Wie verwundbar sind Sie also, wenn Sie eine unverschlüsselte E-Mail senden? Wir haben bereits über den Weg geschrieben, den eine verschlüsselte E-Mail durchläuft, vom Verfassen eines Entwurfs in Ihrem E-Mail-Client bis zur Landung im Posteingang Ihres Empfängers. Der Pfad sieht zwar etwas anders aus, je nachdem, welche Art von Verschlüsselung Sie verwenden, aber eines ist sicher: Die Verwendung der clientseitigen E-Mail-Verschlüsselung hilft dabei, alle verschiedenen Möglichkeiten zu sperren, die ein Hacker hat, um auf Ihre Daten zuzugreifen.Die Anzahl der Stopps, die Ihre E—Mail macht, nachdem sie Ihren Posteingang verlassen hat, mag Sie überraschen, also lassen Sie uns die Schichten zurückziehen und sehen, was passiert, wenn Sie eine unverschlüsselte E-Mail senden – und aus der Sicht eines Hackers oder Cyberspions, wie viele Orte können Sie diese E-Mail abfangen und den Inhalt stehlen.

Unverschlüsselte E-Mail: Was schief gehen kann

„Die Reise einer unverschlüsselten E-Mail ist wirklich die Umkehrung der Reise einer verschlüsselten E-Mail. Bei jedem kleinen Schritt haben Sie Angriffsvektoren, die möglicherweise kein Problem darstellen, wenn Sie eine verschlüsselte E-Mail gesendet hätten „, sagt Will Ackerly, Mitbegründer und Chief Technology Officer von Virtru.

Es ist leicht, sich E-Mails als eine direkte Reise von Punkt A (dem Computer des Absenders) zu Punkt B (dem Computer des Empfängers oder der Empfänger) vorzustellen. Aber noch bevor eine unverschlüsselte E—Mail Ihren Posteingang verlässt, stellt sie eine Bedrohung für Ihre Datensicherheit und Privatsphäre dar – und sobald Sie sie verlässt, durchläuft sie einige Boxenstopps, bevor sie ihr endgültiges Ziel erreicht.

„Es gibt drei Hops, die jede E-Mail auf ihrem Weg zu einem Empfänger durchläuft“, sagt Ackerly. „Bei jedem Hop kann es eine verschlüsselte Verbindung geben oder auch nicht, und der einzige, dessen Sie sich sicher sein können, ist der erste Hop (wenn Sie einen Webmail-Client wie Google Mail verwenden, der SSL / TLS zum Verschlüsseln von E-Mails verwendet.)“

1. Stoppen Sie eins: Ihren E-Mail-Server. „Wenn ich eine E-Mail mit Google Mail sende, besteht eine Verbindung von mir zu Google“, sagt Ackerly. „Das ist der erste Sprung, und Sie können feststellen, ob diese Verbindung verschlüsselt ist. Alles, was Sie tun müssen, ist in Ihrer Adressleiste nach diesem grünen Schloss zu suchen.“

2. Stopp zwei: Der E-Mail-Server Ihres Empfängers. Dann kommuniziert Google beispielsweise mit Yahoo (wenn ich E-Mails an einen Yahoo-Benutzer sende) „, sagt Ackerly. „Das ist der zweite Hop.“ Und das ist der zweite Ort, an dem Ihre E-Mails abgefangen werden können, wenn der E-Mail-Client Ihres Empfängers keine E-Mail-Verschlüsselung verwendet.

„In diesem zweiten Schritt haben Endbenutzer keinen Einblick in den Prozess“, sagt Ackerly. „Es ist fast unmöglich zu sagen, ob die Verbindung zwischen Ihrem E-Mail-Anbieter und dem E-Mail-Anbieter Ihres Empfängers verschlüsselt ist oder nicht. Google kann alles tun, um Google Mail zu verschlüsseln, aber wenn der Anbieter Ihres Empfängers keine verschlüsselte Verbindung unterstützt, hat Google keine andere Wahl, als sie im Klartext auszugeben. Und das ist eigentlich der Standard-E-Mail-Status. Es ist ungeschützt und für jeden lesbar, der diese Nachricht erhält.“

3. Stopp drei: der Computer Ihres Empfängers. „Schließlich geht die E-Mail von Yahoo direkt an Ihren Empfänger, und das ist der dritte Sprung“, sagt Ackerly, „und es ist ein weiterer Ort, an dem Ihre E-Mails kompromittiert werden können.“ Sobald Ihr Empfänger die E-Mail öffnet, kann er sie an jeden weiterleiten, der ihm gefällt, wodurch eine Kette anfälliger Punkte entsteht.

