E-post säkerhet: Meddelanden skydda mot faror (dom)

Den digitala utvecklingen går framåt, och med den också betydelsen av säker kommunikation. Ett nyligen domstolsavgörande tydliggör hur viktigt det är att ha tillfredsställande säkerhetsåtgärder vid e-postöverföring – särskilt när det gäller finansiella transaktioner. Vad innebär det för företag? Och vilka krypteringsmetoder är verkligen säkra?

Domslut: Bristande säkerhet kan vara dyrt

Ett företag har nyligen blivit stämt inför domstolen, eftersom en skickad faktura manipulerats av en hackerangrepp. Kunden vägrade betala den falska fakturan och domstolen gav honom rätt! Orsaken: Företaget hade vid fakturans skickande inte tagit tillräckliga säkerhetsåtgärder.

Domstolens beslut i Schleswig-Holstein från den 18 december 2024 (mål nr 12 U 9/24) klargör att företag är ansvariga enligt dataskyddsförordningen (GDPR) om de inte tillräckligt skyddar känslig information. Användandet av transportkryptering räcker inte, särskilt när det gäller höga ekonomiska risker. Revisionen av domen har beviljats.

Ett annat domstol har kommit fram till motsatsen, åtminstone för myndigheterna: OVG Münster Den 20 februari 2025 beslutades (nr 16 B 288/23) att myndigheter inte är förpliktigade att skicka e-post med slut-till-slut-kryptering.

Domstolsbeslut har följande effekter på säker e-postkommunikation:

Betydelsen av kryptering för säkra e-postmeddelanden

Basisen för säkra e-postmeddelanden utgör kryptering. Denna teknik tjänar till att skydda känsliga uppgifter under överföringen och bevara dem från obehörig åtkomst.

Föreställ dig att din e-post är som ett brev som växlar mellan olika händer innan det når mottagaren. Utan kryptering skulle innehållet i brevet vara tillgängligt för vem som helst som har det i sina händer. Krypteringen säkerställer dock att innehållet i din e-post bara kan läsas av sändaren och mottagaren.

Det finns två huvudtyper av kryptering: transportkryptering och slut-till-slut-kryptering. E-post skickas idag vanligtvis krypterad under transporten, men inte slut till slut.

Transportkryptering skyddar din e-post under transporten mellan ditt epostprogram och servern till din leverantör. Många epostleverantörer stöder detta sätt att kryptera för att skydda dina data redan på vägen.

Slut-till-slut-kryptering ger istället ett högre skydd. Denna teknik krypterar dina e-post så att bara avsändaren och mottagaren kan läsa innehållet. Även din e-postleverantör kan inte se innehåll i dina meddelanden.

Beträffande domen betyder detta:

• Transportkryptering: Skyddar data under överföring från A till B. Föreställ dig det som en stängd kuvert som skyddas på vägen till posten. Men det räcker inte för domstolen, eftersom transportföretaget officiellt inte är lika förtroendevärd som Deutsche Post.
• Slut-till-slut-kryptering: Kryptera data på så sätt att bara avsändaren och mottagaren kan läsa dem. Avsändaren krypterar data, och endast mottagaren kan med en nyckel dekryptera dem. E-postleverantören har ingen åtkomst till innehållet. Domstolen underströk att vid överföring av fakturor med potentiellt höga finansiella risker är slut-till-slut-kryptering den lämpligaste skyddet. Transportkryptering är visserligen bättre än ingen kryptering alls, men erbjuder inte ett omfattande skydd mot målinriktade attacker.

För en slut-till-slut-kryptering måste sändare och mottagare individuellt komma överens. Typiskt sker detta genom utbyte av nycklar eller elektroniska certifikat.

Med slut till slut-kryptering är kommunikationen mellan dig och mottagaren absolut säker. Det finns olika plugins för e-postklienter som du kan aktivera för att använda denna krypteringsmetod. Användning av slut till slut-kryptering är särskilt viktigt när du utbyter känsliga uppgifter som lösenord, finansiella data eller personliga ärenden via e-post.

Digitala signaturer: Säkerhet genom autentisering

Utöver kryptering erbjuder den digitala signaturen en ytterligare viktig skyddsmekanism för era e-postmeddelanden.

