Eine zuverlässige E-Mail Verschlüsselung ist einfacher als Sie denken

Eigentlich ist es bekannt: E-Mails sind unsicher. Trotzdem werden die elektronischen Nachrichten auch heute noch meist unverschlüsselt übermittelt. Zwischen den Mailservern und meist auch vom Mailserver zum Client wird Klartext ausgetauscht. Wer Zugriff auf einen Internet-Backbone – das Netzwerk zwischen den einzelnen Internet Service Providern (ISP) – hat, kann so E-Mails ohne weiteres mitlesen oder mitschneiden. Obwohl seit Jahren verschiedenste Technologien zum Schutz der Mail-Inhalte zur Verfügung stehen, hat sich die Situation nicht verbessert. Die Inhalte der meisten E-Mails sind so sicher wie diejenigen auf einer Postkarte.

Das Bundesgesetz über den Datenschutz (DSG) und die entsprechende Verordnung geben die Richtlinien vor. Der Schutz von personenbezogenen Daten ist ein Muss. Dies betrifft im Wesentlichen die Informationen, die im Gesundheits- und Finanzwesen, bei Bund und Kantonen sowie bei Anwälten und Notaren genutzt werden. Unter anderem müssen Vorkehrungen getroffen werden, die übertragene Informationen ausreichend gegen Diebstahl und Manipulation schützen.

Neben dem Einhalten der gesetzlichen Anforderungen sind sinnvolle Vorkehrungen im Zusammenhang mit kritischen Geschäftsdaten – wie Preislisten, Offerten, technische Unterlagen oder Kundenlisten – in allen Branchen ein Muss. Unverschlüsselte E-Mails sind für Industrieund Wirtschaftsspione ein gefundenes Fressen. Den Spionen zugute kommt, dass der Datendiebstahl nicht direkt bemerkt wird. Das E-Mail wird nur kopiert – allenfalls manipuliert –, aber nicht gelöscht.

(DSG) und die entsprechende Verordnung geben die Richtlinien vor. Der Schutz von personenbezogenen Daten ist ein Muss. Dies betrifft im Wesentlichen die Informationen,
die im Gesundheits- und Finanzwesen, bei Bund und Kantonen sowie bei Anwälten und Notaren genutzt werden. Unter anderem müssen Vorkehrungen getroffen werden, die übertragene Informationen ausreichend gegen Diebstahl und Manipulation schützen.

Neben dem Einhalten der gesetzlichen Anforderungen sind sinnvolle Vorkehrungen im Zusammenhang mit kritischen Geschäftsdaten – wie Preislisten, Offerten, technische Unterlagen oder Kundenlisten – in allen Branchen ein Muss. Unverschlüsselte E-Mails sind für Industrieund Wirtschaftsspione ein gefundenes Fressen. Den Spionen zugute kommt, dass der Datendiebstahl nicht direkt bemerkt wird. Das E-Mail wird nur kopiert – allenfalls manipuliert –, aber nicht gelöscht.

Die gesetzlichen Vorgaben sind klar. Die Gefahren sind offensichtlich. Verschiedene Lösungen sind seit Jahren verfügbar. Trotzdem hapert es mit der Einführung. Weshalb? Einmal mehr kommt hier wohl der Faktor Mensch ins Spiel. Die meisten der bekannten Lösungen erfüllen zwar die technischen Anforderungen, sind aber weder einfach einzurichten, noch einfach zu warten oder zu bedienen. Die Aufwände für Benutzerschulung und Support werden von manchen IT-Abteilungen als prohibitiv hoch beurteilt.

Setzen Unternehmen oder Behörden Benutzer-Zertifikate ein, ist die Verschlüsselung von Nachrichten innerhalb der eigenen Domäne mit Standard-Produkten ohne weiteres möglich. Die Herausforderung beginnt, wenn Nachrichten nach aussen im gleichen Mass geschützt werden müssen. Und gerade diese E-Mails sind am meisten bedroht, da sie praktisch immer über öffentliche Internet-Verbindungen geleitet werden. Eine neue Kategorie von Produkten, sogenannte Secure E-Mail Gateways, kann hier sehr effizient
Abhilfe schaffen. Secure E-Mail Gateways werden einfach zwischen den Mailserver und die Internet-Verbindung gestellt und können so den gesamten Mailverkehr sichern.

