Jetzt
anfragen
Kostenfreie
Beratung

Zertificon Blog

Als Hersteller von Verschlüsselungslösungen schreiben wir hier zum Thema "sichere geschäftliche Kommunikation".

RECHTLICHE VORGABEN   13. MAI 2022

Aktuelle Rechtsprechung GeschGehG: TLS-Verschlüsselung für E-Mails als Schutzmaßnahme ausreichend?

TLS-Verschlüsselung für die Sicherung von Geschäftsgeheinmissen ausreichend?Das Oberlandesgericht (OLG) Schleswig-Holstein hat kürzlich zur Frage geurteilt, ob TLS-Verschlüsselung für E-Mail nach dem Geschäftsgeheimnisgesetz (GeschGehG) ausreichend ist (6 U 39/21). Im konkreten Fall war der angemessene Schutz für eine Excel-Tabelle mit „Kosteninformationen“ nach dem Geschäftsgeheimnisgesetz zu bewerten.

Die Daten in der Excel-Tabelle wurden als schutzbedürftig, aber nicht von höchstem Schutzwert eingeordnet. Weiterhin wird in der Begründung zum Urteil argumentiert, dass kein Anlass zu der Befürchtung bestand, dass Dritte nach den übermittelten Daten suchen könnten. Der Einsatz der Transportverschlüsselung TLS (Transport Layer Security) wurde in diesem Fall als ausreichend angesehen. Bei TLS wird anders als bei der Inhaltsverschlüsselung mit S/MIME oder OpenPGP nur der Transportweg zwischen zwei Servern, nicht aber der Inhalt verschlüsselt.

Wir erläutern, warum dies nicht bedeutet, dass jedwede geschäftliche E-Mail-Kommunikation mit TLS als Transportverschlüsselung zur Wahrung des Geschäftsgeheimnisses ausreichend geschützt wäre.

Klassifizierung für Geschäftsgeheimnisse

Die Urteilsbegründung beruft sich unter anderem auf eine dreiteilige Bewertung von Geschäftsgeheimnissen (BeckOK GeschGehG/Fuhlrott, § 2 Rn. 23; Köhler u. a./Alexander, § 2 Rn. 56; Maaßen GRUR 2019, 352, 356).

  • streng geheime Informationen, die „Kronjuwelen“, deren Bekanntwerden existenzbedrohend wäre
  • wichtige Informationen, deren Bekanntwerden einen dauerhaften wirtschaftlichen Nachteil verursachen könnte
  • sensible Informationen, deren Bekanntwerden einen kurzfristigen wirtschaftlichen Nachteil verursachen könnte

Das Geschäftsgeheimnis in Form der Excel-Tabelle wurde vom OLG Schleswig-Holstein zwischen den sensiblen und wichtigen Informationen verortet. Es ist anzunehmen, dass schon bei der Einordnung als „wichtige Informationen“ das Urteil anders ausgefallen wäre. Ganz sicher ist TLS-Verschlüsselung zur Wahrung streng geheimer Informationen nicht ausreichend.

Schutzstufen für E-Mail beim Senden von Geschäftsgeheimnissen

Als grobe Richtlinie kann aus der aktuellen Rechtsprechung folgende Einschätzung an Schutzstufen für E-Mail beim Senden von Geschäftsgeheimnissen abgeleitet werden:

 Informationsschutzstufen  naheliegende künftige Rechtsprechung
Streng geheim TLS nicht ausreichend
Wichtig TLS eher nicht ausreichend
Sensibel / TLS je nach weiterer Konstellation (Firmengröße, übliche Sicherungsmaßnahmen u.v.m.) ausreichend

Dieser Blogpost ersetzt keine Rechtsberatung.

Geschäftsführerhaftung nach dem GeschGehG bleibt ohne Inhaltsverschlüsselung ein Risiko   

Mit Sicht auf die Bedrohungslage und die Haftungsrisiken durch Compliancevorgaben nach dem GeschGehG sollte dieses Urteil mit all seinen Abwägungen von der Geschäftsführung reflektiert werden. Im Innenverhältnis haftet der Geschäftsführer persönlich gegenüber der Gesellschaft für Bußgelder oder Schadensersatzforderungen, die durch ordentliche Geschäftsführung und Berücksichtigung der IT-Compliance zu vermeiden gewesen wären (vgl. GmbHG § 43 Abs. 2.).

Das GeschGehG ist erst seit April 2019 in Kraft und damit ein recht junges Gesetz. Es ist denkbar, dass steigende Cyberbedrohungen in Zukunft stärker berücksichtigt werden.

Warum TLS-Verschlüsselung für E-Mail gegen viele Bedrohungen keinen Schutz bietet

Die massenhafte Datensammlung aus dem E-Mail-Verkehr über automatisierte Systeme wurde bei der Rechtsprechung vom OLG Schlewig-Holstein nicht thematisiert. Die allgegenwärtige Bedrohung durch systematisierte Spähattacken sollte jedoch spätestens seit Snowdens Enthüllungen 2014 auch für die Sicherung der geschäftlichen Kommunikation berücksichtigt werden. Es wäre naiv anzunehmen, dass heutzutage irgendwelche Daten ungefiltert durch das Netz gehen. Die Interessen der Schnüffler sind sehr unterschiedlich. Wertvolle Informationen finden ihr Publikum. In Zeiten des Angriffskrieges auf die Ukraine wird auch im Cyberraum aufgerüstet.