„Das ist das Leben einer unverschlüsselten E-Mail“, sagt Ackerly. „Es könnte, wie bei Google Mail, von einem Hop zum anderen verschlüsselt werden, aber in den anderen Hops kann es in einem ungeschützten Zustand existieren. Und wenn eine dieser vier Entitäten, die durch diese drei Hops verbunden sind, einen Fehler macht, können Ihre Daten kompromittiert werden.“Bei so vielen potenziellen Orten, an denen Ihre unverschlüsselten E-Mails vereitelt werden können, entweder von Hackern, die Ihre Daten stehlen wollen, Cyberdieben, die nach Ihrem geistigen Eigentum suchen, oder einfach von jemandem, der schnüffelt, sieht die Aussicht, Ihre E-Mails und Anhänge nicht zu schützen, ziemlich beängstigend aus.Und für jedes Unternehmen, das mit Sony Pictures um die Zeit ihres 2014-Hacks korrespondierte, wurde diese Angst ein wenig zu real.

as Ziel der E-Mail könnte Ihr Hauptschwachpunkt sein

„Etwas, das ich bis zum Sony-Hack für wirklich unintuitiv hielt, ist, dass die größte Bedrohung für die E-Mail-Sicherheit von Unternehmen darin besteht, was mit der E-Mail auf der Empfängerseite passiert“, sagt Ackerly. „Dazu gehören sowohl der Computer des Empfängers als auch das Empfängerunternehmen, wenn Sie eine E-Mail an ein anderes Unternehmenssystem senden.“Sonys laxe Datenschutz- und Sicherheitsgewohnheiten, die zu dem berüchtigten Hack führten, haben Sony nicht nur in Gefahr gebracht — Snapchat landete auch im Fadenkreuz der Hacker, weil er unverschlüsselte E-Mails mit Sony ausgetauscht hatte.

„Der Sony-Hack hat die Verwundbarkeit des Ziels Ihrer E-Mail wirklich ins Rampenlicht gerückt. Der CEO von Snapchat schickte E-Mails an einen Berater bei Sony, und als die E-Mail-Server von Sony gehackt wurden, waren alle, mit denen sie unverschlüsselte E-Mails ausgetauscht hatten, gefährdet „, sagt Ackerly. „Und dazu gehörte SnapChat.“Einige dieser E-Mails enthielten private Gespräche zwischen Snapchat und Sony Entertainment CEO Michael Lynton, der auch als Snapchat-Vorstandsmitglied fungiert und die geschäftlichen Ambitionen von Snapchat beschreibt. Pläne, in neue Märkte zu expandieren, geheime Akquisitionen und Ideen für neue Features und Funktionen, die alle als Ergebnis des Sony-Hacks durchgesickert sind.“Diese massive Verletzung ist nicht passiert, weil irgendjemand bei SnapChat keinen guten Job gemacht hat“, sagt Ackerly. „Das liegt daran, dass bei unverschlüsselten E-Mails ein hohes Risiko besteht. Es gibt mehrere Parteien, die die E-Mail, die Sie senden, verwahren. Sie verlassen sich darauf, dass sie ihre Sorgfaltspflicht erfüllen, um ihre Inhalte zu schützen. Wenn sie es vermasseln, bist du im Netz gefangen.“Die Verwundbarkeit des Computers Ihres Empfängers sowie seines E—Mail-Servers (ob lokal, in der Cloud oder als Teil eines Dienstes wie Google Mail oder Yahoo gehostet) könnte der Untergang Ihrer E-Mail-Sicherheit sein – aber auch Ihr eigenes Gerät ist nicht immun.

Wie Ihr eigener Computer eine Bedrohung für Ihre E-Mail-Sicherheit darstellt

Eines der Hauptanliegen von Unternehmen bei der Migration ihrer lokalen E-Mail-Lösung (z. B. Exchange) in die Cloud ist die Sicherheit. Und Outlook, Apple Mail und andere Desktop-Clients sind immer noch sehr beliebte Lösungen für Unternehmen. Ist das Hosten Ihrer E-Mails in der Cloud nicht von Natur aus weniger sicher?

Nicht unbedingt. Zum einen bedeutet die Migration zu Google Mail (über Google Apps for Work – jetzt als G Suite bekannt) als E-Mail-Lösung für Unternehmen, dass Sie zumindest ein wenig Schutz durch E-Mail-Verschlüsselung erhalten, da Google die SSL / TLS-Verschlüsselung in sein E-Mail-Produkt integriert. Es mag eine unvollständige Lösung im Vergleich zur clientseitigen Verschlüsselung sein — und es wird nicht im Kontext bestimmter Regulierungs- und Compliance-Regelungen wie HIPAA oder CJIS funktionieren -, aber es ist sicherlich besser als gar nichts.

