Praxistest SEPPmail Teil 2 E-Mail-Verschlüsselung mal einfach

Die E-Mail ist im Geschäftsalltag das Kommunikationsmittel Nummer eins, und es werden sensibelste Informationen auf diesem Wege ausgetauscht. Das zunehmende Bewusstsein hinsichtlich der digitalen Datensouveränität in Unternehmen bringt auch die Diskussion zur Einführung von entsprechenden Sicherheitslösungen mit sich.

Firmen zum Thema

Damit E-Mail-Verschlüsselung auch genutzt wird, muss das komplexe Thema so umgesetzt werden, dass sich die Verschlüsselung leicht in den täglichen Betrieb integrieren lässt.
Damit E-Mail-Verschlüsselung auch genutzt wird, muss das komplexe Thema so umgesetzt werden, dass sich die Verschlüsselung leicht in den täglichen Betrieb integrieren lässt.
(© peterschreiber.media - stock.adobe.com)

In unserem ersten Teil des Praxistests der SEPPmail-Lösung haben wir uns vor allem auf die Einrichtung und Administration konzentriert. Im Folgenden soll es nun um den Einsatz eines E-Mail Security Gateway in der Praxis gehen und wie sich solche Lösungen in beispielsweise Outlook integrieren.

Arbeiten mit einer lokalen Outlook-Installation

SEPPmail stellt das Outlook-Add-In für die eigene Lösung in einer ca. 9 MByte großen ZIP-Datei zum kostenlosen Download bereit. Nach dem Auspacken dieser Datei findet der Administrator eine ausführbare Setup-Datei im .exe-Format und das eigentliche Add-In in Form einer MSI-Datei auf seinem System. Durch die MSI-Datei ist dieses Add-In dann natürlich auch dazu geeignet, im Unternehmensnetzwerk beispielsweise via Active Directory verteilt zu werden. Der Anbieter empfiehlt, die Setup.exe-Datei zu wählen, wenn die Software unter Windows 7, 8 oder 10 bei eingeschalteter Benutzerkontensteuerung (UAC – User Account Control) über einen Rechtsklick „Als Administrator“ installiert werden muss. Zudem prüft diese Setup-Datei, ob die Voraussetzungen für die Installation (wie das Vorhandensein des .NET Framework) erfüllt sind.

Wir wählten eine interaktive Installation für das Add-In aus. Dabei kam jeweils eine lokal installierte Version von Outlook für Microsoft 365 (entspricht der Version Outlook 2019) auf einem Rechner unter Windows 10 in der Enterprise-Version und auf einem mobilen System unter Windows 10 Pro zum Einsatz. Während des Installationsvorgangs erscheint ein größeres Fenster mit einer ganzen Reihe von Optionen für die Funktionen von SEPPmail, die der Administrator an dieser Stelle auswählen kann. So kann er dort unter anderem festlegen, welche Funktion das Add-In dem Nutzer später im Mail-Fenster unter Outlook zur Verfügung stellt. Acht Schaltflächen kann der Administrator so in das Mail-Fenster des Nutzers bringen. In der Regel wird er aber sicher eine Auswahl treffen und nicht alle diese Schaltflächen aktivieren. Weiterhin kann er auf der rechten Seite dieses Fensters die sogenannten „Tag-Einstellungen“ festlegen. Mit Hilfe der Tags reicht das Add-In Anweisungen an die Appliance weiter. Dazu gehört beispielsweise die Anweisung, dass eine Nachricht verschlüsselt oder signiert versendet werden soll. Wählt der Administrator hier das Kästchen „Subject-Mode“ aus, so finden die Empfänger die Schlüsselwörter auch in der Betreffzeile wieder.

Wir mussten allerdings bei unvorbereiteten Empfängern der Nachricht die Erfahrung machen, dass diese Eigenschaft zu Verwirrung führen kann: Einige Adressaten dachten gleich an eine Phishing-Mail, als sie [sign] [confidential] in der Betreffzeile sahen. Hier empfiehlt es sich also, das entsprechende Feature über die Schaltfläche im Mail-Fenster vor dem Absenden zu deaktivieren, wenn der Empfänger eine unverschlüsselte Nachricht erhalten soll. Die bei der Installation vorgenommenen Einstellungen bestimmen unter anderem auch, ob den Nutzern Tooltips angezeigt werden oder ob ausgehende Mails kategorisiert werden können. Bei einer „Silent Installation“ mit Administratorrechten von der Kommandozeile aus können alle diese Einstellungen dem Programm auch mittels Parameter übergeben werden.

