit Autocrypt vertretbar vom Aufwand.
    https://www.heise.de/ix/meldung/Ein...crypt-in-Version-1-0-vorgestellt-3924855.html
    Für ne etwas größere Firma braucht man aber eigentlich immer ein Secure-Mailgateway was die Verschlüsselung halbwegs transparent macht.

    Falsch. Ohne Schlüssel des Empfängers kannst du die Mail überhaupt nicht verschlüsseln, du kannst sie nur digital signieren.

    Nein, nicht ansatzweise. TLS schützt defacto nur dein Passwort auf dem Weg zu deinem Mailserver.

    Du (Absender) ----TLS---> Mailserver -> Mailserver -> ... -> Mailserver -> Empfänger

    Wenn du TLS anmachst hast du den Weg von dir zum ersten Mailserver geschützt. Auf die anderen Verbindungen hast du keinen Einfluss und der Empfänger auch nicht.
    Wir mussten letztens unsere Mailserverregeln ändern (die Loops erkennen sollen), es waren mehr als 25 Mailserver in der Verbindung zwischen Quelle und Ziel (soviele sind selten).
    Aber eine offene Verbindung reicht.

    Im Normalfall geht die Mail im Klartext über die Leitung, was kann passieren: sie kann gelöscht, modifiziert und mitgelesen werden.

    Recht hat er :-)
  13. cyber_cube

    cyber_cube Aktives Mitglied

    Registriert seit:
    11 Juni 2001
    Beiträge:
    198
    Zur eigentlichen Technik ist hier schon alles gesagt worden. Wir hatten vor ca. 14 Tagen bei unserer hiesigen IHK ein Seminar zur DSGVO.
    Ich habe hier mal einen Link vom Kompetenzzentrum Industrie 4.0 Chemnitz zur DSGVO:
    https://betrieb-machen.de/wbr-datenschutzrecht/

    Ob nun die Mail verschlüsselt sind, oder nicht, ist imho ohne Belang. Es geht ja darum, was und wie mit den Daten passiert und wie damit umgegangen wird. Mails müssen genau so behandelt werden, wie alle anderen Schriften in Papierform. Siehe Aufbewahrungsfristen in der Abgabeordnung. Da heißt, das auch nach Jahren, diese Mails auffindbar und lesbar sein müssen.

    Zur Not könnte man sich mit einem Anwalt in Verbindung setzten, oder einem externen Datenschutzbeauftragten kontaktieren.

    Ich biete zwar auch per PGP die Verschlüsselung an, aber zu 95% geht da alles ohne Verschlüsselung bei mir hin und her. Ich mache mir da wenig Gedanken darüber. Die Mails werden regelmäßig gesichert und fertig.