Mehr Sicherheit im E-Mailverkehr durch Verschlüsselung

11. März 2020

Mehr Sicherheit im E-Mailverkehr durch Verschlüsselung

Die DS-GVO stellt erhöhte Anforderungen an die IT-Sicherheit. Die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW) erläutert daher in einem aktuellen Beitrag, welche technischen und organisatorischen Maßnahmen bei dem Versand einer E-Mail beachtet werden sollten. Zunächst wird darauf hingewiesen, dass bei einer datenschutzrechtlichen Beurteilung sowohl die Inhaltsdaten einer E-Mail als auch deren sog. Metadaten, z. B. Empfänger oder Betreffzeile, zu betrachten sind, da diese Daten personenbezogene Daten beinhalten können. Bei der Übermittlung von E-Mails wird zwischen einer Verschlüsselung auf Inhaltsebene und einer Verschlüsselung auf Transportebene unterschieden.

Technisch-organisatorische Maßnahmen

Die zu beachtenden technisch-organisatorischen Maßnahmen werden vom LDI NRW wie folgt zusammengefasst: 

  1. Die Kommunikation per E-Mail bedarf mindestens der Transportverschlüsselung, die von namhaften europäischen Providern standardmäßig angeboten werden.
  2. Die Transportverschlüsselung sollte entsprechend der Technischen Richtlinie „BSI TR-03108 Sicherer E-Mail-Transport“ implementiert sein. In Abhängigkeit vom Schutzbedarf und dem Risiko, können Abweichungen von der Richtlinie statthaft sein.
  3. Der Betreff der E-Mail sollte keine personenbezogenen Daten enthalten. 
  4. Bei einer Transportverschlüsselung sollten die E-Mails auf den E-Mail-Servern im Klartext vorliegen und grundsätzlich einsehbar sein. Bei besonders sensiblen Daten ist eine alleinige Transportverschlüsselung nicht immer ausreichend. Hier empfehlen wir zusätzliche technische und organisatorische Maßnahmen, wie z. B. eine Ende-zu-Ende- Verschlüsselung einzurichten. Sofern diese nicht möglich ist, können alternative Übertragungswege zum Einsatz kommen, etwa ein elektronischer Austausch über eine gesicherte Verbindung, passwortgeschützte Dateien oder ein postalischer Versand.

Verschlüsselungsmethoden

Nach aktuellem Stand der Technik sind insbesondere zwei Verschlüsselungsmethoden zu empfehlen, die eine Ende-zu-Ende-Verschlüsselung umsetzen können. Dabei handelt es sich zum einen um eine PGP-Verschlüsselung (PGP kommt aus dem englischen und steht für „Pretty Good Privacy“, zu Deutsch „ziemlich gute Privatsphäre“) und zum anderen um eine Verschlüsselung mittels S/MIME (Secure / Multipurpose Internet Mail Extensions). Beide Möglichkeiten der Verschlüsselung lassen sich in die meisten Mail-Clients problemlos einbinden. Neben der Möglichkeit Mails zu verschlüsseln, besteht dabei zudem die Möglichkeit, E-Mails digital zu signieren. Bei digitalen Signaturen liegen die Vorteile unter anderem darin, dass im Rahmen jeder versendeten E-Mail eine Authentizierung durch den Absender möglich ist. Dies erfolgt mittels der in jeder E-Mail angehängten digitalen Signatur. Daneben kann der Empfänger zudem an der digitalen Signatur der empfangenen E-Mail erkennen, ob etwaige Manipulationen stattgefunden haben. Ähnlich wie in der „analogen Welt“ ein geöffneter Umschlag zu erkennen ist

Anwendung im Praxis- und Apothekenalltag

Praktisch gesehen bieten die Varianten PGP oder S/MIME für Arztpraxen und Apotheken nur einen beschränken Nutzen. Im Kontakt mit Kunden oder Patienten sind die beschriebenen Verschlüsselungsvarianten kaum umsetzbar, da die Verbreitung entsprechender Verschlüsselungsverfahren aktuell immer noch sehr gering ist, insbesondere bei Privatpersonen. Auf der anderen Seite bieten sich jedoch durchaus auch Vorteile. So kann es zum Beispiel im Rahmen von E-Mail-Korrespondenzen, die permanent bestehen, durchaus eine erhebliche Verbesserung der Sicherheit bedeuten, wenn diese fortan verschlüsselt durchgeführt wird. Man denke an dieser Stelle an zwei Apotheken in einem Filialverbund, die intern miteinander kommunizieren, oder an die E-Mail-Korrespondenz mit dem Steuerbüro. Dabei sind Absender und Empfänger stets dieselben Personen oder agieren in einem eingrenzbaren und konstanten Personenbereich. Wenn das der Fall ist, dann lässt sich auch eine entsprechende Verschlüsselung durch PGP oder S/MIME mit verhältnismäßig geringem Aufwand sehr gut umsetzten.
Letzte Aktualisierung: 11.03.2020 (ls)
Zurück
Das könnte für Sie auch interessant sein:

Werkstudent gesucht (m/w/d)

14. März 2025
Die DeltaMed Süd ist eine deutschlandweit tätige Unternehmensberatung im Gesundheitswesen. Zur Verstärkung unseres Teams suchen wir ab sofort für unser Büro in Ludwigsburg eine kompetente Unterstützung im Bereich Office-Management auf Werkstudentenbasis (ca. 8 Std./Woche).

Änderung der Coronavirus-Testverordnung

12. Februar 2025
Verlängerung der Aufbewahrungsfrist

Elektronischer Rechnungsversand und Datenschutz

20. Dezember 2024
Datenschutzkonformes Vorgehen im Gesundheitswesen
Show More