Entscheidungshilfe
Im Blog-Post über die bessere Alternative zur Papierpost (www.tec-bite.ch/das-1×1-der-e-mail-verschluesselung/) habe ich die Vorteile von Mailverschlüsselung gezeigt. Häufig kommt der Appetit mit dem Essen und plötzlich will man alles signiert oder gar signiert und verschlüsselt haben. Also auch alle firmeninternen Mails. Gerne zeige ich die Pros und Cons dazu auf und die offenen Fragen, die zu stellen sind. Ob man sich dann für interne Mailverschlüsselung (IME) entscheidet, muss jeder oder jede selber entscheiden. Mein Lieblingsverschlüsselungsgateway hat verschiedene Lösungwege bereit. Der Titel beschreibt meine Meinung mit dem Stand heute.
Was ist IME (internal mail encryption)?
Interne Mailverschlüsselung beschreibt, dass schon auf der Clientseite die Mails verschlüsselt werden und somit auch bei einem internen Mailaustausch verschlüsselt sind. Die Mails sind verschlüsselt in der Mailbox abgelegt.
Bei der SEPPmail kann man dies mit der Variante über die GINA-Lösung für interne Mails IME 1.0 (siehe Kapitel SEPPmail IME 1.0) machen oder mit der IME 2.0 (siehe Kapitel SEPPmail IME 2.0), welche das Handling auf die SEPPmail verlagert, die internen privaten Schlüssel bleiben aber auf dem Client.
Nachteile – CONs
-
- Ein weiteres Schlüsselmanagement ist notwendig (MPKI).
- Eine Archivierung ist sehr schwierig; alte abgelaufene Schlüssel brauche ich z.B. für die Entschlüsselung.
- Ein Admin mit den Rechten eines Admins auf dem Client kann sich die privaten Schlüssel suchen und verwenden, wenn er das richtig anstellt. Also müsste man hier auf Smartcards setzen, welche den privaten Schlüssel enthalten und durch ein Passwort geschützt sind. Folglich braucht man die Karte und das Password dafür.
- Wenn man nur auf die Signierung intern Wert legt, so macht das im Umfeld von Outlook wenig Sinn, da sich Outlook damit begnügt, dass ein Zertifikat und die Signatur gültig sind. Den Absender überprüft Outlook nicht – der SEPPmail Gateway aber schon. Dieser schickt das Mail mit [singned INVALID]. Versuchen Sie es: Absender faken und dann mit Ihrem Schlüssel signieren. Das stimmt für Outlook so. Einizig steht ganz klein SignedBy <Richtiger-Absender>, was ja stimmt, aber nicht das ist, was ich will.
- Komplizierter Verteilmechanismus für mobile Geräte im Speziellen oder auf den Windowsclients im Allgemeinen.
- Nur S/MIME oder OpenPGP ist möglich oder die verwendete Technologie muss dem Kommunikationspartner bekannt sein und bereits installiert. Der Gateway kann auch HIN, Domänenverschlüsselung, GINA, TLS und Incamail.
- Eine Vertreterregelung wird nicht möglich sein.
- Antivirenscan wird schwierig, ausser man geht immer über den Gateway wo eine Umverschlüsselung (private Keys auch vorhanden oder IME 2.0) geschieht – das Gleiche gilt auch für DLP-Systeme.
Vorteile – PROs
-
- Der Datenschutz des Einzelnen ist gewährt, auch vor Admins mit begrenzten Rechten.
- Eine «End zu End» Verschlüsselung ist möglich und innerhalb des Unternehmens gewährt; gegenüber Partnern nicht unbedingt, wenn diese auch eine Gatewaylösung einsetzen und die Entschlüsselung dort (sinnvollerweise) gemacht wird.
Be Careful With Anti Encryption Software
Zur Auflockerung: Googeln Sie mal Dilbert und Mail Encryption 🙂
Welche Fragen muss ich mir stellen?
-
- Vertraue ich denn meinem internen Netzwerk nicht?
- Vertraue ich meinen Admins nicht?
- Reicht mir intern nicht, dass der Weg bis zum Exchange mit TLS geschützt ist?
- Brauche ich kein Archiv meiner Mails oder stört es mich nicht, wenn es massiv erschwert wird?
- Ist die Archivierung gesetzteskonform möglich?
- Brauche ich keine Virenprüfung?
- Habe ich ein DLP in Betrieb?
- Und dieses darf ich aushebeln?
- Ist eine Stellvertretung bei den Mails nicht nötig (Stellvertretung in Abwesenheit)?
- Die Suche auf dem Mailclient ist mir nicht wichtig?
- Mich stört nicht, dass z.B. Outlook nur die Gültigkeit der Signatur prüft, aber nicht, dass es vom richtigen Absender kommt (bei interner Signierung)?
- Mein Client ist gut genug geschützt, damit der private Schlüssel vor Unbefugten geschützt ist?
- Ist auf meinen mobilen Geräten das Schlüsselmanagment gegeben oder überhaupt möglich?
