Bereits im Juli 2020 war Transportverschlüsselung im Mailverkehr ein Thema in unserem hauseigenen Blog PPI Insurance Experts. Anlass damals war unter anderem das Positivbeispiel der Sparkasse, die ausschließlich auf die neuesten Verschlüsselungstechnologien setzt. Daneben haben wir uns jetzt aber auch detailliert mit den Risiken und Gefahren bei der Verwendung veralteter Verschlüsselungstechnologien auseinandergesetzt. Als Einstieg noch einmal ein kurzer Exkurs zur diesbezüglichen Funktion von Mailservern:

Technologische Entwicklung

Server übertragen E-Mails grundsätzlich verschlüsselt, damit sie nicht im Klartext von Mailserver zu Mailserver „springen“. Für diese Codierung gibt es verschiedene Softwareversionen, die über die Jahre Schritt für Schritt weiterentwickelt wurden. Denn es war immer nur eine Frage der Zeit, bis die jeweils aktuellste Version geknackt war:

  • SSL 1.0 (1994)
  • SSL 2.0 (1995)
  • SSL 3.0 (1996)
  • TLS 1.0 (1999)
  • TLS 1.1 (2006)
  • TLS 1.2 (2008)
  • TLS 1.3 (2018)

Jeder Mailserver arbeitet mit einer oder mehrerer dieser Versionen. Beim Versand von E-Mails „einigen“ sich die kommunizierenden Mailserver untereinander auf die möglichst sicherste, also neueste Version, über die beide verfügen. Im Beispiel der folgenden Abbildung ist dies TLS 1.2.

Was ist noch sicher?

Aber welche Version ist denn derzeit noch anwendbar? Aktuell als ausreichend sicher gelten TLS 1.2 und TLS 1.3. Alle darunter liegenden Versionen gelten nach der technischen Richtlinie TR-02102-2 des Bundesamtes für Sicherheit in der Informationstechnik als unsicher. Wenn ein Unternehmen die Verschlüsselungstechnologien TLS 1.1, TLS 1.0, SSL 3.0, SSL 2.0 oder SSL 1.0 unterstützt, wird es durch sogenannte Downgrade-Attacken angreifbar und läuft Gefahr, Opfer eines Man-in-the-middle-Angriffs zu werden. Um sich vor derartigen Attacken zu schützen müssten Unternehmen an ihren Servern alle Technologien abwärts von TLS 1.2 deaktivieren. Dies kann zwar zu Kommunikationsproblemen mit Adressaten führen, deren Server nur ältere Schlüssel beherrschen, aber deren Anzahl nimmt stetig ab.

In Kauf genommene Einfallstore

Viele Unternehmen haben in den vergangenen Jahren aus Gründen der Kompatibilität auch veraltete Verschlüsselungsversionen unterstützt. Wir haben seit Anfang 2020 Mailserver mit unserem Echtzeit-Risikobewertungstool cysmo® beobachtet und geschaut, wie sich die Unternehmen verhalten und wann sie anfangen, nur noch die sichereren Verschlüsselungstechnologien zu verwenden.
Für einen besseren Überblick haben wir damals die Transportsicherheit von E-Mails bei 3.000 zufällig ausgewählten Unternehmen statistisch ausgewertet. Ergebnis: 97 Prozent der Firmen setzten noch veraltete Verschlüsselungstechnologien ein. Wie sieht die Situation jetzt, ein Jahr später, aus?

Die Tendenz ist eindeutig: Unternehmen setzen vermehrt auf die sicheren Verschlüsselungstechnologien TLS 1.3 und TLS 1.2 und stellen sukzessive die Unterstützung der veralteten Schlüssel TLS 1.1, TLS 1.0 und SSL 3 ein. SSL 2 wird nahezu nicht mehr verwendet.
Auch wenn weiter Luft nach oben ist, zeigt der erkennbar positive Trend doch deutlich, dass Unternehmen die Zeichen der Zeit erkannt haben. Bis zu unserem Jahresrückblick Ende 2021 hoffen wir natürlich auf noch positivere Zahlen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Verwandte Artikel