Mail-Security

E-Mail-Verschlüsselung und E-Mail-Signierung. Warum und was steckt dahinter?

Der elektronische Versand vertraulicher Informationen ist einem großen Wandel unterworfen. Mit verschlüsselten und signierten E-Mails gilt es, elektronische Nachrichten umfassend zu schützen, die Authentizität des Senders zu garantieren sowie die Vertraulichkeit und die Integrität der Botschaft zu sichern.

Sowohl gesetzliche Rahmenbedingungen als auch die verstärkte Sensibilisierung für die Gefahren der elektronischen Datenübertragung führen dazu, dass Firmen ihre E-Mail-Kommunikation zunehmend schützen.

Ein paar Zahlen, Daten und Fakten zur E-Mail: Ray Tomlinson (USA) hat im Jahr 1971 den ersten elektronischen Brief verschickt. Die erste Mail in Deutschland wurde am 03. August 1984 um 10:14 Uhr empfangen. Seitdem gibt es kein Halten mehr für das elektronische Versenden von Briefen. Heutzutage kann kein Unternehmen mehr ohne E-Mail seine Geschäfte führen. Längst hat die E-Mail den normalen Brief oder das Fax abgelöst und ist somit Kommunikationsmittel Nummer 1. Für das Jahr 2018 gehen Statistiker von rund 281 Milliarden E-Mails pro Tag aus, die weltweit gesendet und empfangen werden. Davon sind ca. 55% sog. SPAM-Mails! Hier sind beide Zahlen in der Tendenz stark steigend. 

 

SPAM-Mails

Wenn man sich nun diese sogenannten SPAM-Mails etwas genauer anschaut, gibt es verschiedenste Ansätze wie Cyber-Kriminelle versuchen, Ihre Aufmerksamkeit zu bekommen oder an Ihre Daten zu gelangen. Ein wichtiger Faktor der SPAMer ist es, so vertrauenswürdig wie möglich zu wirken. Hier wird versucht E-Mails so professionell und authentisch wie möglich zu gestalten. Es werden mitunter die originalen Internetauftritte der Hersteller und Banken nachgebaut, um Ihnen zu suggerieren, dass Sie sich innerhalb des seriösen und sicheren Internetauftritts des Unternehmens befinden. Sie geben Ihre Daten ein um sich anzumelden und damit sind Ihre Daten in den Händen der Kriminellen. Ein wichtiger Faktor hierbei ist auch, Ihnen als Empfänger vorzugaukeln, dass die verschickte E-Mail von einer Ihnen bekannten Absenderadresse stammt.

WARNUNG! Jeder, kann E-Mails mit gefälschter Absender-Adresse verschicken! Hierzu muss man nicht Informatik studiert haben. Es gibt zwar Ansätze dieses einzudämmen indem man die sog. SFP-Records in den Einstellungen der eigenen Domäne hinzufügt, aber auch dieser Schutz ist nicht ausreichend, weil Sie zwar die richtigen Einträge für Ihre Domäne setzen (lassen) können, jedoch die E-Mail-Server diese auch beim Empfang überprüfen müssen. Aktivieren Sie nun auf Ihrem Mail-Server die Überprüfung des Eintrags in der sichersten Stufe, so dass alle E-Mails von Domänen ohne diesen Eintrag oder mit einem fehlerhaften Eintrag abgelehnt werden, werden Sie nicht mehr allzu viele E-Mails bekommen. Auch nicht von Ihren wahren Geschäftspartnern, da die Bedeutung und Wichtigkeit dieser Records von lokalen Administratoren derzeit noch oft unterschätzt und daher nicht wichtig genug genommen wird. 

Wie Sie sich vor SPAM-Mails nachhaltig und professionell schützen können, erfahren Sie in unserem Portfolio-Punkt SPAM-Schutz.

