88871
12.10.2011, aktualisiert um 10:30:25 Uhr
9127
12
0
E-Mail Verschlüsselung - Vorschläge und Tipps gefragt
Hallo
Ich brauche eine Verschlüsselung für Email. Wir benutzen Outlook 2007 / 2010 oder Gmail.
Ich habe nun von PGP oder von S/MIME gehört.
Habt ihr Vorschläge oder Tipps wie ich sowas einrichte ? Kostet das was ? Gibts alternativen ?
Bei PGP verstehe ich nicht: Muss ich ein Tool installieren auf dem Client ? Gibts ein Outlook Plugin ? (Wohl kaum) Oder wie muss ich mir das Ver und Entschlüsseln vorstellen.....
Danke fuer Eure Tipps
Ich brauche eine Verschlüsselung für Email. Wir benutzen Outlook 2007 / 2010 oder Gmail.
Ich habe nun von PGP oder von S/MIME gehört.
Habt ihr Vorschläge oder Tipps wie ich sowas einrichte ? Kostet das was ? Gibts alternativen ?
Bei PGP verstehe ich nicht: Muss ich ein Tool installieren auf dem Client ? Gibts ein Outlook Plugin ? (Wohl kaum) Oder wie muss ich mir das Ver und Entschlüsseln vorstellen.....
Danke fuer Eure Tipps
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 174529
Url: https://administrator.de/contentid/174529
Ausgedruckt am: 22.11.2024 um 16:11 Uhr
12 Kommentare
Neuester Kommentar
Hallo,
http://www.uckanleitungen.de/gnupg/
Installiert sich auch in Outlook... durchlesen musst Du selbst
Gruß
LS
http://www.uckanleitungen.de/gnupg/
Installiert sich auch in Outlook... durchlesen musst Du selbst
Gruß
LS
Hallo,
für PGP muss tatsächlich etwas installiert werden, bei S/MIME ist außer dem benötigten Zertifikat alles schon in Outlook vorhanden. Die Einrichtung als solches zu beschreiben ist recht umfangreich. Ich versuche es aber so knapp wie möglich und ausführlich wie nötig.
In jedem Fall (PGP und S/MIME) benötigen beide Seiten (Sie und Ihr Kunde) einen E-Mail-Client der die E-Mail-Verschlüsselung unterstützt (Outlook, Windows Mail etc) und ein Softwarezertifikat, welches Sie sich bei diversen Anbietern besorgen können. Vertrauenswürde Anbieter für kostenfreie Zertifikate sind zum Beispiel www.trustcenter.de oder www.startssl.com. Ein wichtiger Hinweis für die Beantragung: Das Zertifikat sollte von dem PC aus beantragt werden, von dem später die verschlüsselten und signierten E-Mails geschickt werden sollen. Jeder von Ihnen muss das Zertifikat auf seinem PC installieren und in seinen Mail-Client einbinden. Nur auf diesem PC gibt es dann den sogenannten privaten Schlüssel zu dem Zertifikat.
Nachdem Sie das Zertifikat installiert und im Mail-Client konfiguriert haben, können Sie jede ausgehende E-Mail signieren. WICHTIGE EINSCHRÄNKUNG: Bei der Beantragung des Zertifikats geben Sie eine E-Mail-Adresse an. Sie können nur E-Mails signieren, die Sie mit der angegebenen Adresse verschicken!
Mit der Signatur in der ausgehenden E-Mail kann der Empfänger nun überprüfen, ob die E-Mail auch wirklich von Ihnen stammt und ob die E-Mail unterwegs verändert wurde oder nicht. Mit der Signatur verschicken Sie automatisch auch den öffentlichen Teil Ihres Zertifikats, das nennt man den öffentlichen Schlüssel. Mit diesem öffentlichen Schlüssel kann Ihr Kunde nun eine E-Mail an Sie verschlüsseln. Umgekehrt funktioniert es genauso: Der Kunde schickt Ihnen eine signierte E-Mail, damit haben Sie den öffentlichen Schlüssel Ihres Kunden und können damit fortan alle E-Mails an Ihren Kunden verschlüsseln.
Für die Entschlüsselung kommt dann der private Schlüssel zum Einsatz. Dieser liegt derzeit nur auf dem PC, auf dem das Zertifikat ursprünglich beantragt und installiert wurde. Somit kann die E-Mail auch nur an diesem einen PC gelesen werden!
Auch hier gibt es noch eine weitere Einschränkung zeitlicher Art. Sie können nur so lange verschlüsseln, bis das Zertifikat abläuft. Kostenfreie Zertifikate laufen in der Regel nach einem Jahr ab. Ab dann können Sie dieses Zertifikat nur noch zum entschlüsseln verwenden.
