E‑Mail Ver­schlüs­se­lung für Unternehmen
S/MIME und OpenPGP und Domain und Secu­re Web-Mail

Weni­ger als 4% der geschäft­li­chen E‑Mails sind heu­te ver­schlüs­selt. Stan­dards für die E‑Mail-Ver­schlüs­se­lung gibt es mit S/MIME und PGP/OpenPGP und SMTP/TLS Domain-Ver­schlüs­se­lung hin­ge­gen schon seit rund 20 Jah­ren. Der Grund ist, dass es in der Ver­gan­gen­heit weni­ge Pro­duk­te gab, die alle wich­ti­gen Anfor­de­run­gen in einer Lösung vereinten.

Eine per­fek­te Umset­zung der E‑Mail-Ver­schlüs­se­lung erfor­dert eine auto­ma­ti­sche und emp­fän­ger­ori­en­tier­te Ent­schei­dung der pas­sen­den Ver­schlüs­se­lungs­me­tho­de unter Ein­be­zie­hung ein­fa­cher Self-Ser­vice Pro­zes­se für ein Secu­re Web-Mail-Verfahren.

Secu­re Web-Mail testen!
Ange­bot anfordern

Die aktu­ells­ten Trends der E‑Mail-Ver­schlüs­se­lung

  • Nut­zung von S/MIME für Emp­fän­ger mit ver­trau­ens­wür­di­gen X.509 Zertifikaten
  • Auto­ma­ti­sche Erstel­lung und Nut­zung von PGP/OpenPGP Schlüssel
  • Fle­xi­ble Umset­zung von Ver­schlüs­se­lungs­re­geln: pro Domai­ne, pro Emp­fän­ger­grup­pe, pro ein­zel­nem Empfänger
  • Selbst­lern­mo­dus für ver­trau­ens­wür­di­ge Zertifikate
  • Manage­ment der X.509 Zer­ti­fi­ka­te für die inter­nen Nut­zer durch Mana­ged-PKI Schnittstellen
  • Ein­fa­che Ver­wal­tung von TLS-Domainverschlüsselung
  • Ver­schlüs­se­lungs­me­tho­de an Drit­te ohne Soft­ware-Instal­la­ti­on und ohne Schlüs­sel­ma­te­ri­al beim Empfänger
  • Inte­gra­ti­on in bestehen­de E‑Mailinfrastrukturen und Office 365 E‑Maildiensten

Vor­tei­le und Nach­tei­le der gän­gi­gen Methoden

Da nicht jeder Emp­fän­ger über einen PGP/OpenPGP Schlüs­sel oder ein S/MIME Zer­ti­fi­kat ver­fügt, benö­ti­gen Unter­neh­men, die E‑Mail-Ver­schlüs­se­lung anbie­ten möch­ten, eine wei­te­re Metho­de für eine Ad-Hoc Verschlüsselung.

Wel­che Anfor­de­run­gen gibt es an eine Ad-Hoc Verschlüsselung?

  • Eine mög­lichst ein­fa­che Benut­zung für belie­bi­ge Empfänger.
  • Unter­stüt­zung belie­bi­ger End­ge­rä­te inklu­si­ve Win­dows, Mac, Smart­pho­nes, Tablets, etc.
  • Mög­lichst kei­ne Soft­ware-Instal­la­ti­on beim Sen­der und Empfänger.
  • Emp­fän­ger von ver­schlüs­sel­ten Nach­rich­ten benö­ti­gen einen siche­ren Rück­ka­nal für Antworten.

Gän­gi­ge Metho­den sind

  • Ver­schlüs­sel­te .ZIP Container
  • PDF-Ver­schlüs­se­lung
  • Web­mail im Browser
  • HTML Push-Mail Verschlüsselung

Kurz­be­wer­tung der gän­gi­gen Methoden

Ver­schlüs­sel­te .ZIP Con­tai­ner: Pro­ble­ma­tisch, da ZIP Anhän­ge — spe­zi­ell, wenn die­se ver­schlüs­selt sind — von SPAM-Fil­tern oder Fire­walls in der Regel geblockt wer­den. Das Pass­wort muss dem Emp­fän­ger auf einem siche­ren Weg mit­ge­teilt wer­den. Angrei­fer kön­nen Pass­wor­te mit einer Bru­te-For­ce-Atta­cke knacken.