 

E-Mail-Signierung

Sie können letztendlich nichts dagegen tun, dass Sie E-Mails mit gefälschten Absenderadressen erhalten außer einen guten SPAM-Schutz einzusetzen, der ggf. für Sie erkennt, ob mit dem Versender alles in Ordnung ist. Aber wie oben beschrieben werden Sie, je strenger Sie Ihren SPAM-Schutz selber urteilen lassen, auch die sog. False Positivs zurückweisen, da der Geschäftspartner vielleicht noch nicht alle nötigen Einstellungen auf seiner Seite erledigt hat. False Positivs ist der Begriff, der umschreibt, wenn eine eigentlich richtige E-Mail als SPAM deklariert wird. Das hört sich im ersten Moment nicht allzu schlimm an, allerdings trügt der Schein: Wird eine wichtige Kunden-Mail als Spam eingestuft und landet sie im lokalen Spam-Filter statt im Posteingang, kann ein Auftrag verloren gehen.

 

Aber Sie können auf Ihrer Seite alles richtig machen! Und damit auch Ihre Geschäftspartner davon überzeugen, dieses Verfahren zu benutzen. Denn es ist einfach, sicher und macht einen guten Eindruck.

Hierzu können Sie Ihre Mails an Ihre Partner signieren. Das bedeutet, dass Sie alle von Ihnen verschickte E-Mails mit einem nur für Ihre Mail-Adresse ausgestellten Sicherheitszertifikat versehen. Dieses Sicherheitszertifikat wird ausschließlich von weltweit anerkannten Zertifizierungsstellen ausgestellt und vor Ausstellung durch diese persönlich überprüft. Diese Überprüfung erfolgt durch schriftlichen Antrag mit Überprüfung der Zeichnungsberechtigung für Ihr Unternehmen, Ausweiskopie und Unterschrift. Erst nach postalischer Einsendung und persönlicher Überprüfung der Dokumente wird das benötigte Sicherheitszertifikat ausgestellt. Danach versenden Sie Ihre E-Mails signiert und jeder Empfänger sieht auf den ersten Blick, dass Ihre E-Mail auch tatsächlich aus Ihrer Firma von Ihrem Mail-Account gesendet wurde. Schöner Nebeneffekt ist, dass Sie durch diese Signatur selbst nicht mehr in einem SPAM-Filter bei Kunden rutschen.

Die Signierung einer E-Mail erkennen Sie in Ihrem Outlook an dem Symbol für signierte E-Mails, in Ihrem iPhone wird ein Infotext angezeigt:

      

Wenn Sie nun auf das Symbol klicken, erhalten Sie weitere Infos über das Zertifikat und über den Versender. Sie können auch direkt das Zertifikat anzeigen.

Somit ist für den Empfänger Ihrer Mails klar, dass diese E-Mail tatsächlich von Ihnen stammt und als sicher einzustufen ist.

 

E-Mail-Verschlüsselung

Wie oft kommt es vor, dass Sie sich fragen, ob eine vertrauliche E-Mail, die Sie schicken, auch tatsächlich nur die Person ließt, für die die Information bestimmt war? Personelle Entscheidungen, Finanzthemen oder vielleicht andere sensible personenbezogene Daten, die einfach verschickt werden, in der guten Hoffnung, dass keiner diese Mail ließt , außer der dafür angedachte Empfänger selber? Die neue DSGVO macht nun diese Entscheidung leicht. personenbezogene Daten MÜSSEN verschlüsselt übertragen werden, wenn andere Personen auf diese E-Mail Zugriff haben. Selbst im eigenen Unternehmensnetzwerk. (Falls Sie weitere Interessante Informationen über  das Thema Ihre IT und die neue DSGVO haben wollen, dann schauen Sie doch mal hier vorbei.)

Davon abgesehen können Sie Ihre E-Mails demnächst auf Knopfdruck verschlüsseln ohne sich über die Empfängerseite Gedanken zu machen. Lesen Sie dazu weiter unten über unsere Lösung SEPPMail Secure-E-Mail-Gateway.

 

Wie geht’s richtig mit der Verschlüsselung?