Nach der Installation verlangt das Programm noch einen Neustart von Outlook. Wenn der Nutzer danach eine neue Mail schreibt, sieht er im Fenster zum Verfassen neuer Nachrichten in der oberen Leiste ganz links nun die vom Administrator zuvor bei der Installation „eingeschalteten“ Schaltflächen. Hat er dabei für eine dieser Optionen das Kästchen „standardmäßig“ ausgewählt, so wird dies dadurch angezeigt, dass die Option mit einem grauen Kasten umrahmt wird. Hat der Administrator es nicht grundsätzlich unterbunden, kann der Anwender hier auch die vorgewählten Optionen ausschalten. Von anderen Lösungen, die ebenfalls ein Add-In zur Verschlüsselung in Outlook einbinden, waren wir es allerdings gewohnt, dass es dann von dort aus auch möglich war, die Einstellungen für diese Add-In zu verändern (natürlich nur mit den richtigen Nutzerrechten). Eine solche Möglichkeit stellt SEPPmail hier nicht zur Verfügung. Wer – wie wir bei der ersten Testinstallation – die Schaltfläche für „Verschlüsseln“ so eingestellt hat, dass sie standardmäßig immer automatisch ausgewählt ist, muss diese Schaltfläche entweder händisch bei jeder Nachricht abwählen oder die Einstellungen mittels der von SEPPmail eingetragenen Registry-Schlüssel verändern. Das erfordert dann jeweils noch einen Neustart des lokalen Outlook-Programms. Das Ein- und Ausschalten der Schaltflächen via Registry-Schlüssel funktionierte im Test ohne Probleme. Allerdings würden wir uns wünschen, dass es dazu noch eine etwas anwenderfreundlichere Lösung gäbe, beispielsweise direkt im Menü. Für Installationen in größeren Unternehmen, in denen die Nutzer diese Einstellungen nicht ändern sollen, könnte das ja immer noch ausgeblendet werden.

Zum Abschluss dieser Testphase haben wir dann das Add-In auf unseren lokalen Testsystemen mit Outlook auch wieder deinstalliert. Dieser Vorgang verlief in allen Fällen reibungslos und hinterließ keinerlei „Software-Rückstände“ auf den Windows-Rechnern. Zum Zeitpunkt unseres Tests entwickelte das Unternehmen bereits eine erweiterte und verbesserte Version dieses Add-In, die dann bald nicht nur für Outlook unter Windows, sondern auch unter macOS verfügbar sein soll. Eine Version für die mobile Variante von Outlook ist ebenfalls in Arbeit.

Ein kurzer Blick auf den „mobilen Einsatz“

Aber nicht nur für die mobile Version von Outlook wird es dann ein Add-In geben, sondern auch eine App für die weitverbreiteten Android-Geräte steht in den Startlöchern. Bisher bot das Unternehmen nur eine „offizielle iApp“ zur Entschlüsselung von SEPPmail GINA-E-Mails auf einem iPhone und iPad an, die ab iOS in der Version 10 eingesetzt werden kann. Uns stand bereits vorab eine APK-Datei mit der neuen Android-Version der Reader-App zur Verfügung. Diese wird dann in absehbarer Zeit auch über den offiziellen Playstore von Google bereitstehen. Sie kann ab der Version 7 von Android eingesetzt werden. Wir haben die Software für einen kurzen Test auf einem Nokia 7 plus unter Android 10 installiert. Das funktionierte gut, nachdem wir die entsprechenden Sicherheitseinstellungen von Android so verändert hatten, dass wir auch aus „unbekannten Quellen“ installieren konnten; ein Problem, das nicht mehr existieren wird, wenn die App dann im offiziellen Google Playstore bereitsteht. Der Einsatz der App ist einfach: Erhält der Nutzer eine Mail, die eine mit GINA verschlüsselte Nachricht im Anhang mitbringt, so kann er dann diesen Anhang mit Hilfe des „SEPPmail Reader“ empfangen. Dieser entschlüsselte unsere Testnachricht sehr schnell. Dabei hat es uns gut gefallen, dass die App automatisch die auf unseren Android-Geräten eingerichtete Authentifizierung mittels Fingerabdruck zum Entschlüsseln einsetzte. In der Regel wird kaum ein Nutzer einen umfangreichen verschlüsselten E-Mail-Verkehr auf einem Smartphone betreiben. Aber um eine verschlüsselte Nachricht unterwegs auf einem Smartphone oder Tablet zu lesen, ist eine solche Reader-App sehr gut geeignet. Natürlich könnten die Nutzer trotzdem auch auf diesen Geräten SEPPmail nur mit Hilfe des Browsers auf den mobilen Geräten nutzen – aber die Nutzung solcher Browser-Schnittstellen ist häufig gerade auf den kleineren Displays von Smartphones eher schwierig, weshalb der Einsatz spezieller Apps sehr sinnvoll ist.

