typ132
Goto Top

Ende zu Ende orgbriefkasten

Hallo,
ich bin noch angehender System Admin und kurz vor dem Ende meiner Ausbildung zu FiSi. Momentan befasse mich privat gerade mit der Einrichtung einer Ende-zu-Ende-Verschlüsselung für meine private E-Mail Kommunikation.

Ich nutze ab jetzt auf Desktops Thunderbird und K9-Mail mit OpenKeychain schon etwas länger auf dem Smartphone. Die Einbindung meines privaten Schlüssels auf meine verwendete Hardware ist aus meiner Sicht ok für die resultierende Sicherheit.

Allerdings stelle ich mir die Frage, über welche Wege man die Schlüsselverteilung des privaten Schlüssels in Unternehmen realisieren kann (natürlich soll der private Schlüssel nicht geteilt werden) ich meine innerhalb des Unternehmens dem Mitarbeiter zugänglich gemacht werden.

Ich denke an folgendes Szenario:
Eine Versicherungsagentur hat mehrere Mitarbeiter, der Mailserver + Archivserver sowie alle nötigen Dienste werden durch einen dedizierten Server bereitgestellt. Natürlich haben sie auch eine eigene Domäne.
Jeder Mitarbeiter hat sowohl eine private E-Mail-Adresse als auch Zugriff auf einen oder mehrere Orgbriefkästen z. B. Info@Versicherung.de (So viele wie nötig, so wenig wie möglich).
Die Mitarbeiter können sowohl Desktop PC, Smartphone, Laptop und wechselnde Arbeitsplätze innerhalb des Unternehmens haben.
Also hat jedes private Postfach eine private- und einen publickey und die Orgbriefkästen selbst.
1. Wenn die Mitarbeiter wechselnde Hardware verwenden, muss der privatekey auch dort vorhanden sein und entsichert werden (Passworteingabe o.ä.).
Meine Lösung: Den privatekeys mit Servergespeicherten Profilen den Mitarbeitern überall zugänglich machen.

2. Der Orgbriefkasten: Könnte man dies genau so lösen? Also direkt jedem, der in der Gruppe "Infobriefkasten" ist auch den entsprechenden privatekey zuweisen?
Angenommen, es gibt mehrere Orgbriefkästen. Dann müsste der Mitarbeiter über alle Passwörter verfügen, was ich als sehr unsicher einstuffe.

Fragen:
Gibt es da eine single-sign-In methode für die verschiedenen privatekeys?
Gibt es eine elegantere Lösung, z. B. über Kerberos?
Ist das Anwenden der Verschlüsselung und entsprechende Verteilung bezüglich dem Orgbriefkasten überhaupt noch sinnvoll oder rechtskonform?
Um den Mitarbeitern die Servergespreicherten Profile von überall zur Verfügung zu stellen, würde da eher ein Tunnel Sinn machen oder das Einbinden einer Clouddomäne z. B. Azure AD DS?

Da ich bisher noch von keinem Unternehmen, mit dem ich via E-Mail kommuniziert habe, auch nur den Vorschlag zum Austausch des öffentlichen Schlüssels bekommen habe, stelle ich mir die Frage:
Liegt es an den von mir bereits beschrieben hohen administrativen Anforderungen gerade in Bezug auf Kerberos, ist es den Unternehmen momentan noch egal, zu teuer oder haben sie keine Ahnung von den gesetzlichen Anforderungen an Unternehmen im Umgang mit sensiblen Daten?
Meine Anwaltskanzlei z.B. hat in der Fußnote ihrer E-Mail sogar einen Hinweis, dass die Kommunikation über E-Mail nicht sicher ist. Das ist aus meiner Sicht eine Katastrophe.

Danke für eure Meinungen.
Gruß

Content-ID: 32971633760

Url: https://administrator.de/contentid/32971633760

Ausgedruckt am: 22.11.2024 um 11:11 Uhr

StefanKittel
StefanKittel 15.09.2023 um 12:34:24 Uhr
Goto Top
Hallo,

die Motivation der Teilnehmer, sowohl Sender als auch Empfänger, ist eher gering bis nicht vorhanden.
Mal abgesehen von einigen Enthusiasten.

Der Prozentteil der Mails die mich verschlüsselt erreichen, liegt deutlich unter 1%.

Die einzige Variante die halbswegs akzeptiert scheint, ist sMIME.
Denn da müssen beide nix machen außer in Outlook die entsprechende Schaltfläche anzuklicken oder bei einem sMIME-Gatewar gar nichts machen müssen.

