de-DEen-GB
rss

Granikos Technology Blog

Das Exchange Blog Cumulative Update für Februar 2015 (CU0215) fasst interessante Themen rund um Exchange Server und Office 365 (Exchange Online), Azure und Lync (aka Skype for Business) des Monats Februar 2015 zusammen.

Alle Links für des CU 0215 finden Sie auch in unserem Bitly Bundle

Exchange Server

Office 365 & Exchange Online

Lync Server, Skype for Business & Communication

Windows Azure

Allgemeine Themen

Replay

Podcast Empfehlungen

Tools / Software


Gerne unterstützen wir Sie bei der Planung und Durchführung Ihrer Exchange Server Implementierung oder Migration.

Sie denken über einen vollständigen Wechsel zu Office 365 oder eine Hybrid-Konifguration mit Office 365 nach? Wir beraten Sie umfassend und ausführlich über die Möglichkeiten der Office 365 Plattform.

Weitere Informationen zu unseren Dienstleistungen finden Sie auf unserer Website (http://www.granikos.eu) oder nehmen Sie direkt mit uns Kontakt auf: info@granikos.eu

Weiterlesen »

In vorherigen Blog-Artikeln wurde allgemein das Thema E-Mail Verschlüsselung und E-Mail Sicherheit besprochen und auf die Verbindungsverschlüsselung mit TLS eingegangen. In diesem Artikel werden Möglichkeiten zum Einsatz von S/MIME zur Signierung und Verschlüsselung von E-Mail Nachrichten betrachtet.

E-Mail Sicherheit

In der heutigen Zeit kommt der Signierung und Verschlüsselung von E-Mail Nachrichten eine zentrale Rolle zu, um sich gegen Wirtschaftsspionage und anderen Zugriffe Dritter auf die Unternehmenskommunikation zu schützen. Die Sicherung des Nachrichtenverkehrs ist nur ein Baustein im gesamten Informationssicherheitskonzept eines Unternehmens. Weitere Punkte sind u.a. Schutz gegen den Verlust von Daten (Data Leackage Prevention, DLP), Berechtigungsmanagement (RMS) oder die Kontrolle von Zugriffsberechtigungen.

Das generelle Konzept zur Verschlüsselung von Nachrichten per S/MIME geht auf das Jahr 1995 zurück. Die aktuellen Implementierung von S/MIME 3.2 sind seit 2010 Stand der Technik.

S/MIME - E-Mail Signierung und Verschlüsselung

Bei der Verwendung von S/MIME wird eine unverschlüsselte E-Mail Nachricht in einer sog. MIME gekapselt und nur signiert oder auch verschlüsselt. Neben diesem ersten Teil enthält die neue Nachricht auch die erforderliche Zertifikatsinformation zum Zugriff auf den Nachrichtenteil.

Zertifikate teilen sich in einen öffentlichen und einen privaten Schlüssel und bilden gemeinsam das Schlüsselpaar eines Anwenders. Im Standardfall wird das Schlüsselpaar auf einem Clientrechner eines Benutzers erzeugt und der öffentliche Schlüssel von einer Zertifizierungsstelle signiert. Der private Schlüssel verbleibt auf dem Rechner des Benutzers.

Da der private Schlüssel somit nur an einer Stelle gespeichert ist, jedoch für die Laufzeit des Zertifikates zum Entschlüsseln von Nachrichten benötigt wird, stellt dies ein Risiko dar. Kommt es ohne Datensicherung des privaten Schlüssels zu einem Schaden am Gerät, muss ein neues Zertifikat ausgestellt werden und alte, mit dem verlorenen Zertifikat verschlüsselte Nachrichten, können nicht mehr entschlüsselt werden. Mehr dazu im Abschnitt "Gateway-Lösungen".

Neben der Speicherung des Zertifikates auf dem Clientrechner können auch Signaturkarten verwendet werden. Der Einsatz von Signaturkarten erfordert allerdings auch den Einsatz von passenden Lesegeräten, die meist nicht für alle Arten von Clientgeräten zur Verfügung stehen. Die auf Signaturkarten gespeicherten Zertifikate sind durch eine PIN vor unbefugtem Zugriff geschützt.

S/MIME Clients

Im Standardfall ist das S/MIME E-Mail Zertifikat auf dem Clientrechner eines Benutzers vorhanden. Dies bedeutet, dass der Benutzer auf diesem Clientrechner in der Lage ist, E-Mail Nachrichten zu signieren oder zu verschlüsseln. Und dies auch nur mit einem E-Mail Programm wie Outlook. Alternative Produkte verfügen eventuell über einen separaten Speicher für S/MIME Zertifikate und verwenden nicht den Zertifikatsspeicher des Betriebssystems.

