thomasanderson
Goto Top

Plattformunabhängige Emailverschlüsselung

Hi,

eine Frage:

Unternehmen XY möchte seine Emails verschlüsseln und mit Kunden kommunizieren die keine Verschlüsselung eingerichtet haben.
Klar gibt es Lösungen wie Zip oder PDF Verschlüsselung, welche alle relativ unpraktikabel sind.
Dazu kommen SaaS Lösungen, aber Outsourcing kommt auch nicht in Frage.

Es ist nicht möglich die Emails verschlüsselt (für den Partner lesbar) zu versenden, ohne dass der Gegenseite der public Key bekannt ist und auch Mechanismen implementiert sind
um die Email zu entschlüsseln, oder?
Alternativ gäbe es nur Lösungen wie der Versand über einen sicheren Kanal ala TLS?

Thx

Content-Key: 240822

Url: https://administrator.de/contentid/240822

Ausgedruckt am: 28.03.2024 um 23:03 Uhr

Mitglied: jsysde
jsysde 13.06.2014 um 10:16:14 Uhr
Goto Top
Moin.
Zitat von @ThomasAnderson:
[...]Es ist nicht möglich die Emails verschlüsselt (für den Partner lesbar) zu versenden, ohne dass der Gegenseite der
public Key bekannt ist und auch Mechanismen implementiert sind
um die Email zu entschlüsseln, oder?[...]
Nö. Das würde ja die Verschlüsselung irgendwie ab adsurdum führen.

Alternativ gäbe es nur Lösungen wie der Versand über einen sicheren Kanal ala TLS?
Damit verschlüsselst du nur den Transportweg, nicht die Mail selbst.

Ich meine mich dunkel zu erinnern, dass es von Sophos ein Gateway gibt, dass die Möglichkeit bietet, eine verschlüsselte Mail (oder verschlüsselte Daten) dort zu speichern und dem Empfänger einen Link zukommen zu lassen, über den dann genau diese Mail lesbar ist. Mit "Versenden" an sich hat das aber wenig zu tun, da die Mail ja niemals im Postfach des Empfängers landet, sondern auf dem Gateway verbleibt; ist also mehr für die sporadische Nutzung gedacht.

Cheers,
jsysde
Mitglied: 108012
108012 13.06.2014 um 11:33:28 Uhr
Goto Top
Hallo @ThomasAnderson,

also ich würde mich meinem Vorredner schon anschließen,
das ganze bringt nur etwas wenn auf beiden Seiten Zertifikate
zur Signierung und/oder Ver- und Entschlüsselung eingesetzt werden.

Sicherlich kann man das ein wenig steuern und/oder anpassen,
also wenn man einen Email Server hat und zusätzlich noch ein
PGP Gateway aufsetzt, dann wird vorher geprüft ob der Empfänger
Schlüssel oder Zertifikate hinterlegt hat und ob eine Verschlüsselung
oder Signierung stattfinden soll bevor die Mail dann endgültig verschickt
wird! Sollte man die Mail nur signieren ist das ja auch schon ein Gewinn
an Sicherheit und alles steht weiter als Klartext in der Mail, aber der Inhalt
kann eben ordentlich verifiziert werden, wenn der Admin auf der anderen Seite
das auch so einrichtet und die Unterstützung dafür vorhanden ist sollte dem doch
auch nichts im Wege stehen.

Das Mail Gateway von PGP ist transparent und arbeitet ohne Zutun des Benutzers!

Gruß
Dobby
Mitglied: AndiEoh
AndiEoh 13.06.2014 um 11:53:50 Uhr
Goto Top
Zitat von @ThomasAnderson:

Hi,

eine Frage:

Unternehmen XY möchte seine Emails verschlüsseln und mit Kunden kommunizieren die keine Verschlüsselung
eingerichtet haben.

Die Gegenseite (Empfänger) muß immer irgend etwas eingerichtet haben, ansonsten wäre es eine "Verschlüsselung" die jeder rückgängig machen kann. Die Verfahren dazu sind entweder symetrisch (gleiches Geheimnis zum verschlüsseln und entschlüsseln), oder asymetrisch (ein Key zum verschlüsseln und einer zum entschlüsseln). Das erste sind z.B. Verfahren bei denen ein Password auf einem sicheren Seitenkanal zum Gegenüber wandert, das zweite PKI Systeme mit einem Public Key (Zertifikat) und private Key wie z.B. S/MIME und PGP. Lösungen dazu gibt es viele, aber immer muß die Gegenstelle "mitmachen". Ich kann nicht als Absender dem Empfänger Verschlüsselung aufzwingen.