Bei sMIME und Outlook werden die öffentlichen Schlüssel im Hintergrund verteilt (Mails signieren).


Einige große Firmen haben sich was eigenes ausgedacht und drücken das mit deren Marktmacht durch.
Ein großer Lebensmitteldistri in Deutschland verwendet z.B. sMIME mit einer Laufzeit von 99 Jahren und einer eigenen CA. Zusammen mit der Anweisung an Lieferanten und Kunden doch deren CA zu installieren oder sich einen anderen Distri zu suchen...

Stefan
Lochkartenstanzer
Lochkartenstanzer 15.09.2023 aktualisiert um 12:44:33 Uhr
Goto Top
Moin,

für pgp/gpg-Keys kannst Du natürlich entweder die öffentlichen Keyserver oder einen eigenen Keyserer , z.B. auf Basis von hagrid o.ä., nehmen.

Die frage ist natürlich, mit wem Du veschlüsselte mails austauschen willst. Soll das grundsätzlich innerhalb der Firma sein, kannst Du das per ordre die mufti druchsetzen. Nur mit außenstehenden wird es schwieriger, weil Du dann natürlich Partner brauchst, die dann auch die gleiche verschlüsselung wie Du verwenden. sMIME ist natürlich standard und wird von deutlich mehr Personen vewendet. Ich habe beides in meinem "Angebot" und nutze das auch ausgiebig. Persönlich bevorzuge ich openPGP und nutze das hauptsächlich mit vielen (früheren) Kollegen aus früheren Zeiten. Kunde und Lieferanten nutzen verschlüsselung oder Signierung kaum.

lks

PS: Gnu- bzw. OpenPGP oder S/MIME?
Tezzla
Tezzla 15.09.2023 um 13:56:00 Uhr
Goto Top
Moin,

du kannst deinen Key z.B. bei openkeys hochladen.
Da rufen auch die Verschlüsselungsgateways von NoSpamProxy ihre Informationen automatisch ab.

VG
Typ132
Typ132 15.09.2023 aktualisiert um 14:25:53 Uhr
Goto Top
Danke schonmal für das Einbringen eurer Erfahrungen.

sMIME ist von meinem aktuellen Verständnis nichts Halbes und nichts Ganzes. Vor allem mit einer eigenen (kostenlosen) CA, die dann auch noch "unendliche" Gültigkeiten verteilt.

Wie ihr beide allerdings beschreibt, verstehe ich einfache Nutzung gegenüber PGP.

Da aber in beiden Verfahren die Anwender tätig werden müssen (entweder herunterladen und einfügen des Zertifikats oder einfügen des öffentlichen Schlüssels) sehe ich für den Anwender keine Erleichterung. Sondern eher weiteres misstrauen, da die Anwender bei sMINE etwas herunterladen müssen, von dem sie keine Ahnung haben, sofern sie dazu überhaupt die rechte haben.

Langsam erkenne ich wohl die Problematik, allerdings finde keineswegs akzeptabel, dass unsere Unternehmen in DE nicht ausreichend von ihren Admins geschult oder informiert werden. Viele glauben immer noch, dass ein Passwort geschützt PDF mit dem Hinweis (das PW ist ihre PLZ oder ihr geb.) irgendwas mit Sicherheit zu tun hat.
StefanKittel
StefanKittel 15.09.2023 um 14:34:22 Uhr
Goto Top
Zitat von @Typ132:
Sondern eher weiteres misstrauen, da die Anwender bei sMINE etwas herunterladen müssen, von dem sie keine Ahnung haben, sofern sie dazu überhaupt die rechte haben.

???
Solange man sMIME mit "richtigen" öffentlichen Zertifikaten verwendet muss der Anwender gar nichts machen.
Man schickt sich gegenseitig eine unverschlüsselte Mail. Diese enthält automatisch den öffentlichen Schlüssel und dieser wird auch automatisch gespeichert (dazu muss das signieren einmalig aktiviert werden).
Ab dann kann man einfach auf "verschlüsseln" klicken und die Mail wird verschlüsselt.

Das "Problem" ist eher, dass der Empfänger auch sMIME haben muss.
Man kann als Versender nicht einseitig verschlüsseln.

Wenn der Empfänger nicht mithilft, bleibt nur Bastelkram mit Kennwortgeschützen ZIP-Dateien....