In der heutigen Welt ist ein fester Clientrechner, sei es ein Desktop PC oder ein Laptop, nicht mehr das einzige Gerät, über das ein Mitarbeiter Zugriff auf E-Mails hat. Wenn in einem Unternehmen S/MIME verwendet wird, soll die Zugriff auf E-Mail Nachrichten und damit das Verfassen und Lesen von verschlüsselten Nachrichten auf allen Clients verfügbar sein.

Zu den Client-Optionen und Zugriffsarten gehören:

  • E-Mail Client - Outlook
  • Webmail - Outlook Web App
  • Mobile App - Exchange ActiveSync Implementierung, OWA App
  • Citrix - Remote Desktop Zugriff
  • VDI - Virtual Desktop Infrastructure
  • AppV - Application Virtualization

Je nach erforderlichem Einsatzszenario im Unternehmen, muss das S/MIME Zertifikat sowohl auf den Servern, als auch auf den auf den unterschiedlichen Endgeräten ausgerollt und installiert werden. Dies bringt ganz neue Herausforderungen mit sich. Gerade wenn unterschiedlichste Endgeräte zum Einsatz kommen oder eine BYOD Kultur etabliert ist, empfiehlt sich eine zentrale Gateway-Lösung für die E-Mail Verschlüsselung.

Der Einsatz von S/MIME Verschlüssung beim Zugriff auf Webmail (Outlook Web App) erfordert den Zugriff des Browsers auf den lokalen Zertifikatsspeicher. Hierzu muss eine separate Software-Komponente (S/MIME Plugin) installiert werden, die nur mit dem Internet Explorer funktioniert. Zusätzlich müssen die serverseitigen S/MIME Parameter für OWA im Exchange Server konfiguriert werden. Da die OWA S/MIME Implementierung aber nur ein Teil der zur Verfügung stehenden Crypto-Einstellungen unterstützt, müssen OWA S/MIME Einstellungen und die Crypto Konfigurationen des Betriebssystem im Einklang erfolgen. Ansonsten kommt es in OWA zu Fehlermeldungen und der Benutzer kann E-Mails nicht signieren, verschlüsseln oder entschlüsseln. Dies bedeutet, dass ein Benutzer per Outlook verschlüsselte E-Mails nicht in OWA öffnen kann.

PKI - Public Key Infrastructure

Die zur Signierung und Verschlüsselung verwendeten Zertifikate werden von einer Zertifizierungsstelle signiert. Diese Zertifizierungsstelle ist Bestandteil einer sog. PKI und wird entweder von einem externen Anbieter oder aber vom eigenen Unternehmen betrieben.

Die Verwendung eines externen Anbieters von Zertifikaten hat den Vorteil, dass in den allermeisten Fällen die erforderlichen Zertifikate (Root- und Intermediate-Zertifikate) zur Überprüfung eines E-Mail Zertifikates bereits auf den jeweiligen Endgeräten zur Verfügung stehen. Die benötigten E-Mail Zertifikate für Mitarbeiter werden immer für einen bestimmten Zeitraum ausgestellt, wobei unterschiedliche Zeiträume mit unterschiedlichen Kosten verbunden sind.

Die Implementierung einer eigenen PKI ermöglicht es Unternehmen, die Zertifikatsinfrastruktur auch für andere Komponenten zu verwenden. Hierzu gehören u.a. interne Webserver, Lync Kommunikation oder Benutzerauthentifizierung.

Die Verwendung einer eigenen PKI erhöht aber auch die Komplexität der IT-Infrastruktur und will gut überlegt und geplant sein, da etablierte PKI für einen langen Zeitraum in Betrieb ist.

Für S/MIME bedeutet der Einsatz einer eigenen PKI, dass die erforderlichen Root- und Intermediate Zertifikate für externe E-Mail Empfänger zur Verfügung stehen müssen. Partnerunternehmen können diese Zertifikate mit Hilfe von Softwareverteilung intern zur Verfügung stellen. Andere Empfänger müssen in der Lage sein, sich diese Zertifikate von einer Webseite herunterladen zu können. Hinzu kommt, dass der Endpunkt zur Überprüfung von zurückgezogenen Zertifikaten ebenfalls aus dem Internet erreichbar sein muss.

Gateway-Lösungen

Wie bereits oben beschrieben, ist die Ausstellung von E-Mail Signatur Zertifikaten auf Benutzerrechnern in Unternehmen als Risiko zu sehen. Ebenso können Benutzer nicht ohne weiteres die gewohnten unterschiedlichen Endgeräte verwenden, um S/MIME Nachrichten zu empfangen oder zu senden.