Die Übermittlung sensitiver, vertraulicher Daten via E-Mail erfordert wirksame Schutzvorkehrungen, um die Vertraulichkeit der Nachricht sicherzustellen. Es gilt dafür zu sorgen,

  • dass die übermittelte Nachricht ausschliesslich durch die berechtigten Empfänger einsehbar ist und
  • dass der Inhalt nicht verändert werden kann

Hierfür ist so wie bei der Signierung ein Zertifikat nötig, dass die Echtheit Ihrer E-Mail-Adresse und/oder Ihres Unternehmen und Ihrer Person bestätigt. Nun müssen Sie sich mit Ihrem Verschlüsselungspartner auf einen Verschlüsselungsstandard einigen. Hier sind die beiden Marktführer PGP (Pretty Good Privacy) und S/MIME (Secure/Multipurpose Internet Mail Extensions). Beide Verfahren benutzen eine öffentlichen und einen privaten Schlüssel (Passwort). Will man nun verschlüsselte Nachrichten austauschen, tauscht man mit seinem Partner die öffentlichen Schlüssel aus. Versendet man nun die Nachricht, verschlüsselt man die zu sendende Nachricht mit dem öffentlichen Schlüssel des Gegenübers. Nur der Besitzer kann die Nachricht mit seinem passenden privaten Schlüssel entschlüsseln und somit auf den Inhalt zugreifen.

Hier ist schon die größte Hürde deutlich beschrieben. Man muss sich auf einen Standard einigen und vorher Informationen austauschen. Der Fakt, dass momentan nur ca. 16% aller Unternehmen E-Mails verschlüsseln zeigt, dass das Verfahren zwar technisch einwandfrei funktioniert, jedoch in der Umsetzung Verbesserung benötigt. In Zukunft wird allerdings die Anzahl an verschlüsselten E-Mails rapide ansteigen und auch Sie werden um das Thema nicht mehr herumkommen. Die DSGVO sieht erstmals die Notwendigkeit von Verschlüsselung in speziellen Fällen vor und somit werden die Anfragen zur E-Mail-Verschlüsslung stark wachsen. Wir bieten Ihnen heute schon eine einfache und komfortable Lösung, mit der Sie Ihre Unternehmenskommunikation sichern können. Hier werden gleichzeitig die Signierung und die Verschlüsselung für alle Mitarbeiter zentral und transparent gesteuert. 

 

Und wie kann ich meine E-Mails signieren oder verschlüsseln?

Wir arbeiten bei der Ausstellung der Zertifikate mit dem Schweizer Unternehmen SwissSign zusammen.

 

SwissSign AG | Loves to keep you safe.

Die SwissSign Group AG hat zwei Eckpfeiler: Identitäts-Services unter der Marke SwissID sowie Zertifikatsdienste. SwissID ist die digitale Identität der Schweiz, welche einen einfachen und sicheren Zugang zur Onlinewelt ermöglicht. Dank elektronischen Zertifikaten können Daten verschlüsselt und damit vor ungewolltem Zugriff geschützt ausgetauscht werden. Als Schweizer Trust Service Provider (TSP) begleitet die SwissSign Group AG Menschen und Unternehmen in eine erfolgreiche digitale Zukunft, schützt dabei Daten nach den höchsten Sicherheitsstandards und behält sie in der Schweiz. Weitere Informationen finden Sie auf www.swisssign.com.

 

Zu allererst muss man also ein Sicherheitszertifikat beantragen. Hierbei unterstützen wir Sie vom ersten Schritt an. Normalerweise muss für jede einzelne E-Mail-Adresse in Ihrem Unternehmen ein eigenes Sicherheitszertifikat beantragt werden. Hier gibt es mehrere Stufen der Sicherheit:

  • E-Mail ID Silver
    Hier wird die E-Mail-Adresse als solches überprüft. Es erfolgt keine Überprüfung der Organisation oder des Antragstellers. Es können E-Mails mit allen gängigen E-Mail-Programmen signiert und verschlüsselt werden. Sie können es zudem zur fortgeschrittenen Signatur von Dokumenten einsetzen. Ist das nötige Zertifikat einmal ausgestellt, können wir weitere E-Mail-Adressen im Unternehmen ohne erneute Antragsstellung ausstellen.
    Aussage der Signatur: E-Mail resp. Dokument wurde nicht verändert während des Transportes, die E-Mail resp. das Dokument stammt von der benannten E-Mail-Adresse.
  • E-Mail ID Silver (über Managed PKI von netyard)
    In diesem speziellen Fall profitieren Sie davon, wenn Sie Ihre Zertifikate über netyard beziehen und gleichzeitig die Signierung bzw. Verschlüsselung über unseren zentralen SEPPMail-Server abwickeln. Hier haben wir die Möglichkeit zusätzlich zur E-Mail-Adresse auch Ihre Organisation zu zertifizieren. Die Kosten sind identisch zum E-Mail ID Silver Paket. Ist das nötige Zertifikat einmal ausgestellt, können wir weitere E-Mail-Adressen im Unternehmen ohne erneute Antragsstellung ausstellen.
    Aussage der Signatur: E-Mail resp. Dokument wurde nicht verändert während des Transportes, die E-Mail resp. das Dokument stammt von der benannten E-Mail-Adresse,  die Organisation wurde geprüft, der Sender wurde von der Organisation zur E-Mail berechtigt.
  • E-Mail ID Gold
    Hier wird nicht nur die E-Mail-Adresse un die Organisation überprüft sondern zusätzlich auch der Versender (also der Mitarbeiter) selbst mit zertifiziert. Es ist zwingend die Authentifizierung der einzelnen Person per Ausweisdokument nötig. Sie können es zudem zur Authentisierung (Login) und fortgeschrittenen Signatur von Dokumenten einsetzen.
    Aussage des Zertifkats: E-Mail resp. Dokument wurde nicht verändert während des Transportes, die E-Mail resp. das Dokument stammt von der benannten E-Mail-Adresse, der Absender wurde geprüft und die Organisation wurde geprüft (Mitarbeiter ID), der Sender wurde von der Organisation zur E-Mail berechtigt.

Sobald das Zertifikat ausgestellt wurde, können Sie es in Ihrem E-Mail-Programm hinterlegen und aktivieren. Danach können Sie sich beim Versenden von E-Mails entscheiden, ob diese Mail signiert bzw. verschlüsselt werden soll oder nicht. Hierbei ist zu erwähnen, dass bei einer E-Mail-Verschlüsselung durch Outlook beide Seiten der Kommunikation das gleiche Verschlüsselungsverfahren benutzt werden muss und auch die öffentlichen und privaten Schlüssel bekannt sein müssen. 

Auch auf den mobilen Endgeräten unter IOS oder Android ist das signieren und verschlüsseln der E-Mails möglich. Hierzu muss man das selbe Zertifikat konvertieren und auf dem jeweiligen Gerät installieren und aktivieren. Sie sehen schon, dass dieses Vorgehen ziemlich mühsam ist, speziell wenn man E-Mails nicht nur auf einem Device benutzt. Auch muss dieses Vorgehen regelmäßig wiederholt werden, da das Zertifikat seine Gültigkeit verliert nach einer gewissen Laufzeit. (Mögliche Laufzeiten sind 1, 2 und 3 Jahre)

 

LÖSUNG: SEPPMail Secure-E-Mail-Gateway

Aus diesem Grund haben wir für Sie unseren Managed Service SEPPMail zur Verfügung gestellt. Dieser Dienst schaltet sich zwischen Ihren eigenen Mailserver und der restlichen Welt. Außerdem arbeitet er mit anderen Mailserver-Addons wie SPAM-Schutz und Mail-Archivierung zusammen und greift genau an der richtigen Stelle ein. Das Produkt SEPPMail kommt von der gleichnamigen Firma aus Neuenhof in der Schweiz. 

 

SEPPMail | Zuverlässig und präzise wie ein Schweizer Uhrwerk.

Die Firma SEPPmail aus der Schweiz ist darauf spezialisiert, die elektronische Kommunikation zu schützen und zu vereinfachen. Das Versenden und Empfangen digital signierter und verschlüsselter E-Mails ist komfortabler denn je. Dank dem patentierten, weltweit führenden Secure E-Mail Gateway sichern KMU und Grossfirmen seit mehr als 15 Jahren ihre gesamte E-Mail-Kommunikation auf höchstem Niveau – bei geringstem Aufwand und einfachster Handhabung für Sender und Empfänger.

 

Dieser zentrale Dienst bietet viele Vorteile, die das Signieren und das Verschlüsseln von E-Mails in Ihrem Unternehmen zum Kinderspiel machen.