Es gibt auch das Problem Ihres Computers. Wenn Sie einen Desktop-E-Mail-Client verwenden, was passiert, wenn beispielsweise Ihr Laptop gestohlen wird?

„Wenn Sie Webmail verwenden, insbesondere Google Mail, haben Sie einen geringen Schutz. Sie sind eigentlich ziemlich sicher in Bezug auf die Erstellung sensibler Daten auf Ihrem Computer „, sagt Ackerly. „Wenn Ihr Computer gestohlen wird und Sie einen Desktop—E—Mail-Client wie Apple Mail verwenden, sind alle diese E-Mail-Nachrichten – nicht nur die, die Sie gesendet, sondern auch die, die Sie erhalten haben – anfällig für Diebstahl. Sie sind in keiner Weise geschützt oder verschlüsselt.“In dieser Hinsicht ist die Verwendung eines Webmail-Dienstes wie Google Mail, der Ihre Daten remote auf Hochsicherheitsservern speichert, sehr sinnvoll. „Darüber hinaus laden Desktop-E-Mail-Programme häufig Ihren gesamten Posteingang, der einen großen Teil Ihres privaten oder geschäftlichen / beruflichen Lebens ausmacht, auf Ihr Gerät herunter.“

Wenn Ihr Computer nicht verschlüsselt ist, kann dies zu kostspieligen Sicherheitsverletzungen führen. „Es gab Beispiele dafür, wo ein einzelner Arzt die Daten von einem Computer im Internet veröffentlicht, in der Regel versehentlich, und es führt zu Millionen und Abermillionen von Dollar in HIPAA Verletzung Strafen und andere Kosten. Das kann auch bei Desktop-E-Mails passieren „, sagt Ackerly. „Aber mit Webmail-Clients wie Google Mail, wenn Sie einen Entwurf erstellen oder eine E-Mail versenden, erstellen Sie keine Kopie auf Ihrem Computer, die dann verloren gehen oder durchgesickert sein kann. Es gibt immer noch viele Kopien, die verletzt werden können — sobald Sie einen Entwurf erstellt haben, bleibt dieser Inhalt jetzt auf einem Backend—Server bestehen -, aber Sie haben nicht unbedingt eine Kopie auf Ihrem Gerät, die durchgesickert oder verloren gehen kann.“

Die Bedrohung durch Benutzerfehler (und die Bedeutung des Schutzes vor Datenverlust)

Aber Hacking, Überwachung / Spionage und Laptop-Diebstahl sind nicht die einzigen Gründe, warum es unsicher ist, unverschlüsselte E-Mails zu senden. In vielen Fällen ist der größte Feind der E-Mail-Privatsphäre und -Sicherheit Ihres Unternehmens Ihre Organisation selbst.

„Eine der größten tatsächlichen Bedrohungen in der E-Mail-Sicherheit von Unternehmen sind einfach Benutzerfehler“, sagt Ackerly. „Wir reden viel über den’bewussten Akteur‘, ob es sich um einen böswilligen Insider oder einen externen Hacker handelt, der eine Bedrohung darstellt, aber eine Menge Sicherheitsvorfälle sind auf Fehler zurückzuführen.“

Dieser Fehler könnte darin bestehen, die Adresse der falschen Person in die Zeile „An“ einzugeben. Es kann sein, dass Sie eine E-Mail weiterleiten, ohne zu bemerken, dass sich sensible Daten am Ende der Kette unter der relevanten E-Mail befinden, die Sie weiterleiten möchten. Die Fähigkeit, dies zu erkennen und darauf zu reagieren, ist entscheidend, um größere E-Mail-Sicherheitsvorfälle im Unternehmen zu verhindern.

„Dies spricht für die Bedeutung des Schutzes vor Datenverlust (DLP) und warum Virtru DLP in seine E-Mail-Verschlüsselungslösung einbezieht“, sagt Ackerly. „Der E-Mail-Administrator kann im Voraus sagen:“Dies sind die Wörter, die uns ein Sicherheitsproblem verursachen, wenn wir sie in E-Mails aufnehmen. Über das Offensichtliche hinaus, wie die Wörter ’streng geheim‘ oder ’nur für Ihre Augen‘, gibt es auch Muster, nach denen die Software in Ihrer E-Mail sucht, bevor Sie sie senden.“

Wenn Ihre E-Mail beispielsweise eine Nummer enthält, die im Muster der Sozialversicherungsnummer (xxx-xx-xxxx) eingegeben wurde, oder eine 16-stellige Nummer, die wie eine Kreditkartennummer aussieht, wird Virtru sie tatsächlich hervorheben, wenn Sie auf „Senden“klicken, und dann fragen, ob Sie die Nachricht als verschlüsselte E-Mail senden möchten.