En digital signatur är som en elektronisk underskrift som du kan lägga till på din e-post. Denna signatur bekräftar att meddelandet faktiskt kommer från dig och har förblivit oförändrat. Mottagaren kan kontrollera denna signatur för att säkerställa att e-posten är autentisk och inte manipulerad.

Digitala underskrifter är särskilt användbara för viktiga affärsbeskeden eller när du vill se till att dina meddelanden inte har ändrats.

Rätt val: Kryptering vs. digital signatur

Både kryptering och digitala signaturer bidrar till att säkra era e-postmeddelanden, men uppfyller olika funktioner.

Kryptering skyddar innehållet i era mejl mot obehörig åtkomst, medan digital signatur bekräftar autenticiteten av meddelandet. I många fall är det meningsfullt att kombinera båda teknologier för att säkerställa en omfattande skyddning av era kommunikationer.

Bevisbörda ligger på företaget

Det är också viktigt: Företagen ska visa att de har tagit alla nödvändiga säkerhetsåtgärder. Om data komprometteras på grund av bristande säkerhetsåtgärder måste företaget visa att det har uppfyllt sin ansvarsskyldighet.

Vad innebär det för företag?

I stället för myndigheter har företag nu faktiskt mer hemuppgifter att göra:

• Riskvärdering: Börja med att överväga det specifika risken och den potentiella skadan vid valet av krypteringsmetod.
• Slut-till-slut-kryptering: Använd slut-till-slut-kryptering för känsliga data, särskilt fakturor och betalningsuppmaningar.
• Dokumentation: Dokumentera alla säkerhetsåtgärder för att i händelse av en olycka kunna visa att du uppfyllt din ansvarsskyldighet.
• Utbildning: Utbilda era anställda i hantering av känsliga data och säkra kommunikationsmetoder.

Det följande diagrammet illustrerar konsekvenserna av de nuvarande domarna vid e-postskickning:

Detta diagram har också skapats med hjälp av artificiell intelligens (lokal AI).

Sammandrag

Det är ofta svårt att spåra upp exakta bakgrunder för ett hackerangrepp och visa sambandet mellan avsändarens pliktsbrott och det uppkomna skadeståndet.

Transportkryptering erbjuder ingen tillräcklig skydd vid högt finansiellt risktagande, end-to-end-kryptering är att rekommendera. End-to-end är komplicerat och måste individuellt överenskommas. Kompatibiliteten mellan krypteringsdienster varierar dessutom beroende på e-postprogram eller mailleverantör (t.ex. Gmail, Outlook, Yahoo).

Företag måste överväga det specifika risken och den potentiella skadan vid val av krypteringsmetod. Kryptering förhindrar att innehållet i en e-post kan läsas utan rätt nyckel. Detta är särskilt viktigt när det gäller känsliga personuppgifter.

Vilka är känsliga personuppgifter?

• Uppgifter som avslöjar en persons ras eller etniska ursprung, politiska åsikter, religiösa eller världsåskadliga övertygelser
• Fackföreningstillhörighet
• Genetiska data, biometriska data som endast används för att unikt identifiera en fysisk person
• Hälsodata
• Uppgifter om en persons sexuella liv eller sexuell orientering

Source: EU-kommissionen

Bevisbördan för att uppfylla dataskyddsförordningen ligger hos den ansvarige.

Många cyberskyddsförsäkringar täcker inte skador orsakade av hackare automatiskt eller erbjuder bara begränsad försäkringsförsäkring.

Rekommendationer

Använd gärna en slut-till-slut-kryptering när det är lämpligt, särskilt när du ofta kommunicerar med olika enheter.

Bara i undringelserfall borde den drabbade personen frågas om hon är villig att med transport av krypterad data skicka ut sina uppgifter. Men det kan väcka slumrande hundar.

Ist en otryckt e-post inte ett alternativ kan Efteråtgärdspost väljas som säker överföringsmetod. Alternativt erbjuds metoder som S/MIME eller PGP. Även passordskyddade bifoganden verkar bra. Passordet bör då dock överföras via en annan överföringssätt, till exempel per SMS. Det bör minst regelbundet ändras, om det sker oftare (säker) kommunikation.

Företag och privatpersoner ska vara försiktiga vid överföring av pengar och inte betala till okända eller misstänkta konton.

Dataskyddshandläggare bör informera sina klienter om detta för att begränsa sin egen ansvar.