Stefan
Typ132
Typ132 15.09.2023 um 17:01:00 Uhr
Goto Top
Danke für die Aufklärung. Ich habe in meinem Thunderbird nur gesehen, dass ich dort ein Zertifikat händisch einbinden muss/kann.

Gruß
maretz
maretz 15.09.2023 um 20:34:03 Uhr
Goto Top
naja - fangen wir doch mal einfach an: Ein grossteil der Mails die so den ganzen Tag über die Leitung gehen enthalten eben nichts was den Aufwand rechtfertigt. Dazu eben aber gleichzeitig noch ein einfaches Risiko: Entweder sammelst du die Schlüssel der Mitarbeiter ein (was dann richtig fatal wäre wenn jemand deinen Rechner/zugang zum Server bekommt oder der Admin im Streit geht...). Alternativ behandelst du den Key wie ein Passwort - und das hat nur der Mitarbeiter. Blöd wenn der dann morgen das Unternehmen verlässt, den Rechner löscht,... - weil du dann natürlich an die Mails ggf. nich mehr rankommst.

Wenn ich _wirkllch_ Vertrauliche Daten zum Versenden habe dann würde ich mich eh nicht auf ne Mail-Verschlüsselung verlassen sondern eben einfach zB. eine verschlüsselte Datei verwenden und das Passwort auf anderem Weg rübergeben. Und selbst bei der Datei ist Mail eher die Ausnahme - allein wg. grössenbeschränkungen. Dafür gibts ja dann Cloud-Storages zB....
Typ132
Typ132 15.09.2023 aktualisiert um 22:08:55 Uhr
Goto Top
Klingt für mich nach einem Vertreter der Meinung "ich hab ja nichts zu verbergen". (nicht böse gemeint)

Aufgrund der in den letzten Jahren immer mehr werdenden Angriffe auf Firmen und auch privat Personen, wäre es mir schon ganz recht, wenn die Diebe nur meine E-Mail-Adresse aber nicht noch meine darin enthaltenen sensiblen Daten von den Mailservern bekommen. Da Sender und Empfänger meines Wissens nach zu den wenigen Ausnahmen gehören müssen, die nicht verschlüsselt werden.

Deswegen möchte hier erfahren, wie Admins das implementieren, die gewisse Firmennetzwerke betreuen.

Durch die Verschlüsselung der E-Mails würde man auch gleichzeitig dafür sorgen, dass weniger brauchbare Datensätze zum Verkauf angeboten werden können.
Wenn ich mir berichte, über das Implementieren eines MS Exchenge Server durchlese, dann lese ich immer wieder, dass diese nicht hinter einer Firewall sein dürfen. Es sei denn, man richtet eine DMZ ein. Da ich aber nicht weiß, was bei meinem Gesprächspartner implementiert ist, benötige ich eine universelle und verlässliche Lösung.

Ich bin eigentlich davon ausgegangen, dass das BSI oder die EU sowas in Gesetzen vorgeschrieben hat und es bloß kaum einer umsetzt, so wie manche auch mit den Geschwindigkeitsbegrenzungen auf den Straßen umgehen.

Sicherheit kostet eben Geld und viele Firmen, von denen ich bisher gehört habe, sind nicht bereit dies zu investieren, auch wenn sie damit Gesetzeswidrig handeln.
maretz
maretz 16.09.2023 um 05:33:55 Uhr
Goto Top
Nun - deine Annahme ist nicht so ganz falsch. Es ist zwar nicht "ich hab nix zu verbergen also lasse ich alles auf", aber ein "ich hab nichts zu verbergen also halte ich den Aufwand auch überschaubar". Vergleiche dies zB. mit meiner Wohnung (angenommene Wohnung): Da wirst du einige Ordner finden die einfach offen rumstehen - die üblichen Briefe von Krankenkasse, Versicherung,... Die Wohnung selbst hat aber eben auch nur eine einfache Tür die zwischen "zugezogen" und ggf. mal "einfach abgeschlossen" ist. WICHTIGE Dinge (Goldbarren, wertvolle Dokumente wie Geburtsbescheinigung usw...) würden im Safe liegen - Feuerfest und eben mit nem deutlich stabileren Schloss.

Würdest du jetzt - speziell als Firma wo du ja zig Mitarbeiter hast - auf die Idee kommen jede Tür und jedes Fenster durch super-sichere Systeme zu ersetzen? KA, Feuerfest, Zugang nur per Fingerabdruck u. Retina-Scan,... Das steht eben nicht im Verhältnis zum Nutzen und bei ner Firma musst du noch dazu damit rechnen das dir Kollegen jeden zweiten Tag aufs Dach steigen weil die grad mal wieder vergessen haben wie das Ding aufgeht.

