:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5b/22/5b22bde70a798882fd87b424b08db454/0114239498.jpeg "(Bild: Alexander – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/31/3c/313c4d5d5853b79cb0b6e35922a67b12/0114113318.jpeg ""Umfassender Cyberschutz auf allen Ebenen", ein Interview von Oliver Schonschek, Insider Research, mit Waldemar Bergstreiser von Kaspersky. (Bild: Vogel IT-Medien / Kaspersky / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/99/cc/99cc4df961053dc747a06fbf36f0962d/0114222186.jpeg "Ab sofort sehen die Besucher des Drogen-Markplatzes Piilopuoti im Darknet nur die folgende Meldung. (Bild: Finnischer Zoll)")
:quality(80)/p7i.vogel.de/wcms/9d/ab/9dab51056cf30c7d100f1bd2daa971f7/0114174544.jpeg "Welche realistische Rolle wird künstliche Intelligenz in der Cybersicherheit übernehmen können und wo liegen aktuell noch die Herausforderungen? (Bild: Shuo - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c6/b5/c6b5e92a108fab05277f55f2433e9923/0114199472.jpeg "Cisco will Splunk übernehmen, um Unternehmen in einer KI-gestützten Welt sicherer und widerstandsfähiger zu machen und dabei den eigenen Umsatz und die Marge zu steigern. (Bild: Cisco)")
:quality(80)/p7i.vogel.de/wcms/71/d2/71d2d4f27a8b93346b4930908e422fd6/0114151621.jpeg "Der Schutz von OT-Umgebungen gegenüber Cyber-Gefahren darf durch Unternehmen nicht vernachlässigt werden. Mit Befolgung der sieben Tipps in diesem Artikel sind Security-Verantwortliche auf der sicheren Seite. (Bild: panuwat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/39/58/395865fa1933cbf2a9d67fc9457b7b79/0114165948.jpeg "Ist ein Cloud-basierter Netzwerkschutz aus dem Rennsport auch für andere Bereiche nutzbar? (Bild: Porsche Motorsport)")
:quality(80)/p7i.vogel.de/wcms/68/47/6847dbe6e975e7baac1f48295a15ef54/0112115142.jpeg "Anything-as-a-Service ist ein Sammelbegriff für Services als Dienstleistung aus der Cloud. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/13/09/13099874e6859350b3819761430047fb/0114005981.jpeg "Jubel, Trubel und Gedränge – neben Taschendieben machen auch immer mehr Cyberkriminelle auf großen Veranstaltungen wie dem Münchner Oktoberfest ihr „Geschäft“. (Bild: frei lizenziert Pexels - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/a4/41/a441d1fcb6898f9bc0139d483077730b/0113477103.jpeg "Die Integration von Sicherheitsprozessen in den Software Development Lifecycle sollte mglichst transparent erfolgen. (© ipopba-stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fc/97/fc9738083cd07dfe9c89c949eb0c40aa/0114113294.jpeg "Microsoft Teams wird in vielen Unternehmen als Kommunikationsplattform genutzt. Immer öfter greifen Hacker gezielt Teams an. Unternehmen müssen reagieren und sich besser schützen! (Bild: Kiattisak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ea/09/ea098195a5d78217dbe8e7be250c803f/0113981663.jpeg "Wie die Geschäftsentwicklung von Cequence unterstreicht, wird Anwendungssicherheit für Unternehmen ein zunehmend wichtiger Faktor. (Bild: The Walker Group)")
