Schwerpunkt: E-Mail-Verschlüsselung/Signatur

1. Wozu dient die Verschlüsselung von E-Mails?
2. Was stellt die Signierung von E-Mails sicher?
3. Was sind Zertifikate und Schlüssel?
4. Was ist der Unterschied zwischen einer symmetrischen und asymmetrischen Verschlüsselung?
5. Wie werden aus- und eingehende E-Mails am besten ver-/entschlüsselt bzw. signiert?
6. Was ist der Vorteil einer serverseitigen Verschlüsselung?
7. Wie lässt sich mit freien Mitarbeitern verschlüsselt kommunizieren?
8. Welche Rolle spielt die Verschlüsselung/Signierung im Rahmen von E-Mail Management?
9. Nach welchen Kriterien sollten Unternehmen ein Verschlüsselungskonzept erstellen?
10. Wie hilft mir die iQ.Suite bei der Umsetzung meines E-Mail-Verschlüsselungskonzepts?
11. Wie verschlüsseln/signieren Unternehmen mit iQ.Suite Crypt?

Wozu dient die Verschlüsselung von E-Mails?

Die Verschlüsselung von E-Mails gewährleistet, dass ausgetauschte elektronische Nachrichten nur vom gewünschten Empfänger gelesen werden können und sie somit vertraulich bleiben. Dieser Schutz ist insbesondere für sensible Daten wichtig. Mit E-Mail-Verschlüsselung wird aus einer E-Mail ein chiffrierter Brief mit Echtheitssigel.

Für die Ver- und Entschlüsselung von E-Mails werden unterschiedliche kryptographische Verfahren, wie die symmetrische und asymmetrische Verschlüsselung, eingesetzt. Ein kryptographisches Verfahren gilt als sicher, wenn es trotz Kenntnis des Verfahrens schwierig ist, eine verschlüsselte Nachricht ohne Kenntnis des Schlüssels zu entschlüsseln. Schwierig heißt in der Praxis, dass die Entschlüsselung in vertretbarem Rahmen nicht durchführbar ist.

Was stellt die Signierung von E-Mails sicher?

Die elektronische Signatur stellt sicher, dass der E-Mail-Inhalt nicht verändert wurde (Integrität der Nachricht) und tatsächlich von dem angegebenen Absender stammt (Authentizität).

In der EU werden Rahmenbedingungen für den Einsatz der elektronischen Signatur durch die Richtlinie 1999/93/EG über elektronische Signaturen allgemein geregelt. Die Umsetzung in Deutschland wird auf der technischen Seite durch das Signaturgesetz (SigG) und die zugehörige Signaturverordnung (SigV) reguliert. Zuständige Behörde für alle Belange des SigG ist die Regulierungsbehörde für Telekommunikation und Post (RegTP).



Was sind Zertifikate und Schlüssel?

Die Zertifikate (zertifizierte öffentliche Schlüssel) dienen zum Erstellen und Überprüfen einer Signatur (Unterschrift) und zum Verschlüsseln von Daten, die nur der Besitzer des dazu gehörigen privaten Schlüssels entschlüsseln kann. Öffentliche Schlüssel müssen im Gegensatz zu den privaten Schlüsseln nicht vor fremdem Zugriff geschützt, sondern vielmehr jedem zur Verfügung gestellt werden.

Das Zertifikat für die Verschlüsselung ist der zum privaten Schlüssel dazugehörige öffentliche Schlüssel, der durch einen vertrauenswürdigen Dritten zertifiziert ist. Diese beiden Schlüssel bilden ein Schlüsselpaar.

Die privaten Schlüssel dienen zum Signieren (Unterschreiben) von Daten und zum Entschlüsseln von persönlichen Daten. Sie dürfen sich deshalb nur im Besitz des Eigentümers befinden.

Ein Zertifikat enthält:
  • eine eindeutige Seriennummer
  • den eindeutigen Namen des Inhabers
  • den öffentlichen Schlüssel des Inhabers
  • Verwendungshinweise und den Gültigkeitszeitraum
  • die digitale Signatur des vertrauenswürdigen Dritten

Ein gebräuchlicher Standard für Zertifikate ist X.509.

