Granikos Technology Blog

Office 365 ist ein Software-as-a-Service Angebot von Microsoft, das aus unterschiedlichen Bestandteilen besteht. Diese Bestandteile gliedern sich zum einen in die Onlinedienste- und Produkte, die Sie per Browser nutzen können, wie z.B. Office Online, Microsoft Teams oder Planner. Für einen Teil dieser Dienste und Produkte stehen auch Desktopclients für Windows, Mac und Linux (Preview), und mobile Anwendungen für iOS und Android zur Verfügung. 

Eine weiterer Bestandteil von Office 365 ist die Desktop Version von Microsoft Office. Die Desktop Version steht in zwei unterschiedlichen Varianten für Office 365 Business- und Office 365 Enterprise-Lizenzpläne zur Verfügung. Diese beiden Softwarepakete unterscheiden sich in ihrem Funktionsumfang.

Die in Office 365 zru Verfügung stehenden Produkte und Dienste werden regelmäßig erweitert und angepasst. Zu diesen Anpassungen gehört auch, dass einzelne Funktionen in andere Dienste integriert werden, um die Nutzung zu vereinfachen. 

Produkte und Dienste von Office 365 werden als Abonnement angeboten. Für den Erwerb von Lizenzplänen benötigen Sie einen Office 365-Mandanten, den sog. Tenant. Über diesen Mandanten verwalten Sie alle Office 365-Einstellungen, die Office 365 Abonnements und die Zuweisung der erworbenen Lizenzpläne zu Benutzerkonten. Sie können Office 365-Lizenzplanabonnements direkt in Ihren Office 365-Mandanten abschließen oder über einen Cloud Solution Provider (CSP) erwerben. 

Alle Produkte und Dienste von Office 365 werden mit einer Standardkonfiguration von Microsoft bereitgestellt und ermöglichen eine sofortige Nutzung durch Anwender. Aus diesem Grund ist es wichtig, dass Sie die für Ihren Office 365-Mandanten erworbenen Produkte und Dienste kennen und für die Anforderungen Ihres Unternehmens konfigurieren. Grundsätzlich empfiehlt Microsoft eine stufenweise Aktivierung von Diensten, um die Einführung mit der passenden Kommunikation zu begleiten. Nur so können Sie sicherstellen, dass die neu eingeführten Dienste von Anwendern positiv angenommen werden und die Einführung ein Erfolg wird.

Was ist Microsoft 365?

Neben Office 365 existiert eine weiteres SaaS-Lizenzmodell unter dem Namen Microsoft 365. Microsoft 365 ist ein kombiniertes Angebot, dass aus den folgenden drei Komponenten besteht:

• Office 365
  Dies sind die Standardbestandteile des SaaS-Angebotes von Office 365 im ausgewählten Lizenzplan (s.u.).
   
• Office 365 Enterprise Mobility + Security (EMS)
  Office 365 EMS ist eine Funktionslizenz, mit der Sie wichtige Sicherheitsfunktionen zum Schutz von Identitäten (Benutzerkonten) und Unternehmensinformationen lizensieren, die über den Standardschutz von Office 365 hinausgehen.
   
• Windows 10
  Über diese Lizensierung erhalten Ihre Anwender das Windows 10 Betriebssystem in einer Windows-as-a-Service Variante. Hierdurch stellen Sie sicher, dass das Betriebssystem immer aktuell ist. 

Microsoft 365 wird für große Unternehmen (Enterprise Pläne E5, E3, F1), Selbstständige und mittelständische Unternehmen (Microsoft 365 Business) und für Bildungseinrichtungen (Microsoft 365 Education) angeboten. 

Die zusätzlich zu Office 365 in Microsoft 365 enthaltenen Komponenten müssen ebenfalls konfiguriert werden. Der reine Erwerb und die Zuweisung der Lizenz sind nicht ausreichend.

Übersicht

Mit der Zuweisung eines Lizenzplanes, z.B. Microsoft 365 E5, an ein Benutzerkonto, werden alle im Lizenzplan enthaltenen Produkte und Dienste lizensiert und stehen dem Anwender zur Verfügung. 

Der zentrale Einstiegspunkt für den browserbasierten Zugriff ist die Url: https://office.com. 

Nach der Anmeldung erscheint die ganz persönliche Portalseite von Office 365. Auf dieser Seite können Anwender direkt zu einer Office 365-Applikation wechseln oder an einem Office-Dokument weiterarbeiten. 

Der folgende Screenshot zeigt die Office 365-Portalseite beispielhaft.

Über diese Portalseite haben Anwender auch die Möglichkeit, die aktuelle Version des Office-Paketes zu installieren. Die Installation erfolgt per Click-to-Run und wird für jeden Anwender einzeln aus der Cloud auf den lokalen Computer heruntergeladen. 

Produkte und Dienste

Die folgende, alphabetisch sortierte, Liste gibt einen Überblick über die Funktionskomponenten von Office 365. Ob Ihnen eine Komponente in Ihrem Office 365-Mandaten zur Verfügung steht, hängt von den erworbenen und zugewiesenen Abonnements ab. Der Vollständigkeit halber werden hier auch die Applikationen aufgeführt, die Administratoren zur Verfügung stehen.

Für Administratoren

Die folgenden Applikationen stehen Anwender zur Verfügung, die Mitglied einer adminstrativen Rolle sind.

	Administration Das Microsoft 365 Adminportal ist die zentrale Stelle zur Einrichtung und Verwaltung Ihres Office 365-Mandanten. In diesem Portal können Sie mandantenweite Einstellungen vornehmen und einfache Konfigurationen der zu Ihren Abonnements gehörenden Produkte und Dienste durchführen. Ebenso dient das Portal der individuellen Zuweisung von Office 365-Lizenzen zu benutzerkonten. URL: https://admin.microsoft.com
	Compliance Das Microsoft 365 Compliance-Portal bündelt alle Funktionen zur Erstellung von Compliance-Richtlinien, Benachrichtigungen bei Richtlinienverstössen und zur Abfrage von Compliance-Berichten. Der Compliance-Score (in Vorschau) unterstützt Sie bei der Konfiguration von Compliance-Richtlinien Ihres Office 365-Mandaten. URL: https://compliance.microsoft.com  Je nach Konfiguration Ihres Office 365-Mandaten erfolgt eine automatische Umleitung zum kombinierten Office 365 Security & Compliance Portal.
	Sicherheit Das Microsoft 365 Security Center dient der Verwalten und Überwachung der Sicherheitsfunktionen in Ihrem Office 365-Mandanten. Sie verwalten die Sicherheitseinstellungen für Benutzerkonten, die in Office 365 gespeicherten Daten, die von Anwendern verwendeten Geräte und Applikationen.  a href="https://www.granikos.eu/de/Blog/PostId/1830/microsoft-365-security-center">URL: https://security.microsoft.com Je nach Konfiguration Ihres Office 365-Mandaten erfolgt eine automatische Umleitung zum kombinierten Office 365 Security & Compliance Portal.

