E‑Mail Verschlüsselung für Unternehmen
S/MIME und OpenPGP und Domain und Secure Web-Mail
Weniger als 4% der geschäftlichen E‑Mails sind heute verschlüsselt. Standards für die E‑Mail-Verschlüsselung gibt es mit S/MIME und PGP/OpenPGP und SMTP/TLS Domain-Verschlüsselung hingegen schon seit rund 20 Jahren. Der Grund ist, dass es in der Vergangenheit wenige Produkte gab, die alle wichtigen Anforderungen in einer Lösung vereinten.
Eine perfekte Umsetzung der E‑Mail-Verschlüsselung erfordert eine automatische und empfängerorientierte Entscheidung der passenden Verschlüsselungsmethode unter Einbeziehung einfacher Self-Service Prozesse für ein Secure Web-Mail-Verfahren.
Die aktuellsten Trends der E‑Mail-Verschlüsselung
- Nutzung von S/MIME für Empfänger mit vertrauenswürdigen X.509 Zertifikaten
- Automatische Erstellung und Nutzung von PGP/OpenPGP Schlüssel
- Flexible Umsetzung von Verschlüsselungsregeln: pro Domaine, pro Empfängergruppe, pro einzelnem Empfänger
- Selbstlernmodus für vertrauenswürdige Zertifikate
- Management der X.509 Zertifikate für die internen Nutzer durch Managed-PKI Schnittstellen
- Einfache Verwaltung von TLS-Domainverschlüsselung
- Verschlüsselungsmethode an Dritte ohne Software-Installation und ohne Schlüsselmaterial beim Empfänger
- Integration in bestehende E‑Mailinfrastrukturen und Office 365 E‑Maildiensten
Vorteile und Nachteile der gängigen Methoden
Da nicht jeder Empfänger über einen PGP/OpenPGP Schlüssel oder ein S/MIME Zertifikat verfügt, benötigen Unternehmen, die E‑Mail-Verschlüsselung anbieten möchten, eine weitere Methode für eine Ad-Hoc Verschlüsselung.
Welche Anforderungen gibt es an eine Ad-Hoc Verschlüsselung?
- Eine möglichst einfache Benutzung für beliebige Empfänger.
- Unterstützung beliebiger Endgeräte inklusive Windows, Mac, Smartphones, Tablets, etc.
- Möglichst keine Software-Installation beim Sender und Empfänger.
- Empfänger von verschlüsselten Nachrichten benötigen einen sicheren Rückkanal für Antworten.
Gängige Methoden sind
- Verschlüsselte .ZIP Container
- PDF-Verschlüsselung
- Webmail im Browser
- HTML Push-Mail Verschlüsselung
Kurzbewertung der gängigen Methoden
Verschlüsselte .ZIP Container: Problematisch, da ZIP Anhänge — speziell, wenn diese verschlüsselt sind — von SPAM-Filtern oder Firewalls in der Regel geblockt werden. Das Passwort muss dem Empfänger auf einem sicheren Weg mitgeteilt werden. Angreifer können Passworte mit einer Brute-Force-Attacke knacken.
PDF-Verschlüsselung: Ebenfalls problematisch, da eine formatierte Nachricht in ein PDF umgewandelt werden muss. Nicht alle PDF-Leser unterstützen verschlüsselte PDFs und speziell E‑Mail-Anhänge werden von PDF-Readern oft nicht unterstützt. Wie auch bei der ZIP Verschlüsselung muss das Passwort dem Empfänger auf einem sicheren Weg mitgeteilt werden. Angreifer, die das verschlüsselte PDF abfangen, können die Passworte mit einer Brute-Force-Attacke knacken.
Webmail im Browser: Eine gängige Methode, bei der die Nachricht auf einem Webserver gespeichert wird und der Empfänger diese mit Benutzername + Passwort direkt Online lesen kann. Webmail Methoden sind anfällig für Phishing-Attacken und haben den Nachteil, dass die Nachrichten nicht an den Empfänger zugestellt werden, sondern am Server des Senders verbleiben. Hierzu müssen umfangreiche Überlegungen zu Speicher- und Löschfristen des Betreibers betrachtet werden.
Secure Web-Mail Verschlüsselung: Die Nachricht wird in einen HTML-Container verschlüsselt und an den Empfänger gesandt. Der Empfänger öffnet den HTML-Container in seinem Browser und entschlüsselt die Nachricht durch Eingabe eines Passwortes. Das Passwort wird im Entschlüsselungsprozess an den E‑Mail-Verschlüsselungsgateway gesandt und aktiviert einen starken AES-256 Schlüssel. Das Passwort für den Empfänger wird bei der ersten Benutzung durch den Empfänger selbst gesetzt, oder per SMS oder Telefon übermittelt.
Mit PGP/OpenPGP werden seit über 20 Jahren E‑Mails verschlüsselt. Die PGP/OpenPGP Schlüssel können von den Nutzern selbst erzeugt werden, wobei der Schlüsselaustausch in der Regel über eine bilaterale Verständigung erfolgt. Kompatible Software gibt es für Windows/Outlook und Linux-Systeme als kommerzielle Software oder als Open-Source Implementation.
Vorteile:
- Bei Nutzung von Open-Source Plug-ins kann kostenfrei mit OpenPGP verschlüsselt werden.
