State of the Art Security für E-Mails
Die Sicherheit von E-Mails muss grundsätzlich aus zwei komplett unterschiedlichen Blickwinkeln betrachtet werden: Die Sicherheit des Inhalts sowie die Sicherheit der Übertragung und die Gewährleistung von Integrität. Dieser Artikel soll einen Überblick geben, welche Maßnahmen heute dem “Stand der Technik” entsprechen, und wie Unternehmen ihre E-Mail-Sicherheit mit überschaubarem Aufwand auf ein neues Level bringen können.
Zunächst eine genauere Abgrenzung in Sachen E-Mail Security:
- Die Sicherheit des Inhalts
Uns allen sind die Gefahren von E-Mails bekannt: Spam, gefährliche Anhänge, eingebetteter Schad-Code etc. Hier sind oft schon Maßnahmen ergriffen worden, um den Angriffsvektor zu reduzieren.
- Die Sicherheit der Übertragung und die Gewährleistung von Integrität
Hierbei geht es um die verschlüsselte Übertragung von E-Mails durch das Internet. Das Bewusstsein, dass E-Mails grundsätzlich Postkarten sind, ist seit der DSGVO gewachsen, aber viele Unternehmen sind noch auf der Suche nach passenden Lösungen.
Einen tieferen Einblick in das Thema gewährt die Aufzeichnung des Webinars “Sichere E-Mail-Verschlüsselung mit totemomail“.
Schutz mit Gateways, Sandboxes und Cloud-Diensten
Beginnen wir mit der Sicherheit des Inhalts. Bevor eine E-Mail den Nutzer an seinem Endgerät erreicht, sollte ihr Inhalt außerhalb des eigenen E-Mail-Systems auf Schad-Software und Spam überprüft werden. Hierzu können Sie klassische On-premise-basierte Systeme einsetzen. Oft übernehmen intelligente Sicherheit-Gateways, wie Sophos Firewalls oder dedizierte E-Mail Gateways, diese Aufgabe. Kombiniert mit Cloud-Intelligenz untersuchen sie in Sandboxes – also in isolierten Laufzeitumgebungen – E-Mail-Anhänge auf schädliches Verhalten. Ohne Sandbox-basierte Überprüfung liegt der verantwortungsvolle Umgang mit Anhängen komplett bei den Nutzern, Ihren Mitarbeitern. Über sogenannte Phishing E-Mails, die gezielt Spam-Angriffe simulieren, können Sie Ihre Mitarbeiter sensibilisieren, damit diese Cyber-Attacken erkennen und schädliche Inhalte erst gar nicht öffnen.
Eine weitere Lösung für mehr E-Mail Security in Ihrem Unternehmen sind Cloud-basierte Dienste. Hier gibt es mittlerweile ganze Komplett-Services, die vollumfängliche “E-Mail-Hygiene” versprechen. In Office 365 integriert, können Sie zum Beispiel Exchange Online Protection in Verbindung mit Office 365 Advanced Threat Protection nutzen, um sich vor infizierten E-Mails zu schützen.
E-Mail-Verschlüsselung mit SMIME, PGP und Gateways
Kommen wir nun zur Sicherung der E-Mail-Übertragung. Wie zuvor erwähnt, bieten E-Mails höchstens die Sicherheit einer Postkarte. Eine Tatsache, die Unternehmen vor dem Hintergrund, dass der Schutz von übertragenen Daten immer wichtiger wird (DSGVO, Zunahme von Cyber-Attacken), nicht länger auf die leichte Schulter nehmen sollten. Grundsätzlich sind Mail Server in der Lage, verschlüsselt über TLS miteinander zu kommunizieren. Dieses Verfahren ist jedoch nicht vorgeschrieben und auch nur schlecht zu erzwingen. Unterstützt das Gegenüber keine TLS-Kommunikation, kann die E-Mail nicht zugestellt werden.
Etabliert hat sich daher die Verschlüsselung der E-Mails mit SMIME oder PGP. Hierbei werden für die Nutzer Zertifikate ausgestellt, mit denen die E-Mails signiert beziehungsweise verschlüsselt werden können. Der weit verbreitete Outlook Mail Client unterstützt dieses Zertifikate-Handling jedoch nur rudimentär. Die Administration der Zertifikate liegt bei den Nutzern. In kleinen Unternehmen mag dies funktionieren, das Handling wird bei über 20 Nutzern aber schnell undurchsichtig.
In solchen Szenarien bietet sich zusätzlich die Nutzung eines Verschlüsselungs-Gateways an, das die Ver- und Entschlüsselung zentral übernimmt und durch Richtlinien konfiguriert wird. Die manuelle Interaktion und somit das Risiko für Fehler wird also minimiert. So können Sie festlegen, dass alle E-Mails oder E-Mails zu bestimmten Domains verschlüsselt werden. Sendet ein Kommunikationspartner von extern erstmalig eine verschlüsselte E-Mail, so lernt die Appliance dessen Zertifikat kennen und nutzt mit diesem Partner zukünftig automatisch die verschlüsselte Kommunikation.
Ein Vorteil solcher Gateways ist auch, dass Sie das gesamte Handling Ihrer Nutzerzertifikate nahezu automatisieren können, indem Sie externe Zertifikatsanbieter (zum Beispiel SwissSign) integrieren. Die Betriebsaufwände für die Gesamtlösung sinken dadurch deutlich.
Falls Ihr Kommunikationspartner keine verschlüsselte Kommunikation mit SMIME oder PGP zulässt oder diese Nachrichten nicht entschlüsseln kann, bieten die Gateways ein Nachrichtenportal an, über das der Empfänger die E-Mails ansehen und beantworten kann. In der eigentlichen Mailbox des Empfängers erscheint dann ein Hinweis, dass eine verschlüsselte E-Mail eingegangen ist. Alternativ kann auch über kennwortgeschützte PDFs kommuniziert werden.
Solche Gateways können Sie im eigenen Rechenzentrum On Premise betreiben. Wenn das E-Mail-System jedoch in der Cloud liegt, zum Beispiel im Fall von Office 365 Exchange Online, ist dies technisch nicht sinnvoll. Hier bietet es sich an, das System zum Beispiel auf Azure oder vollumfänglich durch einen Service Provider zu betreiben.
War dieser Artikel hilfreich für Sie? Wir freuen uns über Ihr Feedback und Ihre Fragen über die Kommentarfunktion.
Link-Tipps:
Über den Autor
Christoph Züllighofen arbeitete als Architekt und Projektleiter im Team Cloud Workplace Solutions bei CONET.