E-mail-sikkerhed: Beskeder forsvare mod farer (dom)

Digitaliseringen går fremad, og med den betydningen af sikker kommunikation. Et nyt domsafgørelse gør tydeligt, hvor vigtig det er at have tilstrækkelige sikkerhedsforanstaltninger ved overførsel af e-mails – især når det drejer sig om finansielle transaktioner. Hvad indebærer det for virksomhederne? Og hvilke krypteringsteknikker er rigtig sikre?

Domstolsdom: Ugunstig sikkerhed kan være dyrt

Et firma blev nyligt dømt i domstol, fordi en afsendt regning var blevet manipuleret af en hackerangreb. Kunderne nægtede at betale den falske regning, og domstolen gav dem ret! Grunden: Firmaet havde ikke taget tilstrækkelige sikkerhedsforanstaltninger ved afsendelsen af regningen.

Dommen fra Schleswig-Holsteiniske OLG den 18.12.2024 (Az. 12 U 9/24) fastslår: Selskaber er ansvarlige efter dataskyddsbekendtgørelsen (GDPR), hvis de ikke tilstrækkeligt beskytter følsomme data. Den eneste brug af transportkryptering er ikke nok, især når det drejer sig om store økonomiske risici. Revisionen af dommen blev tilladt.

Et andet domstol har besluttet det modsatte, i hvert fald for myndigheder: OVG Münster Den 20. februar 2025 besluttede man (Az. 16 B 288/23), at myndigheder ikke er pålagt med at sende e-mails med slut-til-slut kryptering.

Domafordelinger har følgende konsekvenser for sikker e-mail-trafik:

Betydningen af kryptering for sikre e-mails

Grundlaget for sikre e-mails er krypteringen. Denne teknologi tjener til at beskytte følsomme oplysninger under overførslen og bevare dem mod ubemyndiget adgang.

Forestil dig, at din e-mail er som en brev, der skifter hænder flere gange før den når modtageren. Uden kryptering ville indholdet af brevet være tilgængeligt for enhver, der har det i hånden. Krypteringen sikrer imidlertid, at indholdet af din e-mail kun kan læses af afsender og modtager.

Der er to hovedtyper af kryptering: transportkryptering og slut-til-slut-kryptering. E-mails bliver i dag som regel krypteret under transporten, men de bliver ikke slut til slut krypteret.

Transportkryptering beskytter din e-mail under transporten mellem dit e-mail-program og serveren til din leverandør. Mange e-mail-leverandører understøtter denne type af kryptering, for at sikre dine data allerede på dette trin.

End-to-end-kryptering tilbyder dog en endnu højere beskyttelse. Denne teknologi krypterer dine e-mails sådan, at kun afsenderen og modtageren kan læse dem. Ikke engang din e-mail-leverandør kan se indholdet af dine beskeder.

I forhold til dommen betyder dette:

• Transportkryptering: Beskytter data under overførslen fra A til B. Forestil det som en lukket kuvert, der beskyttes på vej til posten. Men det er ikke nok for domstolen, for transportdiensten er offentligt ikke så tillidsværdig som Deutsche Post.
• Slut-til-Slut-kryptering: Krypterer dataene så kun afsenderen og modtageren kan læse dem. Afsenderen krypterer dataene, og kun modtageren kan med en nøgle dechiffrere dem. E-mail-leverandøren har ikke adgang til indholdet. Domstolen understregede, at ved overdragelse af fakturaer med potentielt høje finansielle risici end-to-end-kryptering er den egnet beskyttelse. Transportkryptering er dog bedre end ingen kryptering, men tilbyder ikke en omfattende beskyttelse mod målrettede angreb.

For en slut-til-slut-kryptering skal afsender og modtager hver især træffe en aftale. Typisk sker dette ved udveksling af nøgle eller elektroniske certifikater.

Med slut til slut-kryptering er kommunikationen mellem dig og modtageren absolut sikker. Der findes forskellige plugins til e-mail klienter, hvorved du kan aktivere denne krypteringsform. Brugen af slut til slut-kryptering er især vigtig, når du udveksler følsomme oplysninger som adgangskoder, finansielle oplysninger eller personlige sager via e-mail.

Digital underskrifter: Sikkerhed gennem autentisering

Bortset fra kryptering tilbyder den digitale signatur en yderligere vigtig sikkerhedsfunktion for dine e-mails.