Gruß

Andi
Mitglied: ThomasAnderson
ThomasAnderson 17.06.2014 aktualisiert um 14:53:02 Uhr
Goto Top
Zitat von @jsysde:
Ich meine mich dunkel zu erinnern, dass es von Sophos ein Gateway gibt, dass die Möglichkeit bietet, eine verschlüsselte
Mail (oder verschlüsselte Daten) dort zu speichern und dem Empfänger einen Link zukommen zu lassen, über den dann
genau diese Mail lesbar ist. Mit "Versenden" an sich hat das aber wenig zu tun, da die Mail ja niemals im Postfach des
Empfängers landet, sondern auf dem Gateway verbleibt; ist also mehr für die sporadische Nutzung gedacht.

An so eine Lösung habe ich gedacht, da das Ganze kundenfreundlich und unabhängig bleiben soll. Bei mehreren 100 Kunden ist
es schwer möglich alle von der selben Lösung zu überzeugen und es müssen alternative Kommunikationsmöglichkeiten offen bleiben.
Oder eine PGP Verschlüsselung mit Public Key und alternativ für alle die etwas anderes einsetzen nur verschlüsselte ZIP Dateien in Emails
versenden?

Zitat von @108012:

Hallo @ThomasAnderson,

also ich würde mich meinem Vorredner schon anschließen,
das ganze bringt nur etwas wenn auf beiden Seiten Zertifikate
zur Signierung und/oder Ver- und Entschlüsselung eingesetzt werden.


Das Mail Gateway von PGP ist transparent und arbeitet ohne Zutun des Benutzers!

Nur signieren reicht nicht aus. Der Mail Inhalt soll aufjedenfall (egal mit welchen Mitteln) geschützt / unlesbar gemacht werden.
Ich dachte bei meiner Ausführung an eine rein clientbasierte Lösung (bei der selbst die Schlüssel ausgetauscht werden müssen etc.), aber
weiss jetzt was Du meinst. Funktioniert ja im Prinzip gleich, nur etwas automatischer und zentralisiert.

> Zitat von @ThomasAnderson:

Die Gegenseite (Empfänger) muß immer irgend etwas eingerichtet haben, ansonsten wäre es eine
"Verschlüsselung" die jeder rückgängig machen kann. Die Verfahren dazu sind entweder symetrisch (gleiches
Geheimnis zum verschlüsseln und entschlüsseln), oder asymetrisch (ein Key zum verschlüsseln und einer zum
entschlüsseln). Das erste sind z.B. Verfahren bei denen ein Password auf einem sicheren Seitenkanal zum Gegenüber
wandert, das zweite PKI Systeme mit einem Public Key (Zertifikat) und private Key wie z.B. S/MIME und PGP. Lösungen dazu gibt
es viele, aber immer muß die Gegenstelle "mitmachen". Ich kann nicht als Absender dem Empfänger
Verschlüsselung aufzwingen.

Genau so hab ich das im Kopf. Und das ist das größte Problem, wie schon beschrieben. Die Gegenstelle wird quasi gezwungen, selbst etwas zu investieren. Das wäre wie als würde ich bspw. alle Kunden zwingen, jetzt nur noch mit Radius Authentifizierung zu arbeiten, statt bspw. fester Accounts.
Wie assym. und symm. Verschlüsselung funktioniert weiss ich noch (ungefähr :P).

Danke für die Tipps.

Welche Lösung haltet Ihr für sinnvoll / kundenfreundlich / zukunftssicher.

Ich habe auch viele SaaS Anbieter gefunden, aber da finde ich das "hauseigene Gateway" dann fast schöner gelöst.
Mitglied: ThomasAnderson
ThomasAnderson 17.06.2014 um 16:01:35 Uhr
Goto Top
Was haltet Ihr von der "Cisco Email Encryption":

http://www.alpha2000.de/download/ironport_email_verschluesselung.pdf
Mitglied: 108012
108012 17.06.2014 um 21:18:27 Uhr
Goto Top
Hallo nochmal,

Genau so hab ich das im Kopf. Und das ist das größte Problem, wie schon beschrieben.
Liegt eventuell dort der Fehler! Ich meine machst Du eventuell einen Denkfehler?