Für Anwender

	Aufgaben Bei Aufgaben handelt es sich um die Aufgabenliste in Ihrem persönlichen Postfach, auf die Sie normalerweise direkt über den Outlook-Client zugreifen. In dieser Liste erscheint nicht nur Aufgaben, die Sie direkt als Aufgabe erstellen, sondern auch Aufgaben, die Sie einer To Do-Liste angelegt haben. In Outlook on the Web (OWA) wurde die Verknüpfung zu Aufgaben inzwischen durch eine Verknüpfung zu To Do ersetzt.
	Delve Delve ist Ihre ganz persönliche Startseite, auf der Sie Ihre relevanten Informationen gebündelt angezeigt bekommen. Zu diesen Informationen gehören die Dokumenten, an denen Sie gegenwärtig arbeiten, aber auch die Dokumente von anderen Personen im Unternehmen, an denen Sie mitwirken oder die für Sie relevant sind. Über die Delve-Seite haben Sie auch Zugriff auf Ihre MyAnalytics-Übersicht.  URL: https://eur.delve.office.com
	Dynamics 365 Dynamics 365 ist die Heimat Ihrer Geschäftsanwendungen. Dies können individuell zu lizensierende Dynamics 365-Applikationen von Microsoft sein oder aber Ihre unternehmensweit veröffentlichten PowerApps-Applikationen der Power Plattform. URL: https://home.dynamics.com
	Excel Dies ist die bekannte Tabellenkalkulation als Bestandteil von Office Online. Hier haben Sie die Möglichkeit Excel-Dateien, die in SharePoint Online oder OneDrive gespeichert sind, zu öffnen und zu bearbeiten. Ebenso werden Excel-Dateien, die Sie als Dateianhang erhalten, über Outlook on the Web hier dargestellt. URL: https://www.office.com/launch/excel
	Forms Mit Forms können Sie eigene Formulare und Gruppenformulare erstellen, um Daten zu Erfassen. Eine Auswertung der erfassten Formulardaten ist direkt in Excel Online möglich. URL: https://forms.office.com
	Kaizala Kaizala ist eine mobile Chat-Applikation, für eine Anmeldung per Mobilfunkrufnummer ausreichend ist und so eine schnelle und einfach Kommunikation mit Kunden oder zeitlich begrenzt eingesetzten Arbeitskräften ermöglicht. Für die Nutzung im Unternehmen ist zusätzlich eine Verknüpfung mit bestehenden Office 365-Konten möglich. URL: https://kaiza.la
	Kalender Dies ist der Kalender Ihres persönlichen Exchange Online-Postfaches, ganz so wie Sie ihn aus Outlook kennen. Als Bestandteil von Outlook on the Web verfügt der Kalender jedoch über einige Funktionen, die die Variante eines lokal betriebenen Postfaches auf Exchange Server nicht bietet. URL: https://outlook.office.com/calendar
	MyAnalytics Mit Hilfe von MyAnalytics erfahren Sie mehr über Ihre persönliche Arbeitsweise im Hinblick auf Besprechungen, E-Mail-Nutzung und Fokusstunden. Die zur Verfügung gestellten Informationen helfen Ihnen, Ihre Arbeitsgewohnheiten besser zu verstehen und, falls gewünscht, anzupassen. URL: https://myanalytics.microsoft.com
	OneDrive OneDrive ist Bestandteil von SharePoint und ist Ihre persönlicher Ablageort für Dateien. Er ist so etwas, wie das persönliche Home-Laufwerk, das Sie eventuell aus der lokalen IT-Infrastruktur kennen. Hier abgelegt Datei können Sie mit Hilfe des OneDrive-Clients synchronisieren und, bei Bedarf, auf Offline verfügbar machen. In ObeDrive gespeicherte Dateien können Sie auch freigeben und mit anderen Personen daran gemeinsam arbeiten.
	OneNote Mit OneNote steht Ihnen Ihre Notizen, Zeichnungen und Skizzen auf all Ihren Geräten zur Verfügung. OneNote ist Bestandteil von Office Online und bietet Ihnen ein browserbasiertes Interface. Als Alternative können Sie auch mit der OneNote App auf Ihre OneNote-Notizbücher zugreifen. URL: https://www.office.com/launch/onenote
	Outlook Ihr persönliches E-Mail-Postfach finden Sie in Outlook. Hier haben Sie Zugriff auf Ihr persönliches Postfach, ein eventuell aktivertes Online-Archivpostfach, auf die Postfächer von Office 365-Gruppen, freigegebene Postfächer und, falls verwendet, sogar auf Öffentliche Ordner. Von hier können Sie bequem zu den anderen Postfachkomponenten Kalender und Personen wechseln. Ebenso können Sie direkt zu To-Do wechseln, Die webbasierte Version von Outlook wird auch als Outlook on the Web oder OWA bezeichnet. URL: https://outlook.office365.com
	Personen Unter dem Punkt Personen finden Sie Ihre aus Outlook für Desktop bekannten persönlichen Kontakte. Zusätzlich haben Sie hier Zugriff auf Ihre Office 365 Gruppen und deren Mitglieder und auf die konfigurierten Exchange Online Addresslisten des Unternehmens. URL: https://outlook.office365.com/people
	Planner Mit Planner steht Ihnen ein Kanban-Board basierte Lösung zur Projekt- und Aufgabenplanung a Basis von Plänen zur Verfügung. In einem Projektplan können Sie mit anderen Personen aus Ihrem Unternehmen oder externen Gästen zusammenarbeiten. Ihnen zugewiesene Aufgaben können in To Do integriert werden. URL: https://tasks.office.com
	Power Automate  Mit Hilfe von Power Automate (ehemals Flow) können Sie als Anwender regelmäßig wiederkehrende Aufgaben auf Basis von Worklows automatisieren. Sie können persönliche Workflows erstellen, die Ihnen die tägliche Arbeit erleichtern. Ebenso können unternehmensweite Workflows die Automatisierung von Aufgaben unter Einbindung von cloudbasierten und lokalen Datenquellen ermöglichen. URL: https://flow.microsoft.com
	Power BI Mit Power BI erstellen Sie als Anwender dynamische Dashboards, um Geschäfts- und andere Daten optisch gut aufbereitet darstellen zu können. Die Ausgangsdaten können aus ganz unterschiedlichen Datenquellen eingebunden werden. Neben Power BI-Dashboards für die persönliche Nutzung können Sie Dahboards auch für Ihr Team oder sogar unternehmensweit freigeben und nutzen. URL: https://app.powerbi.com
	PowerApps PowerApps bieten Ihnen, als Anwender, die Möglichkeit, mobile und webbasierte Applikationen zu erstellen, ganz ohne Programmmierkenntnisse. Nutzen Sie in Ihren Applikationen die bereits im Unternehmen exisitierenden Datenquellen. Die in PowerApps angebundenen Datenquellen können sowohl in der Cloud als auch in der lokalen IT-Infrastruktur bereitgestellt sein. URL: https://make.powerapps.com
	PowerPoint PowerPoint gehört, wie auch Excel oder Word, zum Funktionsumfang von Office Online. Hier haben Sie die Möglichkeit Ihre PowerPoint-Dateien, die in SharePoint Online oder OneDrive gespeichert sind, zu öffnen und zu bearbeiten. Ebenso werden PowerPoint-Dateien, die Sie als Dateianhang empfangen, über Outlook on the Web hier dargestellt. PowerPoint ermöglicht Ihnen die direkte Präsentation in einem Browser. URL: https://www.office.com/launch/powerpoint
	SharePoint SharePoint ist die zentrale Lösung zur unternehmensweiten Ablage von Dokumenten, zum Wissensmanagement, zur Bereitstellung von webbasierten Applikationen und zur Teamzusammenarbeit. Neben der direkten Nutzung von SharePoint nutzen diverse Office 365-Applikation SharePoint als Datenspeicher. Hierzu gehört u.a. Teams. Ihr persönlicher OneDrive-Datenspeicher ist Bestandteil von SharePoint.
	Stream Stream ist die zentrale unternehmensinterne Video-Plattform in Ihrem Office 365-Mandaten. In Stream können Sie vorproduzierte Videos für Trainings unterschiedlichen Zielgruppen zur Vergügung stellen. Ebenso werden Aufzeichnungen von Teams-Besprechungen durch Stream automatisch verarbeitet und im zugehörigen Teams-Kanal bereitgestellt.  URL: https://web.microsoftstream.com
	Sway Mit Sway erstellen Sie webbasierte interaktive Berichte oder Präsentationen.In solch ein Sway können Sie externe Quellen für Videos oder vorhandene PowerPoint-Präsentation einbinden. Ein Sway kann mit internen und externen Personen geteilt werden. URL: https://www.office.com/launch/sway
	Teams Teams ist die zentrale Applikation für die Zusammenarbeit in Ihrem Unternehmen und steht als Desktop-Client und als Web-Variante zur Verfügung. Teams unterstützt die Kommunikation von persönlichen Chats, Team-Konversationen, Video- und Audio-Kommunikation und klassicher Telefonie. Der Teams-Arbeitsbereich ist durch zusätzliche Applikationen von Microsoft, Drittherstellern oder durch Eigenentwicklungen erweiterbar.  URL: https://teams.microsoft.com
	To Do Ihre persönliche List an Aufgaben verwalten Sie mit To Do. Hier können Sie Ihre persönlichen Aufgabenlisten in Gruppen zusammenfassen und, bei Bedarf,  mit anderen Anwendern teilen. Ihnen zu gewiesene Aufgaben aus Planner und markierte E-Mail-Nachrichten aus Outlook können Sie ebenfalls in To Do integrieren. Der Zugriff auf die Aufgabenlisten erfolgt per Web, Desktop-App oder mobiler Applikation.   URL: https://to-do.office.com
	Whiteboard WIe man aus dem Namen schon ablesen kann, stellt Ihnen Whiteboard eine Entwurfsfläche für Freihangzeichnungen zur Verfügung, auf der Sie mit Stift-, Touch- und Tastatureingaben Ideen entwickeln können. Die integrierten Funktionen zum Teilen ermöglichen eine zeitliche Zusammenarbeit an einer Idee.    URL: https://whiteboard.microsoft.com
	Word Word ist ebenfalls Bestandteil von Office Online und ermöglicht Ihnen das Erstellung und die Bearbeitung von Word-Dokumenten im Browser. Word-Dateien, die Sie als E-Mail-Dateianhang empfangen, werden über Outlook on the Web hier dargestellt. URL: https://www.office.com/launch/word
	Yammer Yammer ist eine unternehmensweite Kollaborationslösung, die sowohl als soziales Netzwerk, als auch zur Projektzusammenarbeit genutzt werden kann. Die Mitarbeit in Yammer-Netzwerken ist nicht nur internen Mitarbeitern möglich, sondern auch externen Teilnehmern. URL: https://www.yammer.com/office365

Fehlt Ihnen eine Komponente von Office 365? Senden Sie mir gerne eine E-Mail: office365@granikos.eu

Links

• Office 365 für große Unternehmen (Enterprise Pläne)
• Microsoft 365 für große Unternehmen (Enterprise Pläne)
• Office 365 für mittelständische Unternehmen (Business Pläne)
• Office 365 für Bildungseinrichtungen (Academic Pläne)
• Office 365 für gemeinnützige Organisationen

Literaturempfehlungen

• Office 365 for IT Pros (das englischsprachige Standardwerk für IT-Fachleute)

• Short-Link zu dieser Seite: https://go.granikos.eu/Office365

Viel Spaß mit Office 365.