Ein Secure E-Mail Gateway stellt sicher, dass der E-Mail Verkehr so gesichert wie möglich abläuft. Einer der Erfolgsfaktoren des Internet und von Internet-basierten E-Mails ist die breite Unterstützung der Technologie auf einer Vielzahl von Hardware- und Betriebssystem-Plattformen. Verschiedene Produkte von unterschiedlichen Herstellern arbeiten im Wesentlichen problemlos zusammen. Obwohl EMail Clients und Server unterschiedliche Leistungsmerkmale aufweisen, ist die Interoperabilität gewährleistet, da man sich auf dem kleinsten gemeinsamen Nenner trifft. Entsprechend flexibel müssen Secure E-Mail Gateways mit den unterschiedlichen Partner- und Endsystemen umgehen können. Zudem enthalten nicht alle E-Mail Nachrichten sensitive Informationen. Somit müssen nicht alle Nachrichten gleich behandelt werden. Um eine hohe Akzeptanz bei Benutzern und der IT zu erhalten, muss die Verschlüsselung transparent im Hintergrund erfolgen und mit einem Regelwerk ergänzt sein. Sendet zum Beispiel eine Mitarbeiterin eine Preisliste an einen Partner, erkennt das E-Mail Gateway selbständig, dass es sich um eine sensitive Nachricht handelt – und verschlüsselt Nachricht und Anhang.

Die verschiedenen Szenarien der Verschlüsselung sind in der nebenstehenden Abbildung zusammengestellt. Wird eine Nachricht von der Benutzerin als sensitiv markiert oder vom E-Mail Gateway entsprechend der Regeln erkannt, wird die
Nachricht nur verschlüsselt ins Internet versandt. Welche Verschlüsselungsmethode angewandt wird, hängt von den Fähigkeiten der Gegenseite, des E-Mail Empfängers ab. Denn hier muss die Nachricht wieder entschlüsselt werden können.

Kann der Empfänger (meist der Mail Server) mit verschlüsselten Nachrichten umgehen (z.B. S/MIME oder OpenPGP®), kommt die entsprechende Technologie zum Einsatz. Ist dies nicht der Fall, stehen Alternativen zur Verfügung. Dies sind Web-Mail-basierende Lösungen, d.h. die Nachrichten werden über einen Browser übermittelt, der eine mit SSL verschlüsselte Verbindung zum Mail Gateway aufbaut. Bei Web-Mail Pull kann die Empfängerin die Nachricht downloaden, bei Web-Mail Push wird die Nachricht als verschlüsselter E-Mail Anhang übermittelt. Welche Technologie für welche Empfänger
eingesetzt wird, entscheidet das Secure E-Mail Gateway selbständig.

Der Einfachheit halber sind Secure E-Mail Gateways meist als Appliances verfügbar. Diese Kombinationen von Hardware, gehärtetem Betriebssystem und Applikation haben den Vorteil, dass Installation, Konfiguration und Betrieb ohne grosse Anpassungen an der übrigen IT-Infrastruktur vorgenommen werden können. Dies bedeutet auch, dass die Einführung einer E-Mail Verschlüsselungslösung rasch und ohne grosse Abhängigkeiten erfolgen kann.

Der Entrust Entelligence Messaging Server ist ein effizientes Secure E-Mail Gateway, das nicht nur E-Mail Server (Microsoft Exchange oder Lotus Notes) und konventionelle Clients unterstützt, sondern auch eine spezielle Erweiterung beinhaltet, welche den Datenaustausch zu Blackberry Mobiltelefonen im gleichen Masse schützt. Ebenso werden andere Handys unterstützt, sofern sie einen WAP-fähigen Browser haben.

Für die Informatikverantwortlichen ist die laufende Betreuung des Entrust Entelligence Messaging Servers dank einer Webbasierten Administrationsoberfl äche ein Leichtes. Für die Benutzer erfolgt die Verschlüsselung im Hintergrund. Ebenso kümmert sich der Entrust Entelligence Messaging Server um das passende Übermittlungsverfahren, gemäss den Möglichkeiten der Empfänger.

Mit dem Entrust Entelligence Messaging Server ist Ihre Behörde oder Unternehmung rasch für die aktuellen Anforderungen in Bezug auf E-Mail Sicherheit gerüstet. Dank der Flexibilität des Servers ist sie auch für zukünftige Anforderungen (z.B. Mobile Geräte, Instant Messaging) bereit.

Daniel Messerli war während sieben Jahren als Informatiksicherheitsbeauftragter im Eidgenössischen Justiz- und Polizeidepartement (EJPD) tätig. Er war unter anderem verantwortlich für den Aufbau der Zentralen Authentisierungsstelle des EJPD und die Inbetriebnahme des SSO Portals mit der Integration der Public Key Infrastruktur des Bundesamts für Informatik (BIT) für die starke Authentifi zierung auf sämtlichen Justizund Polizeisystemen.

Ergonomics AG
Marktgasse 5
CH-3011 Bern
dmesserli@dont-want-spamergonomics.ch
www.ergonomics.ch