E-Mail Ver­schlüs­selung 2018-04-26T20:58:47+00:00

E-Mail Ver­schlüs­selung für Unternehmen
S/MIME und OpenPGP und Domain und Secure Web-Mail

Weniger als 4% der geschäftlichen E-Mails sind heute ver­schlüs­selt. Stan­dards für die E-Mail-Ver­schlüs­selung gibt es mit S/MIME und PGP/OpenPGP und SMTP/TLS Domain-Ver­schlüs­selung hinge­gen schon seit rund 20 Jahren. Der Grund ist, dass es in der Ver­gan­gen­heit wenige Pro­duk­te gab, die alle wichti­gen Anforderun­gen in ein­er Lösung vere­in­ten.

Eine per­fek­te Umset­zung der E-Mail-Ver­schlüs­selung erfordert eine automa­tis­che und empfängeror­i­en­tierte Entschei­dung der passenden Ver­schlüs­selungsmeth­ode unter Ein­beziehung ein­fach­er Self-Ser­vice Prozesse für ein Secure Web-Mail-Ver­fahren.

Secure Web-Mail testen!
Ange­bot anfordern

Die aktuell­sten Trends der E-Mail-Ver­schlüs­selung

  • Nutzung von S/MIME für Empfänger mit ver­trauenswürdi­gen X.509 Zer­ti­fikat­en
  • Automa­tis­che Erstel­lung und Nutzung von PGP/OpenPGP Schlüs­sel
  • Flex­i­ble Umset­zung von Ver­schlüs­selungsregeln: pro Domaine, pro Empfänger­gruppe, pro einzel­nem Empfänger
  • Selb­stlern­modus für ver­trauenswürdi­ge Zer­ti­fikate
  • Man­age­ment der X.509 Zer­ti­fikate für die inter­nen Nutzer durch Man­aged-PKI Schnittstellen
  • Ein­fache Ver­wal­tung von TLS-Domain­ver­schlüs­selung
  • Ver­schlüs­selungsmeth­ode an Dritte ohne Soft­ware-Instal­la­tion und ohne Schlüs­sel­ma­te­r­i­al beim Empfänger
  • Inte­gra­tion in beste­hende E-Mail­in­fra­struk­turen und Office 365 E-Mail­dien­sten

Vorteile und Nachteile der gängi­gen Meth­o­d­en

Da nicht jed­er Empfänger über einen PGP/OpenPGP Schlüs­sel oder ein S/MIME Zer­ti­fikat ver­fügt, benöti­gen Unternehmen, die E-Mail-Ver­schlüs­selung anbi­eten möcht­en, eine weit­ere Meth­ode für eine Ad-Hoc Ver­schlüs­selung.

Welche Anforderun­gen gibt es an eine Ad-Hoc Ver­schlüs­selung?

  • Eine möglichst ein­fache Benutzung für beliebige Empfänger.
  • Unter­stützung beliebiger Endgeräte inklu­sive Win­dows, Mac, Smart­phones, Tablets, etc.
  • Möglichst keine Soft­ware-Instal­la­tion beim Sender und Empfänger.
  • Empfänger von ver­schlüs­sel­ten Nachricht­en benöti­gen einen sicheren Rück­kanal für Antworten.

Gängige Meth­o­d­en sind

  • Ver­schlüs­selte .ZIP Con­tain­er
  • PDF-Ver­schlüs­selung
  • Web­mail im Brows­er
  • HTML Push-Mail Ver­schlüs­selung

Kurzbe­w­er­tung der gängi­gen Meth­o­d­en

Ver­schlüs­selte .ZIP Con­tain­er: Prob­lema­tisch, da ZIP Anhänge — speziell, wenn diese ver­schlüs­selt sind — von SPAM-Fil­tern oder Fire­walls in der Regel geblockt wer­den. Das Pass­wort muss dem Empfänger auf einem sicheren Weg mit­geteilt wer­den. Angreifer kön­nen Pass­worte mit ein­er Brute-Force-Attacke knack­en.

PDF-Ver­schlüs­selung: Eben­falls prob­lema­tisch, da eine for­matierte Nachricht in ein PDF umge­wan­delt wer­den muss. Nicht alle PDF-Leser unter­stützen ver­schlüs­selte PDFs und speziell E-Mail-Anhänge wer­den von PDF-Read­ern oft nicht unter­stützt. Wie auch bei der ZIP Ver­schlüs­selung muss das Pass­wort dem Empfänger auf einem sicheren Weg mit­geteilt wer­den. Angreifer, die das ver­schlüs­selte PDF abfan­gen, kön­nen die Pass­worte mit ein­er Brute-Force-Attacke knack­en.