Updates

2020-02-15: Verlinkung Office Online für Excel, OneNote, PowerPoint und Word hinzugefügt 
2020-02-11: Verlinkung Microsoft 365 Security Center hinzugefügt

De-Mail

Mit dem De-Mail Gesetz vom 28. April 2011 sollte ein neues Zeitalter der sicheren und verschlüsselten E-Mail Kommunikation zwischen Behörden, Unternehmen und Bürgern eingeläutet werden. Das Gesetz regelt die De-Mail-Dienste, die Akkreditierung von De-Mail-Anbietern, die Durchführung der Aufsicht und den Zugang zu De-Mail. De-Mail wurde mit der Intention ins Leben gerufen, die Verbreitung der Ende-zu-Ende Verschlüsselung zwischen E-Mail-Absendern und -Empfängern zu fördern. 

Aktuell werden De-Mail-Dienstleistungen von vier Anbieter bereitgestellt:

• 1&1 De-Mail GmbH
• Mentana-Claimsoft GmbH
• T-Systems International GmbH
• Telekom Deutschland GmbH

Der Erwerb einer eigenen De-Mail-Domäne, wie z.B. varunagroup.de-mail.de, ist für Unternehmenskunden nur über einen der akkreditierten Anbieter möglich. Nach Erwerb der De-Mail-Domäne ist auch eine Gateway-basierende Anbindung für den Versand und Empfang von De-Mail-Nachrichten über diesen Anbieter möglich. Der Anbieter selber stellt hierbei die E-Mail-Verschlüsselung nach De-Mail-Standard sicher. 

Die Informationen zum Erwerb einer De-Mail-Adresse bzw. De-Mail-Domäne ist bei den vier akkreditierten Anbietern unterschiedlich gut auffindbar.

1&1 De-Mail GmbH

Bei 1&1 ist das Produkt De-Mail relativ gut in der zweiten Menüebene zu finden. 1&1 versucht De-Mail Kunden mit einem finanziellen Einsparpotential gegenüber normaler Post zu locken. Hier ist allerdings bisher niemandem aufgefallen, dass mit leicht veralteten Zahlen auf den Jahren 2007, 2008 und 2010 gearbeitet wird. Ein De-Mail-Gateway, zur Integration in die IT-Infrastruktur wird für Unternehmenskunden augenschainlich nicht angeboten. 

• Link zum De-Mail Angebot

Mentana-Claimsoft GmbH

Mentana-Claimsoft räumt dem Produkt De-Mail mehr Aufmarksamkeit ein. De-Mail ist der erste Menüpunkt der Hauptnavigation. Die bereitgestellten Informationen lassen darauf schließen, dass Unternehmenskunden die Hauptzielgruppe sind. Es werden zwei unterschiedliche Optionen für eine De-Mail-Anbindung angeboten. Die erste Option besteht aus einer Gateway-Software-Lösung, die auf Java-Runtime 1.6 (32-bit) basiert und nur, laut Dokumentation, ältere Windows-Betriebssysteme, wie Windows 7/8 oder Windows Server 2008R2/2012, unterstützt. Als zweite Anbindungsvariante steht eine Web Service Integration zur Verfügung, für die allerdings eine Testintegration angefragt werden muss. Eine Bestellung kann über die Webseite nicht ausgelöst werden. Vielmehr darf man sich telefonisch an das Service Center De-Mail wenden.

• Link zum De-Mail Angebot

T-Systems International GmbH

Die T-Systems International GmbH versteckt De-Mail in der vierten Menüebene. Auf dem Weg in diese Ebene (Lösungen -> Security -> Lösungen -> De-Mail) trifft man auf aktuelle Buzz-Words zum Thema Cloud. Auch bei T-Systems wird zuerst mit dem preislichen Vorteil gegenüber der klassischen Briefpost geworben. Auf der Seite wird viel und bunt über De-Mail geschrieben und auf eine weitere Unterseiten verlinkt. Ein direkter Link zum Erwerb einer De-Mail-Domäne ist nicht auffindbar. Der Erwerb einer De-Mail-Domäne scheint nur in einem Beratungstermin möglich. 

• Link zum De-Mail Angebot (Einstiegsseite)

Telekom Deutschland GmbH

Die Telekom Deutschland GmbH bietet ebenfalls das Produkt De-Mail an. In der Menüstruktur der Hauptseite sucht man De-Mail allerdings vergebens. Das Produkt ist im Bereich des Menüpunktes Cloud & IT versteckt (Cloud & IT -> Sicherheit & Effizienz -> Für Daten & Mails) und befindet sich dort auf der Detailseite neben der Mobile Encryption App und BusinessMail X.400. Der einladende Link Jetzt Bestellen führt leider nicht zu einer Online-Bestellung, sondern zu einer Übersichtsseite für PDF-Formulare, um diese herunterzuladen und per Fax zurückzusenden. Die Telekom bietet unterschiedliche Leistungspakte für Geschäftskunden an. Man kann De-Mail ohne eigene Gateway-Lösung über das Web-Portal (einfache Variante) oder mit dem De-Mail-Gateway (Profi-Variante) nutzen. Der Erwerb einer De-Mail-Domäne ist bei der Telekom nur über die Nutzung von PDF-Formularen möglich.

• Link zum De-Mail Angebot 

De-Mail - Ein Selbstversuch

In einem Kundenprojekt konnte ich Erfahrungen mit De-Mail und der Anbindung mit dem E-Mail-Security-Gateway NoSpamProxy sammeln. Der Vorteil dieser Lösung ist, dass kein separates De-Mail-Gateway, dass von den Anbietern in Eigenregie entwickelt wurde, implementiert und betrieben werden muss. Stattdessen wird ein ausgereiftes E-Mail-Gateway Produkt verwendet, dessen De-Mail-Integration per Web Services auf die Schnittstelle des ausgewählten De-Mail-Anbieters zu greift. So ist der De-Mail-Versand in den regulären E-Mail-Verkehr eingebettet und durchläuft alle E-Mail-Prozesse für zentrale Signaturen und rechtssichere Archivierung.

Als Bestandkunde der Telekom lag es natürlich nahe, die De-Mail-Domäne über die Telekom Deutschland GmbH zu beziehen.

So beginnt die Reise...

4. März 2018

Aber alles beginnt mit der Registrierung einer De-Mail-Domäne, um im E-Mails im Format info@varunagroup.de-mail.de versenden zu können. Wie schon erwähnt, öffnet ein Klick auf die Schaltfläche Jetzt Bestellen, auf der Telekom De-Mail-Webseite, eine eindrucksvolle Liste von PDF-Formularen.

Vergebens suchte man eine PDF-Nutzungsanleitungsbeschreibung. Aber das Formular mit dem Titel Auftrag für ein Business De-Mail-Konto sah vielversprechend aus.

Randnotiz: Interessant ist, dass diese Formulare unter dem Punkt Ihre Vorteile im Überblick verortet sind.

Im PDF-Formular wird glücklicherweise der Zweck des Formulars beschrieben: Mit diesem Formular können Sie ein De-Mail Konto beauftragen

Das Ausfüllen fiel nicht sonderlich schwer . Das ausgefüllte und unterschriebene Formular fand, inklusive zusätzlich benötigter Dokumente, anschließend seinen Weg per Fax an die im Formular genannte Faxnummer.

Danach passierte erst einmal... nichts.

19. April - Update

Am 19. April schrieb ich eine freundliche E-Mail an den Geschäftskunden-Service der Telekom, in der ich die Situation schilderte und um Mithilfe bei der Identifikation der Telekom-internen Ansprechpartner für das Thema De-Mail bat. Die Reaktion erfolgte prompt. Meine Original-E-Mail wurde, um einen kleinen Hinweis ergänzt, an das De-Mail-Team (De-Mail@telekom.de) weitergeleitet. 

