Plattformunabhängige Emailverschlüsselung
Hi,
eine Frage:
Unternehmen XY möchte seine Emails verschlüsseln und mit Kunden kommunizieren die keine Verschlüsselung eingerichtet haben.
Klar gibt es Lösungen wie Zip oder PDF Verschlüsselung, welche alle relativ unpraktikabel sind.
Dazu kommen SaaS Lösungen, aber Outsourcing kommt auch nicht in Frage.
Es ist nicht möglich die Emails verschlüsselt (für den Partner lesbar) zu versenden, ohne dass der Gegenseite der public Key bekannt ist und auch Mechanismen implementiert sind
um die Email zu entschlüsseln, oder?
Alternativ gäbe es nur Lösungen wie der Versand über einen sicheren Kanal ala TLS?
Thx
eine Frage:
Unternehmen XY möchte seine Emails verschlüsseln und mit Kunden kommunizieren die keine Verschlüsselung eingerichtet haben.
Klar gibt es Lösungen wie Zip oder PDF Verschlüsselung, welche alle relativ unpraktikabel sind.
Dazu kommen SaaS Lösungen, aber Outsourcing kommt auch nicht in Frage.
Es ist nicht möglich die Emails verschlüsselt (für den Partner lesbar) zu versenden, ohne dass der Gegenseite der public Key bekannt ist und auch Mechanismen implementiert sind
um die Email zu entschlüsseln, oder?
Alternativ gäbe es nur Lösungen wie der Versand über einen sicheren Kanal ala TLS?
Thx
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 240822
Url: https://administrator.de/contentid/240822
Ausgedruckt am: 23.11.2024 um 01:11 Uhr
13 Kommentare
Neuester Kommentar
Moin.
Ich meine mich dunkel zu erinnern, dass es von Sophos ein Gateway gibt, dass die Möglichkeit bietet, eine verschlüsselte Mail (oder verschlüsselte Daten) dort zu speichern und dem Empfänger einen Link zukommen zu lassen, über den dann genau diese Mail lesbar ist. Mit "Versenden" an sich hat das aber wenig zu tun, da die Mail ja niemals im Postfach des Empfängers landet, sondern auf dem Gateway verbleibt; ist also mehr für die sporadische Nutzung gedacht.
Cheers,
jsysde
Zitat von @ThomasAnderson:
[...]Es ist nicht möglich die Emails verschlüsselt (für den Partner lesbar) zu versenden, ohne dass der Gegenseite der
public Key bekannt ist und auch Mechanismen implementiert sind
um die Email zu entschlüsseln, oder?[...]
Nö. Das würde ja die Verschlüsselung irgendwie ab adsurdum führen.[...]Es ist nicht möglich die Emails verschlüsselt (für den Partner lesbar) zu versenden, ohne dass der Gegenseite der
public Key bekannt ist und auch Mechanismen implementiert sind
um die Email zu entschlüsseln, oder?[...]
Alternativ gäbe es nur Lösungen wie der Versand über einen sicheren Kanal ala TLS?
Damit verschlüsselst du nur den Transportweg, nicht die Mail selbst.Ich meine mich dunkel zu erinnern, dass es von Sophos ein Gateway gibt, dass die Möglichkeit bietet, eine verschlüsselte Mail (oder verschlüsselte Daten) dort zu speichern und dem Empfänger einen Link zukommen zu lassen, über den dann genau diese Mail lesbar ist. Mit "Versenden" an sich hat das aber wenig zu tun, da die Mail ja niemals im Postfach des Empfängers landet, sondern auf dem Gateway verbleibt; ist also mehr für die sporadische Nutzung gedacht.
Cheers,
jsysde
Hallo @ThomasAnderson,
also ich würde mich meinem Vorredner schon anschließen,
das ganze bringt nur etwas wenn auf beiden Seiten Zertifikate
zur Signierung und/oder Ver- und Entschlüsselung eingesetzt werden.
Sicherlich kann man das ein wenig steuern und/oder anpassen,
also wenn man einen Email Server hat und zusätzlich noch ein
PGP Gateway aufsetzt, dann wird vorher geprüft ob der Empfänger
Schlüssel oder Zertifikate hinterlegt hat und ob eine Verschlüsselung
oder Signierung stattfinden soll bevor die Mail dann endgültig verschickt
wird! Sollte man die Mail nur signieren ist das ja auch schon ein Gewinn
an Sicherheit und alles steht weiter als Klartext in der Mail, aber der Inhalt
kann eben ordentlich verifiziert werden, wenn der Admin auf der anderen Seite
das auch so einrichtet und die Unterstützung dafür vorhanden ist sollte dem doch
auch nichts im Wege stehen.
Das Mail Gateway von PGP ist transparent und arbeitet ohne Zutun des Benutzers!
