IT-Sicherheit-Referenz - E-Mail-verschlüsselung

totemomail - IT-Sicherheit

E-Mails - immer, aber sicher!

Vater führt totemomail® beim MDR ein.

E-Mails sind eine einfache Sache. Sie sparen Zeit und Kosten und sind schnell. Rechnungen, Verträge, Angebote oder technische Angaben: All diese Informationen werden vertrauensvoll an die Kommunikationspartner gemailt. Mehr als 100 Milliarden E-Mails werden derzeit täglich gesendet und empfangen. E-Mail-Verkehr ist so selbstverständlich, dass der Gedanke an (Un)Sicherheit gar nicht aufkommt. Doch Vertraulichkeit, Integrität und die Authentizität der E-Mails sind nicht gesichert, es sei denn, es werden Verschlüsselungsmechanismen und elektronische Signaturen eingesetzt. Laut der aktuellen Ponemonn-Studie „The State of Email Encryption" haben lediglich 31% der Unternehmen grundlegende bis umfangreiche Maßnahmen zur E-Mail-Sicher¬heit getroffen.
Der MDR gehört dazu. Seit 2013 sorgt die gateway-gestützte Verschlüsselungslösung totemomail® für eine sichere interne und externe Kommunikation per E-Mail. Unterstützt bei der Einführung wurde der MDR dabei vom Team der Vater Solution.

Das Vorgehen

Im ersten Schritt galt es, im Rahmen eines Workshops zu definieren, welche Anforderungen und Ziele der MDR im Detail hat. Das Ergebnis dieses Workshops war wiederum die Basis für das von der Vater Solution zu implementierende Testsystem. Über diesen Weg hatte das Team des MDR nicht nur die Möglichkeit, sich von der Funktionalität zu überzeugen, sondern auch weitere Möglichkeiten zu erkennen. Bereits während der Teststellung fand ein intensiver Austausch zwischen dem Team des MDR und den Kollegen der Vater Solution statt, so dass viele Elemente definiert und entwickelt wurden, die sich später im Produktiv-System wiederfanden.

Interne und externe Verschlüsselung

Während viele Unternehmen ihren Fokus ausschließlich auf die Verschlüsselung bei der externen Kommunikation legen, so stand für den MDR von vornherein fest, dass es auch eine Verschlüsselung bei der Kommunikation im eigenen Unternehmen geben sollte. Dabei soll der Anwender gezielt entscheiden können, ob seine zu versendenden Informationen schützenswert sind oder nicht. Bei Bedarf kann er jetzt vom E-Mail-Client – hier Outlook – die Verschlüsselung anstoßen. Diese Daten können ausschließlich von dem empfangenden Kommunikations-Partner gelesen werden. Bei einer Weiterleitung im Falle einer Vertretungsregelung kann der „neue" E-Mail-Empfänger diese verschlüsselten E-Mails selbstverständlich nicht öffnen. Die E-Mail-Verschlüsselung liegt beim MDR also vornehmlich in der Verantwortung der Anwender. Alle an externe Kommunikationspartner ausgehenden E-Mails unterliegen darüber hinaus administrativ festgelegten Verschlüsselungsregeln. So kann festgelegt werden, dass auch ohne Aktivität des Mitarbeiters E-Mails an festgelegte Empfänger verschlüsselt werden. Von externen Partnern eingehende verschlüsselte E-Mails werden am Gateway entschlüsselt, gemäß Sicherheitsrichtlinien des MDR überprüft und vor der internen Weiterleitung erneut automatisch verschlüsselt und dann dem internen Mitarbeiter zugestellt. Unverschlüsselt eingehende E-Mails unterliegen selbstverständlich auch den Sicherheitsrichtlinien und werden nach Prüfung weitergeleitet.

Zertifikate

Zertifikate werden zur Verschlüsselung verwendet und haben eine Lebensdauer. Sie laufen in der Regel nach drei Jahren ab und müssen durch neue Zertifikate ersetzt werden. Wird beim MDR ein neues Zertifikat benötigt, so wird es automatisch durch totemomail® generiert und veröffentlicht.
Der private Schlüssel eines MDR-Mitarbeiters dient einerseits zur Entschlüsselung von eingehenden E-Mails, zum anderen kann mit diesem Schlüssel eine digitale Signatur erstellt werden, die die Authentizität des Absenders sowie die Originalität des E-Mail-Inhaltes sicherstellt. Der private Schlüssel wird auf dem Client installiert und beim MDR mit dem Active Directory synchronisiert. Das hat den großen Vorteil, dass die Anwender, unabhängig davon, an welchem Arbeitsplatz sie sich anmelden, auf ihre E-Mail-Informationen zugreifen können.

Und die externen Kommunikationspartner?

Für die Anwender des MDR ist der Umgang mit dem E-Mail-Client ganz einfach. Per Knopfdruck entscheidet er, ob er seine Daten verschlüsselt versenden möchte.
Doch was ist eigentlich mit dem Empfänger? Insbesondere, wenn dieser extern ist und gar keine Verschlüsselungstechnik einsetzt?
Das totomomail® Gateway prüft automatisch, ob der Empfänger bereits bekannt ist. Ist er es, so wird die E-Mail mit dem Zertifikat des Empfängers verschlüsselt und zugestellt. Ist dem nicht so, erhält der Empfänger erst einmal eine „Willkommens"-E-Mail mit dem Hinweis, dass ihm eine vertrauliche E-Mail zugestellt werden soll. Je nachdem, welche Option der Empfänger wählt, kann er entweder über den Webmailer des MDR auf seine sichere E-Mail zugreifen oder aber er sendet sein Zertifikat zurück, dann ist der direkte Postfach-zu-Postfach-Austausch möglich. Während des gesamten Vorgangs hält das Gateway die eigentliche E-Mail zurück und leitet sie erst nach Rückmeldung des Empfängers weiter.

Warum sollten E-Mails signiert und verschlüsselt werden?

  • Vertraulichkeit von übermittelten Inhalten sicherstellen
    Ist die Information noch von anderen (unberechtigten) Personen gelesen worden?
  • Schutz von Unternehmenswerten
  • Gesetzeskonformität
    Anforderungen aus dem Datenschutz (BDSG) Signaturgesetz
  • Sicherstellung der Authentizität von E-Mails
    Stammt die Information auch wirklich von dem Absender, der angibt, der Absender zu sein?
  • Sicherstellung der Integrität
    Ist die Information auf dem Transportweg verändert worden?

 

Kontakt

Jörg Zieger
Tel. 0431 - 20084-202
jzieger@vater-gruppe.de

it-sicherheit

zurück zum Portfolio

zurück zu den Referenzen