Suchen

Automatisierte Verschlüsselung und Inhaltskontrolle E-Mail-Sicherheit durch kombinierte Security-Techniken erhöhen

Autor / Redakteur: Gisela Knabl / Stephan Augsten

Mit E-Mail-Verschlüsselung und digitalen Signaturen haben sich bereits Mechanismen etabliert, mit denen Unternehmen sensible Daten schützen. Doch das Sicherheitsniveau lässt sich noch steigern, beispielsweise durch eine Kombination verschiedener Mechanismen und automatisierte Richtlinien-Durchsetzung.

Firmen zum Thema

Automatisierte Prozesse heben die E-Mail-Sicherheit auf ein höheres Niveau.
Automatisierte Prozesse heben die E-Mail-Sicherheit auf ein höheres Niveau.
( Archiv: Vogel Business Media )

Die E-Mail ist das wichtigste geschäftliche Kommunikationsmittel – mit der Konsequenz, dass massenhaft sensible Daten elektronisch übermittelt werden. Bereits jetzt verschlüsseln viele Unternehmen ihre E-Mails, um entsprechende Inhalte vor unbefugtem Zugriff zu schützen. Eine digitale Signatur gibt darüber hinaus Rechtssicherheit: Die E-Mail stammt tatsächlich vom angegebenen Absender und der E-Mail-Inhalt konnte nicht manipuliert werden.

„Mit dem Einsatz von Verschlüsselung und digitaler Signatur allein ist es aber nicht getan“, ermahnt Birk Zscheppank, Geschäftsführer von Secure Internet Traffic (S.I.T.). „Verlässliche E-Mail-Sicherheit in Unternehmen, insbesondere bei verteilten Umgebungen, bedarf einer intelligenten Integration von Security-Technologien.“

Bildergalerie

Allen voran steht dabei die Kombination von Verschlüsselung und Inhaltskontrolle. Ver- und Entschlüsselung sowie die elektronische Signatur sollten ohnehin auf einem zentralen E-Mail-Gateway stattfinden. An dieser Stelle ist es gleichzeitig möglich, verschlüsselte E-Mails noch vor der Zustellung auf Viren und unerwünschten Inhalt zu prüfen.

Darüber hinaus gewährleistet die Entschlüsselung am Gateway eine problemlose Archivierung der geschützten E-Mails. Bei einer Client-basierten Verschlüsselung wären diese Maßnahmen am Gateway nicht mehr möglich, da die E-Mails am Server bereits verschlüsselt eintreffen.

Automatisierte Durchsetzung von Richtlinien

Was inhaltlich zulässig ist, was Risiken birgt und was vertraulich ist – und deshalb verschlüsselt werden muss – sollte unternehmensweit einheitlich geregelt sein. Hier ist kein Platz für potentielle Fehlentscheidungen der Mitarbeiter.

Abhilfe schafft eine richtliniengesteuerte, automatisierte Ver- und Entschlüsselung. Sie bietet gleich mehrere Vorteile: Einerseits steigt das gesamte Sicherheitsniveau, andererseits lässt sich auch die geforderte Vertraulichkeit revisionssicher nachweisen. Außerdem muss sich der Mitarbeiter bei der Arbeit keine Gedanken um die Sicherheitsanforderungen im E-Mail-Verkehr machen.

Durch die Verlagerung der Verschlüsselung zum Gateway unter Betreuung durch die IT-Administration werden Anwender entlastet und sie können Sicherheitsvorgaben auch nicht umgehen – das Sicherheitsniveau wird zentral gesteuert, komplexe Abläufe wie Schlüsselaustausch und Signaturprüfung fallen nicht mehr in die Zuständigkeit des Nutzer.

Seite 2: Verschlüsselungsstandards und Alternativen

Verschlüsselungsstandards und Alternativen

Um eine hohe Verschlüsselungsquote zu erreichen, sollte eine Lösung zum einen die beiden etablierten Verschlüsselungsstandards S/MIME und Open PGP vollständig unterstützen. Zum anderen müssen Funktionen vorhanden sein, um vertrauliche Informationen an Empfänger zu senden, die bisher noch keine Verschlüsselungslösung betreiben.