Hier setzen Gateway-Lösungen an, die zentral die Signierung und die Ver- und Entschlüsselung sicherstellen. Das Zertifikatmanagement, also die Ausstellung und das Widerrufen von Benutzerzertifikaten erfolgt ebenfalls zentral am Gateway.

Die öffentlichen Schlüssel von eingehenden Nachrichten werden automatisch ausgelesen und zentral gespeichert. Hierdurch stehen die öffentlichen Schlüssel von externen Kommunikationspartnern allen Mitarbeitern im Unternehmen für eine sichere E-Mail Kommunikation zur Verfügung.

Durch ein Regelwerk kann sichergestellt werden, dass E-Mails an Empfänger, die keine Verschlüsselung unterstützen, auch unverschlüsselt zugestellt werden. Die Verschlüsselung des Übertragungskanal ist weiterhin möglich.

Als Beispiel einer solchen Lösung sein hier enQsig von Net at Work, Paderborn, genannt. Diese zertifizierte Verschlüsselungslösung unterstützt neben der Verschlüsselung mit S/MIME auch PGP. Das Produkt verfügt über weitere Funktionen, die Sie gerne hier nachlesen können.

Eine zentrale Gateway-Lösung zur E-Mail Verschlüsselung stellt eine optimale Möglichkeit zur Implementierung sicherer E-Mail Kommunikation dar, bei gleichzeitiger Reduzierung des Aufwandes für die erforderliche IT-Infrastruktur und die notwendigen Prozesse.

Fazit

Es gibt keinen wirklichen Grund, E-Mail Verschlüsselung nicht einzusetzen. Die Gefährdungen für sensible Unternehmenskommunikation werden in den nächsten Jahren eher steigen als sinken.

Und mit einer zentralen Gateway-Lösung ist es sowohl für mittelständische Unternehmen, als auch für Großkonzerne möglich, eine verlässliche Kommunikationsumgebung zu schaffen, die anderen technischen Entwicklungen nicht im Wege steht.

Links

Mini-Serie E-Mail Sicherheit

Fragen zur E-Mail Sicherheit

Haben Sie Fragen rund um das Thema E-Mail Verschlüsselung und E-Mail Sicherheit? Kontaktieren Sie uns unter: emailsecurity@granikos.eu.

Weiterlesen »

Das Exchange Blog Cumulative Update für Januar 2015 (CU0115) fasst interessante Themen rund um Exchange Server und Office 365 (Exchange Online), Azure und Lync des Monats Januar 2015 zusammen.

Alle Links für des CU 0115 finden Sie auch in unserem Bitly Bundle: http://bit.ly/CU0115Bundle

Exchange Server & Exchange Online

Office 365 & Exchange Online

Lync Server & Communication

Windows Azure

Allgemeine Themen

Replay

Podcast Empfehlungen

Tools / Software


Gerne unterstützen wir Sie bei der Planung und Durchführung Ihrer Exchange Server Installation oder Migration.

Sie denken über einen vollständigen Wechsel zu Office 365 oder eine Hybrid-Implementierung mit Office 365 nach? Wir beraten Sie umfassend und ausführlich über die Möglichkeiten der Office 365 Plattform.

Weitere Informationen zu unseren Dienstleistungen finden Sie auf unserer Website (http://www.granikos.eu) oder nehmen Sie direkt mit uns Kontakt auf: info@granikos.eu

Weiterlesen »

Die Themen E-Mail Verschlüsselung und E-Mail Sicherheit sind keine neue Themen. Die vergangenen Veröffentlichungen im Rahmen der Whistleblower-Affären haben dazu geführt, dass die breite Masse sich mit dem E-Mail Sicherheit beschäftigt. Verschlüsselung an sich ist ein komplexes Thema und dies scheint einer der Gründe dafür zu sein, warum es nach einem ersten Aufschrei wieder in der Versenkung verschwindunden ist.

E-Mail Sicherheit als Marketing Instrument

Große deutsche Anbieter haben die Aufregung der ersten Stunde dazu genutzt, eine geschickte Marketing Kampagne zu starten (Stichwort: "E-Mail Made in Germany"), um von ihren Sicherheitsverfehlungen in der Vergangenheit abzulenken. Man darf die Augen nicht davor verschließen, dass die "großen Provider" vor Edward Snowden die Verschlüsselung des E-Mail Übertragungskanals aus Kosten- und Effizienzgründen nicht konfiguriert haben.

