E-Mail Verschlüsselung

[nexus]

Hallo Community,

aufgrund einer aktuellen Notwendigkeit komme ich nicht umhin, mich mit dem Thema Mailverschlüsselung etwas intensiver zu beschäftigen.
Zu meiner Schande muß ich gestehen, daß ich mich in den vergangenen Jahren erfolgreich um die Auseinandersetzung mit diesem Thema gedrückt habe. Während meiner IT-Ausbildung wurde das Thema nur ganz beiläufig erwähnt, dies wurde mit der hohen Hemmschwelle bei der Einrichtung und Nutzung der Verschlüsselung gerechtfertigt.

Bevor ich mich hinsetze und das Internet nach brauchbaren Artikeln und Anleitungen durchforste, möchte ich gern mal hier in die Runde fragen:

1. Habt ihr Links und Verweise zu guter Literatur zu diesem Thema? Hier geht es mir speziell darum, mein Wissen zu vertiefen und das nötige Verständnis für die dahinter stehenden Prozesse und Abläufe zu entwickeln.
2. Gibt es anwenderfreundliche Anleitungen, um auch technich nicht so versierte Leute an das Thema heranzuführen und denen ein gewisses Grundverständnis im Umgang mit dem Thema vermitteln zu können?
3. Nutzt ihr selber aktiv Mailverschlüsselung? Wenn ja, wie habt ihr es umgesetzt und welche Tools nutzt ihr dafür?

 

[GwenDragon]

Warum ist das hier unter Serverdienste -> Mail? Du willst auf dem Server verschlüsseln?
Eigentlich wird sowas auf dem Client gemacht.

Manche verwenden S/MIME. Aber dazu braucht m. W. man einen zertifizierten Anbieter der die eigne S/MIME-Signatur beglaubigt.
Wenn man allerdings Smartcards verwendet ist S/MIME sinnvoller, da die PKI/-Hardware besser mit S/MIME harmoniert.

Ich selbst benutze OpenPGP zum Signieren und Verschlüsseln.
Verschlüsseln ist ja einfach, weil man nicht unterschreiben muss. Eintippen von Passworten entfällt.

http://www.openpgp-schulungen.de/
https://howtopgp.jugendhackt.de/

 

[nexus]

Warum ist das hier unter Serverdienste -> Mail? Du willst auf dem Server verschlüsseln?
Eigentlich wird sowas auf dem Client gemacht.

Weil die Anfrage an mich in diese Richtung ging...möglichst den kompletten Mailverkehr einer kleinen Firma zu verschlüsseln.
Von meinem Gefühl her würde ich auch eher eine echte Ende-zu-Ende Verschlüsselung auf Client-Ebene umsetzen wollen, aber um das auch sachlich begründen zu können, arbeite ich mich gerade in das Thema ein.

Danke aber erstmal für die Links

@Mods:
Falls aus eurer Sicht sinnvoll, kann der Thread gerne in einen passenderen Bereich verschoben werden.

 

[GwenDragon]

Es gibt auch für Outlook einen Implementation für GnuPG, also OpenPGP.

Zum Signieren bräuchtet ihr ein Smartcard/USB-Stick um persönliche (private) Schlüssel zu speichern.
Frag doch mal bei Herrn Koch, dem deutschen Entwickler von GnuPG bei http://g10code.com/ an.

Für S/MIME kann ich nichts sagen, da ich lieber als Einzelunternehmerin OpenPGP nutze.

 

[storvi]

Also ich hab es für den kleinen Bekanntenkreis einmal mit Zertifikaten von StartSSL und S/MIME realisiert.

Der Vorteil ist, dass du die Zertifikate sowohl in die gängigen Mail-Clients am PC als auch der Smartphones importiert bekommst. Zumindest am iPhone war Verschlüsselung / Signatur kein Problem.

Wobei ich nicht weiß ob und wie vertrauenswürdig / empfehlenswert StartSSL für Mails noch ist.