  • Einmaliges Authentifizieren des Unternehmens durch die Zeichnungsberechtigten. Danach kann jede weitere E-Mail-Adresse im Unternehmen ohne erneute schriftliche Verifizierung durchgeführt werden. Auch die regelmäßigen Verlängerungen.
  • Automatische Signierung, Verschlüsselung und Entschlüsselung von E-Mails ohne Installation und Aktivierung in den einzelnen E-Mail-Programmen und auf den unterschiedlichen Geräten.
  • Maximale Sicherheit und Kompatibilität dank dem Einsatz weltweit anerkannter Verschlüsselungsstandards wie openPGP, S/MIME und TLS.
  • Patentierte Push-Technologie für den Versand von verschlüsselten E-Mails an beliebige Empfänger durch Webportal GINA.
  • Versenden und Empfangen von E-Mails im gewohnten E-Mail Client, keine Software-Installation notwendig.
  • Durch die angewandte «Zwei-Faktoren-Authentisierung» – der Empfänger benötigt für den Zugriff auf die Daten sowohl die Nachricht selbst als auch ein Passwort – wird die Sicherheit gegenüber herkömmlichen Verfahren massiv erhöht. Sie trägt mit dazu bei, dass die in der Schweiz entwickelte Gesamtlösung revisionskonform ist und den aktuellsten Compliance-Anforderungen (SOX, HIPAA, PCI, Basel II) entspricht.
  • Die Empfänger verschlüsselter E-Mails benötigen keine spezifische Software bzw. Verschlüsselungslösung auf ihrem System. Dadurch ist ein sicherer Nachrichtenaustausch mit beliebigen Empfängern möglich – weltweit.
  • Das Handling der E-Mail Verschlüsselung ist unerreicht einfach. Das «look and feel» lässt sich mit einer komfortablen Webmail-Applikation vergleichen.
  • Die Nachrichten werden komplett an den Empfänger ausgeliefert. Dadurch ist der benötigte Speicherplatz auf der SEPPmail-Appliance minimal.
  • SEPPmail erlaubt das Ausstellen zuverlässiger Lesebestätigungen und unterstützt folglich die Funktion «eingeschriebene E-Mail».
  • Dank dem intelligenten Verfahren ist SEPPmail komplett resistent gegenüber Phishing– und «Brute Force»-Attacken.
  • Anpassung an firmenspezifische Security Policies (programmierbare Rule Engine). Es kann somit die durchgehende Signierung und Verschlüsselung gewährleistet werden, ohne dass der Benutzer selbst sich dagegen entscheiden kann.
  • Outlook-Plugin für komfortables steuern der Funktionen direkt bei der Erstellung der E-Mail.

 

Ganz neu und einmalig

 

Patentierte GINA Technologie

Falls der Empfänger gar keine Verschlüsselungslösung besitzt, können Sie ihm dank SEPPmail trotzdem verschlüsselte E-Mails senden. Es sind die sogenannte GINA-Mails, eine patentierte Technologie, bei der der Empfänger keinen speziellen Schlüssel benötigt. Aber nicht nur die Übermittlung und Anzeige der Mail ist abgesichert, der Empfänger kann auf diesem Weg auch eine verschlüsselte E-Mail an den Sender zurücksenden. Auch dieses passiert dann im Kontext des Browsers. Auf diesem Weg ist es möglich, verschlüsselte E-Mails zwischen Partnern auszutauschen, auch wenn nur der „ursprüngliche“ Sender SEPPmail nutzt.

 

Einmalig und patentiert ist bei SEPPMail, dass nur SIE entscheiden, ob eine von Ihnen versendete E-Mail verschlüsselt wird oder nicht. Normalerweise ist das versenden von verschlüsselten E-Mails kompliziert, weil sich erst beide Parteien auf einen Verschlüsselungsstandard einigen müssen. Ebenso müssen Sie einen Schlüssel austauschen, der das entschlüsseln der E-Mail überhaupt erst möglich macht. Diese Konfiguration schreckt viele ab, verschlüsselte E-Mails zu verschicken. Dank SEPPMail ist das aber ab sofort Geschichte. Sie entscheiden einfach beim Versand der E-Mail, ob diese verschlüsselt werden soll, oder nicht. Wenn Sie sich für die Verschlüsselung entschieden haben, überprüft der SEPPMail-Server, ob bereits eine Verschlüsselung mit der Gegenseite ausgehandelt wurde, weil Ihr Partner ebenfalls die Verschlüsselung von E-Mails unterstützt. Ist dies der Fall, wird die E-Mail verschlüsselt übermittelt und Ihr Geschäftspartner kann diese lesen. Sollte Ihr Gegenüber allerdings keine Verschlüsselung benutzen, bekommt er nun eine unverschlüsselte E-Mail, die Ihn darauf hinweißt, dass Sie eine Nachricht mit verschlüsseltem Inhalt an Ihn geschickt haben. Er wird in dieser E-Mail mit einem hinzugefügten Link an das SEPPMail Webportal GINA verwiesen. Hier muss er nun ein Passwort angeben, um an den Inhalt der verschlüsselten E-Mail zu gelangen. Haben Sie diesem Empfänger noch nie eine verschlüsselte E-Mail geschickt, erhalten Sie sofort nach dem Versenden vom System per Mail das initiale Passwort für diesen Empfänger. Dieses können Sie ihm telefonisch oder per SMS mitteilen. Mit diesem Passwort kann er sich am Webportal anmelden, muss sein Passwort für die Zukunft selbst bestimmen und liest Ihre verschlüsselte Nachricht.

