Jörg Wagner Nicht nur die NSA liest mit. Jedes Unternehmen, das mit personenbezogenen oder anderen sensiblen Daten arbeitet, sollte seine E-Mails verschlüsseln.

Kann man denn nicht davon ausgehen, dass die verschickte E-Mail ausschließlich der Empfänger liest?

Wagner Nein. Eine E-Mail wird als Klartext übers Internet verschickt. Jede unverschlüsselte Mail ist wie eine Postkarte, die jeder mitlesen kann.

Können Sie Beispiele von Unternehmen nennen, deren E-Mails schon einmal ausspioniert wurden?

Wagner Ein Pflegedienst hatte für den E-Mail- und Internetverkehr eine handelsübliche DSL-Box und keine weitere Schutzmaßnahmen im Einsatz. Im Internet findet man einfache Anleitungen, um solche Sicherheitslücken auszunutzen. Ebenso sorglos war ein Maschinenbauer, der seine Prototypenzeichnungen zur Teileherstellung an seinen Lieferanten schickt. Die geheime Entwicklungsarbeit und der Patentschutz wurden durch E-Mail-Hacking [das Ausspionieren von E-Mails, d. Red.] ad absurdum geführt.

Was können die Folgen sein?

Wagner Unternehmen und die Geschäftsführung haften unmittelbar bei einem Datenklau oder Missbrauch von Daten, wenn die möglichen IT-Sicherheitsmittel nicht eingesetzt wurden. Viele Unternehmer wissen das nicht oder noch schlimmer, zucken mit den Achseln und nehmen bewusst einen Datendiebstahl in Kauf. Da lautet das Motto: Da ist doch noch nie etwas passiert. Da frage ich zurück: Muss wirklich erst was passieren?

Werden Firmen ausschließlich Opfer von Hackerangriffen von außerhalb?

Wagner Nein. Auch der interne E-Mail-Verkehr kann mitgelesen werden. Mitarbeiter können das auslesen und beispielsweise auf einem USB-Stick speichern. Die Daten werden dann anschließend verkauft. Wir sprechen dabei von der so genannten Werksspionage.

Was ist nun die Lösung?

Wagner Die einzige Lösung ist es, dass E-Mails mit einer echten Ende-zu-Ende-Verschlüsselung verschickt werden. Dabei wird der komplette Weg vom Schreiber bis bis zum Leser abgedeckt. Nun ist das Verfahren an sich nicht neu, aber wegen nicht kompatibler Verfahren immer noch problematisch zu handhaben.

Können Sie das genauer erklären?

Wagner Bei dem herkömmlichen Verfahren müssen Sender und Empfänger das gleiche Verschlüsselungsprogramm haben. Das ist aber oft nicht der Fall. Dann erhält der Empfänger eine verschlüsselte E-Mail, die er nicht lesen kann, weil er sie eben nicht entschlüsseln kann.

Was empfehlen Sie konkret?

Wagner Wir bieten in einem Pilotprojekt beispielsweise eine zentralisierte E-Mail-Verschlüsselung an. Dabei werden die E-Mails der Firmen bereits verschlüsselt an unseren Zentralrechner gesendet, mit einem digitalen Identifizierungsmerkmal gekennzeichnet und dann an den Empfänger weitergeleitet. Der E-Mail-Empfänger muss sich dann durch eine Registrierung "ausweisen". Die weitere Kommunikation erfolgt automatisch verschlüsselt. Bei dem Verfahren werden Verschlüsselungsalgorithmen eingesetzt, die als unknackbar gelten.

MARC CATTELAENS FÜHRTE DAS GESPRÄCH