Auf diese E-Mail erfolgte eine telefonische Kontaktaufnahme durch das De-Mail-Team der Telekom. Die Grundinformation des Telefonats war leider ernüchternd. Es lag keine Beauftragung per Fax vor.

24. April - Update 

Am 24. April wurde der Antrag auf eine De-Mail-Domäne als PDF-Dateianhang, mit der Bitte um eine Auftragsbestätigung, an das De-Mail-Team der Telekom per E-Mail (S/MIME signiert) gesendet. Die erfolgreiche SMTP-Zustellung wurde im E-Mail-Gateway protokolliert.

Danach passierte erst einmal - nichts.

24. Mai - Update

Am 24. Mai wurde der Antrag auf eine De-Mail-Domäne als PDF-Dateianhang, mit der Bitte um eine Auftragsbestätigung, zum dritten Mal an das De-Mail-Team der Telekom per E-Mail (S/MIME) gesendet. Die erfolgreiche SMTP-Zustellung wurde abermals im E-Mail-Gateway protokolliert.

Danach passierte erst einmal - nichts.

19. Juni - Update

Es ist immer noch nichts passsiert. Keine Reaktion per Telefon, per E-Mail oder per Post. 

Ich kann mich des Eindrucks nicht erwehren, dass die Telekom keine Neukunden für den Dienst De-Mail gewinnen möchte. Der Dienst scheint eine Art lästiges Pflichtprogramm zu sein. Auch das wäre zu verstehen, wenn es eine angemessene Reaktion des De-Mail-Teams geben würde.  

30. Juni - Update

Die Untätigkeit auf der Anbeiterseite verleitet naturgemäß zu Aktionismus. Nachdem ich heute den Telekom Login erneutet habe, stolperte ich in der Vertragsübersicht über die Option, sich doch direkt für De-Mail Web zu registrieren bzw. einen Beratungstermin für das De-Mail Gateway zu vereinbahren. 

Leider führt der Link Beratung vereinbaren auf die bereits bekannte Seite zur Digitalisierung meiner Post. Der auf dieser Seite befindliche Link Jetzt Bestellen leitet mich wieder zu den PDF-Formularen und ist somit eine Sackgasse.

Ist es Zufall, dass sich die aktuelle Ausgabe (Juli 2018) der brand eins mit dem Thema Service befasst?

Der Monatstitel des Magazins ist

Die Wüste lebt.

6. Juli 2018

Gestern hat mich die Deutsche Telekom angerufen. Man hätte gehört, dass ich Probleme mit der Beauftragung einer De-Mail-Domäne hätte. (Frei zitiert)

Nach Angabe der Telekom Kundennummer hat man mir versprochen, dass sich ein Berater für De-Mail in der nächsten Woche telefonisch bei mir melden wird, da ich ja nicht die Standardlösung betreiben möchte, sondern eine De-Mail-Dirttanbieterlösung (in diesem Fall NoSpamProxy).

Ich bin gespannt...

13. Juli 2018

Freitag der 13. muss nicht immer ein Tag für ein schlechtes Omen sein. Heute hat mich ein De-Mail-Berater von T-Systems angerufen. Er hat mir in einem sehr ausführlichen Telefonat die Herausforderungen der De-Mail-Bestellprozesse dargelegt (was sehr unterhaltsam war). Um nun eine schnelle Beauftragung in die Wege leiten zu können, läuft die Beauftragung nun nicht über die Telekom Deutschland, sondern über die T-Systems. Schon wenige Minuten nach dem Telefonat fanden die vorausgefüllten Auftragsformulare ihren Weg in den Posteingang meines E-Mail-Postfaches.

16. Juli 2018

"De-Mail Auftragsbestätigung" 

Ich hätte nicht gedacht, dass ich diesen E-Mail-Betreff noch einmal lesen darf. Nachdem ich heute die ausgefüllten und unterschriebenen Dokumente per E-Mail an den De-Mail-Berater bei der T-Systems gesendet hatte, dauerte es weniger als zwei Stunden, bis der Auftrag im T-Systems Buchungssystem erfasst war und ich die Bestätigung erhielt. 

Nun bedarf es nur noch der Umsetzung des Auftrages.

31. Juli 2018 | Finale

Inzwischen sind alle notwendigen Unterlagen und Gerätschaften (Signaturkarten inkl. Lesegerät, Software) eingetroffen. Ich konnte mich erfolgreich am T-Systems De-Mail Webportal anmelden und die erste De-Mail erfolgreich versenden. Sehr positiv zu bewerten ist, dass die Multi-Faktor Authentifizierung sofort funktioniert hat.

Die Nutzung des De-Mail Web Portals ist natürlich kein Dauerzustand. Ziel ist die Integration in den normalen E-Mail-Workflow und die direkt Nutzung aus dem Outlook-Client heraus. Hierzu werde ich die vorhandene E-Mail-Gateway-Lösung NoSpamProxy an die T-Systems De-Mail Web Service Schnittstelle anbinden und das NoSpamProxy Outlook Add-In verwenden. Diese Konfiguration wird von einem separaten Blog-Artikel begeleitet.

Fazit

Mein persönlicher Eindruck ist, dass die vier akkreditierten Anbieter das Produkt De-Mail vor potentiellen Kunden verstecken möchten. Vor dem Hintergrund, dass die Bundesregierung, als Wegweiser und Urheber eines digitalen Fahrplanes, immer noch auf das Thema De-Mail setzt und De-Mail sogar aus dem Ausland nutzbar machen möchte, ist dies eine Farce.

Man stellt sich als Geschäftskunde zwangsläufig die Frage, warum der Prozess für De-Mail so kompliziert sein muss und wer sich dieses Prozessmonster ausgedacht hat. 

Faziz | Update

An meinem grundlegenden Fazit hat sich nichts geändert. Die Schwierigkeit bei der Beauftragung von De-Mail für Unternehmen liegt darin, einen kompetenten Ansprechpartner zu identifizieren. Wenn man diese Hürge genommen hat geht es recht zügig weiter. Im Rahmen einer De-Mail Beauftragung ist natürlich auch eine Verifizierung der Identität des Beauftragendfen erforderlich. Interessanterweise stehen die gängigen Methoden zur Überprüfung nicht zur Verfügung. In diesem Fall erweisen sich das BSI und das BKA als Bremser der De-Mail und nicht die akkreditierten Anbieter. 

Die folgenden Ident-Methoden stehen nicht zur Verfügung:

• Video-Ident
  Über dieses Verfahren können Sie ohne Probleme ein Konto eröffnen oder einen Mobilfunk-Vertrag abschließen, aber nicht ihre Identität im Rahmen einer De-Mail-Beauftragung. BSI und BKA stufen dieses Verfahren für diesen Zweck in Deutschland als zu unsicher ein. Sicherheitsbehörden in anderen Europäischen Ländern erlauben die Video-Ident Identifizierung für die Ausstellung vollqualifizierter Signaturen. Diese Signaturen werden auch in Deutschland anerkannt. 
   
• Elektronischer Personalausweis
  Dieses Verfahren ist technisch zur Validierung der Identität noch nicht implementiert. Sie können sich jedoch mit ihrem elektronischen Personalausweis am T-Systems De-Mail Web Portal anmelden.
   
• Post-Ident
  Dieser Weg steht ebenfalls nicht zur Verfügung, da die Post die Nutzung von Post-Ident gekündigt hat, nachdem sie aus dem Projekt De-Mail ausgestiegen ist und sich dem semierfolgreichen Projekt ePost zugewandt hat. Weiterhin sah/sieht man De-Mail als Konkurrenzprodukt zur klassischen Briefpost (s. oben).

Mögliche Ident-Methoden sind:

• Filial-Ident
  Gegenwärtig ist diese Methode noch im Aufbau begriffen, was das flächendeckenden Angebot angeht. Für eine Identifikation für T-System kann durch einen Kurier erfolgen, der zu Ihnen kommt.
   
• Shop-Ident
  Eine Identifikation privater De-Mail-Adressen ist in DPD-Shops möglich. Hier besteht eine Kooperation zwischen DPD und GMX, Web.de und 1&1.

Es bleibt somit weiterhin kompliziert.

Links

• Ausgiebiger Wikipedia-Artikel zum Thema De-Mail
• NoSpamProxy | E-Mail Gateway mit integrierter De-Mail Anbindung

Trotz alledem - Viel Spaß mit De-Mail

Wenn Sie Fragen zum Thema De-Mail haben, freue ich mich über eine E-Mail: thomas.stensitzki@granikos.eu

Das E-Mail-Sicherheitsgateway NoSpamProxy untertützt die Anbindung an die De-Mail-Infrastruktur. Mit Hilfe von De-Mail ist eine gesetzlich geregelte Zustellung von rechtlich relevanten E-Mail-Nachrichten möglich. MIt Hilfe von NoSpamProxy kann Ihr Unternehmen E-Mail-Nachrichten mit De-Mail-Empfängern austauschen, ganz unabhängig davon, ob Ihre E-Mail-Server in der internen IT-Infrastruktur betrieben werden oder als SaaS-Dienst wie z.B. Office 365. In meinem Beispiel befinden sich alle Postfächer in Exchange Online.