- Erstellte Schlüssel sind in der Regel unbefristet gültig.
Nachteile:
- Die Installation und Nutzung der PGP/OpenPGP Verschlüsselung erfordert Expertenwissen und ist für eine regelmäßige Verwendung durch Mitarbeiter zu komplex.
- Die Schlüsselaufbewahrung von PGP-Schlüssel am Endgerät erweist sich als umständlich und fehleranfällig.
- PGP/OpenPGP bietet keine heterogene Signaturunterstützung.
- Es gibt keine Unterstützung durch Microsoft Office 365.
Empfehlung:
- Bei der Verwendung von PGP/OpenPGP Verschlüsselung auf einem E‑Mail-Gateway entfällt die komplexe Anwendung sowie die Installation von Plug-ins.
Der S/MIME Standard hat sich in vielen Branchen als Industrienorm etabliert. Zahlreiche Zertifizierungsdienste-Anbieter bieten S/MIME Zertifikate in unterschiedlichen Stärken als einfache, fortgeschrittene und qualifizierte Zertifikate an. Durch die Vertrauensstellung der Zertifikate über den Zertifizierungsdienste-Anbieter können empfangene Signaturen automatisiert geprüft werden. S/MIME Nachrichten werden von allen gängigen E‑Mail-Programmen ohne zusätzliche Software oder Plug-In unterstützt.
Vorteile:
- Es gibt eine größe Auswahl an Zertifikateanbietern weltweit.
- E‑Mail-Anwendungen unterstützen S/MIME verschlüsselte und signierte Nachrichten direkt.
- S/MIME X.509-Zertifikate können direkt im Microsoft Zertifikatsspeicher angelegt werden, jedoch erfordert die Zertifikatsnutzung ein gutes IT-Verständnis
- S/MIME Profile könne in allen gängigen Betriebssystemen u.a. Windows, Mac, Linux, Apple iOS, Apple OSX und Android eingerichtet werden
Nachteile:
- Die Laufzeit der Zertifikate beträgt in der Regel nur 1, 2 oder 3 Jahre, ein regelmäßiger Verlängerungsprozess ist erforderlich.
- Zertifikate am Endgerät – speziell der private Schlüssel – können leicht verloren gehen, unter anderem bei einem Profilwechsel oder beim Neuaufsetzen des Endgerätes.
- Die Kosten für ein S/MIME Zertifikat betragen zwischen 20–60 Euro pro Jahr.
Empfehlung:
- Über ein zentrales Management der S/MIME Zertifikate in einer Managed-PKI Umgebung wird ein Schlüssel-Recovery und automatisierbarer Verlängerungsprozess erreicht
- Die Nutzung eines E‑Mail-Gateways mit S/MIME Funktionalität erlaubt die Umsetzung von zentralen Verschlüsselungsregeln für Unternehmen.
- Über E‑Mail-Gateways können Nachrichten automatisch signiert werden. Dies bietet einen hohen Schutz von Integrität und Authentizität für Nachrichten.
Testen Sie selbst:
Mit ausgewählten Empfängergruppen auf Basis der Internet-Domaine kann eine Domainverschlüsselung auf Basis von S/MIME-Domainkey oder PGP-Domainkey oder SMTP/TLS genutzt werden. Die Einrichtung dieser Transportkommunikation muss durch die IT-Administratoren der Sender- und Empfängerseite erfolgen.
Die Verschlüsselung erfolgt am E‑Mail-Gateway des Senders und wird am E‑Mail-Gateway des Empfängers wieder entfernt. Domain-Verschlüsselung schützt ausschließlich die Kommunikation im Internet und bietet keinen zusätzlichen Schutz der Nachrichten am Speicherort des Empfängers.
Moderne E‑Mail-Verschlüsselungsgateways unterstützen möglichst viele der Domainverschlüsselungsmethoden gleichzeitig, im optimalen Fall alle der oben genannten Verfahren.
Testen Sie die Secure Web-Mail!
Patentierte Browser Technologie: Nach Eingabe Ihrer Kontaktdaten
erhalten Sie eine verschlüsselte E‑Mail und Ihr Einmal-Passwort per SMS.
Bei der ersten Nachricht erstellen Sie einmalig ein Konto und Passwort für Ihre E‑Mail-Adresse.
Testen Sie die Secure Web-Mail!
Patentierte Browser Technologie: Nach Eingabe Ihrer Kontaktdaten erhalten Sie eine verschlüsselte E‑Mail und Ihr Einmal-Passwort per SMS.
Bei der ersten Nachricht erstellen Sie einmalig ein Konto und Passwort für Ihre E‑Mail-Adresse.
Angebot anfordern
Wir beraten Sie in der Umsetzung Ihre E‑Mail Security Anforderung und zeigen Lösungswege für eine kryptographische Umsetzung. Sprechen Sie uns an oder nutzen Sie das Kontaktformular!
Kontakt:
Ing. Andreas Schuster
Niederlassungsleiter Wien
cpsd it-services GmbH
andreas.schuster — at — cpsd.at
oder via LinkedIn bzw. per Xing: Andreas Schuster
Unsere Kooperationshersteller im Bereich E‑Mail-Verschlüsselung/Signatur und E‑Mail-Zertifikate
- A‑Trust
- SwissSign
- QuoVadis Trustlink
- SEPPmail