Jetzt hat es noch einen der Großen getroffen: Bei Microsoft hatten unbekannte Angreifer zwischen Januar und März 2019 Zugriff auf Microsoft Web Mail-Dienste. Über die gestohlenen Zugangsdaten eines Microsoft-Mitarbeiters aus dem Kundendienst hatten sie sich anscheinend Zugang verschafft. Dabei konnten sie neben den E-Mail-Adressen auch die Mail-Betreffs und Ordnernamen einsehen. Die betroffenen Nutzer haben Pech gehabt: Sie sollen ihre Passwörter ändern und sich vor Phishing-Angriffen in Acht nehmen.

Schon wieder geht ein Großkonzern zu nachlässig mit den Daten seiner Kunden um. Dieses Mal hat es Microsoft erwischt. Der Konzern rät den Betroffenen zu Sicherheitsmaßnahmen. Ein bisschen spät. Zumal die privaten Nutzer oft selbst wenig tun können, sie müssen sich in den meisten Fällen auf die angebotenen Sicherheitsmaßnahmen ihres Anbieters verlassen. Unternehmen haben allerdings zusätzliche Möglichkeiten, sich gegen unerlaubten Zugriff zu schützen.

Es lohnt sich in jedem Fall, den kompletten E-Mail-Verkehr – also E-Mail-Inhalte, den Betreff sowie Anhänge – zu schützen. Verschlüsselung ist hierbei die beste Methode. Dabei kommt es aber nicht nur darauf an, die Daten auf dem Transportweg zwischen Sender und Empfänger zu verschlüsseln, sondern auch „at Rest“ und „in Use“. Der Grund ist naheliegend: Im Falle von Microsoft wurden die Zugangsdaten eines Mitarbeiters gestohlen, um sich Zugang zu verschaffen. Wären die Daten der Nutzer zu diesem Zeitpunkt aber bereits verschlüsselt gewesen, hätten die Angreifer nur nutzlosen Datenmüll erbeuten können. Hinzu kommt natürlich die Tatsache, dass anscheinend auch die Microsoft-Mitarbeiter freien Zugriff auf die E-Mail-Kommunikation hatten. Auch hier hätte Verschlüsselung gegen den Zugriff von Mitarbeitern der Drittanbieter helfen können.

Aber Vorsicht: Beim Thema Verschlüsselung ist immer wichtig zu wissen, wer die Kontrolle über den kryptografischen Schlüssel, der zum Ver- und Entschlüsseln der Daten benötigt wird, behält. Aufpassen muss man nämlich immer dann, wenn der Anbieter „BYOK – Bring your own key” anbietet. Das bedeutet, dass das Unternehmen selbst den kryptografischen Schlüssel erzeugt, was natürlich erst einmal gut klingt. Der Nachteil ist aber, dass das Unternehmen danach den Schlüssel oder einen Teil davon an den Provider übergeben muss, damit dieser damit die Daten verschlüsseln kann. Er gibt also zwangsläufig die Kontrolle über den Verschlüsselungsprozess aus der Hand. Aber wer den Schlüssel kontrolliert, hat auch Zugang zu den Daten! Mit diesem Hinweis im Hinterkopf, ist das Konzept BYOK natürlich weitaus weniger attraktiv.

Deswegen: Nur derjenige, der die kryptografischen Schlüssel und den gesamten Verschlüsselungsprozess kontrolliert, hat auch die komplette Kontrolle über seine sensiblen Daten. Das funktioniert beispielsweise mit einem Verschlüsselungsgateway wie dem eperi Gateway.