Die Anbindung von De-Mail und Office 365 über das E-Mail-Gateway wird im nachfolgenden Schaubild deutlich.

• Alle Benutzerpostfächer, mit Benutzerverwaltung im lokalen Active Directory, befinden sich in Office 365
• Exchange Online ist für die zentralisierte E-Mail-Zustellung (Centralized Mail-Flow) konfiguriert
• E-Mail-Verkehr mit externen E-mail-Systemen erfolgt über das E-Mail-Sicherheitsgateway NoSpamProxy
• Anbindung an die De-Mail-Infrastruktur über das De-Mail-Gateway von T-Systems 

Die zur Anbindung an Office 365 erforderlichen Komponenten, wie z.B: Azure AD Connect, sind im Diagramm nicht dargestellt, um die Übersichtlichkeit zu gewährleisten. 

Technische Umsetzung

Das E-Mail-Gatewaysystem wird in diesem Beispiel auf einer Hyper-V-Plattform betrieben. Da die De-Mail-Zertifikate auf einer Smardcard gespeichert sind und der Betrieb des Gateways unbeaufsichtigt erfolgen soll, muss die Smartcard über einen zertifizierten Kartenleser permanent eingebunden werden. Entsprechende Smartcard-Lesegeräte sind als USB-Geräte erhältlich. Beim Erwerb einer De-Mail-Signaturkarte erhalten Sie einen passenden Kartenleser.

Die Verbindung des physikalischen Smartcard-Lesegerätes zum virtualisierten Betriebssystem erfolgt mit Hilfe eines USB-Servers. Für diesen USB-Server wird auf dem virtualisierten Betriebssystem eine Treiber-Software installiert, die einen virtualisierten USB-Port bereitstellt. Über diesen vUSB-Port ist anschließend das Smartcard-Lesegerät mit dem Betriebssystem verbunden. Zusätzlich werden noch die passenden Treiber und die Verwaltungssoftware für das De-Mail-Zertifikat benötigt.

Das folgende Schaubild verdeutlicht die technische Anbindung des Smartcard-Lesegerätes mit einem virtualisierten Betriebssystem.

System-Komponenten

• Betriebssystem E-Mail-Gateway: Windows Server 2012R2
• Smartcard-Lesegerät: SCR uTrust 2700 F (Lieferumfang De-Mail-Paket)
• USB-Server: WuT USB-Server Gigabit 2.0 (Produkt-Webseite)
  • Der USB-Server kann über PoE mit Spannung versorgt werden. Dies erleichtert die Integration erheblich. Alternativ ist eine Spannungsversorgung mit 24-48V über eine Schreibklemme möglich.

Software-Komponenten

• vUSB-Treiber (USB-Umlenkung), (Download)
• WuTility zur Verwaltung des USB-Servers (Download)
• Lesegerät-Treiber für SCR uTrust 2700 F (Download)
• Smartcard-Treiber für TCOS-TeleSec Card OS mit manueller Installation über den Windows Geräte-Manager (Download)
• TeleSec CardManager .NET zur Verwaltung der Smartcard (Download)
• NoSpamProxy E-Mail-Sicherheitsgateway (Download)

Die Anbindung an De-Mail erfolgt immer auf einem NoSpamProxy-System mit installierter Gateway-Rolle. Ob es sich um ein reines Gateway-System handelt oder aber um ein System mit installierte Intranet- und Gateway-Rolle ist unerheblich.  In der nachfolgenden Beschreibung gehe ich davon aus, dass die NoSpamProxy Gateway-Software bereits installiert ist und die Nutzung von De-Mail lizensiert ist.

Installation

Installieren Sie zuerst den USB-Server und richten Sie das Smartcard-Lesegerät im Windows Server Betriebssystem ein. Die in diesem Artikel beschriebenen Schritte und zu installierenden Komponenten gelten für Windows Server 2012R2 und Windows Server 2016 identisch. Für Windows Server 2019 liegen noch keine Erfahrungen vor.

1. Verbinden Sie den USB-Server mit einem PoE-Switch-Port
2. Installieren Sie die WuTility-Software
   1. vergeben Sie eine IP-Adresse
   2. vergeben Sie ein Kennwort für die Anmeldung an die Web-Oberfläche des USB-Servers
   3. aktualisieren Sie die Firmware des USB-Servers
3. Installieren Sie die USB-Umlenkung
4. Schließen Sie das Smartcard-Lesegerät am USB-Server an, das Lesegerät erscheint in der Übersicht der USB-Umlenkung
5. Konfigurieren Sie die Einbindung für das Lesegerät auf permanent
   
    
6. Installieren Sie den Lesegerät-Treiber für SCR uTrust 2700 F

An diesem Punkt haben Sie das Smartcard-Lesegerät über den USB-Server und den virtuellen USB-Treiber der USB-Umlenkung mit dem Windows Server Betriebssystem verbunden. Bei jedem Neustart des Betriebssystems wird das Lesegerät automatisch verbunden.

Für die folgenden Installationsschritte und die Einbindung des De-Mail-Zertifikates ist es erforderlich, dass Sie eine Konsolenverbindung zum virtualisierten Betriebssystem herstellen. Die Einbindung des Smartcard-Zertifikates innerhalb einer RDP-Sitzung auf dem Windows Server nicht möglich, da dies durch den Windows Smartcard-Treiber aktiv verhindert. Sie erkennen dies daran, dass es beim Start des TCOS-CardManagers zu folgender Fehlermeldung kommt.

In einer VMware Hypervisor-Plattform ist der Zugriff über eine Konsolensitzung kein Problem. Wenn Sie aber Hyper-V als Hypervisor-Plattform einsetzen, müssen Sie auf die folgenden Einstellung des Hyper-V-Hostsystems achten.

Die Funktion "Erweiterten Situngsmodus zulassen" muss ausgeschaltet sein. Wenn diese Funktion eingeschaltet ist, werden alle Sitzungen durch das Gast-Betriebssystem als RDP-Sitzungen wahrgenommen. Dies führt automatisch dazu, dass der beschriebene Zugriff auf die Smartcard-Blibliotheken unterbunden wird. Diese Funktion muss nur für den Zeitraum der Konfiguration der De-Mail-Zertifikate in Windows Server ausgeschaltet sein bzw. immer dann, wenn Sie mit dem TCOS CardManager arbeiten müssen.

Folgende Schritte sind notwendig, um die TCOS-Smartcard und die De-Mail-Zertifikate zu integrieren:

1. Installieren Sie den TCOS-Smartcard-Treiber über den Windows Geräte-Manager manuell 
   
   Stellen Sie vor allen weiteren Aktionen sicher, das der Treiber für das Smartcard-Lesegerät und die TCOS-Smartcard im Geräte-Manager richtig erkannt wurden.
   
2. Installieren Sie den TCOS CardManager
3. Stecken Sie die De-Mail-Signaturkarte in den Kartenleser und starten Sie anschließend den TCOS-CardManager, um den Zugriff auf die Signaturkarte nach Eingabe der PIN zu testen
4. Schließen Sie den TCOS CardManager

Der die TCOS-Softwarekomponenten sind so programmiert, dass die De-Mail-Zertifikate beim ersten Zugriff auf die Signaturkarte in den lokalen Zertifikatsspeicher des angemeldeten Benutzers kopiert werden. Dieser Zertifikatsspeicher ist für installierte Softwarelösungen gänzlich ungeeignet. Die Zertifkate müssen in den Zertifikatsspeicher des Computers verschoben werden. Hierbei hilft Ihnen das Tool CertificatePromoter.exe, das Sie vom Net at Work-Support erhalten können. 

1. Starten Sie CertificatePromoter-exe als Administrator
2. Wählen Sie ein De-Mail-Zertifikat aus und verschieben Sie das ausgewählte Zertifikat
3. Wiederholen Sie die Schritte 1 & 2 für die beiden anderen De-Mail-Zertifikate

Nachdem nun die De-Mail-Zertifikate im richtigen Zertifikatsspeicher abgelegt sind, muss der Zugriff auf die Zertifikate und die privaten Schlüssel konfiguriert werden. Die hierzu erforderlichen Schritte habe ich im Artikel "Zugriff auf privaten SSL-Schlüssel konfigurieren" beschrieben. Führen Sie die dort beschriebenen Schritte für die drei verschobenen De-Mail-Zertifikate durch.