Vorteil dieser Art und Weise ist sicherlich der niedrige Kostenfaktor. Es gibt aber entscheidende Nachteile:
Die beschriebenen kostenfreien Zertifikate sind nur begrenzt vertrauenswürdig. Bei der Beantragung wird lediglich überprüft, ob der Antragsteller zu diesem Zeitpunkt die Kontrolle über eine bestimmte E-Mail-Adresse hatte. Nichts und niemand hindert mich daran mit eine beliebige E-Mail-Adresse zum Beispiel mit dem Namen meines Nachbarn zu generieren und dafür ein Zertifikat zu beantragen. Der Empfänger einer E-Mail kann nicht wirklich überprüfen, ob es sich bei dem Absender wirklich um meinen Nachbarn handelt, oder nicht. Bei dieser Art von Zertifikaten spricht man von Klasse 1 Zertifikaten.
Um einiges vorteilhafter sind Klasse 2 Zertifikate. Hier muss ich mich bei der Beantragung des Zertifikats zumindest mit einer Kopie meines Personalausweises identifizieren. Die Vertrauenswürdigkeit eines solchen Zertifikats ist somit um einiges höher. Die höchste Stufe bieten die Zertifikate der Klasse 3. Diese werden erst ausgestellt, wenn ich mich per PostIdent-Verfahren identifiziert habe. Klasse 2 und 3 Zertifikate sind aus diesem Grund auch nicht kostenfrei. Dennoch sollten Sie dies bei Ihren Überlegungen und Planungen mit berücksichtigen.
Auf der Seite Ihrer Kunden gibt es wenig Optimierungsmöglichkeiten hinsichtlich der Handhabung. Auf Ihrer Seite können Sie jedoch noch etwas optimieren, was die Arbeitsabläufe angeht. Damit Sie und Ihre Kollegen nicht jeder einzeln ein Zertifikat beantragen und installieren und die öffentlichen Schlüssel der Kunden sammeln müssen, gibt es die Möglichkeit eines E-Mail-Verschlüsselungsgateways. Ein solches Gateway übernimmt die komplette Verwaltung aller beteiligten Schlüssel (Zertifikate). Sie müssen lediglich die Zertifikate beantragen, im Gateway installieren und es übernimmt die komplette Verschlüsselung und Signaturerstellung automatisch für Sie. Bitte nehmen Sie sich 10 Minuten Zeit und sehen Sie sich zum Thema E-Mail-Verschlüsselung den folgenden Vortrag von mir an:
http://mediaeventservices.com/videoconsole/player.html?it-sa/2010/BL_Do ...
Hier wird noch einmal anschaulich erklärt wann welche Schlüssel zum Einsatz kommen. Des Weiteren stelle ich die Clientbasierte und die gatewaybasierte Verschlüsselung gegenüber. Bei der clientbasierten Verschlüsselung wie ich Sie oben beschrieben habe, muss der private Schlüssel immer irgendwie zur Verfügung stehen, damit die E-Mail entschlüsselt werden kann. Das bedeutet im schlimmsten Fall folgendes: Wenn der PC, auf dem der private Schlüssel installiert ist einen Defekt hat und neuinstalliert wird, ist der private Schlüssel verloren und Sie können dann nicht mehr auf die E-Mail zugreifen. Diese bleiben dann für immer verschlüsselt. Es gibt keinen Masterschlüssel oder ähnliches. Das sollte dann gleichzeitig Ihre Frage nach der Sicherheit beantworten. Solange man nicht im Besitz des privaten Schlüssels ist, bleiben verschlüsselte E-Mails verschlüsselt, egal für wen.
Bitte lassen Sie mich wissen, ob diese Informationen für Sie ausreichend waren. Wenn Sie weitere Fragen haben sollten, lassen Sie es mich bitte wissen.
Den kompletten Text gibt es noch ausführlicher und bebildert auf unserer Homepage zum kostenfreien Download unter www.enqsig.de/download/WP_SMIME_mit_Outlook2010.pdf
Mit freundlichen Grüßen
Stefan Cink
www.enqsig.de - E-Mail-Verschlüsselung am Gateway
für PGP muss tatsächlich etwas installiert werden, bei S/MIME ist außer dem benötigten Zertifikat alles schon in Outlook vorhanden. Die Einrichtung als solches zu beschreiben ist recht umfangreich. Ich versuche es aber so knapp wie möglich und ausführlich wie nötig.