PDF-Ver­schlüs­se­lung: Eben­falls pro­ble­ma­tisch, da eine for­ma­tier­te Nach­richt in ein PDF umge­wan­delt wer­den muss. Nicht alle PDF-Leser unter­stüt­zen ver­schlüs­sel­te PDFs und spe­zi­ell E‑Mail-Anhän­ge wer­den von PDF-Rea­dern oft nicht unter­stützt. Wie auch bei der ZIP Ver­schlüs­se­lung muss das Pass­wort dem Emp­fän­ger auf einem siche­ren Weg mit­ge­teilt wer­den. Angrei­fer, die das ver­schlüs­sel­te PDF abfan­gen, kön­nen die Pass­wor­te mit einer Bru­te-For­ce-Atta­cke knacken.

Web­mail im Brow­ser: Eine gän­gi­ge Metho­de, bei der die Nach­richt auf einem Web­ser­ver gespei­chert wird und der Emp­fän­ger die­se mit Benut­zer­na­me + Pass­wort direkt Online lesen kann. Web­mail Metho­den sind anfäl­lig für Phis­hing-Atta­cken und haben den Nach­teil, dass die Nach­rich­ten nicht an den Emp­fän­ger zuge­stellt wer­den, son­dern am Ser­ver des Sen­ders ver­blei­ben. Hier­zu müs­sen umfang­rei­che Über­le­gun­gen zu Spei­cher- und Lösch­fris­ten des Betrei­bers betrach­tet werden.

Secu­re Web-Mail Ver­schlüs­se­lung: Die Nach­richt wird in einen HTML-Con­tai­ner ver­schlüs­selt und an den Emp­fän­ger gesandt. Der Emp­fän­ger öff­net den HTML-Con­tai­ner in sei­nem Brow­ser und ent­schlüs­selt die Nach­richt durch Ein­ga­be eines Pass­wor­tes. Das Pass­wort wird im Ent­schlüs­se­lungs­pro­zess an den E‑Mail-Ver­schlüs­se­lungs­gate­way gesandt und akti­viert einen star­ken AES-256 Schlüs­sel. Das Pass­wort für den Emp­fän­ger wird bei der ers­ten Benut­zung durch den Emp­fän­ger selbst gesetzt, oder per SMS oder Tele­fon übermittelt.

Mit PGP/OpenPGP wer­den seit über 20 Jah­ren E‑Mails ver­schlüs­selt. Die PGP/OpenPGP Schlüs­sel kön­nen von den Nut­zern selbst erzeugt wer­den, wobei der Schlüs­sel­aus­tausch in der Regel über eine bila­te­ra­le Ver­stän­di­gung erfolgt. Kom­pa­ti­ble Soft­ware gibt es für Windows/Outlook und Linux-Sys­te­me als kom­mer­zi­el­le Soft­ware oder als Open-Source Implementation.

Vor­tei­le:

  • Bei Nut­zung von Open-Source Plug-ins kann kos­ten­frei mit OpenPGP ver­schlüs­selt werden.
  • Erstell­te Schlüs­sel sind in der Regel unbe­fris­tet gültig.

Nach­tei­le:

  • Die Instal­la­ti­on und Nut­zung der PGP/OpenPGP Ver­schlüs­se­lung erfor­dert Exper­ten­wis­sen und ist für eine regel­mä­ßi­ge Ver­wen­dung durch Mit­ar­bei­ter zu komplex.
  • Die Schlüs­sel­auf­be­wah­rung von PGP-Schlüs­sel am End­ge­rät erweist sich als umständ­lich und fehleranfällig.
  • PGP/OpenPGP bie­tet kei­ne hete­ro­ge­ne Signaturunterstützung.
  • Es gibt kei­ne Unter­stüt­zung durch Micro­soft Office 365.