Damit sind alle Voraussetzungen für eine funktionierende Anbindung des E-Mail-Security Gateways NoSpamProxy an De-Mail abgeschlossen. Die Konfiguration erfolgt in der NoSpamProxy MMC-Verwaltungsoberfläche im Menüpunkt Connected systems. Sie können entweder einen Telekom De-Mail-Connector oder einen Mentana-Claimsoft De-Mail-Connector hinzufügen. 

1. Vergeben Sie einen individuellen Namen
2. Wählen Sie beim Telekom Connector aus, ob die Verbindnung zum Telekom- oder zum T-Systems-Endpunkt erfolgen soll
3. Geben Sie die PIN für das De-Mail-Zertifikat ein
4. speichern Sie die Konfiguration

Wenn alle Einstellungen und Konfiguration korrekt durchgeführt wurden, wird in der NoSpamProxy MMC-Verwaltungsoberfläche nach kurzer Zeit die Anzahl der zur Verfügung stehenden De-Mail-Domänen angezeigt. Diese Information wurde durch NoSpamProxy vom De-Mail-Gateway abgefragt und ist daher ein Beleg für die funktionierende Verbindung.

Ab diesem Punkt können Sie mit den weiteren Benutzer-Konfigurationen für De-Mail, entsprechend der NoSpamProxy Anleitung fortfahren.

Hinweise

• Wenn Sie mehrere E-Mail-Gatewaysysteme betreiben möchten und eine redundante Anbindung an die De-Mail-Infrastruktur planen, so benötigt jedes Gatewaysystem einen eigenes Smartcard-Lesegerät und eine eigene De-Mail-Signaturkarte.
• Verwenden Sie für die Verbindung von Smardcard-Lesegeräten an virtualisierte Betriebssysteme nur USB-Server in Industriequalität.
• Die De-Mail-Signaturkarte muss im Kartenleser verbleiben. Der Kartenleser und der USB-Server sind an einem abgesichterten und zutrittsbeschränktem Ort zu platzieren.

Troubleshooting

Sollte es doch zu Problemen bei der Verbindung zum De-Mail-Gateway kommen, prüfen Sie bitte die folgenden Punkte:

• Ist eine direkte HTTPS-Verbindung vom Gateway-System zum De-Mail-Endpunkt über TCP-Port 443 möglich?
  • Überprüfen Sie die Einstellungen der Unternehmens-Firewall.
• Wird ein Proxy-Server für ausgehende HTTPS-Verbindungen von internen Serversystemen eingesetzt?
  • Konfigurieren den Proxy-Server für die Gateway-Rolle entsprechend dieses Knowledge Base Artikels.
• Sind die Berechtigungen für den Zugriff auf das De-Mail-Zertifikat für die NoSpamProxy Dienstkonten konfiguriert?
  • Konfigurieren Sie die Berechtigungen entsprechend dieses Blog-Artikels.
• Sind die TLS-CipherSuite TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 und die elliptische Kurve NistP521 in der SCHANNEL Konfiguration des Windows Server Betriebssystems aktiviert?
  • Windows Server 2016: Überprüfen Sie die TLS-Einstellungen mit Hilfe einer administrativen PowerShell-Sitzung.
  • Windows Server 2012R2: Überprüfen Sie die TLS-Einstellungen mit Hilfe des Tools IISCrypto.

Damit erschöpfen sich auch schon die allgemeinen Möglichkeiten zum Troubleshooting der De-Mail-Anbindung. In den meisten Fällen liegt ein Problem beim Verbindungsaufbau vor. Dies ist entweder die HTTPS-Strecke selbst oder aber die Aushandlung der TLS-Verschlüsselung (Handshake). Die Analyse des TLS-Handshake erfordert die Installation eines Werkzeuges zur Netzwerkanalyse, wie z.B. Wireshark oder Microsoft Message Analyzer.

Konfiguration der TLS-CipherSuite und der elliptischen Kurven in Windows Server 2016

# Prüfung der TLS-CipherSuite
# Wird kein Ergebnis zurückgegeben, muss die CipherSuite aktiviert werden
(Get-TlsCipherSuite) | Where-Object {$_.Name -eq 'TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384'}

# Alphabetische Auflistung der konfigurierten TLS-CipherSuites des OS
Get-TlsCipherSuite | Sort-Object Name | FT Name

# Aktivierung der CipherSuite 
Enable-TlsCipherSuite -Name TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384

# Auflistung der aktivierten elliptischen Kurven
# Wird die Kurve NistP521 nicht aufgeführt, muss sie aktiviert werden
Get-TlsEccCurve

# Aktivierung der ECC Kurve NistP521
Enable-TlsEccCurve NistP521

# Alle Änderungen an den TLS-Einstelliunge erfordern einen Neustart des Servers

Weitere Links

• Transport Options in Exchange Online
• TCOS-SmartCards - TeleSec TCOS 3.0
• De-Mail-Gesetz (De-Mail-G)

Ich wünsche viel Spaß mit dem NoSpamProxy E-Mail-Sicherheitsgateway und De-Mail.

Office Online ist die browserbasierte Variante der wichtigsten Office Applikationen. Dies ermöglicht Ihnen einen schnellen Zugriff und eine Bearbeitung von Office-Dokumenten im Browser.

Office Online umfasst im Standard folgende Applikationen:

• Excel
• OneNote
• PowerPoint
• Word

Wenn Sie Anwender Lizenzpläne für Visio Online oder Project Online zuweisen, können diese Anwender auch Dateien dieser Applikation im Browser bearbeiten.

Office Online kommt auch in Outlook on the Web zu Einsatz. Immer dann, wenn Sie einen Dateianhang einer E-Mail auswählen, erfolgt die Anzeige im Browser durch Office Online. In dieser Ansicht in Outlook on the Web haben Sie auch die Möglichkeit, die ausgewählte Datei direkt zu bearbeiten.

Ob ein Anwender in der Lage ist, eine Office-Datei zu bearbeiten hängt von der jeweiligen Berechtigung und Absicherung des Dokumentes ab. Daher ist eine korrekte Konfiguration der Berechtigungen und Freigaben so wichtig. Office Online unterstützt die gleichzeitige Bearbeitung eines Dokumentes durch mehrere Anwender. Die zeitgleiche Zusammenarbeit an einem Office-Dokument funktioniert mit Office Online, Office Desktop und Office Mobile.. 

Die Office Online Suite wird ergänzt durch die zugehörigen mobilen Office Apps für Android und iOS. 

Excel

Die Excel-Edition von Office Online stellt Ihnen die wichtigsten Excel-Funktionen bereit. Damit haben Sie schnell und einfach Zugriff auf Informationen, die über Excel abgerufen werden können. Bei der Nutzung von Excel-Datei gibt es jedoch zwei wichtige EInschränkungen. Excel-Dateien mit verknüpften externen Datenquelle funktinieren aus Sicherheitsgründen nicht. Hier bietet sich Power BI als Alternative an. Eine weitere Einschränkung gilt für Excel-Dateien mit Makros und VBA-Code. Dieser Code wird in Excel Online nicht ausgeführt.

Der folgende Screenshot zeigt eine Excel-Datei aus der Dateiablage einer Office 365 Gruppe.

Die Einbettung von Office Online steht natürlich auch in Microsoft Teams zur Verfügung. Der folgende Screenshot zeigt ein Excel-Arbeitsblatt, das direkt aus der Dateiablage eines Teams heraus geöffnet wurde. Sie haben in dieser Ansicht die Option, zur reinen Office Online Ansicht zu wechseln, um den zur Verfügung stehenden Bildschirmraum besser auszunutzen oder die Datei in der Desktopversion von Excel zu öffnen. 

Die Einbettung von Office Online in Microsoft Teams ist nicht auf Excel beschränkt. 

PowerPoint

PowerPoint Online ist eine weitere Applikation von Office Online. Mit dieser Applikation können Sie bestehende Präsentationen bearbeiten oder neue Präsentationen erstellen. Der große Vorteil von PowerPoint Online ist aber weniger die Möglichkeit zur Bearbeitung, sondern zu direkten Präsentation. 

Sie können eine geöffnete PowerPoint-Datei direkt im Browser präsentieren. Sie benötigen die Desktop-Applikation hierzu nicht. 

Wenn Sie eine Präsenation in einer anderen Office 365-Applikation, wie z.B. Sway, einbetten, können Sie direkt in dieser Applikation die Präsenation halten.

Der folgende Screenshot zeigt eine PowerPoint-Datei eines Office 365-Testmandanten.

Das Öffnen und Präsentieren ist natürlich auch in Microsoft Teams möglich.