Die Gegenstelle wird quasi gezwungen, selbst etwas zu investieren. Das wäre wie als
würde ich bspw. alle Kunden zwingen, jetzt nur noch mit Radius Authentifizierung zu
arbeiten, statt bspw. fester Accounts.
Nein das ist falsch!

Wie assym. und symm. Verschlüsselung funktioniert weiss ich noch (ungefähr :P).
Asymmetrisch sollte immer dann zum Einsatz, kommen wenn andere, also außenstehende
mit in den Prozess eingebunden sind, wie in Deinem Fall, und symmetrisch kann man
praktizieren wenn es sich um Verschlüsselung handelt die untereinander oder zwischen
Servern stattfindet, aber eben Firmen intern.

haltet Ihr für sinnvoll
Ein PGP Email Gateway das transparent in der Mitte arbeitet und auch zentral die
Verschlüsselungssoftware verwalten kann.

/ kundenfreundlich
Kundenfreundlich ist wenn man vorher mit seinen Kunden darüber redet!

/ zukunftssicher.
Das kann Dir bei Verschlüsselung niemand genau sagen, da sie fast jedem
Land und seiner Regierung ein Dorn im Auge ist und das schon seit den 70ern!

Nur signieren reicht nicht aus. Der Mail Inhalt soll aufjedenfall (egal mit
welchen Mitteln) geschützt / unlesbar gemacht werden.
Wenn Du verschlüsselst und ich nicht, dann ist das mit der Signatur schon ein
großer Schritt nach vorne, denn wenn jemand die Mail "abfängt" und verändert,
stimmt die Signatur nicht mehr und man kann heraus finden ob die Mail noch
vertrauenswürdig ist!
Verschlüsselung ist immer eine Sache die an beiden Enden erfolgen muss
und zwar einmal verschlüsseln und einmal entschlüsseln, ist das nicht gegeben
kann man aber mittels Signatur das ganze immer noch sicherer gestalten als
ohne beides!

Ein Kunde macht Dir ein Angebot und Du möchtest es annehmen, die Mail
wird abgefangen und verändert, der Vertrag kommt nicht zustande, und dann?

Klar ist verschlüsseln besser, nur das muss eben auch bei allen beteiligten
Parteien umgesetzt werden.

Ich dachte bei meiner Ausführung an eine rein clientbasierte Lösung
(bei der selbst die Schlüssel ausgetauscht werden müssen etc.),
Was ist wenn man Liesel Müller in der Buchhaltung kündigt und die
erzeugt dann einen Schlüssel und verschlüsselt die Kundendatenbank
und löscht den Schlüssel wieder? Also das mit dem Gateway hat mehrere
Vorteile, glaub es mir einfach mal.

Und dann soll man jedes mal entscheiden ob und mit wem und vor allen Dingen
wie man diese eine oder jene andere Mail verschickt!??? Das kostet Zeit und
das muss auch auf allen Klienten dann genau passend konfiguriert werden.

aber weiss jetzt was Du meinst. Funktioniert ja im Prinzip gleich,
nur etwas automatischer und zentralisiert.
Nicht ganz, man muss eben nur eine Email schreiben und zwischen dem Mailserver
und dem Klienten hängt noch der PGP Mail Gateway und der schaut nach was für die
Emailadresse hinterlegt worden ist, also ob verschlüsselt bzw. signiert wird oder gar
nichts geschehen soll! Das spart Zeit und zusätzlich kommt der Anwender auch nicht
an die Schlüssel heran, und somit zwingst Du auch niemanden zu etwas, denn das
Gateway kann ja, je nach Konfiguration und je nachdem was hinterlegt worden ist,
selbst entscheiden mit wem was gemacht wird.

Und solltest Du nur die PGP Desktop Version kaufen, bitte ich Dich heute schon herzlichst
darum, wenigstens die "Corporate" und nicht die für Privatanwender zu kaufen.

Gruß
Dobby
Mitglied: ThomasAnderson
ThomasAnderson 18.06.2014 um 08:27:41 Uhr
Goto Top
Zitat von @108012:
Ein PGP Email Gateway das transparent in der Mitte arbeitet und auch zentral die
Verschlüsselungssoftware verwalten kann.
Es gibt doch sicher auch Lösungen, die falls die Gegenseite nicht mit PGP oder S/MIME arbeitet auch eine alternative wie ein Webportal oder eine verschlüsselte Zip bieten?