„Dies stellt die Virtru Erweiterung intelligent Scannen Sie Ihre Inhalte für diese potenziellen Sicherheitsrisiken, aber das alles geschieht in Ihrem Plugin — kein Dritter hat tatsächlich Zugriff auf Ihre Inhalte.“ , erklärt Ackerly. „Die Funktion ist wie eine Rechtschreibprüfung, aber für Datenverlust. Das Konzept, nach sehr sensiblen Daten zu suchen und dann die Richtlinie durchzusetzen, ist eine Fähigkeit, die derzeit nur sehr wenige Unternehmen haben, da die Daten irgendwo auf einem Server gespeichert werden. Aber die Fähigkeit, diesen DLP-Schutz durchzusetzen, ist etwas, wonach viele Unternehmen gefragt haben.“

Mit DLP verlassen Sie sich nicht mehr darauf, dass der Benutzer weiß, ob er verschlüsseln soll oder nicht, und verhindern viele der“Oops“ -Momente, die zu Datenverletzungen führen können.

Was passiert mit verschlüsselten E-Mails, die mit Portalsystemen gesendet werden

Während unverschlüsselte E-Mails die drei Phasen der Reise einer E-Mail ungeschützt durchlaufen, was ist, wenn Sie ein Portalsystem zum Senden verschlüsselter E-Mails verwenden? Sie erhalten immer noch eine begrenzte Art von Schutz, erklärt Ackerly. „Das Portal speichert eine unverschlüsselte Version der E-Mail. Viele Unternehmen nennen diese Portalsysteme ‚verschlüsselte E-Mail‘, aber die Realität ist, dass es wirklich nicht mehr verschlüsselt ist als eine mit SSL / TLS verschlüsselte E-Mail (wie Google Mail).“

Was bedeutet, dass Ihre E-Mail nicht bei jedem Sprung sicher ist. „Dieser E-Mail-Anbieter behält die E-Mail bei und lässt nur zu, dass der unverschlüsselte Inhalt über eine verschlüsselte Punkt-zu-Punkt-Verbindung zum Empfänger geleitet wird. Wirklich, was Sie kaufen Es gibt eine Garantie, dass der letzte Sprung über eine Punkt-zu-Punkt-verschlüsselte Verbindung erfolgt.“

Außerdem geben Unternehmen ein gewisses Eigentum an ihren eigenen E-Mail-Inhalten auf, wenn sie sich für eine Portallösung entscheiden. „Hier ist der Kompromiss: Sie geben eine weitere unverschlüsselte Version Ihrer E-Mail an einen anderen Anbieter weiter. Anstatt dass Google die E-Mail erhält und versendet, geben Sie sie an den Portalanbieter weiter „, sagt Ackerly. „Der Nachteil ist, dass sie den Inhalt sehen können — im Gegensatz zur clientseitigen E-Mail-Verschlüsselung haben diese Portalanbieter Zugriff auf die zugrunde liegenden Daten.“

Für einen echten Schutz bei jedem Stopp, den Ihre E-Mail durchläuft, sowie für die vollständige Privatsphäre der Inhalte Ihres Unternehmens benötigen Sie einen clientseitigen E-Mail-Verschlüsselungsdienst wie Virtru.

Virtru: Clientseitige Verschlüsselung & DLP zum Schutz Ihrer E-Mails Bei jedem Schritt

Es ist klar, dass die Reise, die eine E-Mail vom Entwurf bis zum Posteingang Ihres Empfängers (und darüber hinaus) durchläuft, sehr unterschiedlich aussieht, je nachdem, ob Sie keine Verschlüsselung, eingeschränkte Verschlüsselung (wie bei SSL / TLS oder Portalen) oder clientseitige E-Mail-Verschlüsselung verwenden.Virtru Pro bietet nicht nur clientseitige E-Mail-Verschlüsselung und Schutz vor Datenverlust, um Ihre verschlüsselten E-Mails von Anfang bis Ende sicher und privat zu halten, sondern gibt Ihnen auch die genaue Kontrolle über Ihren Posteingang. Mit der Weiterleitungssteuerung können Sie sicherstellen, dass Ihr beabsichtigter Empfänger der einzige Empfänger der von Ihnen gesendeten E-Mail ist. Mit dem E-Mail-Rückruf können Sie eine Nachricht zurücknehmen, die Sie möglicherweise versehentlich gesendet haben. Sie können auch Ablaufdaten in Ihrer E-Mail festlegen.Virtru arbeitet nahtlos mit dem Webmail-Anbieter zusammen, den Sie bereits verwenden, um Ihre Nachrichten und Anhänge mit einem einfachen Tastendruck zu schützen. Übernehmen Sie noch heute die Kontrolle über Ihre Daten und laden Sie Virtru herunter, um verschlüsselte E-Mails zu senden.