Visio

Auch für Visio exisitiert eine Möglichkeit zur Ansicht von Visio-Dateien. HIer steht primär ein Viewer zur Verfügung, der keine Bearbeitung zulässt. Ist die Datei in SharePoint-Online geöffnet, können Sie die ausgewählte Datei in einer Vorversion der Office Web Apps von Visio (Visio Legacy Editor) bearbeiten. Aufgrund der Komplexität von Vision ist eine Bearbeitung nur in der Visio Desktop-Edition sinnvoll.

Der folgende Screenshot zeigt das Organisationsdiagramm eines Office 365-Testmandaten als VIsio-Datei.  

Die Anzeige von Visio-Dateien ist natürlich auch in Microsoft Teams möglich. 

Word

Word Online ist sicherlich die Komponente von Office Online, die Sie am häufigsten verwenden werden. Mit Word Online steht Ihnen ein browserbasiertes Textverarbeitungsprogramm zur Verfügung, das die gängigsten Funktionen der Desktop-Edition von Word zur Verfügung stellt. 

Der folgende Screenshot zeigt ein Word-Dokument eines Office 365-Testmandaten.

Und natürlich funktioniert Word Online auch in Microsoft Teams.

Links

• Office for the web service description

Zurück zum Blog-Artikel "Was ist Office 365"

Viel Spaß mit Microsoft 365.

Um die Antwort direkt vorwegzunehmen, De-Mail ist keine Erfolgsgeschichte. 

Mir stellt sich allerdings immer wieder die Frage, warum De-Mail keine Erfolgsgeschichte geworden ist. Die ursprüngliche Idee, verschlüsselte E-Mail-Nachrichten für jeden Bürger zu ermöglichen, um damit die Digitalisierung von Bürgerdiensten voranzutreiben war gut. Im Rückblick auf den Entstehungsprozess und das daraus resultierende De-Mail-Gesetz vom 28. April 2011 kann man nur festhalten, dass eine gute Idee den Kernproblemen im Umgang mit (IT-)Technologie in Deutschland geopfert wurde.

Als Kernprobleme sind insbesondere zu nennen:

• Regulierung und Bereitstellung der De-Mail-Infrastruktur durch mehrere Anbieter und dem daraus resultieren Ergebnis des kleinsten gemeinsamen Nenners
• Rechtliche Begleitung durch ein realitätsfernes De-Mail-Gesetz
• "German Angst" in Kombination mit Bedenkenträgertum hinsichtlich der technischen Implementierung bei Behörden, Unternehmen und den Bürgern
• Schlechte Kommunikation in der Promotion von De-Mail als bevorzugtes Kommunikationsmittel mit Behörden

Der Anspruch von De-Mail ist, dass jede verwendete E-Mail-Adresse eine verifizierte E-Mail-Adresse ist. Der Nutzer einer solchen E-Mail-Adresse ist somit eineindeutig identifizierbar. Dies gilt für Privatpersonen mit einer persönlichen E-Mail-Adresse ebenso wie für Firmen mit Unternehmens-Adressen für Dienste und Mitarbeiter. Dies steht im direkten Gegensatz zu herkömmlichen E-Mail-Adressen.  

Die Ausarbeitung der De-Mail-Infrastruktur erfolgte in einem Elfenbeinturm und das Ergebnis war, im Hinblick auf die einfache Nutzung durch den Bürger, desaströs. Für Unternehmen wiederum war und ist die Anbindung an die De-Mail-Infrastruktur immer noch ein Drama. Die De-Mail-Anbindung von Behörden und deren Erreichbarkeit über eine De-Mail-Adresse ist ähnlich schlecht. 

Für die Bundesverwaltung ist die Einführung und Nutzung von De-Mail verpflichtend über das E-Government-Gesetz geregelt. Die Einführung sollte zum 1. Quartal 2016 abgeschlossen sein¹. Mit wem möchte die Bundesverwaltung über De-Mail kommunizieren? Die Realität sieht anders aus. Anstatt eine etablierte Lösung zu verwenden, erfolgt die bundesweite E-Mail-Kommunikation über das Netz des Bundes, in dem eine Verschlüsselung des Übertragungsweges (TLS SMTP) als ausreichend betrachtet wird. Eine einheitliche Nachrichtenverschlüsselung für die Kommunikation zwischen Behörden ist nicht verpflichtend geregelt.

In den Ländern und Kommunen sieht es nicht besser aus. De-Mail findet schlichtweg nicht statt. 

Die immer angeführten Vorteile und möglichen Einsparpotentiale gegenüber der klassischen Briefpost wurden und werden ignoriert. Vergessen Sie nicht, dass das De-Mail-Gesetz die rechtliche Gleichstellung einer De-Mail-Zustellung mit der klassischen Briefpost regelt. Dies ist übrigens auch der Grund, warum die Post seinerzeit als De-Mail-Anbieter ausgestiegen ist.

Aber war da nicht noch eine andere besondere Lösung zum Austausch von besonders schützenswerten E-Mail-Nachrichten? Sie erinnern sich bestimmt an die andere deutsche Erfolgsgeschichte: Das besondere elektronische Anwaltspostfach (beA).

Ich habe mich von Anfang an gefragt, warum die Kommunikation zwischen Anwaltskanzleien und Gerichten nicht per De-Mail erfolgt. Sicher wird nun jemand darauf hinweisen, dass die technische Implementierung der De-Mail-Intrastruktur dem Anspruch zum Schutz der anwaltlichen Daten gerecht wird. Dies ist, aus meiner Sicht, ein fadenscheiniges Argument, da eine technische Anpassung möglich gewesen wäre. De-Mail wäre auf jeden Fall sicherer als die klassische Fallback-Lösung für termingerechte Zustellung an Gerichte, die Fax-Übertragung.

Gerade im Hinblick auf die Zustellung von anwaltlichen E-Mail-Nachrichten an Gerichte möchte ich eine Erfahrung mit Ihnen teilen. In mindestens einem Bundesland erfolgt die E-Mail-Kommunikation zwischen Kanzleien und Gerichten klassisch per SMTP über das Internet. Als Absicherung ist auch hier die Transportverschlüsselung ausreichend, solange eine E-Mail-Nachricht nach technischem Eingang unverändert in das Richter-Postfach zugestellt wird. Eine Nachrichtenverschlüsselung ist nicht erforderlich. Eine Nachrichtenverschlüsselung wird als zu kompliziert erachtet.

E-Mail-Sicherheit für Bürger

Bei der Einführung von De-Mail war besonders wichtig, dass keine De-Mail-Pflicht für die Kommunikation von Bürgern mit Behörden eingeführt wurde. Mit dem Verzicht auf eine De-Mail-Pflicht hätte man sich De-Mail auch sparen können. Eine freiwillige De-Mail-Registrierung haben nur wenige Bürger durchgeführt, nicht zuletzt auch wegen des aufwendigen Prozesses zur Prüfung der Identität. Die strengen Anforderungen zur Prüfung der Identität für De-Mail sind dem BSI anzulasten. Die Eröffnung eines neuen Bankkontos per Video-Ident ist erheblich einfacher.

Aber war da nicht noch etwas?

Was ist mit der inzwischen verpflichtend aktivierten Online-Ausweisfunktion des neuen Personalausweises (eID)?

In der Anfangsphase der Einführung des neuen Personalausweises war die Aktivierung der Online-Ausweisfunktion freiwillig. Völlig unerwartet hat sich gezeigt, dass die Mehrheit der Bürger an der Nutzung dieser Funktion kein Interesse hat. Inzwischen ist die Aktivierung dieser Funktion verpflichtend und soll dazu beitragen, dass wir mehr Bürgerdienste online nutzen. Leider hat die Bundesregierung dabei vergessen, dass die Aktivierung der Online-Ausweisfunktion nicht ausreicht. Jeder Bürger, der diese Funktion nutzen möchte, benötigt entweder ein passendes eID-Lesegerät für den PC/Mac oder aber eine spezielle App für das Mobiltelefon. 

Wäre es mit der verpflichtenden Aktivierung der Online-Ausweisfunktion nicht ein genialer Schachzug gewesen, jedem Ausweisinhaber auch eine De-Mail-Adresse zu geben, falls noch keine vorhanden ist? Eine einfachere Prüfung der Identität kann ich mir nicht vorstellen.

So bleibt für den Bürger der fahle Beigeschmack, dass alle Bestrebungen hinsichtlich eGovernment unkoordiniert nebeneinander existieren und eine sinnvolle Integration gar nicht gewollt ist.

Alternativen

Welche einfachen Möglichkeiten gibt es nun, wenn Sie, als Bürger oder Unternehmen, E-Mail-Nachrichten verschlüsseln möchten und De-Mail keine Option ist? 

Das kommt ganz darauf an, mit wem Sie kommunizieren möchten.