Die Ad-hoc-Verschlüsselung ermöglicht es, Nachrichten passwortverschlüsselt zu übermitteln, ohne mit der Gegenstelle vorab Keys oder Zertifikate austauschen zu müssen. Damit besteht eine sichere und unkomplizierte Methode, die eine spontane Übertragung von verschlüsselten E-Mails an jeden beliebigen Adressaten ermöglicht.

Zu den weiteren wichtigen Anwendungsgebieten zentraler Encryption-Lösungen gehören die Signatur-Erstellung und die Überprüfung eingehender elektronischer Rechnungen. Denn immer häufiger werden Rechungen im PDF-Format per E-Mail versandt.

Diese PDF-Dokumente nur auszudrucken und in die Unterlagen zu legen ist jedoch umsatzsteuerlich ungenügend. Für eine vorsteuerliche Abzugsfähigkeit müssen sie vom Absender mit einer qualifizierten Signatur versehen werden.

Leichtfertigkeit ist die größte Bedrohung

Vor allem mittelständische Unternehmen haben in den genannten Punkten offensichtlich Nachholbedarf. In der Studie von Corporate Trust, „Gefahrenbarometer 2010: Sicherheitsrisiken für den deutschen Mittelstand“, wird deutlich, dass mehr als die Hälfte der Unternehmen ihren Mitarbeitern und Partnern keine klaren Vorgaben zum Umgang mit vertraulichen Information, Daten oder Dokumenten macht; und nur die wenigsten Mittelständler legen bei der Kommunikation Wert auf Verschlüsselung.

Wirtschaftsspionage und Produktpiraterie stehen laut dem Gefahrenbarometer 2010 mit 47,8 Prozent auf Rang 1 der nach Meinung der Unternehmen größten Risiken bei Geschäftstätigkeit im Ausland. 58,4 Prozent der Unternehmen glauben, dass der leichtfertige Umfang von Mitarbeitern mit Sicherheitsstandards die größte Bedrohung für IT und Telekommunikation darstellt.

„Vor diesen Herausforderungen stehen alle Unternehmen – nicht nur die typischen Branchen wie Banken, Versicherungen oder der medizinische Bereich, wo der Schutz von personenbezogenen Daten höchste Priorität hat“, erklärt Henning Ogberg, Sales Director Central and Eastern Europe von Clearswift.

Clearswift und S.I.T. haben deshalb gemeinsam das technische Konzept entwickelt, Encryption-Technologie als Software-Plug-in direkt in Content Security Gateways für die E-Mail-Inhaltskontrolle zu integrieren. Auf den folgenden Seiten wird dieser Ansatz im Detail erläutert.

Seite 3: Integration von Verschlüsselung und Inhaltskontrolle

Integration von Verschlüsselung und Inhaltskontrolle

Durch die Integration von Verschlüsselungstechnologie in bestehende Content-Gateways ergeben sich mehrere Vorteile. Während der Administrationsaufwand sinkt, werden gleichzeitig zusätzliche Investitionen in Hardware vermieden; die Konfiguration und Verwaltung der Nachrichten sowie das Reporting erfolgen zentral im bestehenden Content-Gateway.

Eingehende Nachrichten werden direkt am Gateway entschlüsselt und auf Viren geprüft. Zudem können nach der Inhaltsanalyse einheitlich die gesamten Sicherheits-Richtlinien angewendet werden – auch auf alle unverschlüsselten E-Mails. Um die hohen Sicherheitsanforderungen einzelner Anwender zu befriedigen, lassen sich die E-Mails nach der zentralen Kontrolle am Gateway wieder verschlüsseln und intern an den Empfänger weiterreichen.