 

So einfach geht das und ab sofort entscheiden Sie selbst, ob Sie Ihre Informationen schützen wollen oder nicht.
Apropos.. Die Verschlüsselung funktioniert auch bei internem E-Mail-Verkehr in Ihrem Unternehmen.
(gesonderte Lizenz und erweiterter Konfigurationsaufwand nötig)

Wenn Sie gerne eine kurze Einführung in das Versenden über unser Webportal erhalten möchten, empfehlen wir hierzu das neue Erklärvideo von SEPPMail. In diesem Video wird kurz und verständlich erklärt, wie die Verschlüsselung über GINA funktioniert.

 


 

DSGVO

Zu gutem Schluss möchten wir Sie darauf hinweisen, dass mit dem nahenden EU-DSGVO-Stichtag am 25. Mai 2018 Unternehmen beim Schutz personenbezogener Daten stärker in die Pflicht genommen werden. Die DSGVO wird für Unternehmen zum allumfassenden Thema, kaum ein Bereich bleibt unangetastet. Sie betrifft auch die E-Mail-Kommunikation an sich.

Nach Artikel 32 Absatz 1 der EU-Datenschutzgrundverordnung müssen Unternehmen „geeignete technische und organisatorische Maßnahmen [treffen], um ein dem Risiko angemessenes Schutzniveau zu gewährleisten“.

Diese Maßnahmen schließen auch die „Pseudonymisierung und Verschlüsselung personenbezogener Daten“ (Art. 32 Abs. 1a EU-DSGVO) ein. Somit sieht der Gesetzgeber vor, dass E-Mails bereits jetzt verschlüsselt zu versenden sind, wenn Sie personenbezogene Daten beinhalten. 

Lesen Sie mehr über die DSGVO und wie Sie sich durch die geeigneten Maßnahmen vor Abmahnungen und Anzeigen schützen. Wie mache ich meine EDV für die DSGVO fit? Wir helfen Ihnen. Hier geht es zum Portfolio-Punkt DSGVO-Beratung

Auch die Firma SEPPMail hat sich bereits intensiv mit der neuen DSGVO auseinander gesetzt und hierüber ein rechtliches Gutachten über Datenschutzkonformität und Beweisfunktionalität der GINA Technologie erstellen lassen. Dieses können Sie hier herunterladen.

 

Was sind die nächsten Schritte?

Werden Sie aktiv und sorgen Sie dafür, dass Sie alles mögliche getan haben, um Ihre E-Mail-Kommunikation sicher zu machen. Hierzu gehören Themen , wie SPAM-Schutz, Mail-Archivierung, Mail-Signaturen, das richtige Domain-Hosting oder Malware- und Firewallschutz. Warten Sie nicht länger und sprechen Sie uns an. Wir bieten attraktive Paketlösungen im Managed Service Konzept. Hier bezahlen Sie monatlich pro Mitarbeiter ohne selbst Kosten für Hard- und Software im eigenen Haus zu haben. Wir helfen Ihnen gerne weiter, wenn Sie Fragen zum Thema E-Mail-Verschlüsselung oder E-Mail-Signierung haben. Sprechen Sie uns einfach an. Unsere Kontaktdaten finden Sie hier.

 

X
X