Gruß
Dobby
also ich würde mich meinem Vorredner schon anschließen,
das ganze bringt nur etwas wenn auf beiden Seiten Zertifikate
zur Signierung und/oder Ver- und Entschlüsselung eingesetzt werden.
Sicherlich kann man das ein wenig steuern und/oder anpassen,
also wenn man einen Email Server hat und zusätzlich noch ein
PGP Gateway aufsetzt, dann wird vorher geprüft ob der Empfänger
Schlüssel oder Zertifikate hinterlegt hat und ob eine Verschlüsselung
oder Signierung stattfinden soll bevor die Mail dann endgültig verschickt
wird! Sollte man die Mail nur signieren ist das ja auch schon ein Gewinn
an Sicherheit und alles steht weiter als Klartext in der Mail, aber der Inhalt
kann eben ordentlich verifiziert werden, wenn der Admin auf der anderen Seite
das auch so einrichtet und die Unterstützung dafür vorhanden ist sollte dem doch
auch nichts im Wege stehen.
Das Mail Gateway von PGP ist transparent und arbeitet ohne Zutun des Benutzers!
Gruß
Dobby
Zitat von @ThomasAnderson:
Hi,
eine Frage:
Unternehmen XY möchte seine Emails verschlüsseln und mit Kunden kommunizieren die keine Verschlüsselung
eingerichtet haben.
Hi,
eine Frage:
Unternehmen XY möchte seine Emails verschlüsseln und mit Kunden kommunizieren die keine Verschlüsselung
eingerichtet haben.
Die Gegenseite (Empfänger) muß immer irgend etwas eingerichtet haben, ansonsten wäre es eine "Verschlüsselung" die jeder rückgängig machen kann. Die Verfahren dazu sind entweder symetrisch (gleiches Geheimnis zum verschlüsseln und entschlüsseln), oder asymetrisch (ein Key zum verschlüsseln und einer zum entschlüsseln). Das erste sind z.B. Verfahren bei denen ein Password auf einem sicheren Seitenkanal zum Gegenüber wandert, das zweite PKI Systeme mit einem Public Key (Zertifikat) und private Key wie z.B. S/MIME und PGP. Lösungen dazu gibt es viele, aber immer muß die Gegenstelle "mitmachen". Ich kann nicht als Absender dem Empfänger Verschlüsselung aufzwingen.
Gruß
Andi
Hallo nochmal,
mit in den Prozess eingebunden sind, wie in Deinem Fall, und symmetrisch kann man
praktizieren wenn es sich um Verschlüsselung handelt die untereinander oder zwischen
Servern stattfindet, aber eben Firmen intern.
Verschlüsselungssoftware verwalten kann.
Land und seiner Regierung ein Dorn im Auge ist und das schon seit den 70ern!
großer Schritt nach vorne, denn wenn jemand die Mail "abfängt" und verändert,
stimmt die Signatur nicht mehr und man kann heraus finden ob die Mail noch
vertrauenswürdig ist!
Verschlüsselung ist immer eine Sache die an beiden Enden erfolgen muss
und zwar einmal verschlüsseln und einmal entschlüsseln, ist das nicht gegeben
kann man aber mittels Signatur das ganze immer noch sicherer gestalten als
ohne beides!
Ein Kunde macht Dir ein Angebot und Du möchtest es annehmen, die Mail
wird abgefangen und verändert, der Vertrag kommt nicht zustande, und dann?
Klar ist verschlüsseln besser, nur das muss eben auch bei allen beteiligten
Parteien umgesetzt werden.
erzeugt dann einen Schlüssel und verschlüsselt die Kundendatenbank
und löscht den Schlüssel wieder? Also das mit dem Gateway hat mehrere
Vorteile, glaub es mir einfach mal.
Und dann soll man jedes mal entscheiden ob und mit wem und vor allen Dingen
wie man diese eine oder jene andere Mail verschickt!??? Das kostet Zeit und
das muss auch auf allen Klienten dann genau passend konfiguriert werden.
und dem Klienten hängt noch der PGP Mail Gateway und der schaut nach was für die
Emailadresse hinterlegt worden ist, also ob verschlüsselt bzw. signiert wird oder gar
nichts geschehen soll! Das spart Zeit und zusätzlich kommt der Anwender auch nicht
an die Schlüssel heran, und somit zwingst Du auch niemanden zu etwas, denn das
Gateway kann ja, je nach Konfiguration und je nachdem was hinterlegt worden ist,
selbst entscheiden mit wem was gemacht wird.
Und solltest Du nur die PGP Desktop Version kaufen, bitte ich Dich heute schon herzlichst
darum, wenigstens die "Corporate" und nicht die für Privatanwender zu kaufen.
Gruß
Dobby
Genau so hab ich das im Kopf. Und das ist das größte Problem, wie schon beschrieben.
Liegt eventuell dort der Fehler! Ich meine machst Du eventuell einen Denkfehler?Die Gegenstelle wird quasi gezwungen, selbst etwas zu investieren. Das wäre wie als
würde ich bspw. alle Kunden zwingen, jetzt nur noch mit Radius Authentifizierung zu
arbeiten, statt bspw. fester Accounts.
