Email-Verschlüsselung

Wir müssen jetzt mal E-Mail-Verschlüsselung machen

Das hören wir immer häufiger von den Administratoren unserer Kunden. Man könnte annehmen, dass sich das Sicherheitsbewusstsein nun hoffentlich auch in den Unternehmensleitungen breitmacht. Oft basiert dieser Antrieb jedoch auf vereinzelten politischen oder juristischen Maßgaben oder nur auf der Forderung eines einzelnen Geschäftspartners. Demzufolge ist E-Mail-Verschlüsselung nicht Bestandteil der IT-Strategie. Genauso wenig sind entsprechende Budgets vorgesehen. Wie man in solchen Fällen mit einfachen Mitteln dennoch eine hohe Sicherheit erreicht lesen Sie hier.

Jeder Insider kennt Probleme durch Komplexität und Vielfalt von Verfahren zur E-Mail-Verschlüsselung. Grundsätzlich muss man zwischen Transportverschlüsselung (gesicherter Kanal zwischen Mailservern) und Ende-zu-Ende-Verschlüsselung unterscheiden. Letzteres gilt als sicherer, ist jedoch wegen verschiedener Standards (S/MIME, PGP) und schwierigerem Deployment (Integration in E-Mail-Clientsoftware, Schlüsselverwaltung, organisatorische Schwierigkeiten, Archivierung usw.) aktuell oft nur eingeschränkt praktizierbar. Das ist wahrscheinlich der Grund, warum eine Ende-zu-Ende-Verschlüsselung nicht schon längst überall eingesetzt wird.

Tja, was tun wenn der Chef, Kunde oder Business Partner mit der Anforderung „Wir müssen jetzt mal E-Mail-Verschlüsselung machen“ kommt?

Hier mein Vorschlag und meine Antwort:

  1. Wir können eine umfassende und sichere Lösung schaffen. Dies erfordert ein brauchbares Konzept, die Kooperation mit Kommunikationspartnern, vollständige organisatorische Unterstützung durch die Geschäftsführung, finanzielle Aufwendungen, Pflegeaufwand und die Bereitschaft aller Nutzer mit teilweisen Einschränkungen und etwas Mehraufwand bei der Nutzung von E-Mail zu leben.
    Leider überfordern diese Punkte oftmals die Unternehmen aus organisatorischen oder finanziellen Gründen.
  2. Viel einfacher, schneller und kostengünstiger umzusetzen ist die Möglichkeit, wenigstens den Übertragungsweg zwischen dem eigenen Mailserver und dem des Geschäftspartners durch erzwungene Verschlüsselung abzusichern. Die Anforderung, Emails durch das Internet ausschließlich gesichert zu übertragen, ist in vielen Fällen ausreichend.Und das funktioniert so: Bedingung ist die direkte E-Mail-Zustellung zwischen den Partnern. Das ist durch den Verzicht auf externe POP3-Postfächer beim Provider oft bereits gegeben. Weiterhin müssen die eingesetzten Mailserver TLS (Transport Layer Security) beherrschen, was bei aktuellen Produkten auch gegeben ist. Ab hier fehlt oft nur eine Konfigurationseinstellung, so dass die Übertragung zu bestimmten Ziel-Domains ausschließlich per TLS und mit geprüften Zertifikaten stattfindet. Dies beherrschen die meisten modernen Mailserver, z.B. postfix mittels „smtp_tls_policy_maps“ oder Microsoft Exchange Server mittels „Set-SendConnector … -RequireTls $true -TlsAuthLevel DomainValidation“ . Man erzwingt hier also das verschlüsselte und authentifizierte Versenden für bestimmte Ziel-Domains. Für eine E-Mail-Verschlüsselung in beide Richtungen muss dies entsprechend auf beiden Seiten eingerichtet werden.
    Diese Konfiguration ist einfacher als das Bauen von VPN-Tunneln, erfordert keinerlei Anpassungen auf Anwenderseite und ist dennoch sehr wirksam.
    Gerne unterstützt INFOTECH hierbei.

Und Punkt 1 kann nachträglich immer noch umgesetzt werden…

Jan Weikert

Über Jan Weikert

Technischer Geschäftsführer/Projektleitung Schwerpunkte: IT-Beratung und Planung, Netzwerktechnik Routing, Switching, Firewalls, VPN; Betriebssysteme Microsoft Windows, LINUX, Novell Netware; Virtualisierung mit VMWare, Speichertechnologien und IT-Security

Schreibe einen Kommentar