Web­mail im Brows­er: Eine gängige Meth­ode, bei der die Nachricht auf einem Web­serv­er gespe­ichert wird und der Empfänger diese mit Benutzer­name + Pass­wort direkt Online lesen kann. Web­mail Meth­o­d­en sind anfäl­lig für Phish­ing-Attack­en und haben den Nachteil, dass die Nachricht­en nicht an den Empfänger zugestellt wer­den, son­dern am Serv­er des Senders verbleiben. Hierzu müssen umfan­gre­iche Über­legun­gen zu Spe­ich­er- und Löschfris­ten des Betreibers betra­chtet wer­den.

Secure Web-Mail Ver­schlüs­selung: Die Nachricht wird in einen HTML-Con­tain­er ver­schlüs­selt und an den Empfänger gesandt. Der Empfänger öffnet den HTML-Con­tain­er in seinem Brows­er und entschlüs­selt die Nachricht durch Eingabe eines Pass­wortes. Das Pass­wort wird im Entschlüs­selung­sprozess an den E-Mail-Ver­schlüs­selungs­gate­way gesandt und aktiviert einen starken AES-256 Schlüs­sel. Das Pass­wort für den Empfänger wird bei der ersten Benutzung durch den Empfänger selb­st geset­zt, oder per SMS oder Tele­fon über­mit­telt.

Mit PGP/OpenPGP wer­den seit über 20 Jahren E-Mails ver­schlüs­selt. Die PGP/OpenPGP Schlüs­sel kön­nen von den Nutzern selb­st erzeugt wer­den, wobei der Schlüs­se­laus­tausch in der Regel über eine bilat­erale Ver­ständi­gung erfol­gt. Kom­pat­i­ble Soft­ware gibt es für Windows/Outlook und Lin­ux-Sys­teme als kom­merzielle Soft­ware oder als Open-Source Imple­men­ta­tion.

Vorteile:

  • Bei Nutzung von Open-Source Plug-ins kann kosten­frei mit OpenPGP ver­schlüs­selt wer­den.
  • Erstellte Schlüs­sel sind in der Regel unbe­fris­tet gültig.

Nachteile:

  • Die Instal­la­tion und Nutzung der PGP/OpenPGP Ver­schlüs­selung erfordert Experten­wis­sen und ist für eine regelmäßige Ver­wen­dung durch Mitar­beit­er zu kom­plex.
  • Die Schlüs­se­lauf­be­wahrung von PGP-Schlüs­sel am Endgerät erweist sich als umständlich und fehler­an­fäl­lig.
  • PGP/OpenPGP bietet keine het­ero­gene Sig­natu­run­ter­stützung.
  • Es gibt keine Unter­stützung durch Microsoft Office 365.

Empfehlung:

  • Bei der Ver­wen­dung von PGP/OpenPGP Ver­schlüs­selung auf einem E-Mail-Gate­way ent­fällt die kom­plexe Anwen­dung sowie die Instal­la­tion von Plug-ins.

Der S/MIME Stan­dard hat sich in vie­len Branchen als Indus­trienorm etabliert. Zahlre­iche Zer­ti­fizierungs­di­en­ste-Anbi­eter bieten S/MIME Zer­ti­fikate in unter­schiedlichen Stärken als ein­fache, fort­geschrit­tene und qual­i­fizierte Zer­ti­fikate an. Durch die Ver­trauensstel­lung der Zer­ti­fikate über den Zer­ti­fizierungs­di­en­ste-Anbi­eter kön­nen emp­fan­gene Sig­na­turen automa­tisiert geprüft wer­den. S/MIME Nachricht­en wer­den von allen gängi­gen E-Mail-Pro­gram­men ohne zusät­zliche Soft­ware oder Plug-In unter­stützt.

Vorteile:

  • Es gibt eine größe Auswahl an Zer­ti­fikatean­bi­etern weltweit.
  • E-Mail-Anwen­dun­gen unter­stützen S/MIME ver­schlüs­selte und sig­nierte Nachricht­en direkt.
  • S/MIME X.509-Zertifikate kön­nen direkt im Microsoft Zer­ti­fikatsspe­ich­er angelegt wer­den, jedoch erfordert die Zer­ti­fikat­snutzung ein gutes IT-Ver­ständ­nis
  • S/MIME Pro­file könne in allen gängi­gen Betrieb­ssys­te­men u.a. Win­dows, Mac, Lin­ux, Apple iOS, Apple OSX und Android ein­gerichtet wer­den

Nachteile:

  • Die Laufzeit der Zer­ti­fikate beträgt in der Regel nur 1, 2 oder 3 Jahre, ein regelmäßiger Ver­längerung­sprozess ist erforder­lich.
  • Zer­ti­fikate am Endgerät – speziell der pri­vate Schlüs­sel – kön­nen leicht ver­loren gehen, unter anderem bei einem Pro­fil­wech­sel oder beim Neuauf­set­zen des Endgerätes.
  • Die Kosten für ein S/MIME Zer­ti­fikat betra­gen zwis­chen 20–60 Euro pro Jahr.