:quality(80)/p7i.vogel.de/wcms/3a/0e/3a0e510718ff64c8142c752d9244e514/0114089617.jpeg "Durch einen kompromittierten Microsoft-Account und einen ungeschützten Crash-Dump konnte die Hackergruppe Storm-0558 einen Master-Signatur-Schlüssel von Microsoft stehlen. Die Folgen sind gravierend. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/56/e8/56e81a2cc5d033e060c48271040ce400/0114030088.jpeg "Angriffe auf die kritische Infrastruktur werden weiter zunehmen und Phishing wird ein wichtiger Angriffsvektor sein. Eine Phishing-sichere MFA kann helfen Risiken zu minimieren. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/29/21/2921b37e9174454514f87109f30498da/0113796994.jpeg "Sicherheitsverantwortliche müssen in hybriden IT-Landschaften oft verschiedene Multi-Faktor-Authentifizierungen in einem System vereinen. (Bild: ArtemisDiana - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c9/04/c904bf7dc0be07350005f7dba734f6ff/0113097994.jpeg "Die kostenlose Open-Source-Lösung Matomo bietet ähnlichen Funktionsumfang wie Google Analytics. (Bild: T.Joos)")
:quality(80)/p7i.vogel.de/wcms/e9/99/e99974b8c8a989906f6ae3a16662902a/0114174522.jpeg "Der neue BSI-Standard 200-4 bietet eine praxisnahe Anleitung, um ein BCMS (Business Continuity Management System) im eigenen Unternehmen aufzubauen und zu etablieren. (Bild: PX Media - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8b/36/8b367fb79d91b869c7bcbb43197bc2b4/0114153072.jpeg "So kompliziert die DSGVO auch erscheinen mag, wer die Grundsätze für die Verarbeitung personenbezogener Daten als Grundprinzipien beachtet, hat schon sehr viel erreicht. (Bild: Azar - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/67/8f/678f3451fbd3cc9e468de0e35f73ee4d/0112115118.jpeg "Unter Desktop-as-a-Service versteht man virtuelle Desktops als Service eines Cloud-Anbieters. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/65/23/6523a9c3297be435577880eaf0ee43e4/0112115110.jpeg "Der Digital Operational Resilience Act (DORA) ist eine am 16.01.2023 in Kraft getretene EU-Verordnung über die digitale operative Resilienz im Finanzsektor. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Praxistest SEPPmail Teil 1 Mail einfach und sicher verschlüsseln
Die E-Mail ist inzwischen 50 Jahre alt und wurde schon oft für tot erklärt, ist in Deutschland aber noch immer das wichtigste Kommunikationstool für Unternehmen. Ein großes Argument gegen den Einsatz von E-Mail im geschäftlichen Umfeld: jeder kann auf dem Weg vom Sender zum Empfänger den Inhalt einer E-Mail mitlesen. Darum ist nach wie vor der Ruf nach E-Mail-Verschlüsselung laut.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
:fill(fff,0)/p7i.vogel.de/companies/64/37/6437ab67aaef3/ftapi-icon--1c9045.png "ftapi-icon--1c9045 (FTAPI Software GmbH)"){kind=icon}
In schöner Regelmäßigkeit postulieren Unternehmen wie Microsoft, Slack und nicht zuletzt Facebook mit WhatsApp das nahende Ende der E-Mail, die dabei als antiquiertes Kommunikationsmittel dargestellt wird. Auch wenn man wenig auf den Marketinglärm dieser Messenger-Apologeten gibt, so gibt es doch immer das eine Argument gegen den Einsatz von E-Mail-Nachrichten im Business-Umfeld: E-Mails sind offen wie Postkarten – jeder kann auf dem Weg vom Sender zum Empfänger den Inhalt mitlesen. Darum ist nach wie vor der Ruf nach E-Mail-Verschlüsselung laut.
Die Anforderungen an Secure E-Mail-Lösungen sind groß. Dieser zweiteilige Testbericht soll einen tieferen Einblick geben, was moderne E-Mail-Sicherheitslösungen leisten. Dabei konzentriert sich der erste Teil auf die Installation und Implementierung in bestehende Infrastrukturen sowie die ersten Einstellungen.