Gruß
Markus

 

[GwenDragon]

Als Firma muss man sich bei Verschlüsselung darauf verlassen können, dass das S/MIME-Zertifikat von einer vertrauenswürdigen Firma kommt und ob die PKI auch zur Smartcard-Hardware in der Firma passt. Ob man da einen US-CN-Billigstanbieter oder ein deutsches Zertifikat der TeleSec nimmt ist jedem freigestellt. Es hängt vom jeweiligen Geschäftsverkehr ab was man nutzen muss/will.

 

[Joe User]

Und nicht vergessen: Manche geschäftliche Mails müssen für mindestens 10 Jahre lesbar archiviert werden. Lesbar sind verschlüsselte Mails aber nur mit gültigen Schlüsseln/Zertifikaten, also die jeweilige Gültigkeitsdauer beachten.

 

[gunnarh]

den kompletten Mailverkehr einer kleinen Firma zu verschlüsseln

Ende-zu-Ende Verschlüsselung mit SMIME oder GPG setzt voraus, dass alle Kommunikationspartner über die technischen Möglichkeiten verfügen, und Du die Public-Keys bzw. Zertifikate alle Deiner Kommunikationspartner kennst. Daran scheitert dieses Vorhaben somit, denn mit "kompletter Mailverkehr" ist da nichts zu machen - eher selektiv, einzelne Adressaten.


Alternativ: Transportverschlüsselung von Server zu Server.
Dieses Thema erläutere ich hier umfassend:
https://hitco.at/blog/sicherer-e-mail-dienste-anbieter-dnssec-dane/

Es mit DNSSEC und DANE abzusichern ist meiner Meinung nach "state of the art" (wenngleich für viele noch "zu high sophisticated", aber wenn ihr heute eventuell am Mail-Gateway noch gar nicht verschlüsselt, dann wäre das ja ein erster Schritt STARTTLS zu aktivieren und die Zertifikate und Ciphersuites anständig zu konfigurieren (wird ebenfalls in o.a. verlinkten Dokument ausführlich erklärt).

 

[GwenDragon]

Falls den Entscheidern der Firma nicht die Unterschiede zwischen der dauerhaften Verschlüsselung von Inhalten und der "Verschlüsselung" des Transportweges bekannt sind, liegt da sowieso was im Argen.

 

[storvi]

Ich wollte nur auf SMIME hinweisen und die problemlose Unterstützung @Smartphone (Apple...).

Das der Herausgeber vertrauenswürdig sein muss steht außer Frage (wobei bei einem eigenen CSR das Risiko - gerade im privatem Bereich eher gering ist).

Gruß
Markus

 

[nexus]

Ende-zu-Ende Verschlüsselung mit SMIME oder GPG setzt voraus, dass alle Kommunikationspartner über die technischen Möglichkeiten verfügen, und Du die Public-Keys bzw. Zertifikate alle Deiner Kommunikationspartner kennst. Daran scheitert dieses Vorhaben somit, denn mit "kompletter Mailverkehr" ist da nichts zu machen - eher selektiv, einzelne Adressaten.

Transportverschlüsselung ist bereits etabliert.
Nach entsprechenden Rückfragen konnte ich auch den gewünschten Einsatzzweck etwas eingrenzen. Es geht hier nicht um den "kompletten" Mailverkehr. Es ist vielmehr gewünscht, die Kommunikation zur Auftragsabwicklung mit diversen Subunternehmern zusätzlich abzusichern.

 

[kannnix]

Hi nexus,

grundsätzlich würde ich bei End-to-End Verschlüsselung erstmal zwischen S/MIME oder PGP entscheiden.

Je nachdem was deine Kommunikationspartner können musst du vermutlich beides implementieren.

Dann ist die nächste Frage, ob du zentral auf einem Gateway verschlüsseln/entschlüsseln möchtest, oder alles auf den Clients machen willst.

Bei Letzterem hast du das Problem die notwendigen Schlüssel und Zertifikate auf die Clients zu verteilen, da zum Signieren der eigene private Key benötigt wird und zum Verschlüsseln der Public Key des Empfängers. Evtl. gibt es eine begrenzte Anzahl an PCs, die Auftragsabwicklung machen, dann wäre das Notfalls auch manuell möglich. Aber vorzuziehen wäre eine automatische Verteilung.