Verschlüsselung und elektronische Signatur lassen sich in Unternehmen gemeinsam oder getrennt voneinander einsetzen.

Was ist der Unterschied zwischen einer symmetrischen und asymmetrischen Verschlüsselung?

Beim symmetrischen (private key) Verschlüsselungsverfahren wird ein Schlüssel je Kommunikationskanal benutzt, der sowohl zur Ver- als auch zur Entschlüsselung dient. Beim asymmetrischen (publik key) Verschlüsselungsverfahren sind ein öffentlicher und privater Schlüssel (Schlüsselpaar) beteiligt. Anhand des öffentlichen Schlüssels des Empfängers wird die Nachricht verschlüsselt. Zum Entschlüsseln benötigt der Empfänger seinen korrespondierenden privaten Schlüssel. Der große Vorteil dieses Verfahrens besteht darin, dass der öffentliche Schlüssel jedes Teilnehmers innerhalb eines Netzwerks nur ein einziges Mal verfügbar gemacht werden muss.

Wie werden aus- und eingehende E-Mails am besten ver-/entschlüsselt bzw. signiert?

Ver- und Entschlüsselung sowie die Signaturvergabe sollten - wie dies mit der iQ.Suite möglich ist - gemäß eigenen Unternehmensrichtlinien zentral auf dem Mailserver stattfinden. Dadurch können Unternehmen verschlüsselte E-Mails noch vor der Zustellung auf Viren und andere negative Inhalte prüfen. Bei einer Client-basierten Verschlüsselung ist diese Prüfung am Server nicht möglich, da ein- oder ausgehende E-Mails verschlüsselt eintreffen und direkt zugestellt werden.

Mit der iQ.Suite lassen sich ausgehende E-Mails am Server zunächst auf Viren und Inhalte prüfen, archivieren und anschließend verschlüsseln. Bei eingehenden E-Mails ist der Ablauf umgekehrt: erst die Entschlüsselung, dann die Prüfung vor der Archivierung. So sind mit minimalem Administrationsaufwand alle wichtigen Sicherheitschecks vollzogen, ehe eine E-Mail überhaupt das Haus verlässt beziehungsweise den Empfänger erreicht.


Was ist der Vorteil einer serverseitigen Verschlüsselung?

Eine serverbasierte Verschlüsselung mit der iQ.Suite bedeutet im Vergleich zur clientbasierten Verschlüsselung weniger Aufwand und ist kostengünstiger. Bei der clientbasierten Verschlüsselung müssen für jeden Client separate Schlüssel verwaltet werden, was bei der serverbasierten Verschlüsselung entfällt. Es ist außerdem nicht mehr notwendig, alle Anwender mit den genauen Verschlüsselungs-Funktionen vertraut zu machen. Ein weiterer wichtiger Vorteil: Die serverbasierte Verschlüsselung benötigt nur jeweils einen Schlüssel für jedes verwendete Kryptographieverfahren pro kommunizierendes Unternehmen bzw. Domain.

Archivierungspflichten können Unternehmen darüber hinaus bei der clientseitigen Verschlüsselung vor erhebliche Probleme stellen: Verlassen Mitarbeiter das Unternehmen, verlieren die anwendergebundenen Schlüssel ihre Gültigkeit - mit der Folge, dass die frühere E-Mail-Korrespondenz nicht mehr einsehbar ist.


Wie lässt sich mit freien Mitarbeitern verschlüsselt kommunizieren?

Unbeschadet der serverbasierten Verschlüsselung können die Kommunikationspartner sowohl server- als auch clientbasiert verschlüsseln. Eine Client-zu-Server- oder Client-zu-Client-Verschlüsselung ist beispielsweise notwendig, um mit freien Mitarbeitern zu kommunizieren. Dabei müssen die Partner lediglich die gleichen Verschlüsselungsmethoden verwenden.