TLS bietet gegen Spähangriffe keinen wirksamen Schutz, da immer nur die Verbindung zwischen zwei Servern geschützt ist, nicht aber die Daten selbst. In dem Moment, in dem Daten einen Knotenpunkt passieren, liegen diese Daten unverschlüsselt vor. Diese Knotenpunkte werden systematisch ausgespäht. Anders als beim Surfen im Internet wird für den E-Mail-Versand eben keine direkte Verbindung zwischen Sender und Empfänger aufgebaut. E-Mails werden auf einen unbestimmten Reiseweg über verschiedene Server als Knotenpunkte geschickt. Nur Start und Ziel sind klar, wie viele und wessen Server dazwischen liegen und wie sicher diese geschützt sind, bleibt unbekannt.

Den Schutzbedarf Ihrer Geschäftsgeheimnisse sollten Sie deshalb nicht nur von einer möglichen Rechtsprechung abhängig machen, die TLS möglicherweise als ausreichend bewerten könnte. Zum Schutz Ihrer Daten und um gegenüber Ihren Geschäftspartnern vertrauenswürdig aufzutreten, sollten Sie technisch neben der TLS-Verschlüsselung auch die Inhaltsverschlüsselung anbieten können. Diese ist bereits technischer Standard in der sicheren geschäftlichen Kommunikation.

Inhaltsverschlüsselung für E-Mail in Unternehmen mit Gateway weit verbreitet 

In vielen Branchen, insbesondere bei solchen mit internationalen Geschäftsbeziehungen (Automobilbranche, Transport, Pharma, FMCG, Retail, … ) und auch im Bereich kritische Infrastrukturen (KRITIS), wird TLS als alleiniges Schutzmittel für sichere E-Mail nicht akzeptiert. Zertifikatsbasierte Inhaltsverschlüsselung wird dort über Secure Email Gateways zentral gesteuert flächendeckend eingesetzt. Dabei vertrauen bereits über 25% der TOP 100 umsatzstärksten deutschen Unternehmen auf Z1 SecureMail Gateway!

Webinar zentrale E-Mail-Verschlüsselung

Lernen Sie zertifikatsbasierte Inhaltsverschlüsselung kennen in einem unserer Live-Webinare mit Produktdemo

„E-Mail-Verschlüsselung einfach und zentral umsetzen mit Z1 SecureMail Gateway“

Termine & Infos

Authentizität auch bei Geschäftsgeheimnissen elementar

Prüfbericht in einer E-Mail. Dieser E-Mail können Sie trauen!

Zum Schutz von Geschäftsgeheimnissen sollten Unternehmer bei E-Mails unbedingt auf Authentizität achten, denn die Manipulation von Daten oder die Vortäuschung falscher Identitäten sind Gefahren mit sehr hohem Schadenspotenzial. Bei reinem TLS-Schutzniveau können Sie den E-Mail-Inhalten und auch Mail-Anhängen nicht trauen. An den Knotenpunkten, die E-Mails auf der Reise vom Sender zum Empfänger nehmen, kann jede E-Mail abgefangen, verändert und wieder eingespeist werden, ohne dass Sender oder Empfänger dies erkennen können.

TLS schützt auch nicht gegen CEO-Fraud und Phishing. Jeder von uns hat schon E-Mails im Namen der Postbank oder Sparkasse erhalten, die diese nicht versendet haben und die Fälschungen werden immer besser.

Z1 SecureMail Gateway bietet zur Prüfung von Identitäten die digitale Signatur für E-Mails. Wird die Signatur als gültig validiert, wurden keine Inhalte verändert und der Absender ist derjenige, der er vorgibt zu sein.

Vorschlag für E-Mail-Schutzstufen für Geschäftsgeheimnisse

Nach der Erläuterung der Schwächen von TLS zum Schutz von Geschäftsgeheimnissen hier nun der Überblick, welches Schutzniveau angemessen wäre. Unsere Lösungen sorgen dafür, dass je nach Klassifizierung automatisch das passende Schutzniveau eingehalten wird. Dabei stellt sich das Gateway auf die Empfänger ein und lädt diese, wenn dort keine eigene Sicherheitstechnologie vorhanden ist, in Ihre verschlüsselte Kommunikation ein.

Informationsschutzstufen  Empfohlenes Verschlüsselungsniveau
Streng geheim  Organizational End2End mit Gateway / Personal End2End bis zum Endgerät.
Oder Gateway-Verschlüsselung unter Nutzung besonderer BSI-Vorgaben
Wichtig  Inhaltsverschlüsselung mit Gateway zentral gesteuert
Sensibel  Inhaltsverschlüsselung mit Gateway zentral gesteuert

Zur Einordnung von E-Mail-Verschlüsselung mittels Gateway und Ende-zu-Ende-Verschlüsselung bis zum Endgerät lesen Sie unser White Paper: Whitepaper „Ende-zu-Ende E-Mail-Verschlüsselung für Unternehmen“.

Um Digitalisierung voranzubringen, muss Sicherheit mitgedacht werden und konsequent den sich ändernden Gefahren angepasst werden. Wer morgen noch Geschäft machen möchte, darf den Anschluss an neue Technologien und Sicherheitsstandards nicht verpassen. Besuchen unser Webinar oder melden Sie sich direkt über das Anfrageformular bei uns. Wir beraten Sie gern!