- Sind meine privaten Schlüssel beim Logout wieder weg und somit wenigstens dann geschützt?
- Habe ich Smartcards?
- Ist der Bedarf für interne Mailverschlüsselung nicht einfach begründet mit – «ich will das haben – Punkt!»?
Lösungsvorschlag mit der Gatewaylösung
Ganz wenige User
Von Hand Zertifikate auf dem Client und am Gateway vorbei
Ein paar User
GINA intern, also IME 1.0 (siehe Kapitel SEPPmail IME 1.0)
Viele User
IME 2.0 (siehe Kapitel SEPPmail IME 2.0)
Mit Mobile
Da wird es schwierig und eventuell einfach generell mit GINA für diese mobilen User
Zusammenfassung
In den meisten Fällen stellt sich bei einer Bedarfsanalyse heraus, dass sich in einer auf intern geschützten Kommunikation diese meist auf wenige Personen beschränkt, zum Beispiel Mitglieder der Geschäftsführung oder Personalabteilung. Für diesen eingeschränkten Personenkreis einen entsprechenden Schlüsselschutz zu etablieren, ist von administrativen Aufwand eher gering und durchaus zu empfehlen – also Keys auf den Clients installieren und Punkt-zu-Punkt-Verschlüsselung machen. Sobald es mehr Leute sein sollen, kann über die Varianten wie IME 1.0 (siehe Kapitel SEPPmail IME 1.0) oder wie IME 2.0 (siehe Kapitel SEPPmail IME 2.0) nachgedacht werden. Wie diese funktionieren, kann ich in einem späteren Blogbeitrag genauer beschreiben. Für Interessierte sei der Hinweis auf das SEPPmail-Handbuch am Schluss (siehe Links) verwiesen. Mit mobilen Devices (iOS, Android, BYOD) wird es schnell ein Graus!
Aus meiner Sicht ist es besser, die Sicherheit und das Vertrauen in die Admins intern im Griff zu haben und so ohne weitere Verschlüsselung auszukommen. Viele Umsysteme werden es einem verdanken.
Der Schutz vor Malware und Data-Leakage ist damit gewährt. Das Archiv kann durchsucht werden und ein mühsames Schlüsselmangement ist nicht notwendig. Alle Vorteile einer Gatewaylösung können voll ausgeschöpft werden.
Machen Sie sich Überlegungen, die schützenswerten Dokumente/Mails mit Hilfe einer Smartcard auf einer spezifischen Ablage verschlüsselt zu plazieren. Damit können Zugriffe für mehrere Personen eingerichtet werden und auch das Archivieren ist viel besser gelöst. Es gibt auch Ansätze mit einem Verschlüsselungsgateway, welcher alle Art von Daten verschlüsselt. Im Hinblick auf O365 könnte das sehr viel Sinn machen. D.h., wenn die Daten die Firma verlassen, sind sie verschlüsselt. Dieses Thema ist ein weiterer zukünftiger Blogbeitrag wert.
Sie haben eine andere Meinung? Gerne nehme ich Kommentare zum Artikel entgegen.
SEPPmail IME 1.0
SEPPmail löst die beschriebene Anforderung durch eine vollständige E-Mail Verschlüsselung mit Hilfe des Microsoft Outlook Add-In und der Nutzung aller Standardfunktionalitäten, welche Outlook zur Verfügung stellt.
Dabei
-
- setzt das Microsoft Outlook Add-In die Empfangsadressen im E-Mail Header um und ersetzt diese durch eine statische Sonderadresse
- erhält der Absender seine E-Mail, in der Regel im GINA verschlüsselt zurück (es sei denn, ein S/MIME Zertifikat wäre für ihn im Zertifikatsspeicher für ausgehende E-Mails hinterlegt)
- ist die E-Mail auf der Strecke bis zur SEPPmail Appliance inhaltlich unverschlüsselt
SEPPmail IME 2.0
IME 2.0 erweitert den Funktionsumfang um eine inhaltlich verschlüsselte Kommunikation vom E-Mail Client bis zur SEPPmail Appliance.
Dabei wird
-
- eine Träger-E-Mail mit konfigurierbarer IME-Empfängeradresse erstellt
- die eigentliche E-Mail verschlüsselt als Anlage zur Träger-E-Mail bis zur SEPPmail Appliance übertragen
Durch die Träger-E-Mail wird gewährleistet, dass die Header- und somit Routing-Informationen auf dem Übertragungsweg nicht manipuliert werden können.
-
- die E-Mail über die SEPPmail Appliance mit dem für den Empfänger – egal ob intern oder extern geeignetsten Verfahren (siehe Verschlüsselungshierarchie ) verschlüsselt und ausgeliefert.
Links
www.avantec.ch/loesungen/seppmail/
www.avantec.ch/themen/e-mail-verschluesselung/
Aktuelles SEPPmail-Handbuch ab Seite 87 Kapitel 3.5.3 (Download nur über Partner möglich)