Fazit: Einfach einzurichten, leicht zu nutzen und gut zu integrieren

SEPPmail konnte uns im Praxistest voll und ganz überzeugen: Die Lösung fügt sich harmonisch und problemlos in eine bestehende E-Mail-Infrastruktur ein. Was uns besonders positiv auffiel: Der Einsatz ist auch für „normale Nutzer“ leicht zu bewältigen. Die Möglichkeit, mit Hilfe der als GINA bezeichneten Technik auch mit Nutzern außerhalb des eigenen Firmennetzwerks eine verschlüsselte Verbindung aufzubauen, hat uns ebenfalls sehr gut gefallen. Dabei hilft es sehr, dass die ersten Mails, die mit Hilfe dieser Software ausgesendet werden, mit guten Erklärungen ausgeliefert werden. Hat man dann den Kommunikationspartner kurz eingeweiht, so funktionierte die Übertragung problemlos. Alle Adressaten, die wir im Rahmen der Testphase mit einer solchen Mail „überfallen“ haben, konnten die Lösung schnell und problemlos nutzen; auch wenn es sich bei ihnen nicht um „IT-Fachpersonal“ handelte.

Die von uns genutzte Version des Secure E-Mail Gateway auf Azure erwies sich ebenfalls als problemlos und dabei gut zu verwalten. Gerade für kleinere Unternehmen aus dem KMU-Umfeld, die keine IT-Mannschaft für Installation und Betrieb einer Appliance im eigenen Unternehmen zur Verfügung haben, bietet sich dieser Ansatz an. Dass die Lösung dann auch – wie wir im Test feststellen konnten – sehr gut mit Microsoft 365 harmonierte, rundet diesen Eindruck positiv ab. Wer schon häufiger mit Linux-Anwendungen gearbeitet hat, sollte sich auch in der Administrationsoberfläche der Appliance, die sehr viele Einstellmöglichkeiten bietet, relativ schnell zurechtfinden. Zudem erläutert das Handbuch alle Einstellungen.

Wie bei ähnlichen Lösungen anderer Hersteller bietet auch SEPPmail ein Add-In für Outlook-Versionen an, die lokal auf Rechnern der Anwender ausgeführt werden. Diese Integration funktionierte in Bezug sowohl auf Installation (und Deinstallation) wie auch auf den täglichen Betrieb reibungslos. Es ist jedoch schade, dass SEPPmail – und darin unterscheidet sich die Lösung nicht von Lösungen anderer Anbieter – hier nur Microsoft Outlook auf dem Desktop unterstützt. Obwohl Outlook sicher auf einem Großteil der Unternehmensrechner zu finden sein wird, dürfte es doch genügend Firmen geben, die beispielsweise Mozillas Thunderbird unter Windows oder Airmail auf ihren Apple-Systemen verwenden. Wie bereits erwähnt, arbeiten die Entwickler aber daran, dass dieses Add-In dann auch auf Geräten unter macOS und später auch in der mobilen Version von Outlook eingesetzt werden kann.

Insgesamt ist es den Entwicklern aus der Schweiz gelungen, das komplexe Thema der E-Mail-Verschlüsselung so umzusetzen, dass sich die Verschlüsselung leicht und einfach benutzen und in den täglichen Betrieb integrieren lässt. Das Secure E-Mail Gateway bietet insgesamt eine sehr professionelle Lösung für diese Zwecke an. Zudem ist es für die IT-Abteilung relativ einfach und ohne allzu großen Aufwand möglich, die Appliance – in Form der Hardware oder als virtuelle Appliance – vor dem eigenen Mail-Server zu positionieren. Wenn es also darum geht, die Sicherheitslücke der „Postkarten“-E-Mail deutlich zu verbessern, dann ist SEPPmail sicher eine Lösung, auf die ein näherer Blick lohnt.

(ID:47712854)

Über den Autor