Emp­feh­lung:

  • Bei der Ver­wen­dung von PGP/OpenPGP Ver­schlüs­se­lung auf einem E‑Mail-Gate­way ent­fällt die kom­ple­xe Anwen­dung sowie die Instal­la­ti­on von Plug-ins.

Der S/MIME Stan­dard hat sich in vie­len Bran­chen als Indus­trie­norm eta­bliert. Zahl­rei­che Zer­ti­fi­zie­rungs­diens­te-Anbie­ter bie­ten S/MIME Zer­ti­fi­ka­te in unter­schied­li­chen Stär­ken als ein­fa­che, fort­ge­schrit­te­ne und qua­li­fi­zier­te Zer­ti­fi­ka­te an. Durch die Ver­trau­ens­stel­lung der Zer­ti­fi­ka­te über den Zer­ti­fi­zie­rungs­diens­te-Anbie­ter kön­nen emp­fan­ge­ne Signa­tu­ren auto­ma­ti­siert geprüft wer­den. S/MIME Nach­rich­ten wer­den von allen gän­gi­gen E‑Mail-Pro­gram­men ohne zusätz­li­che Soft­ware oder Plug-In unterstützt.

Vor­tei­le:

  • Es gibt eine grö­ße Aus­wahl an Zer­ti­fi­ka­te­an­bie­tern weltweit.
  • E‑Mail-Anwen­dun­gen unter­stüt­zen S/MIME ver­schlüs­sel­te und signier­te Nach­rich­ten direkt.
  • S/MIME X.509-Zertifikate kön­nen direkt im Micro­soft Zer­ti­fi­kats­spei­cher ange­legt wer­den, jedoch erfor­dert die Zer­ti­fi­kats­nut­zung ein gutes IT-Verständnis
  • S/MIME Pro­fi­le kön­ne in allen gän­gi­gen Betriebs­sys­te­men u.a. Win­dows, Mac, Linux, Apple iOS, Apple OSX und Android ein­ge­rich­tet werden

Nach­tei­le:

  • Die Lauf­zeit der Zer­ti­fi­ka­te beträgt in der Regel nur 1, 2 oder 3 Jah­re, ein regel­mä­ßi­ger Ver­län­ge­rungs­pro­zess ist erforderlich.
  • Zer­ti­fi­ka­te am End­ge­rät – spe­zi­ell der pri­va­te Schlüs­sel – kön­nen leicht ver­lo­ren gehen, unter ande­rem bei einem Pro­fil­wech­sel oder beim Neu­auf­set­zen des Endgerätes.
  • Die Kos­ten für ein S/MIME Zer­ti­fi­kat betra­gen zwi­schen 20–60 Euro pro Jahr.

Emp­feh­lung:

  • Über ein zen­tra­les Manage­ment der S/MIME Zer­ti­fi­ka­te in einer Mana­ged-PKI Umge­bung wird ein Schlüs­sel-Reco­very und auto­ma­ti­sier­ba­rer Ver­län­ge­rungs­pro­zess erreicht
  • Die Nut­zung eines E‑Mail-Gate­ways mit S/MIME Funk­tio­na­li­tät erlaubt die Umset­zung von zen­tra­len Ver­schlüs­se­lungs­re­geln für Unternehmen.
  • Über E‑Mail-Gate­ways kön­nen Nach­rich­ten auto­ma­tisch signiert wer­den. Dies bie­tet einen hohen Schutz von Inte­gri­tät und Authen­ti­zi­tät für Nachrichten.

Tes­ten Sie selbst:


    Ich stim­me der elek­tro­ni­schen Spei­che­rung mei­ner Anfra­ge­da­ten zu.