Technik, Bestandteile und Einrichtung
Das Schweizer Unternehmen SEPPmail AG hat sich ganz auf Sicherheitsprodukte rund um die E-Mail spezialisiert. Neben Produkten für digitale Zertifikate und Signaturen ist das Secure E-Mail Gateway das Hauptprodukt in der Angebotspalette. Dabei handelt es sich um ein Appliance, die sowohl in Hardware als auch als virtuelle Maschine zum Einsatz kommen kann. Zudem ist es auch möglich, die Lösung als virtuelle Maschine auf der Azure-Cloud zu betreiben. Dazu können die Kunden den entsprechenden Dienst in Microsoft Azure über den Marketplace beziehen. Die Software lässt sich unter den verschiedensten Virtualisierungslösungen nutzen: Neben ESX von VMware und Hyper-V von Microsoft kann SEPPmail unter anderem auch für den Einsatz unter KVM oder Xen installiert werden. Insgesamt fünf unterschiedliche Ausprägungen der Lösung stehen dabei zur Verfügung: Während die sogenannte Basic-Variante für bis zu 50 E-Mail-Postfächer/Nutzer ausgelegt ist, kann die Standardvariante schon bis zu 500 Nutzer bedienen. Als Maximum benennt das Unternehmen die als Enterprise bezeichnete Version ab 5000 Nutzer. Dazwischen liegen die Versionen Business und Advanced, mit jeweils einem Maximum von 1000 beziehungsweise 5000 Nutzer. Die Lösung kann aber auch kaskadierend mit mehreren Appliances verwendet werden, um das Limit weiter nach oben zu treiben.
Ein Blick in das gut strukturierte und übersichtliche Handbuch, das komplett in deutscher Sprache zur Verfügung steht, zeigt zudem, dass es für erfahrende IT-Administratoren recht leicht sein dürfte, die Appliance – gleich ob in Hardware oder als virtuelle Installation – im eigenen Unternehmen zu installieren. Ein „Quick Setup Guide“ beschreibt zusätzlich die wichtigsten Einstellungen und Handgriffe bei der Installation. Diese Beschreibung steht ebenfalls komplett in deutscher Sprache zur Verfügung. Dabei ist es laut SEPPmail grundsätzlich sinnvoll, dass die Appliance direkt und vollständig in den „Strom der E-Mails“ integriert wird. Das bedeutet dann, dass wirklich jede ein- und ausgehende Nachricht auch durch die Appliance geht und von dieser bearbeitet werden kann.
Kurzer Blick auf die Administration
Uns wurde vom Unternehmen für diesen Bericht eine Installation von SEPPmail auf Azure zur Verfügung gestellt, was den sofortigen Einsatz des E-Mail-Gateway in direkter Zusammenarbeit mit Microsoft 365 möglich machte. Der Schwerpunkt unseres Tests lag dabei auf dem praktischen Einsatz der Lösung aus Sicht der Nutzer, weswegen wir hier nur kurz auf die Verwaltung des Gateway aus der Sicht der IT-Abteilung eingehen. Zu Verwaltung und Betreuung können sich die Administratoren direkt auf dem Gateway anmelden. Dazu steht in der Appliance ein integrierter Web-Server bereit, zu dem sie dann eine Verbindung via SSL aufbauen können. Die Entwickler von SEPPmail haben der Versuchung widerstanden, die Software – wie es bei vielen aktuellen Produkten im Moment üblich ist – mit einer möglichst umfangreichen Oberfläche im Browser in Form eines Dashboards auszustatten. Wer sich hier anmeldet, findet sich danach in einer Oberfläche wieder, die den spröden Charme einer Linux-Anwendung aus den 90er-Jahren verbreitet; was wohl nicht zuletzt dem Betriebssystem OpenBSD geschuldet ist, auf dem die Software basiert. Doch die einfache, im Prinzip textorientierte Oberfläche bietet dem Administrator alle Konfigurationsmöglichkeiten, die er benötigt. Hinzu kommt die unbestrittene Tatsache, dass dieses Unix-Derivat für seine Robustheit und Widerstandsfähigkeit gegenüber Angriffen bekannt ist. Dieses Betriebssystem ist dann aber verantwortlich dafür, dass die Oberfläche an dieser Stelle nur in englischer Sprache bereitsteht.
