indevis E-Mail Encryption

Eine unverschlüsselte Mail ist immer unsicher, denn sie kann einfach gelesen werden. Sie ist daher ein Einfallstor für Industriespionage und Cyberangriffe. E-Mails werden zudem über mehrere Webserver übertragen und es lässt sich nicht nachvollziehen, über welche Systeme sie gelangt sind. Cyberkriminelle können sie leicht abfangen, lesen, fälschen und mit bösartigen Inhalten versehen (spoofen). Anwender sollten daher ein wasserdichtes E-Mail Security-Konzept implementieren und Mitarbeiter auf die latente Gefahr durch Schaddateien und gefährliche Webseiten sensibilisieren. Spamfilter sind ebenfalls essenziell – und nicht zuletzt eine weitgehende Verschlüsselung des E-Mail-Verkehrs.

Nur eine verschlüsselte E-Mail ist eine sichere E-Mail. Verschlüsselung schützt vertrauliche Daten und hilft, Compliance-Richtlinien sowie die Bestimmungen der DSGVO zum Datenschutz einzuhalten. Auch für Unternehmen und Organisationen, die zur kritischen Infrastruktur gehören (KRITIS-Einrichtungen) ist E-Mail-Verschlüsselung ein Muss. Die DSGVO empfiehlt mindestens die Transportverschlüsselung für vertrauliche Daten, etwa eine Ende-zu-Ende-Verschlüsselung für Gehälter. Eine Pauschalverschlüsselung aller ausgehenden E-Mails ist nicht sinnvoll, da verschiedenen Anforderungen an die Sicherheit gelten und sich Verschlüsselungen für verschiedene Zwecke eignen.

Bei einer Man-in-the-Middle-Attacke schaltet sich ein Unbefugter zwischen zwei Kommunikationspartner direkt in den Übertragungsweg. Dort kann er dann Daten manipulieren, abgreifen oder Schadcode auf einem Zielrechner einschleusen. Möglich ist dies, weil E-Mails in der Regel nur während der Übertragung von Server zu Server durch eine Transportverschlüsselung abgesichert sind. Auf den Servern selbst – und damit auch in den E-Mail-Postfächern – liegen sie wieder im Klartext vor.

Das Thema E-Mail-Verschlüsselung ist in Deutschland spätestens seit Inkrafttreten der Datenschutzgrundverordnung (DSGVO) in den Fokus geraten. Die Wichtigkeit wird jedoch nach wie vor unterschätzt – und zwar nicht so sehr von den IT-Abteilungen, aber von den Mitarbeitenden. Daher wählen Hacker gerne Zugangswege, die auf den ersten Blick seriös erscheinen. In der Pandemie konnten dies beispielsweise harmlos wirkende Nachrichten zum Thema Impfung sein. Allgemein lässt sich feststellen, dass sich große Unternehmen und Konzerne des Themas bewusster sind als kleinere. Sie nutzen häufig Gateway-basierte Verschlüsselungslösungen. Darunter fällt die Gatway-basierte Lösung E-Mail Encryption von indevis. Sie baut auf der Technologie von Zertificon auf und liefert Anwendern den bestmöglichen Nutzen. Die Lösung ist auch als Managed Service erhältlich, sodass Anwender sich nicht um den technischen und organisatorischen Teil kümmern müssen.

Grundlage für die E-Mail-Verschlüsselung sind zwei unterschiedliche digitale Schlüssel, die ein Paar bilden. Mit dem einen verschlüsselt der Absender die herausgehende E-Mail, mit dem zweiten entschlüsselt der Absender die bei ihm eingegangene E-Mail.

Für das Public-Key-Verfahren ist immer ein Schlüsselpaar notwendig – der eigene, geheime Schlüssel (Private Key) sowie der öffentliche Schlüssel (Public Key), den der Empfänger der Nachricht erhält. Der Austausch des öffentlichen Schlüssels zwischen Absender und Empfänger muss gewährleistet sein.

Öffentliche Schlüsselserver bieten eine einfache Möglichkeit, Schlüssel auszutauschen, indem sie einfach auf einem Server bereitgestellt werden. Der Vorteil hierbei ist, dass viele Unternehmen ihre Schlüssel an einem Ort ablegen und der Austausch unkompliziert per E-Mail-Anhang erfolgen kann.

Um die Schlüssel auszutauschen, schickt ein Sender eine signierte E-Mail an seinen Kommunikationspartner. Dieser erhält dadurch den öffentlichen Schlüssel, den er abspeichert, beispielsweise in Outlook. Im Gegenzug geht eine signierte E-Mail an den Sender zurück, so dass dieser ebenfalls den öffentlichen Schlüssel (Public Key) erhält und abspeichert. Ab diesem Moment kann die E-Mail-Übertragung verschlüsselt stattfinden.

Bei indevis E-Mail Encryption werden Text und Anhang einer ausgehenden Mail mit einem Public Key verschlüsselt. Das hierfür nötige Zertifikat stammt entweder vom Gateway oder einem öffentlichen Zertifikatsserver. Sollte der Empfänger keine Public-Key-Infrastruktur mit Zertifikaten nutzen können, wird die Nachricht auf einem Messenger Portal, das an die Encryption-Lösung angeschlossenen ist, zwischengespeichert und zugestellt. Vorab muss sich der Empfänger dort lediglich registrieren.