In jedem Fall (PGP und S/MIME) benötigen beide Seiten (Sie und Ihr Kunde) einen E-Mail-Client der die E-Mail-Verschlüsselung unterstützt (Outlook, Windows Mail etc) und ein Softwarezertifikat, welches Sie sich bei diversen Anbietern besorgen können. Vertrauenswürde Anbieter für kostenfreie Zertifikate sind zum Beispiel www.trustcenter.de oder www.startssl.com. Ein wichtiger Hinweis für die Beantragung: Das Zertifikat sollte von dem PC aus beantragt werden, von dem später die verschlüsselten und signierten E-Mails geschickt werden sollen. Jeder von Ihnen muss das Zertifikat auf seinem PC installieren und in seinen Mail-Client einbinden. Nur auf diesem PC gibt es dann den sogenannten privaten Schlüssel zu dem Zertifikat.
Nachdem Sie das Zertifikat installiert und im Mail-Client konfiguriert haben, können Sie jede ausgehende E-Mail signieren. WICHTIGE EINSCHRÄNKUNG: Bei der Beantragung des Zertifikats geben Sie eine E-Mail-Adresse an. Sie können nur E-Mails signieren, die Sie mit der angegebenen Adresse verschicken!
Mit der Signatur in der ausgehenden E-Mail kann der Empfänger nun überprüfen, ob die E-Mail auch wirklich von Ihnen stammt und ob die E-Mail unterwegs verändert wurde oder nicht. Mit der Signatur verschicken Sie automatisch auch den öffentlichen Teil Ihres Zertifikats, das nennt man den öffentlichen Schlüssel. Mit diesem öffentlichen Schlüssel kann Ihr Kunde nun eine E-Mail an Sie verschlüsseln. Umgekehrt funktioniert es genauso: Der Kunde schickt Ihnen eine signierte E-Mail, damit haben Sie den öffentlichen Schlüssel Ihres Kunden und können damit fortan alle E-Mails an Ihren Kunden verschlüsseln.
Für die Entschlüsselung kommt dann der private Schlüssel zum Einsatz. Dieser liegt derzeit nur auf dem PC, auf dem das Zertifikat ursprünglich beantragt und installiert wurde. Somit kann die E-Mail auch nur an diesem einen PC gelesen werden!
Auch hier gibt es noch eine weitere Einschränkung zeitlicher Art. Sie können nur so lange verschlüsseln, bis das Zertifikat abläuft. Kostenfreie Zertifikate laufen in der Regel nach einem Jahr ab. Ab dann können Sie dieses Zertifikat nur noch zum entschlüsseln verwenden.
Vorteil dieser Art und Weise ist sicherlich der niedrige Kostenfaktor. Es gibt aber entscheidende Nachteile:
Die beschriebenen kostenfreien Zertifikate sind nur begrenzt vertrauenswürdig. Bei der Beantragung wird lediglich überprüft, ob der Antragsteller zu diesem Zeitpunkt die Kontrolle über eine bestimmte E-Mail-Adresse hatte. Nichts und niemand hindert mich daran mit eine beliebige E-Mail-Adresse zum Beispiel mit dem Namen meines Nachbarn zu generieren und dafür ein Zertifikat zu beantragen. Der Empfänger einer E-Mail kann nicht wirklich überprüfen, ob es sich bei dem Absender wirklich um meinen Nachbarn handelt, oder nicht. Bei dieser Art von Zertifikaten spricht man von Klasse 1 Zertifikaten.
Um einiges vorteilhafter sind Klasse 2 Zertifikate. Hier muss ich mich bei der Beantragung des Zertifikats zumindest mit einer Kopie meines Personalausweises identifizieren. Die Vertrauenswürdigkeit eines solchen Zertifikats ist somit um einiges höher. Die höchste Stufe bieten die Zertifikate der Klasse 3. Diese werden erst ausgestellt, wenn ich mich per PostIdent-Verfahren identifiziert habe. Klasse 2 und 3 Zertifikate sind aus diesem Grund auch nicht kostenfrei. Dennoch sollten Sie dies bei Ihren Überlegungen und Planungen mit berücksichtigen.
Auf der Seite Ihrer Kunden gibt es wenig Optimierungsmöglichkeiten hinsichtlich der Handhabung. Auf Ihrer Seite können Sie jedoch noch etwas optimieren, was die Arbeitsabläufe angeht. Damit Sie und Ihre Kollegen nicht jeder einzeln ein Zertifikat beantragen und installieren und die öffentlichen Schlüssel der Kunden sammeln müssen, gibt es die Möglichkeit eines E-Mail-Verschlüsselungsgateways. Ein solches Gateway übernimmt die komplette Verwaltung aller beteiligten Schlüssel (Zertifikate). Sie müssen lediglich die Zertifikate beantragen, im Gateway installieren und es übernimmt die komplette Verschlüsselung und Signaturerstellung automatisch für Sie. Bitte nehmen Sie sich 10 Minuten Zeit und sehen Sie sich zum Thema E-Mail-Verschlüsselung den folgenden Vortrag von mir an:
http://mediaeventservices.com/videoconsole/player.html?it-sa/2010/BL_Do ...