Empfehlung:

  • Über ein zen­trales Man­age­ment der S/MIME Zer­ti­fikate in ein­er Man­aged-PKI Umge­bung wird ein Schlüs­sel-Recov­ery und automa­tisier­bar­er Ver­längerung­sprozess erre­icht
  • Die Nutzung eines E-Mail-Gate­ways mit S/MIME Funk­tion­al­ität erlaubt die Umset­zung von zen­tralen Ver­schlüs­selungsregeln für Unternehmen.
  • Über E-Mail-Gate­ways kön­nen Nachricht­en automa­tisch sig­niert wer­den. Dies bietet einen hohen Schutz von Integrität und Authen­tiz­ität für Nachricht­en.

Testen Sie selb­st:

Ich stimme der elek­tro­n­is­chen Spe­icherung mein­er Anfrage­dat­en zu.
Ich stimme der Zusendung von ver­schlüs­sel­ten Nachricht­en per E-Mail zu.

Mit aus­gewählten Empfänger­grup­pen auf Basis der Inter­net-Domaine kann eine Domain­ver­schlüs­selung auf Basis von S/MIME-Domainkey oder PGP-Domainkey oder SMTP/TLS genutzt wer­den. Die Ein­rich­tung dieser Trans­portkom­mu­nika­tion muss durch die IT-Admin­is­tra­toren der Sender- und Empfänger­seite erfol­gen.

Die Ver­schlüs­selung erfol­gt am E-Mail-Gate­way des Senders und wird am E-Mail-Gate­way des Empfängers wieder ent­fer­nt. Domain-Ver­schlüs­selung schützt auss­chließlich die Kom­mu­nika­tion im Inter­net und bietet keinen zusät­zlichen Schutz der Nachricht­en am Spe­icherort des Empfängers.

Mod­erne E-Mail-Ver­schlüs­selungs­gate­ways unter­stützen möglichst viele der Domain­ver­schlüs­selungsmeth­o­d­en gle­ichzeit­ig, im opti­malen Fall alle der oben genan­nten Ver­fahren.

Testen Sie die Secure Web-Mail!

Paten­tierte Brows­er Tech­nolo­gie: Nach Eingabe Ihrer Kon­tak­t­dat­en
erhal­ten Sie eine ver­schlüs­selte E-Mail und Ihr Ein­mal-Pass­wort per SMS.

Bei der ersten Nachricht erstellen Sie ein­ma­lig ein Kon­to und Pass­wort für Ihre E-Mail-Adresse.



Ich stimme der elek­tro­n­is­chen Spe­icherung mein­er Anfrage­dat­en zu.
Ich stimme der Zusendung von ver­schlüs­sel­ten Nachricht­en per E-Mail zu.

Testen Sie die Secure Web-Mail!

Paten­tierte Brows­er Tech­nolo­gie: Nach Eingabe Ihrer Kon­tak­t­dat­en erhal­ten Sie eine ver­schlüs­selte E-Mail und Ihr Ein­mal-Pass­wort per SMS.

Bei der ersten Nachricht erstellen Sie ein­ma­lig ein Kon­to und Pass­wort für Ihre E-Mail-Adresse.




Ich stimme der elek­tro­n­is­chen Spe­icherung mein­er Anfrage­dat­en zu.
Ich stimme der Zusendung von ver­schlüs­sel­ten Nachricht­en per E-Mail zu.

Ange­bot anfordern






Ich stimme der elek­tro­n­is­chen Spe­icherung mein­er Kon­tak­t­dat­en zu.

Wir berat­en Sie in der Umset­zung Ihre E-Mail Secu­ri­ty Anforderung und zeigen Lösungswege für eine kryp­tographis­che Umset­zung. Sprechen Sie uns an oder nutzen Sie das Kon­tak­t­for­mu­lar!

Kon­takt:

Ing. Andreas Schus­ter
Nieder­las­sungsleit­er Wien
cpsd it-ser­vices GmbH
andreas.schuster — at — cpsd.at
oder per Xing: Andreas Schus­ter

Unsere Koop­er­a­tionsh­er­steller im Bere­ich E-Mail-Ver­schlüs­selung/Sig­natur und E-Mail-Zer­ti­fikate

  • A-Trust
  • Swiss­Sign
  • Quo­Vadis Trustlink
  • SEPP­mail