Ob öffentliche Behörde oder Großkonzern: Die Anforderungen an die Verschlüsselung von E-Mails können sehr variieren. Um zu ermitteln, wie viel und welche E-Mail-Verschlüsselung sie benötigen, sollten Unternehmen und Organisationen zunächst einige Fragen beantworten:

• Welche Daten müssen geschützt und welche gesetzlichen Regulatorien müssen eingehalten werden?
• Welche Anforderungen bestehen beim Kommunikationspartner?
• Welche Personen beziehungsweise Positionen im Unternehmen sind involviert?
• Sind feste Kommunikationspartner vorhanden, die bereits bestimmte Technologien einsetzen?
• Sind die Kommunikationspartner eher nicht bekannt und ist daher eine hohe Flexibilität der Verschlüsselung notwendig?
• Muss ich meinen Mitarbeitern die Möglichkeit geben, Verschlüsselungen flexibel einsetzen zu können?

E-Mail-Verschlüsselung funktioniert auch auf Mobilfunkgeräten – vorausgesetzt, sie basiert auf einer Gateway-Lösung. Denn eine Gateway-Lösung sichert den Übertragungsweg ab und die Ver- und Entschlüsselung geschieht erst dann, wenn die E-Mail das Unternehmen verlässt. Um sie dann auf dem Mobilgerät zu entschlüsseln, kann der Empfänger entweder ein Zertifikat auf diesem Gerät installieren oder einen Cloud-Zwischenspeicher nutzen.

E-Mail-Verschlüsselung aus der Cloud hat in erster Linie den Vorteil, dass sie den Anwender von zusätzlichem Aufwand entlastet. Zudem ist sie sicherer und kostengünstiger als eine On-Premises-Lösung. indevis bietet Verschlüsselung in der Cloud als Teil des indevis E-Mail Security Service an – auch komplett von indevis gemanagt. Die optionale, nahtlose Anbindung an Microsoft Office 365 entlastet Anwender zusätzlich davon, eine Mailbox selbst zu verwalten. Die für indevis E-Mail Encryption eingesetzten Verschlüsselungslösungen von Zertificon  machen die Standards S/MIME und PGP auch in der Cloud nutzbar. Zudem bietet Zertificon eine automatisierte Cloud-Lösung, die Passwörter anstelle von Zertifikaten einsetzt.

Gateway-Zertifikate sind jene Stellen im Netzwerk, die mit Schutzmechanismen ausgestattet sind. Das kann beispielsweise die Erkennung einer Distributed Denial-of-Service-Attacke (DDoS-Attacke) sein. Durch den Einsatz von Gateways erfolgt die Verschlüsselung über den Server – die E-Mails werden dann praktisch automatisch signiert und verschlüsselt.

Ausgehende E-Mails lassen sich zusätzlich zur Verschlüsselung mit einer digitalen Signatur vor Zugriff und Manipulation durch Dritte schützen. Diese zeigt dem Empfänger an, ob die erhaltene E-Mail echt ist. Wurde die E-Mail überarbeitet, verändert sich sofort die Signatur. Denn sie ist mit dem kompletten Inhalt der E-Mail verbunden. Bei indevis E-Mail Encryption erfolgt die Signatur durch ein auf dem indevis Encryption Gateway hinterlegtes Zertifikat des Absenders.

Hat der Kommunikationspartner keinen Zugang zu einer Public-Key-Infrastruktur mit Zertifikaten, kann er Nachrichten auch von einem abgesicherten Cloud-Zwischenspeicher abrufen. Dazu muss er sich auf einem entsprechenden Portal (etwa dem Messenger Portal der indevis E-Mail Encryption) registrieren und erhält nach dem Log-In die E-Mail passwortgeschützt. Auf diesem Weg kann er auch sichere Nachrichten an den Absender übermitteln.

Eine E-Mail, die auf dem Gateway verschlüsselt wurde, wird dort auch bereits wieder entschlüsselt. Damit liegt sie als Klartext im Postfach vor, egal ob ein Zertifikat getauscht wurde oder nicht. Der Austausch von Schlüsseln mit einem Kommunikationspartner hat ebenfalls keinen Einfluss auf bisher empfangene E-Mails, da die einzelnen Schlüssel jeweils für eine E-Mail gelten.

Die Verschlüsselung mit PGP (Pretty Good Privacy) erscheint auf den ersten Blick sehr komplex, denn es ist hierfür zunächst ein E-Mail-Zertifikat notwendig, das der Absender zusammen mit dem öffentlichen Schlüssel anfordert. Die Einrichtung wird deutlich erleichtert, wenn man eine PGP-Software nutzt, die automatisiert Schlüsselpaare erzeugt. Dann gilt es nur noch, den Public Key mit den relevanten Kontakten zu teilen.

Spezialisierte Managed Security Service Provider (MSSP) wie indevis bieten nicht nur eine Alternative zum aufwendigen, eigenverantwortlichen Inhouse-Betrieb von IT-Lösungen. Sie konzentrieren sich vor allem auf Sicherheitsservices. Der Kunde erhält ein Komplettpaket, das von Erstberatung über Konfiguration und Betrieb bis zur Verwaltung und Weiterentwicklung reicht. Davon profitieren Anwender auch, wenn es um die E-Mail-Verschlüsselung geht. Denn diese ist komplex und erfordert Wartungsaufwand: Neue Verschlüsselungsregeln müssen eingerichtet und die dafür nötigen Serversysteme gemanagt und aktualisiert werden. Im Rahmen eines Managed Services übernimmt dies der MSSP. Er berät eingehend im Vorfeld, konfiguriert Systeme und Richtlinien in enger Abstimmung mit dem Kunden. E-Mail Encryption als Add-On zur E-Mail Security-Lösung von indevis macht die Verschlüsselung einfach und kostenschonend. Ein- und ausgehende E-Mails werden nach dem S/MIME-Standard zuverlässig ver- und entschlüsselt, sodass eine vertrauliche Kommunikation gewährleistet ist. Dank der Gateway-Lösung profitieren Kunden von geringerer Komplexität und ausgelagertem Betrieb in der Cloud.