Hier gibt es Lösungen, die du im Outlook als LDAP Adressbuch einträgst und immer wenn du eine Mail verschlüsselt an einen unbekannten Empfänger schicken willst, fragt Outlook beim LDAP Server nach dem Zertfikat zu dieser Empfänger Adresse.

Es gibt auch Plugin basierte Ansätze, die finde ich persönlich aber eher wacklig und weniger geeignet.

Beim Gateway basierten Ansatz geht man davon aus, dass das eigene, interne Netz als genügend 'sicher' angesehen werden kann und man der Einfachheit erst beim Verlassen der Mails ins Internet verschlüsselt.

Folgende Anbieter wären mir spontan bekannt, die eine professionelle Gateway Lösung anbieten(alphabetisch):

www.secardeo.de
www.seppmail.ch
www.totemo.com
www.zertificon.com

Darüberhinaus gibt es ausser PGP und S/MIME auch noch weniger standardisierte Alternativen. Hier sei zb PDF Verschlüsselung oder Ciscos Registered Envelope[1] genannt. Da wird quasi der Mailtext in ein verschlüsseltes PDF bzw ein verschlüsseltes Javascript/HTML Dokument gepackt, sodass es mit PDF Readern oder Browsern angesehen werden kann. Allerdings gestaltet sich bei solchen Lösungen meist der Rückweg etwas kompliziert (wie kann der Adressat sicher antworten?).

[1] http://www.cisco.com/c/en/us/products/security/registered-envelope-service/index.html

Viele Grüsse

 

[Tolive]

@nexus Naja, wichtig wäre natürlich erst einmal eine Bestandsaufnahme. Für eine Verschlüsselung zum Subunternehmer kommt meiner Meinung nach nur die End-zu-End Verschlüsselung in Frage. Dabei ist aber eben wichtig, wie gut deren IT aufgestellt ist bzw. wie abhängig die Subunternehmen sind. Ist dein Auftraggeber nur ein kleiner Kunde, dann wird wahrscheinlich erst einmal geblockt.

Ansonsten ist meiner Meinung nach bei diesem Szenario die verwendete Technik, also ob S/MIME oder PGP verwendet wird, vollkommen egal, da sie eh bei allen beteiligten eingeführt werden müsste.

Aus Erfahrung kann ich sagen, das die technische Umsetzung nicht das Problem ist. Allerdings sind gerade Prokuristen und andere Mitarbeiter des Ein- und Verkaufs nur selten IT-Affine. Deshalb wird es gerade auf Seiten der Subunternehmen, weil diese sicherlich noch mit anderen Firmen schreiben, immer wieder am Anfang unverschlüsselte Mail geben. Wenn dein Auftraggeber/Arbeitgeber dann diese Mails nicht ablehnt, wird das System schnell einschlafen.

 

[storvi]

Vielleicht gewinnt am Ende auch eine pragmatische Lösung?

Wenn beispielsweise die Aufträge in einer PDF versendet werden (oder auch ZIP-Datei), dann wäre auch eine Verschlüsselung dieser Datei möglich.

Die von Tolive angesprochene Bestandsaufnahme und genaue Hinterfragung der Schutzziele sollte nun im Vordergrund stehen.

Gruß
Markus

 

[nexus]

Wenn man die technischen Abläufe verstanden hat, ist Mailverschlüsselung auch kein Hexenwerk mehr.

Nachdem ich heute auch relativ einfach vermitteln konnte, welche sinnvollen Möglichkeiten es gibt, ist die Entscheidung gefallen, den betreffenden Mailverkehr mit OpenPGP zu verschlüsseln, zumal es ja auch entsprechende Plugins für gängige Mailclients gibt und die Einrichtung und Nutzung dadurch auch entsprechend nutzerfreundlich gestaltet werden kann.

Danke nochmal an alle für euer Feedback.

 

[GwenDragon]

Dann viel Erfolg mit OpenPGP!