E-Mails sind als Kommunikationsmedien im Unternehmensumfeld nicht mehr wegzudenken. Seien es Bestellungen, Versandbestätigungen oder Vertragsverhandlungen, vieles läuft digital. Wo früher noch Briefe und Dokumente per Post verschickt wurden, ist es nun die E-Mail, die diesen Zweck erfüllt. Und das deutlich schneller.
In der Anfangszeit der E-Mail-Kommunikation lief die Übertragung meist offen, unverschlüsselt und für jeden mitlesbar, der auf ein System in der Übertragungskette Zugriff hatte. Häufig wird sie deshalb mit der Postkarte verglichen, die auf dem Transportweg auch von jedem gelesen werden kann.
Heute ist die Situation schon etwas besser geworden. Viele Mailserver setzen eine Transportverschlüsselung (TLS) ein, um die Kommunikation zwischen den einzelnen Serversystemen abzusichern. Doch nach wie vor gibt es viele Stellen, an denen die Inhalte Ihrer E-Mails unverschlüsselt übertragen oder gespeichert werden. Gerne helfen wir Ihnen bei der Umsetzung einer sicheren E-Mail-Lösung.
Nachfolgend finden Sie eine kurze Übersicht der aktuellen Möglichkeiten.
Generell bieten Email-Verschlüsselung und E-Mail-Signatur drei wesentliche Vorteile:
Mit der Verschlüsselung können Sie sicherstellen, dass Inhalte nur der Person zugänglich sind, für die sie bestimmt sind. Nur der gewünschte Empfänger kann mit seinem Schlüssel auf die Inhalte zugreifen.
E-Mails können auf diese Weise auch nicht manipuliert werden. Sobald auf dem Übertragungsweg eine Veränderung des Inhalts stattgefunden hat, wird die E-Mail unlesebar. Wenn Sie eine intakte verschlüsselte E-Mail erhalten, können Sie sicher sein, dass auch der Inhalt nicht verändert wurde.
Sie können davon ausgehen, dass der angegebene Absender auch wirklich der Versender der verschlüsselten E-Mail ist. Denn durch eine digitale Signatur können Sie das Fälschen einer Absender-E-Mail-Adresse (Spoofing) effektiv verhindern.
Es gibt verschiedene Arten der Verschlüsselten E-Mail-Übertragung. Die Techniken unterscheiden sich je nach Ort und Kommunikationspartner.
Die Transport-Verschlüsselung wird zwischen den Mailservern eingesetzt. Hier kümmern sich die Mailserver selbständig darum und handeln mit dem Kommunikationspartner die passende Verschlüsselung aus. Ein Mitlesen der E-Mail-Inhalte auf dem Übertragungsweg wird damit verhindert, solange die Verschlüsselung durchgehend besteht. Nach wie vor gibt es noch ältere oder fehlerhaft konfigurierte Server, die eine solche Verschlüsselung nicht unterstützen. In diesem Fall wird die Übertragung unverschlüsselt durchgeführt.
Bei der End-to-End-Verschlüsselung wird der komplette Kommunikationsweg vom Absender bis zum Empfänger durchgängig verschlüsselt. Um das zu gewährleisten, müssen der Absender und der Empfänger über die notwendigen Informationen (öffentlichen Schlüssel/privaten Schlüssel) verfügen. Da diese Art der Verschlüsselung durchgehend vom Absender bis zum Empfänger besteht und sich diese beiden Kommunikationspartner selbst darum kümmern, kann das auch eine fehlende Transportverschlüsselung ersetzen.
Zwei Techniken zur E-Mail-Verschlüsselung haben sich etabliert. Beide Methoden arbeiten mit einem asymmetrischen Verschlüsselungsverfahren und bieten ähnliche Funktionen.