> / kundenfreundlich
Kundenfreundlich ist wenn man vorher mit seinen Kunden darüber redet!
Schwierig bei mehreren hundert Kunden.

> aber weiss jetzt was Du meinst. Funktioniert ja im Prinzip gleich,
> nur etwas automatischer und zentralisiert.
Nicht ganz, man muss eben nur eine Email schreiben und zwischen dem Mailserver
und dem Klienten hängt noch der PGP Mail Gateway und der schaut nach was für die
Emailadresse hinterlegt worden ist, also ob verschlüsselt bzw. signiert wird oder gar
nichts geschehen soll! Das spart Zeit und zusätzlich kommt der Anwender auch nicht
an die Schlüssel heran, und somit zwingst Du auch niemanden zu etwas, denn das
Gateway kann ja, je nach Konfiguration und je nachdem was hinterlegt worden ist,
selbst entscheiden mit wem was gemacht wird.
Genau so meinte ich das face-smile.

Und solltest Du nur die PGP Desktop Version kaufen, bitte ich Dich heute schon herzlichst
darum, wenigstens die "Corporate" und nicht die für Privatanwender zu kaufen.
Da gibt es sicher soviele unterschiedliche Lösungen, dass erstmal hier aussortiert werden muss.
Was hältst Du von der Cisco Lösung die ich oben erwähnt habe?
Das Vorgehen sollte so einfach wie möglich sein, im schlechtesten Fall sollte der User höchstens noch eine Checkbox für "ja/nein verschlüsseln" setzen müssen. Im besten Fall sortiert das GW die Emails nach Inhalt / Betreff oder verschlüsselt von Haus aus einfach alle.
Schmankerl wäre natürlich eine Lösung, die auch den Kunden angeboten werden kann.
Mitglied: 108012
108012 18.06.2014 um 13:45:05 Uhr
Goto Top
Es gibt doch sicher auch Lösungen, die falls die Gegenseite
nicht mit PGP oder S/MIME arbeitet
Sicher nur das sind dann in der Regel wieder proprietäre
Lösungen die dann auch mit unter alle beteiligten erst
einmal anschaffen müssen!

Und bei PGP ist es derweil schon so das man es auf nur PGP
oder auch S/MIME Unterstützung einstellen kann.

auch eine alternative wie ein Webportal oder eine
verschlüsselte Zip bieten?
Und wie bekommt man dann jedes mal das Passwort
zum Entschlüsseln auf die andere Seite?

Schwierig bei mehreren hundert Kunden.
Die hat man in mehreren Monaten auch angerufen oder
und abgearbeitet, aber wenn man rein gar nichts unternimmt
wird es mit der Einführung von Verschlüsselung ganz gleich
welcher Art immer Probleme geben.

Das gehört eben auch zu einer Kundenbindung dazu
das man sich damit auseinander setzt.

Da gibt es sicher soviele unterschiedliche Lösungen,
dass erstmal hier aussortiert werden muss.
Also das Gateway und die "Corporate" Version
und gut ist es.

Was hältst Du von der Cisco Lösung die ich oben erwähnt habe?
Die arbeiten auch mit einem Gateway also das selbe in "grün"
nur höchstwahrscheinlich nicht so kompatibel zu anderen
Sachen

Das Vorgehen sollte so einfach wie möglich sein, im
schlechtesten Fall sollte der User höchstens noch eine
Checkbox für "ja/nein verschlüsseln" setzen müssen.
Das muss er gar nicht, er schreibt die Mail und schickt sie
dann ab, und das Gateway schaut dann erst einmal nach was
für diesen Mailempfänger hinterlegt ist und dann wird automatisch
verschlüsselt, signiert oder eben es passiert nichts und dann
wird die Mail erst weitergeleitet zu dem Mailserver der sie dann
verschickt.

Im besten Fall sortiert das GW die Emails nach Inhalt /
Betreff oder verschlüsselt von Haus aus einfach alle.
Auch das kann man einstellen nur es bringt Dir rein gar
nichts wenn Du auf einer Seite alleine agierst, wer soll denn die verschlüsselten Mails auf der anderen Seite wieder entschlüsseln?

