Viel wird derzeit über mitgelesene E-Mails, Datenspionage und Datenschutz diskutiert und geschrieben. Die Lösung von Experten lautet immer wieder wie folgt: E-Mails Ende zu Ende verschlüsseln und signieren, das heißt also, dass bereits der Absender die E-Mail verschlüsselt und nur der Empfänger mit einem persönlichen Schlüssel diese auf seinem Rechner wieder entschlüsseln kann. Dies alles klingt sehr kompliziert, in Outlook ist die Lösung jedoch bereits integriert. Wir zeigen, wie einfach S/MIME mit Office 365 ausgerollt werden kann.
Exchange Online kann seit einiger Zeit S/MIME Zertifikate übertragen und abspeichern. S/MIME ist außerdem standardmäßig in Outlook integriert, sodass keine zusätzlichen Installationen und Add-Ins mehr notwendig sind. Alles was für die sichere E-Mail Verschlüsselung benötigt wird, ist ein S/MIME Zertifikat. S/MIME steht für Secure / Multipurpose Internet Mail Extensions. Letzteres sind Erweiterungen des Standards RFC 822, der das Format einer E-Mail definiert. Es steht neben dem Standard OpenPGP für sichere E-Mailverschlüsselung und Übertragung. Fachleute streiten welcher der beiden Standards zur E-Mailverschlüsselung der bessere und weit verbreiterte ist. Beide haben ihre Vor- und Nachteile, an dieser Stelle sei auch an die Suchmaschine des Vertrauens verwiesen. Fakt ist jedoch, dass Outlook ab Installation S/MIME fähig ist und sich dieser Standard deswegen für alle Office 365 Nutzer anbietet. Wir haben S/MIME bereits in vielen Unternehmen implementiert, auch von Konzernen wird es häufig verwendet.
Wie funktioniert S/MIME?
S/MIME ist sogenanntes hybrides Kryptosystem, das auf einem öffentlichem und privaten Schlüsselpaar basiert. Jeder Nutzer erhält dafür ein Zertifikat, das die beiden Schlüssel beinhaltet. Der private Schlüssel wird dabei fest auf dem Rechner des Zertifikatsinhabers gespeichert und zum signieren von E-Mails verwendet. Der öffentliche Schlüssel hingegen wird an alle Nutzer gestreut, die eine signierte E-Mail des Zertifikatsinhabers erhalten. Mit dem öffentlichen Zertifikat können sie die Richtigkeit der Signatur prüfen und E-Mails an den Zertifikatsinhaber verschlüsseln. Diese verschlüsselten Mails können alleine mit dem privaten Schlüssel des Inhabers wieder lesbar gemacht werden. Auf diese Weise hat auch kein Geheimdienst mehr eine Chance auf dem Übertragungsweg E-Mails mitzulesen.
Was ist der Unterschied zwischen Signatur und Verschlüsselung?
Bei einer Signatur wird die Nachricht mit einem Hash Wert versehen und dieser der Nachricht mitgegeben. Der Empfänger bildet über die Nachricht ebenfalls einen Hashwert und vergleicht diesen mit dem der Nachricht angefügten. Stimmen die beiden Werte überein, wurde die Nachricht nicht verändert und damit die Integrität gewahrt. Ansonsten würde eine das E-Mail Programm des Empfängers eine entsprechende Warnung ausgeben.
Quelle: wikimedia.org
Bei der Verschlüsselung wird der tatsächliche Inhalt der Nachricht (nicht Kopfzeilen wie Empfänger und Betreff) verschlüsselt und ist ohne den zugehörigen Schlüssel unbrauchbar. Es gibt nur einen Empfänger, der die Nachricht wieder lesbar machen kann – der Zertifikatsinhaber.
Quelle: wikimedia.org
Wo bekomme ich ein Zertifikat her?
Es gibt verschiedene Sicherheitsstufen für Zertifikate, je nachdem welche Authentisierung verwendet wird. Einfache Zertifikate bei denen nur der Inhaber der Domäne bestätigt wird, gibt es bei StartSSL, Comodo und anderen sogar umsonst. Eine Authentisierung mit Personalausweis kostet entweder einmalig oder eine bestimmte Gebühr pro Zertifikat und Jahr. Unternehmen können auf relativ einfache Art und Weise selbst zum Zertifikatsaussteller werden und eigene Nutzerzertifikate für S/MIME ausstellen. Es gibt eine Reihe von verschiedenen Zertifikatsanbietern, am Besten sucht man im Internet nach S/MIME Zertifikaten oder E-Mail Zertifikate. Oftmals können mit dem gleichen Zertifikat sogar Dokumente und PDFs verschlüsselt oder signiert werden.