Bei S/MIME (Secure / Multipurpose Internet Mail Extensions) verwenden Sie für die Ver- und Entschlüsselung Zertifikate. Die Zertifikate bekommen Sie von einer Zertifizierungsstelle. Bei der Auswahl der passenden Zertifizierungsstelle, sollten Sie darauf achten, dass diese auch von den gängigen Mailsystemen akzeptiert wird. S/MIME wird von den meisten E-Mail-Programmen bereits unterstützt.
Hinweis: Achten Sie bei der Auswahl der Zertifizierungsstelle darauf, dass Ihr privater Schlüssel auf Ihrem System erstellt wird und der Aussteller diesen Schlüssel nicht kennt. Bei seriösen Anbietern ist das Standard.
Wie bei S/MIME haben Sie auch bei PGP ein Schlüsselpaar aus einem privaten und einem öffentlichen Schlüssel. Bei PGP haben Sie die Möglichkeit, dieses Schlüsselpaar selbst zu erzeugen, da es hier keine zentrale Instanz (Zertifizierungsstelle) gibt, die diese Schlüssel erzeugt. Um PGP in Ihrem E-Mail-Programm zu verwenden, brauchen Sie häufig ein passendes Plugin.
Wichtig: Sichern Sie auch bereits abgelaufene Schlüssel. Nur so können Sie später noch auf alte und verschlüsselte E-Mails zugreifen. Auch wenn Sie mit einem alten Schlüssel keine E-Mails mehr verschlüsseln oder signieren werden, so brauchen Sie diesen noch für die Entschlüsselung der ehemals mit diesem Schlüssel verschlüsselten E-Mail.
Wenn Sie E-Mails verschlüsseln und E-Mail Inhalte schützen ist das ein wichtiger Schritt, um Vertrauliches vertraulich zu halten und im Unternehmen dafür zu sorgen, den Datenabfluss an unberechtigte Dritte zu verhindern. Für eine robuste Absicherung Ihrer E-Mail Kommunikation sollten Sie als E-Mail Anbieter innerhalb Ihrer Organisation grundsätzlich die folgenden fünf Techniken umsetzen:
Die TLS-Verschlüsselung (Transport Layer Security) greift auf ein Verfahren zurück, mit dem die Kommunikation zwischen den Mailservern verschlüsselt wird. So kann das Abhören der Kommunikation verhindert werden.
SPF (Sender Policy Framework) ist ein TXT-Record in Ihrem DNS-Server, der bestimmt, welche Server unter Ihrem Namen E-Mails versenden dürfen.
DKIM (DomainKeys Identified Mail) versieht Ihre E-Mails mit einer digitalen Signatur. Der öffentliche Schlüssel, der vom Empfänger für die Überprüfung notwendig ist, befindet sich als TXT-Record in Ihrem DNS-Server.
Mit DMARC (Domain based Message Authentication, Reporting and Conformance) geben Sie dem Empfänger Anweisungen, wie mit E-Mails verfahren werden soll, die eine der beiden oben genannten (SPF, DKIM) Überprüfungen nicht bestehen. Wie auch SPF und DKIM wird auch DMARC über einen TXT-Record im DNS definiert.
Um sicherzustellen, dass die für die Transportverschlüsselung verwendeten Zertifikate auch legitim sind, hilft DANE (DNS-based Authentication of Named Entities). Hierbei werden Eigenschaften des verwendeten Zertifikats in einem TLSA-Record gespeichert und mittels DNSSEC abgesichert. Weiterführende Informationen dazu finden Sie auch im Rahmen einer technischen Richtlinie (TR-03108 Sicherer E-Mail Transport) des Bundesamtes für Sicherheit in der Informationstechnik (BSI).
Net at Work liefert mit dem NoSpamProxy eine Komplettlösung für Unternehmen, die eine rasche Einführung einer Verschlüsselungslösung ermöglicht und den Verwaltungsaufwand auf ein Minimum reduziert. Bei Fragen zu NoSpamProxy helfen wir Ihnen gerne weiter.