    Ich stim­me der Zusen­dung von signier­ten Nach­rich­ten per E‑Mail zu.

    Mit aus­ge­wähl­ten Emp­fän­ger­grup­pen auf Basis der Inter­net-Domai­ne kann eine Domain­ver­schlüs­se­lung auf Basis von S/MI­ME-Domain­key oder PGP-Domain­key oder SMTP/TLS genutzt wer­den. Die Ein­rich­tung die­ser Trans­port­kom­mu­ni­ka­ti­on muss durch die IT-Admi­nis­tra­to­ren der Sen­der- und Emp­fän­ger­sei­te erfolgen.

    Die Ver­schlüs­se­lung erfolgt am E‑Mail-Gate­way des Sen­ders und wird am E‑Mail-Gate­way des Emp­fän­gers wie­der ent­fernt. Domain-Ver­schlüs­se­lung schützt aus­schließ­lich die Kom­mu­ni­ka­ti­on im Inter­net und bie­tet kei­nen zusätz­li­chen Schutz der Nach­rich­ten am Spei­cher­ort des Empfängers.

    Moder­ne E‑Mail-Ver­schlüs­se­lungs­gate­ways unter­stüt­zen mög­lichst vie­le der Domain­ver­schlüs­se­lungs­me­tho­den gleich­zei­tig, im opti­ma­len Fall alle der oben genann­ten Verfahren.

    Tes­ten Sie die Secu­re Web-Mail!

    Paten­tier­te Brow­ser Tech­no­lo­gie: Nach Ein­ga­be Ihrer Kontaktdaten
    erhal­ten Sie eine ver­schlüs­sel­te E‑Mail und Ihr Ein­mal-Pass­wort per SMS.

    Bei der ers­ten Nach­richt erstel­len Sie ein­ma­lig ein Kon­to und Pass­wort für Ihre E‑Mail-Adres­se.




      Ich stim­me der elek­tro­ni­schen Spei­che­rung mei­ner Anfra­ge­da­ten zu.
      Ich stim­me der Zusen­dung von ver­schlüs­sel­ten Nach­rich­ten per E‑Mail zu.


      Tes­ten Sie die Secu­re Web-Mail!

      Paten­tier­te Brow­ser Tech­no­lo­gie: Nach Ein­ga­be Ihrer Kon­takt­da­ten erhal­ten Sie eine ver­schlüs­sel­te E‑Mail und Ihr Ein­mal-Pass­wort per SMS.

      Bei der ers­ten Nach­richt erstel­len Sie ein­ma­lig ein Kon­to und Pass­wort für Ihre E‑Mail-Adres­se.





        Ich stim­me der elek­tro­ni­schen Spei­che­rung mei­ner Anfra­ge­da­ten zu.
        Ich stim­me der Zusen­dung von ver­schlüs­sel­ten Nach­rich­ten per E‑Mail zu.

        Ange­bot anfordern






          Ich stim­me der elek­tro­ni­schen Spei­che­rung mei­ner Kon­takt­da­ten zu.

          Wir bera­ten Sie in der Umset­zung Ihre E‑Mail Secu­ri­ty Anfor­de­rung und zei­gen Lösungs­we­ge für eine kryp­to­gra­phi­sche Umset­zung. Spre­chen Sie uns an oder nut­zen Sie das Kon­takt­for­mu­lar!

          Kon­takt:

          Ing. Andre­as Schuster
          Nie­der­las­sungs­lei­ter Wien
          cpsd it-ser­vices GmbH
          andreas.schuster — at — cpsd.at
          oder per Xing: Andre­as Schuster

          Unse­re Koope­ra­ti­ons­her­stel­ler im Bereich E‑Mail-Ver­schlüs­se­lun­g/­Si­gna­tur und E‑Mail-Zer­ti­fi­ka­te

          • A‑Trust
          • Swiss­Sign
          • Quo­Va­dis Trustlink
          • SEPP­mail