Wie installiere ich das Zertifikat in Outlook?
Sobald das Zertifikat von einer Zertifizierungsstelle ausgestellt wurde, installiert man dieses per Doppelklick im Zertifikatsspeicher für persönliche Zertifikate in Windows. Windows wählt automatisch die richtigen Einstellungen.
In Outlook 2010 und 2013 wählt man Datei–>Optionen–>TrustCenter und dort TrustCenter Einstellungen. Auf dem Reiter E-Mail Sicherheit wählt man im Bereich verschlüsselte Nachrichten Einstellungen. Outlook wählt automatisch das richtige Zertifikat aus dem Windows Zertifikatsspeicher aus. Es sollte in etwa wie in folgender Abbildung gezeigt aussehen:
Nach einem Klick auf OK können Sie sämtliche Fenster schließen.
Wie verschicke ich signierte und verschlüsselte Nachrichten?
Um eine signierte E-Mail zu versenden, klickt ihr auf die Registerkarte „Optionen“ und „Signieren“ – fertig.
S/MIME Verschlüsselung ist nun vollständig in Outlook integriert. Um eine verschlüsselte E-Mail zu versenden, klickt man auf die Registerkarte „Optionen“ und markiert „Verschlüsseln“ und „Signieren“.
Signierte Nachrichten können an jeden sofort versendet werden. Für die Verschlüsselung von Nachrichten benötigt man, wie oben gezeigt, den öffentlichen Schlüssel des Empfängers. Am einfachsten erhält man diesen, indem man in einer bereits signierten Nachricht des Empfängers mit rechts auf den Absender klickt und auf “Zu Outlook Kontakten hinzufügen”. Das Zertifikat wird dann automatisch im Kontakt hinterlegt. Nachzusehen ist dies indem man unter den Outlook Kontakte (“Personen”) den Kontakt öffnet und oben in der Registerkarte auf das Feld Zertifikate klickt. In diesem sollte nun das Mail Zertifikat angezeigt werden.
Bei Outlook 2013 können bei bereits bestehenden Kontakten diese nicht erneut hinzugefügt werden. Hier hilft entweder das Löschen des bestehenden Kontakts (Vorsicht, evtl. gehen dann Informationen verloren) und das erneute hinzufügen oder das Abspeichern des in der Signatur mitgelieferten Zertifikats auf dem Rechner. Anschließend kann dieses wieder im Kontaktefenster im Bereich Zertifikate importiert werden.
Können auch aus OWA verschlüsselte E-Mails mit S/MIME versandt werden?
Seit einigen Wochen bietet Microsoft auch die Unterstützung für S/MIME in Outlook WebApp.
Gibt es für Exchange eine zentrale Zertifikatsverwaltung?
Ja, gibt es. Je nach Exchange Version gibt es jedoch unterschiedliche Ausprägungen. In Exchange On-Premise können die Zertifikate am AD-Objekt mit gespeichert werden. Sobald ein Nutzer in einer Organisation eine neue verschlüsselte Mail an einen internen Nutzer schreibt, wird von dort das Zertifikat abgerufen.
Exchange Online Nutzer können im Bereich der Zertifikatseinstellungen in den Trust Center Optionen von Outlook ihr Zertifikat in der globalen Adressliste bereitstellen, aber nur wenn Azure AD mit deinem lokalen AD synchronisiert wurde. Wenn nun ein Organisationsnutzer eine interne verschlüsselte Mail versenden möchte, holt sich Outlook zwar nicht automatisch das Zertifikat aus dem Kontakt der globalen Adressliste, die Nutzer können sich jedoch die Kontakte aus der globalen Adressliste inkl. Zertifikat in ihr lokales Adressbuch mit Rechtsklick kopieren. Dies vereinfacht den Austauschprozess erheblich.
Sie haben weitere Fragen zu S/MIME und den Einsatz im Unternehmen? Kontaktieren Sie die Cloud Sicherheitsexperten von aConTech!