Bei der Verschlüsselung ist es für mich dasselbe. Klar macht es in der Theorie Sinn - keine Frage. Aber wenn ich jetzt mal in die Realität gucke - 3/4 der Mails heute sind eigentlich doch Abfall. Erstmal wird ja schon jeder der auch nur irgendwo in der nähe von "hat was damit zu tun" reinkopiert. Dann hast du die üblichen Mails wenn du irgendwas machst - wo erstmal 18 "Danke schön" Mails kommen (und wieder natürlich mit reply all - damit jeder auch sieht das es zur Kenntnis genommen wurde!). Und dann hast du noch die Mails die von Systemen generiert wurden (Ticket-System,...) - wobei die ggf. zumindest im weiteren Sinne vertraulich wären (da ja generell KEINE Firma je Probleme hat dürfte es ja auch keine Tickets geben). Dagegen musst du aber eben auch deinen Aufwand stellen das alles zu verschlüsseln - und die EINRICHTUNG ist dabei das geringste (deshalb ist ja zB SMIME durchaus öfters aktiv - weils eben nur einmal am Server gemacht wird). Der tägliche Support ist doch das relevante: Ein Benutzer hat sein Passwort zum Entschlüsseln vergessen, einem anderem wurde das Laptop geklaut (damit musst du ja auch alle möglicherweise vorhandenen Keys neu machen),... Da ist eben der Aufwand/Nutzen am Ende nunmal fraglich...
Mr-Gustav
Mr-Gustav 18.09.2023 um 08:41:29 Uhr
Goto Top
Mal ganz davon abgesehen das dann alle Endgeräte entsprechend die Verschlüsselung unterstützen müssen.
Wir hatten mal einen Kollegen im Team der meinte er müsste seine Mails Konzern INTERN signiert versenden. Ende vom Lied war leider das die iPhones damit nichts anfangen konnten und man keinen Text gesehn hat weil ja Verschlüsselt.
Also wurde der entsprechende Kollege darauf hingewiesen und er hat´s dann irgendwann eingesehn und gelassen weil er keine Antworten mehr von Kollegen bekommen hatte die entsprechend OWA oder Thunderbird nutzten.

Zu deiner eigentlichen Frage:
PGP usw...... ist sicher eine tolle Sache aber bitte bedenke dass das Konstrukt auch handelbar sein muss. Wenn ich jetzt an eine reine Exchange &/Office 365 Lösung denke ist das alles an sich kein Problem. Die Einrichtung sollte dann eben ( nach einen POC ) ganz geschmeidig über Intune oder ähnlich ablaufen.
In gemischten Umgebungen wird es dann allerdings mehr Handarbeit aber das ist ja leider immer so egal was man macht......

Problem ist eben das dein Gegenüber entsprechend auch die Fuktionen usw... unterstützen muss. Hier sehe ich allerdings das Problem das es durch aus möglich ist seine Öffentlichen Schlüssel zu verteilen aber dann eben auch nur an die Firmen mit denen regelmäßig Kontakt hat. Hier muss der Admin oder DL dann aber ggf. auch bei der Einrichtung helfen bzw. unterstützen........
Hauptproblem ist das ich heute nicht weiss mit wehm ich morgen in Kontakt stehe. Der Vorteil bei SMIME ist eben das es eine Öffentliche CA gibt und einiges wenn nicht sogar alles autom. von statten geht.

Useability vor Security ist leider so. Als Admin hat man eben nicht für jeden User Zeit immer alles einzeln einzurichten. Und wenn dann die 10 Mail mit : Ich kann die Verschlüsselte Mail nicht öffnen - kommt dann kann es passieren das eben eine Schatten IT Aufgebaut wird und mit GMAIL und Co versendet wird. Das ist ja etwas man definitiv nicht will
10505791074
10505791074 02.01.2024 um 21:28:33 Uhr
Goto Top
Zitat von @Typ132:

Allerdings stelle ich mir die Frage, über welche Wege man die Schlüsselverteilung des privaten Schlüssels in Unternehmen realisieren kann (natürlich soll der private Schlüssel nicht geteilt werden) ich meine innerhalb des Unternehmens dem Mitarbeiter zugänglich gemacht werden.

Im Unternehmensumfeld kann ich Dir nur ciphermail wärmstens ans Herz legen, da hast Du S/MIME, PGP und webmail für Kunden direkt verfügbar.