Die sicherste Methode ist die Verschlüsselung mit Hilfe eines Zertifikates, einem sog. S/MIME-Zertifikat. Solche Zertifikate sind meist kostenpflichtig und es bedarf einiger Kenntnis. um diese richtig ausstellen zu lassen und in der eigenen E-Mail-Software zu integrieren. Daher ist diese Methode auch bei Privatanwender selten in Nutzung. Für Unternehmen besteht die Möglichkeit, die E-Mail-Verschlüsselung mit Hilfe eines Gateways zu realisieren. Eine E-Mail-Verschlüsselung ist jedoch nur möglich, wenn sowohl Absender und Empfänger über ein gültiges Zertifikat verfügen. Der entscheidende Vorteil ist natürlich, dass die Möglichkeit für Absender und Empfänger weltweit zur Verfügung steht.

Office 365 bietet Ihnen die Möglichkeit, mit Hilfe der Office 365 Message Encryption (OME), E-Mail-Nachrichten zu verschlüsseln und diese an Empfänger zu senden, die nicht über ein S/MIME-Zertifikat verfügen. Um diese Funktion zu nutzen, benötigen Sie als Unternehmen natürlich ein Office 365/Microsoft 365 Abonnement. Für Privatpersonen ist diese Funktion auch Bestandteil von Office 365 Personal bzw. Office 365 Home. Die Benutzererfahrung als Empfänger einer OME-geschützten Nachricht ist allerdings gewöhnungsbedürftig.

Ist PGP eine Option? Nein.

PGP ist eine fälschungsanfällige Verschlüsselungslösung, die ihre Zeit hatte. Als IT-affiner Anwender ist eine PGP-Integration möglich. Für den Normalanwender ist sie, ebenso wie S/MIME, leider viel zu komplex. Im Gegensatz zur Nutzung von S/MIME erfordert PGP immer die INstallation von zusätzlichen Softwarekomponenten, die oft nur unzureichend in Standard-Mail-Clients integriert sind.

Fazit

E-Mail-Nachrichten unverschlüsselt zu senden ist grob fahrlässig, insbesondere für Unternehmen (Stichwort: DSGVO). Die technischen Anforderungen an E-Mail-Verschlüsselung sind für Privatpersonen oftmals zu komplex. De-Mail könnte uns hier zwar helfen, ist aber wegen der fehlenden Unterstützung durch Behörden und Unternehmen in Deutschland keine Option. Leider.

Prüfen Sie bei Ihrem E-Mail-Anbieter, ob für Ihr persönliches E-Mail-Konto eine Möglichkeit zur E-Mail-Verschlüsselung zur Verfügung steht.

Als Unternehmen ist eine E-Mail-Verschlüssung alternativlos. Es gibt zahlreiche Lösungen am Markt, mit denen Sie eine Gateway-basierte Verschlüssung zum Schutz persönlicher Daten und Unternehmensinformations umsetzen können.

Wenn Ihr Unternehmen bisher keine De-Mail-Schnittstelle hat, denken Sie sich einmal darüber nach, solch eine Schnittstelle einzurichten.

Anmerkung

Der größte Teil der De-Mail-Kommunikation ist übrigens Maschine-zu-Maschine-Kommunikation. Unternehmen tauschen auf diesem Weg, rechtlich abgesichert, automatisch zu verarbeitende Daten zwischen Softwaresystemen aus.

Links

• Von den Schwierigkeiten, eine De-Mail Domäne zu erwerben
• De-Mail und NoSpamProxy
• De-Mail: sichere und verschlüsselte Kommunikation
• ¹ De-Mail-Leitfaden für Behörden
• De-Mail-Gesetz
• eID-Software
• Office 365 Message Encryption (OME)

Verschlüsseln Sie Ihre E-Mail-Nachrichten. Wenn Sie bisher Ihre E-Mail-Nachrichten nicht verschlüsseln, fangen Sie noch heute damit an.

Die Themen E-Mail Verschlüsselung und E-Mail Sicherheit sind keine neue Themen. Die vergangenen Veröffentlichungen im Rahmen der Whistleblower-Affären haben dazu geführt, dass die breite Masse sich mit dem E-Mail Sicherheit beschäftigt. Verschlüsselung an sich ist ein komplexes Thema und dies scheint einer der Gründe dafür zu sein, warum es nach einem ersten Aufschrei wieder in der Versenkung verschwindunden ist.

E-Mail Sicherheit als Marketing Instrument

Große deutsche Anbieter haben die Aufregung der ersten Stunde dazu genutzt, eine geschickte Marketing Kampagne zu starten (Stichwort: "E-Mail Made in Germany"), um von ihren Sicherheitsverfehlungen in der Vergangenheit abzulenken. Man darf die Augen nicht davor verschließen, dass die "großen Provider" vor Edward Snowden die Verschlüsselung des E-Mail Übertragungskanals aus Kosten- und Effizienzgründen nicht konfiguriert haben.

Die Verwendung von sichereren Übertragungskanälen ist weder eine Erfindung der Neuzeit und schon gar nicht eine Erfindung der Telekommunikationsanbieter. Die entsprechende Softwareprogramme unterstützten diese Funktionen schon vorher, da das notwendige Protokoll bereits 1999 (RFC 2487) eingeführt wurde. Die von WEB.DE in diesem Artikel verwendete Grafik suggeriert im Kontext des Artikels, dass nur GMX, WEB.DE und T-ONLINE über eine sichere Kommunikation verfügen und andere Anbieter dies nicht gewährleisten. Das ist schlichtweg falsch.

Technologisch besteht keinerlei Notwendigkeit, sich auf große Provider zu verlassen, wenn es um das Thema E-Mail Sicherheit geht. Selbst bei Anwendung des deutschen Datenschutzgesetzes, sind Daten des Kunden auf Geräten des Providers und sind damit rechtlich dem Zugriff des Kunden entzogen.

E-Mail Sicherheit für Unternehmen

Aber was kann ich als Unternehmen machen, um E-Mails sicher zu übertragen und die Integrität der E-Mails sicherzustellen?

Der Schutzbedarf der E-Mail Kommunikation stellt sich für jedes Unternehmen anders dar.

Mögliche Fragen sind:

• Ist die Verschlüsselung des Übertragungskanals ausreichend?
  Stichwort: TLS Verschlüsselung
• Möchte ich sicherstellen, dass meine Nachrichten nur von geprüften Systemen empfangen werden?
  Stichwort: Domain Secure
• Sollen meine Nachrichten selber verschlüsselt werden?
  Stichworte: S/MIME, PGP
• Möchte ich die volle Kontrolle über den Nachrichtenverkehr behalten?
  Stichworte: Eigener Mail Server, Exchange Online, Clouddienste
• Ist die Verwaltung von Zertifikaten nicht kompliziert?
  Stichwort: Gateway Lösung
• Welchen Zugriff haben Dritte (Administratoren, Dienstleister) auf meine E-Mails?
  Stichwort: Zugriffsberechtigung
• Möchte ich, dass meine geschäftlichen Nachrichten zu Werbezwecken durchsucht werden?
  Stichwort: Google Mail, GMX, WEB.DE, T-Online, Hotmail
• Muss ich meine E-Mails revisionssicher aufbewahren?
  Stichwort: Archivierung
• Unterliegt meine E-Mail Umgebung einer Dokumentationspflicht?
  Stichworte: Audit, Zertifizierung
• Sind in meinem Unternehmen Geräte oder Softwarekomponenten im Einsatz, die eigenständig E-Mails versenden?
  Stichwort: Multi-Funktionsdrucker mit Scanner, CRM, ERP

Vertrauen

Das Thema E-Mail Verschlüsselung und E-Mail Sicherheit ist und bleibt komplex. Jedoch können Sie mit Hilfe kompetenter Berater die passende Lösung finden und die Sicherheit und Integrität Ihrer E-Mails sicherstellen.

Grundsätzlich und faktisch basiert E-Mail Sicherheit auf Vertrauen. Das Vertrauen ist begründet sich technisch in den Vertrauensstellungen der verwendeten und gültigen Zertifikate auf der einen Seite und den organisatorischen und vertraglichen Vertrauensstellungen zwischen Kunden und Software- bzw. Dienstanbietern auf der anderen Seite.

Fragen zur E-Mail Sicherheit

Die technischen Aspekte der E-Mail Sicherheit werden im Rahmen von drei weiteren Blog Artikel auf http://blog.granikos.eu behandelt.

Die Themen der Serie sind:

• E-Mail Verschlüsselung und E-Mail Sicherheit
• E-Mail Verschlüsselung - TLS, S/MIME & Co (Teil 1)
• E-Mail Verschlüsselung - TLS, S/MIME & Co (Teil 2)
• E-Mail Verschlüsselung und Cipher Suites

Haben Sie Fragen rund um das Thema E-Mail Verschlüsselung und E-Mail Sicherheit? Kontaktieren Sie uns unter: emailsecurity@granikos.eu.