Welche Rolle spielt die Verschlüsselung/Signierung im Rahmen von E-Mail Management?

E-Mails durchlaufen vom Eingang im Unternehmen bis zu ihrer Archivierung oder Löschung mehrere Prozessschritte im Unternehmen. Ein Prozessschritt ist der Sicherheitscheck, zu dem neben der Ver-/Entschlüsselung bzw. Signierung auch die Spam- und Virenprüfung zählt. Weitere Prozessschritte im Rahmen des Lebenszyklus von E-Mails sind E-Mail-Klassifizierung, - Gesetzeskonformität und -Archivierung.


Nach welchen Kriterien sollten Unternehmen ein Verschlüsselungskonzept erstellen?

Bei der Einführung von Verschlüsselungssoftware ist folgendes zu beachten:
  • Sicherheitsanforderungen des Unternehmens (Unternehmensrichtlinien)
  • Bei der Auswahl der Verschlüsselungssoftware ist unbedingte Voraussetzung die detaillierte Kenntnis der Prinzipien, Mechanismen und Funktionalität der unterschiedlichen Verschlüsselungsverfahren und der am Markt verfügbaren Verschlüsselungssoftware.
  • Benutzerfreundlichkeit und -akzeptanz
  • Administrierbarkeit
Grundsätzlich ist darauf zu achten, dass die jeweils aktuelle Version der eingesetzten Software verwendet wird. Unternehmen sollten sich regelmäßig über eventuelle Sicherheitsprobleme des Produkts informieren und gegebenenfalls zeitnah Servicepacks oder Patches installieren.

Wie hilft mir die iQ.Suite bei der Umsetzung meines E-Mail-Verschlüsselungskonzepts?

Die Umsetzung des Verschlüsselungskonzepts und der Unternehmensrichtlinien ist mit der iQ.Suite durch die serverbasierte und automatische Ver- und Entschlüsselung sichergestellt, Anwenderfehler sind ausgeschlossen. Die Wahl des Verschlüsselungs-Verfahrens spielt für den Einsatz der iQ.Suite eine untergeordnete Rolle, alle gängigen Verfahren - wie PGP, GnuPG und S/MIME - werden unterstützt. Der einzelne Benutzer muss sich nicht mit dem Thema Verschlüsselung auseinandersetzen, da die Verschlüsselung am Server und nicht mit dem Client stattfindet. Für die Administratoren ist der Aufwand gering: Alle Schlüssel bzw. Zertifikate werden zentral, größtenteils vollautomatisiert, am Server verwaltet. Clients bedürfen weder der Installation noch Administration einer Software.


Wie verschlüsseln/signieren Unternehmen mit iQ.Suite Crypt?

iQ.Suite Crypt dient der serverseitigen E-Mail-Verschlüsselung. Mit dem Modul lassen sich die gängigen Kryptographieverfahren - wie PGP, GnuPG und S/MIME - auch parallel verwenden. Welches Verfahren welchem Anwender zugeordnet sein soll, lässt sich im Regelwerk der iQ.Suite festlegen. Mit iQ.Suite Crypt müssen nicht mehr für jeden Anwender individuelle Schlüssel erstellt und damit eine aufwändige Public Key Infrastructure (PKI) aufgebaut und verwaltet werden. Bestehende PKIs lassen sich einfach anbinden. Bei besonders hohen Sicherheitsanforderungen, z.B. für die Kommunikation zwischen bestimmten Abteilungen, können auch individuelle Schlüssel genutzt werden.

iQ.Suite Crypt bieten zentrale, serverbasierte E-Mail-Sicherheit ohne Interaktion mit den Anwendern. Es sind keine hohen Investitionen in Aufbau und Pflege einer Verschlüsselungsinfrastruktur notwendig, die Softwareverteilung und Anwenderschulung entfallen sogar ganz. Ein kombinierter Verschlüsselungs- und Spam-/Virenschutz gewährleistet sichere und integrierte E-Mail-Geschäftsprozesse mit höherer Produktivität.


Zurück zur FAQ Übersicht