Hier wird noch einmal anschaulich erklärt wann welche Schlüssel zum Einsatz kommen. Des Weiteren stelle ich die Clientbasierte und die gatewaybasierte Verschlüsselung gegenüber. Bei der clientbasierten Verschlüsselung wie ich Sie oben beschrieben habe, muss der private Schlüssel immer irgendwie zur Verfügung stehen, damit die E-Mail entschlüsselt werden kann. Das bedeutet im schlimmsten Fall folgendes: Wenn der PC, auf dem der private Schlüssel installiert ist einen Defekt hat und neuinstalliert wird, ist der private Schlüssel verloren und Sie können dann nicht mehr auf die E-Mail zugreifen. Diese bleiben dann für immer verschlüsselt. Es gibt keinen Masterschlüssel oder ähnliches. Das sollte dann gleichzeitig Ihre Frage nach der Sicherheit beantworten. Solange man nicht im Besitz des privaten Schlüssels ist, bleiben verschlüsselte E-Mails verschlüsselt, egal für wen.
Bitte lassen Sie mich wissen, ob diese Informationen für Sie ausreichend waren. Wenn Sie weitere Fragen haben sollten, lassen Sie es mich bitte wissen.
Den kompletten Text gibt es noch ausführlicher und bebildert auf unserer Homepage zum kostenfreien Download unter www.enqsig.de/download/WP_SMIME_mit_Outlook2010.pdf
Mit freundlichen Grüßen
Stefan Cink
www.enqsig.de - E-Mail-Verschlüsselung am Gateway
Hey super erklärt, muss aber trotzdem noch meinen Senf dazu geben.
Bei pgp können die Schlüssel (statt Zertifikaten) selbst generiert werden. Bei der pgp Kaufversion wird ein Proxy auf dem Rechner installiert, der für die automatische Ver- und Entschlüsselung sorgt. Bei mehreren E-Mail-Konten auf einem Rechner ist pgp flexibler. Dafür ist die Echtheit des Absenders bei pgp stärker zu hinterfragen.
Als Verschlüsselungsvielnutzer bin ich augenblicklich dabei von pgp nach S/Mime zu wechseln. Vor allem, weil die Vollversion von pgp seit der Übernahme durch Symantec nicht mehr wirklich zukunftsträchtig erscheint. Die frickelei bei gpg ist mir bei der großen Anzahl von verschlüsselten E-Mails zu doof.
Hth
Pitti
Bei pgp können die Schlüssel (statt Zertifikaten) selbst generiert werden. Bei der pgp Kaufversion wird ein Proxy auf dem Rechner installiert, der für die automatische Ver- und Entschlüsselung sorgt. Bei mehreren E-Mail-Konten auf einem Rechner ist pgp flexibler. Dafür ist die Echtheit des Absenders bei pgp stärker zu hinterfragen.
Als Verschlüsselungsvielnutzer bin ich augenblicklich dabei von pgp nach S/Mime zu wechseln. Vor allem, weil die Vollversion von pgp seit der Übernahme durch Symantec nicht mehr wirklich zukunftsträchtig erscheint. Die frickelei bei gpg ist mir bei der großen Anzahl von verschlüsselten E-Mails zu doof.
Hth
Pitti
Besten Dank für das Feedback direkt von der Front. Bin immer froh und dankbar wenn ich auch mal Berichte direkt vom Nutzer lesen oder hören darf.
Eine Frage stellt sich mir trotzdem immer wieder: Alle schimpfen auf Symantec, aber irgendjemand scheint das Zeug ja trotzdem immer wieder zu kaufen.
Gruß Stefan
Eine Frage stellt sich mir trotzdem immer wieder: Alle schimpfen auf Symantec, aber irgendjemand scheint das Zeug ja trotzdem immer wieder zu kaufen.
Gruß Stefan
Wer sich nicht mit der Verschlüsselung am Client herumschlagen will, der kann auch zu einer Gateway basierten Lösung greifen: Mit CipherMail gibt es eine OpenSource Software, die als transparentes Gateway vor einen Emailserver gesetzt wird und Verschlüsselung auf der Basis von PGP, S/MIME und PDF bietet. Administriert wird das Ganze per Webinterface.