Die Appliance verfügt auch über ein rollenbasiertes Rechtesystem. So existieren neben dem Admin mit Vollzugriff weitere spezielle Rollen, beispielsweise für administrative Nutzer, die systemrelevante Konfigurationseinstellungen vornehmen können, oder für einen Backup-Nutzer, an dessen Adresse täglich ein verschlüsseltes Backup der Appliance gesendet werden kann. Weitere Rollen betreffen unter anderem die Gruppenverwaltung, wobei Administratoren die vorhandenen Rollen und Gruppen ergänzen können, oder einen Administrator, der ausschließlich für die Verwaltung der GINA-Domänen zuständig ist. Wer jetzt bei der Erwähnung von täglichen Backups Bedenken bekommt, dass damit die Appliance schnell überlastet und der Speicherplatz ausgeschöpft ist, sollte sich bewusst machen, dass auf der SEPPmail Appliance keine Nutzdaten abgespeichert werden. Die verschlüsselten Nachrichten werden immer komplett ausgeliefert. Dadurch beschränkt sich der Inhalt der Sicherung ausschließlich auf die Konfigurations- und Schlüsseldaten. Der Anbieter versicherte uns in diesem Zusammenhang, dass das Datenvolumen der Sicherungen selbst nach jahrelangem Betrieb der Appliance sehr gering bleibt.
In der Oberfläche steht den Systembetreuern auch das zentrale Management der gesamten Verwaltung von OpenPGP Public Keys und S/MIME-Zertifikaten inklusive automatischen Widerrufs (Revokation) und einer Liste der Trusted Certification Authorities (CAs) zur Verfügung. IT-Mitarbeiter, die sich schon mit der Einrichtung und Verwaltung einer PKI (Public Key Infrastructure) für das eigene Unternehmen herumärgern durften, werden den hier verfolgten Ansatz des zentralen Managements sicher begrüßen. Trotzdem steht natürlich auch die Anbindung an eine externe PKI zur Verfügung. Auch das automatisierte Erstellen persönlicher S/MINE-Zertifikate bietet die Appliance an. Administratoren, die mit der Oberfläche im Browser arbeiten wollen, müssen sich nur daran gewöhnen, möglichst nicht die Vor- und Zurück-Pfeile des Browsers zu nutzen, um sich in dem Menü zu bewegen. Sie sollten nach Möglichkeit das gewünschte Untermenü aus der oberen Leiste des Browser-Fensters auswählen. Ansonsten kann es ihnen passieren, dass sie die Fehlermeldung „Formular erneut einreichen?“ zu sehen bekommen. Das funktioniert dann aber nicht, so dass eine neue Anmeldung am Web-Server nötig wird.
Teilhabe für alle: GINA in der Praxis
Ein häufig thematisiertes Problem bei der E-Mail-Verschlüsselung ist die Kommunikation mit anderen Unternehmen und deren Nutzern. Kann oder will die „Gegenseite“ nicht die entsprechende Verschlüsselungssoftware installieren, so müssen auch die eigenen Mitarbeiter – wenigstens für diese Einsatzfälle – wieder auf unverschlüsselte Nachrichten setzen. Um dieses Problem zu umgehen, haben die Entwickler von SEPPmail die sogenannte GINA-Technologie entwickelt, die sie als Teil der Lösung bereitstellen. Das Unternehmen hat diese Technik auch patentiert. Bei diesem Web-Mailer werden auf der Empfängerseite nur ein Web-Browser und die Möglichkeit, E-Mails zu empfangen, benötigt. Auf der Seite des Senders muss für das Einrichten dieses Verfahrens gewährleistet sein, dass die SEPPmail-Appliance aus dem Internet erreichbar ist. Dies wird in der Regel über den SSL Port 443 gewährleistet. Zudem sollte auf der Appliance laut SEPPmail ein gültiges SSL-Zertifikat einer akkreditierten Certification Authority (CA) eingebunden sein.