Die Verwendung von sichereren Übertragungskanälen ist weder eine Erfindung der Neuzeit und schon gar nicht eine Erfindung der Telekommunikationsanbieter. Die entsprechende Softwareprogramme unterstützten diese Funktionen schon vorher, da das notwendige Protokoll bereits 1999 (RFC 2487) eingeführt wurde. Die von WEB.DE in diesem Artikel verwendete Grafik suggeriert im Kontext des Artikels, dass nur GMX, WEB.DE und T-ONLINE über eine sichere Kommunikation verfügen und andere Anbieter dies nicht gewährleisten. Das ist schlichtweg falsch.

Technologisch besteht keinerlei Notwendigkeit, sich auf große Provider zu verlassen, wenn es um das Thema E-Mail Sicherheit geht. Selbst bei Anwendung des deutschen Datenschutzgesetzes, sind Daten des Kunden auf Geräten des Providers und sind damit rechtlich dem Zugriff des Kunden entzogen.

E-Mail Sicherheit für Unternehmen

Aber was kann ich als Unternehmen machen, um E-Mails sicher zu übertragen und die Integrität der E-Mails sicherzustellen?

Der Schutzbedarf der E-Mail Kommunikation stellt sich für jedes Unternehmen anders dar.

Mögliche Fragen sind:

  • Ist die Verschlüsselung des Übertragungskanals ausreichend?
    Stichwort: TLS Verschlüsselung
  • Möchte ich sicherstellen, dass meine Nachrichten nur von geprüften Systemen empfangen werden?
    Stichwort: Domain Secure
  • Sollen meine Nachrichten selber verschlüsselt werden?
    Stichworte: S/MIME, PGP
  • Möchte ich die volle Kontrolle über den Nachrichtenverkehr behalten?
    Stichworte: Eigener Mail Server, Exchange Online, Clouddienste
  • Ist die Verwaltung von Zertifikaten nicht kompliziert?
    Stichwort: Gateway Lösung
  • Welchen Zugriff haben Dritte (Administratoren, Dienstleister) auf meine E-Mails?
    Stichwort: Zugriffsberechtigung
  • Möchte ich, dass meine geschäftlichen Nachrichten zu Werbezwecken durchsucht werden?
    Stichwort: Google Mail, GMX, WEB.DE, T-Online, Hotmail
  • Muss ich meine E-Mails revisionssicher aufbewahren?
    Stichwort: Archivierung
  • Unterliegt meine E-Mail Umgebung einer Dokumentationspflicht?
    Stichworte: Audit, Zertifizierung
  • Sind in meinem Unternehmen Geräte oder Softwarekomponenten im Einsatz, die eigenständig E-Mails versenden?
    Stichwort: Multi-Funktionsdrucker mit Scanner, CRM, ERP

Vertrauen

Das Thema E-Mail Verschlüsselung und E-Mail Sicherheit ist und bleibt komplex. Jedoch können Sie mit Hilfe kompetenter Berater die passende Lösung finden und die Sicherheit und Integrität Ihrer E-Mails sicherstellen.

Grundsätzlich und faktisch basiert E-Mail Sicherheit auf Vertrauen. Das Vertrauen ist begründet sich technisch in den Vertrauensstellungen der verwendeten und gültigen Zertifikate auf der einen Seite und den organisatorischen und vertraglichen Vertrauensstellungen zwischen Kunden und Software- bzw. Dienstanbietern auf der anderen Seite.

Fragen zur E-Mail Sicherheit

Die technischen Aspekte der E-Mail Sicherheit werden im Rahmen von drei weiteren Blog Artikel auf http://blog.granikos.eu behandelt.

Die Themen der Serie sind:

Haben Sie Fragen rund um das Thema E-Mail Verschlüsselung und E-Mail Sicherheit? Kontaktieren Sie uns unter: emailsecurity@granikos.eu.

Weiterlesen »

Das Exchange Blog Cumulative Update für Dezember 2014 (CU1214) fasst interessante Themen rund um Exchange Server und Office 365 (Exchange Online), Azure und Lync des Monats Dezember 2014 zusammen.

Alle Links für des CU 1214 finden Sie auch in unserem Bitly Bundle: http://bit.ly/CU1214Bundle

Exchange Server & Exchange Online

Office 365 & Exchange Online

Lync Server

Azure

Allgemeine Themen

Replay

 

Podcast Empfehlungen

Tools / Software


Gerne unterstützen wir Sie bei der Planung und Durchführung Ihrer Exchange Server Installation oder Migration.

Sie denken über einen vollständigen Wechsel zu Office 365 oder eine Hybrid-Implementierung mit Office 365 nach? Wir beraten Sie umfassend und ausführlich über die Möglichkeiten der Office 365 Plattform.

Weitere Informationen zu unseren Dienstleistungen finden Sie auf unserer Website (http://www.granikos.eu) oder nehmen Sie direkt mit uns Kontakt auf: info@granikos.eu

Weiterlesen »