En digital signatur er som en elektronisk underskrift, der kan tilføjes til din e-mail. Denne signatur bekræfter, at beskeden virkelig kommer fra dig og har været ubeskadiget. Modtageren kan overprüge denne signatur for at sikre sig, at e-mailen er autentisk og ikke blevet manipuleret.

Digitale underskrifter er særligt nyttige til vigtig erhvervs-kommunikation eller hvis du ønsker at sikre dig, at dine beskeder ikke er blevet ændret.

Den rette valgmulighed: Kryptering vs. digital signatur

Beide kryptering og digitale underskrifter bidrager til sikring af din e-mail, men udfører forskellige funktioner.

Kryptering beskytter indholdet af dine e-mails mod ulovlig adgang, mens den digitale signatur bekræfter meddelelsens autenticitet. I mange tilfælde er det fornuftigt at kombinere begge teknologier, således at sikre en omfattende beskyttelse af din kommunikation.

Bevisbyrden ligger hos virksomheden

Det er også vigtigt: Virksomheder bærer bevisbyrden for at de har taget alle nødvendige sikkerhedsforanstaltninger. Hvis data bliver kompromitteret på grund af ugunstige sikkerhedsmålinger, skal virksomheden bevise, at den har opfyldt sin forsigtighedspflicht.

Hvad betyder det for virksomhederne?

I stedet for at være myndigheder har virksomheder nu i praksis mere hjemmeøvelser til at gøre:

• Risikovurdering: Overvej, når du vælger en krypteringsmetode, det konkrete risiko og den potentielle skade.
• Slut-til-slut-kryptering: Brug slut-til-slut-kryptering til følsomme data, især regninger og betalingsopfordringer.
• Dokumentation: Dokumentér alle sikkerhedsforanstaltninger, så du kan bevise, at du har opfyldt din værksomhedspflicht i tilfælde af en ulykke.
• Uddannelse: Uddann dine medarbejdere i håndtering af følsomme data og sikre kommunikationsmetoder.

Det følgende diagram viser konsekvenserne af de nævnte domme ved e-mail-afsendelse:

Det samme diagram blev også skabt med hjælp fra kunstig intelligens (lokal AI).

Konklusion

Det er ofte svært at fastslå de nøjagtige baggrunde for en hackerangreb og bevise sammenhængen mellem afsenders pligtgørelse og opstået skade.

Transportkryptering tilbyder ikke tilstrækkelig beskyttelse ved højt finansielt risiko, end-to-end-kryptering er anbefalelsesværdig. End-to-end er kompleks og skal aftales individuelt. Kompatibiliteten af krypteringsdienster varierer desuden efter e-mail-program eller mail-leverandør (f.eks. Gmail, Outlook, Yahoo).

Virksomheder skal tage det konkrete risiko og den potentielle skade i betragtning, når de vælger en krypteringsmetode. Kryptering forhindrer, at indholdet af en e-mail kan læses uden den tilhørende nøgle. Det er især vigtigt ved følsomme personlige oplysninger.

Hvilke personlige oplysninger er følsomme?

• Persondata, der udgår fra en persons raciale eller etniske oprindelse, politiske meninger, religiøse eller verdensanskuelske overbevisninger
• Fagforeningsmedlemskab
• Genetiske data, biometriske data, der udelukkende anvendes til en unik identifikation af en fysisk person
• Sundhedsdata
• Data om seksuallivet eller den seksuelle orientering af en person

Kilde: EU-Kommission

Bevisbyrden for at opfylde de persondataregler ligger hos den ansvarlige.

Mange cybersikringe omfatter ikke skader på grund af hackerangreb eller tilbyder kun begrænset forsikringsdækning.

Anbefalinger

Brug muligtvis en slut-til-slut-kryptering, der særligt tilbyder sig, når der ofte kommunikerer mellem afdelinger.

Kun i nødsskab skal den pårørte person spørges, om hun er enig i at hendes data bliver sendt med kryptering ved transport. Men det kan vække slumrende hunde.

Ist en usleget e-mail kan Efter sendelse vælges som sikker overdrættelsemetode. Alternativt tilbydes procedurer som S/MIME eller PGP. Selv godkendte passwordbeskyttede tilføjelser virker godt. Passwordet skulle så dog overdrages via en anden transmission, f.eks. via SMS. Det skal mindst ændres regelmæssigt, hvis der finder en mere hyppig (sikkert) kommunikation sted.

Virksomheder og privatpersoner skal altid være forsigtige, når de overfører betalinger og ikke udføre betalinger til ukendte eller mistænkelige konti.

Persondataombudsmande skal informere deres klienter om dette for at begrænse deres egen ansvar.