Schmankerl wäre natürlich eine Lösung, die auch den
Kunden angeboten werden kann.
Wer bist Du und was sind das für Kunden?
Bist Du ein Systemhaus? Oder einfach nur eine Firma
die mit Lieferanten kommuniziert?

Gruß
Dobby
Mitglied: AndiEoh
AndiEoh 18.06.2014 um 15:24:58 Uhr
Goto Top
Als Gateway käme auch das hier in Frage:

http://www.djigzo.com/gateway.html


BTW: Hat jemand von euch Gateway Betreibern einen Prozentwert was typischerweise verschlüsselt rausgeht?

Gruß

Andi
Mitglied: 108012
108012 18.06.2014 um 15:37:44 Uhr
Goto Top
BTW: Hat jemand von euch Gateway Betreibern einen
Prozentwert was typischerweise verschlüsselt rausgeht?
Je nach Firma und je nach Kundenvereinbarung also ob
der Kunde bzw. Partner auch verschlüsselt kann das von
5% - bis hin zu 100% aller Mails betragen.

Das kann Dir niemand so pauschal beantworten denn
in einigen Bereichen der Wirtschaft ist es heute schon Gang und
Gebe dass man mindestens signiert und auch verschlüsselt, je
nach Firmenauflage und/oder Zertifizierung bis hin zu einem muss
für Firmen die mit anderen Firmen kommunizieren die so etwas
sogar vorschreiben.

Gruß
Dobby
Mitglied: AndiEoh
AndiEoh 18.06.2014 um 16:08:41 Uhr
Goto Top
@108012: Es geht nicht um eine pauschale/präzise Antwort sondern mehr in der Art x% des *gesamten* E-Mail Ausgangs-Traffics. Nahezu jede Firma hat eine größere Anzahl an Empfängern aus allen möglichen Branchen, d.h. einzelne Sonderauflagen für manche Empfänger sollten sich zumindest teilweise wieder ausmitteln. Ich kann mir nicht vorstellen das eine Firma die mehr als eine Handvoll Kunden hat in die Nähe von 100% kommt oder hast du wirklich ein solches Beispiel aus der Praxis??

Gruß

Andi
Mitglied: 108012
108012 18.06.2014 um 19:58:00 Uhr
Goto Top
Ich kann mir nicht vorstellen das eine Firma die mehr als eine Handvoll
Kunden hat in die Nähe von 100% kommt oder hast du wirklich ein
solches Beispiel aus der Praxis??
Kleine Firmen die ausschließlich die Rüstungsindustrie bedienen
verschlüsseln alles also zu 100% alleine aus Gründen der Zertifizierung.

Mittlere Firmen die eine durchwachsene Klientel haben und bedienen
verschlüsseln nur einen Teil ihres Mailverkehrs und den Rest eben nicht.

Große Firmen die zum Teil mit Regierungen und/oder Ministerien
zu tun haben und zum Teil mit normalen Kunden geschäftlich in
Verbindung stehen verschlüsseln nur einen kleinen Teil ihres Mailverkehrs.

- Aufgrund von Zertifizierungen der Firma
- Firmen eigener Anweisungen, Vorschriften und Gegebenheiten
- Vorschriften von Geschäftspartnern
- Örtliche Gegebenheiten wie in China, Iran, und.......

Und das kannst Du Dir nicht vorstellen?

Gruß
Dobby
Mitglied: AndiEoh
AndiEoh 19.06.2014 um 19:13:54 Uhr
Goto Top
Ich kenne es eher so das bei den Firmen bei denen nur sehr wenige Kunden mit hohen Sicherheitsansprüchen bedient werden E-Mail überhaupt nicht zulässig ist. Bei "Scheinselbstständigen" oder Niederlassungen im Ausland welche im Prinzip nur für eine Firma arbeiten mag man in die Nähe von 80% verschlüsselter Mail kommen, aber in einer Firma mit einigermaßen breit gestreuten Kunden sind >10% schon viel. Das alles deshalb weil der Kunde (Empfänger) vorgibt ob es möglich ist oder nicht und nicht weil die Firma Zertifiziert ist oder nicht. Wir haben auch Kunden aus Banken/Versicherungsumfeld aber E-Mail Verschlüsselung wird dort trotzdemm als exotisch betrachtet face-sad
Deshalb würde es micht interessieren wo deine optimistischen Zahlen herkommen...

Gruß

Andi