Wer nun als Anwender in einem Unternehmen mit einem SEPPmail-Server eine verschlüsselte Nachricht an einen E-Mail-Empfänger ohne eine entsprechende Lösung versenden möchte, kann dazu seiner Betreffzeile das Schlüsselwort [confidential] voranstellen. Nutzer, die Outlook einsetzen, können die Mail dort auch einfach als „Vertraulich“ markieren. Mit dem Outlook-Add-In für lokal installierte Outlook-Anwendungen stehen diesem Anwenderkreis auch entsprechende Schaltflächen zur Verfügung. Auf den Einsatz dieses Add-In gehen wir im weiteren Verlauf dieses Berichts noch detailliert ein.
Handelt es sich bei dieser Nachricht um die erste verschlüsselte Mail an diesen Empfänger, so bekommt der Nutzer von der Lösung eine Mail mit einem Passwort. Dieses kann er dann ganz im Sinne der Verschlüsselung dem Empfänger der Nachricht über einen anderen Kanal wie SMS oder Telefon mitteilen. Besonders gut hat uns dabei gefallen, dass der Versender auch die Möglichkeit besitzt, in der Betreffzeile der ausgehenden Nachricht mit „(sms: +49xxxxxxxxx)“ gleich die Telefonnummer des Empfängers hinzuzufügen. Das Mail-Gateway entfernt dann diesen Eintrag aus der Betreffzeile und sendet das Passwort direkt als SMS an den Empfänger. Das ist eine sehr praxistaugliche und gute Lösung, diese Austauschprozedur zu Beginn zu vereinfachen und zu beschleunigen. Der Empfänger erhält die verschlüsselte Mail und das Passwort und kann so die Mail entschlüsseln. Er hat im Browser-Fenster auch die Möglichkeit, gleich wieder verschlüsselt zu antworten. Zudem kann (und sollte er unbedingt) an dieser Stelle dann auch gleich das Initialpasswort ändern. Sind diese Schritte durchlaufen, so wird das Mail-Gateway ab diesem Zeitpunkt jede als vertraulich gekennzeichnete Mail an diesen Empfänger automatisch verschlüsseln. Dem Empfänger ist das Speichern der Mail als E-Mail- oder Outlook-Nachricht sowie als PDF-Datei ebenfalls direkt aus dem Browser-Fenster heraus möglich.
Der erste Teil des Tests zeigt, dass sich die Appliance einfach in bestehende IT-Infrastrukturen integrieren lässt und die erforderlichen Konfigurationen nach relativ kurzfristiger Einarbeitung problemlos durchführbar sind. Des Weiteren sind positiv die durchgehende Einhaltung der Datenschutzaspekte und auch die geringen Datenressourcen für Sicherungen zu erwähnen. Die Lösung lässt sich zentral administrieren und lässt sich darüber hinaus auch an eine externe PKI anbinden.
Im folgenden zweiten Teil des Tests stehen die praktische Anwendung eines Secure E-Mail Gateway im Vordergrund. Auch der Einsatz und die Einbindung einer E-Mail-Sicherheitslösung in Outlook wird dabei unter die Lupe genommen.
:quality(80)/images.vogel.de/vogelonline/bdb/1883500/1883553/original.jpg "Damit E-Mail-Verschlüsselung auch genutzt wird, muss das komplexe Thema so umgesetzt werden, dass sich die Verschlüsselung leicht in den täglichen Betrieb integrieren lässt. (peterschreiber.media - stock.adobe.com)")
Praxistest SEPPmail Teil 2
E-Mail-Verschlüsselung mal einfach
(ID:47712850)
:quality(80)/p7i.vogel.de/wcms/72/d9/72d9295d0dbbac8caed4631f0b3d1d8e/0105990932.jpeg "In der aktuellen Version 3.11.0 der Secudos Qiata Appliance wurde die Messlatte für Sicherheit und digitale Souveränität noch einmal höher gelegt. (Bild: cutimage - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1947100/1947163/original.jpg "E-Mail-Verschlüsselung birgt ein Problem für die IT-Sicherheit: Ist der Inhalt einer Mail korrekt verschlüsselt, ist er nicht nur für Dritte, sondern auch für Sicherheitslösungen nicht mehr lesbar. (sdecoret)")