Für die Entscheidung, welche E-Mails vertrauliche Informationen enthalten und deshalb vom Gateway verschlüsselt werden müssen, dienen zum einen typische Merkmale wie Absender, Adressat oder Schlüsselworte im Betreff oder Header. Neben der Ver- und Entschlüsselung von PGP- und S/MIME-Nachrichten wird darüber hinaus die Passwort-basierende Ad-hoc-Verschlüsselung unterstützt.

Über weitere Erkennungstechniken der Content Engine lassen sich automatisierte Verschlüsselungsregeln gestalten. So können E-Mails, die im Text oder in beliebigen Anhängen wie Tabellen, Präsentationen oder PDF-Dokumenten sensible Informationen wie Kreditkatendaten, Personenkennzahlen, Vertragstexte oder vertrauliche Dokumente enthalten, erkannt und automatisch verschlüsselt werden.

Vereinfachte E-Mail-Infrastruktur mit wenig Aufwand

Die Kombination aus Inhaltsanalyse und Verschlüsselung macht zusätzliche Encryption-Gateways überflüssig. Alle Anforderungen an E-Mail-Sicherheit wie Anti-Spam, Antivirus, Content Scan, Data Loss Prevention (DLP), Verschlüsselung und digitale Signatur lassen sich in einer Lösung abbilden.

Ein zentrales Management bietet die Möglichkeit, bis zu acht Content-Gateways zu verwalten. Damit eignet es sich speziell für komplexe, verteilte Infrastrukturen mit Anforderungen an Redundanz, Lastverteilung oder regionale E-Mail-Zugänge.

Die Administration wird durch automatisierte Prozesse reduziert. So werden neue Zertifikate und PGP-Schlüssel von Kommunikationspartnern in den eingehenden E-Mails von der Encryption-Technologie automatisch erkannt und extrahiert. Zertifikate von vertrauenswürdigen Ausstellern aber auch PGP-Keys werden sofort automatisch importiert und stehen damit zur Verschlüsselung und Signaturprüfung bereit. Ein administrativer Eingriff für den Schlüsselimport ist nicht mehr nötig.

Seite 4: Automation für Schlüssel und Signaturen

Automatisiertes Key-Management

Für die Verteilung der eigenen Schlüssel und Zertifikate dient ein Keyserver, der von Kommunikationspartnern unkompliziert abgefragt werden kann. Genauso kann auch ein interner Anwender die Verteilung seiner PGP-Schlüssel und Zertifikate an seine Kommunikationspartner selbst veranlassen.

Um die Verwaltung der Schlüssel und Zertifikate so gering wie möglich zu halten, werden durch das Gateway die Schlüssel erst bei Bedarf (On Demand) erzeugt. Bereits vorhandene Schlüssel oder Zertifikate von Trustcentern lassen sich bequem importieren.

Neben den Richtlinien-orientierten Verschlüsselungsaufgaben für Adressgruppen bietet die Lösung auch einen selbständig arbeitenden Verschlüsselungsmodus für jede E-Mail, für dessen Empfänger ein Schlüssel oder Zertifikat vorhanden ist. Dabei wird nicht nur im eigenen Store, sondern auch selbständig auf Keyservern und in Verzeichnissen der Trustcenter nach dem passenden Schlüssel für den Empfänger gesucht. Andernfalls greift die Ad-Hoc-Verschlüsselung für eine passwortgeschützte E-Mail.

Workflows für Signatur-Prozesse

Über die in Gateways integrierte Verschlüsselungstechnologie kann der gesamte Workflow des automatisierten Signaturprozesses abgedeckt werden. Dazu zählen

  • die Signatur der Dokumente
  • der verschlüsselte Versand
  • die Entschlüsselung empfangener Nachrichten
  • die Verifikation der Signatur
  • die Erstellung eines Prüfprotokolls und
  • die Weiterleitung der Nachrichten an ein angeschlossenes Archivsystem.

So lassen sich insbesondere auch Rechnungsvorgänge papierlos und unter Beachtung aller gesetzlichen Vorschriften für die elektronische Massensignatur abwickeln.

(ID:2048106)