Hvor (u)sikker er din e-mail?

Kryptering af e-mail er en overset disciplin i erhvervslivet, selvom der er mange gode argumenter for at gemme indholdet af e-mail bag en krypteringsalgoritme.

Indhold i mail bør i langt højere grad krypteres både i forhold til medarbejder, konkurrenter og udefrakommende trusler, lyder det fra to sikkerhedseksperter.

"En ukrypteret mail kan sammenlignes med et postkort," fortæller Carsten Jørgensen, sikkerhedskonsulent i Devoteam.

"Indholdet er synligt for alle, der kigger på postkortet, og det er der mange, som har mulighed for, både indenfor og udenfor en virksomheds mure. Det er kun ganske få af de virksomheder, jeg besøger, som anvender mail-kryptering. I langt de fleste firmaer er man slet ikke opmærksom på sikkerhedsproblematikken."

"Lidt populært sagt, kan man skrive det samme i en mail, som man vil snakke om i en taxi," siger Carsten Jørgensen.

E-mail sendes som åben trafik, hvilket betyder, at man uden problemer kan tage en kopi af indholdet, fortæller han.

En mail er ikke privat
Ivan Bjerre Damgård, der er professor i kryptering og it-sikkerhed ved Aarhus Universitet, vurderer ligeledes, at mange ikke bekymrer sig om de åbne beskeder.

"Langt de fleste anser en e-mail for en privat ting, og i de fleste tilfælde er det da også sådan, at dem man ikke vil have til at læse mailen, heller ikke har teknisk forstand til at få fingrene i indholdet," siger han.

"Men hvis der kan gå jura eller penge i det, så bør man anvende kryptering. Krypterer man sine beskeder, er man sikker på, at oplysningerne ikke falder i forkerte hænder. I erhvervslivet kan man således forestille sig mange situationer, hvor kryptering har en berettigelse," vurderer Ivan Bjerre Damgård.

Samtidig møder sikkerhedseksperterne en sondring mellem interne og eksterne mails i erhvervslivet.

"Det kan faktisk være en god idé at sende krypterede mail internt, da disse kan indeholde flere følsomme oplysninger om virksomheden og dens medarbejdere end mail ud af huset," siger Carsten Jørgensen.

"Samtidig ville man eliminere den mistanke, der ofte falder på it-afdelingrns medarbejdere, hvis oplysninger siver," siger han.

Kryptering er bøvlet
Begrundelsen for at erhvervslivet ikke krypterer er, at det er for besværligt, lyder det samstemmende fra de to sikkerhedseksperter.

"Kryptering af mail kræver en installationsfase, og man skal sætte sin mail-klient op til at kunne håndtere de rigtige certifikater og nøgler. Det betyder, at mange springer fra. Folk opfatter det simpelthen som for besværligt," forklarer Ivan Bjerre Damgård.

"Kryptering har kun vundet indpas blandt en lille gruppe med teknisk kunnen, og så er nogen begyndt at anvende den digitale signatur til at kryptere, men det er stadig et fåtal," fortæller han.

Fortsættes ...