Nein das ist falsch!würde ich bspw. alle Kunden zwingen, jetzt nur noch mit Radius Authentifizierung zu
arbeiten, statt bspw. fester Accounts.
Wie assym. und symm. Verschlüsselung funktioniert weiss ich noch (ungefähr :P).
Asymmetrisch sollte immer dann zum Einsatz, kommen wenn andere, also außenstehendemit in den Prozess eingebunden sind, wie in Deinem Fall, und symmetrisch kann man
praktizieren wenn es sich um Verschlüsselung handelt die untereinander oder zwischen
Servern stattfindet, aber eben Firmen intern.
haltet Ihr für sinnvoll
Ein PGP Email Gateway das transparent in der Mitte arbeitet und auch zentral dieVerschlüsselungssoftware verwalten kann.
/ kundenfreundlich
Kundenfreundlich ist wenn man vorher mit seinen Kunden darüber redet!/ zukunftssicher.
Das kann Dir bei Verschlüsselung niemand genau sagen, da sie fast jedemLand und seiner Regierung ein Dorn im Auge ist und das schon seit den 70ern!
Nur signieren reicht nicht aus. Der Mail Inhalt soll aufjedenfall (egal mit
welchen Mitteln) geschützt / unlesbar gemacht werden.
Wenn Du verschlüsselst und ich nicht, dann ist das mit der Signatur schon einwelchen Mitteln) geschützt / unlesbar gemacht werden.
großer Schritt nach vorne, denn wenn jemand die Mail "abfängt" und verändert,
stimmt die Signatur nicht mehr und man kann heraus finden ob die Mail noch
vertrauenswürdig ist!
Verschlüsselung ist immer eine Sache die an beiden Enden erfolgen muss
und zwar einmal verschlüsseln und einmal entschlüsseln, ist das nicht gegeben
kann man aber mittels Signatur das ganze immer noch sicherer gestalten als
ohne beides!
Ein Kunde macht Dir ein Angebot und Du möchtest es annehmen, die Mail
wird abgefangen und verändert, der Vertrag kommt nicht zustande, und dann?
Klar ist verschlüsseln besser, nur das muss eben auch bei allen beteiligten
Parteien umgesetzt werden.
Ich dachte bei meiner Ausführung an eine rein clientbasierte Lösung
(bei der selbst die Schlüssel ausgetauscht werden müssen etc.),
Was ist wenn man Liesel Müller in der Buchhaltung kündigt und die(bei der selbst die Schlüssel ausgetauscht werden müssen etc.),
erzeugt dann einen Schlüssel und verschlüsselt die Kundendatenbank
und löscht den Schlüssel wieder? Also das mit dem Gateway hat mehrere
Vorteile, glaub es mir einfach mal.
Und dann soll man jedes mal entscheiden ob und mit wem und vor allen Dingen
wie man diese eine oder jene andere Mail verschickt!??? Das kostet Zeit und
das muss auch auf allen Klienten dann genau passend konfiguriert werden.
aber weiss jetzt was Du meinst. Funktioniert ja im Prinzip gleich,
nur etwas automatischer und zentralisiert.
Nicht ganz, man muss eben nur eine Email schreiben und zwischen dem Mailservernur etwas automatischer und zentralisiert.
und dem Klienten hängt noch der PGP Mail Gateway und der schaut nach was für die
Emailadresse hinterlegt worden ist, also ob verschlüsselt bzw. signiert wird oder gar
nichts geschehen soll! Das spart Zeit und zusätzlich kommt der Anwender auch nicht
an die Schlüssel heran, und somit zwingst Du auch niemanden zu etwas, denn das
Gateway kann ja, je nach Konfiguration und je nachdem was hinterlegt worden ist,
selbst entscheiden mit wem was gemacht wird.
Und solltest Du nur die PGP Desktop Version kaufen, bitte ich Dich heute schon herzlichst
darum, wenigstens die "Corporate" und nicht die für Privatanwender zu kaufen.
Gruß
Dobby
Es gibt doch sicher auch Lösungen, die falls die Gegenseite
nicht mit PGP oder S/MIME arbeitet
Sicher nur das sind dann in der Regel wieder proprietärenicht mit PGP oder S/MIME arbeitet
Lösungen die dann auch mit unter alle beteiligten erst
einmal anschaffen müssen!
Und bei PGP ist es derweil schon so das man es auf nur PGP
oder auch S/MIME Unterstützung einstellen kann.
auch eine alternative wie ein Webportal oder eine
verschlüsselte Zip bieten?
Und wie bekommt man dann jedes mal das Passwortverschlüsselte Zip bieten?
zum Entschlüsseln auf die andere Seite?
Schwierig bei mehreren hundert Kunden.
Die hat man in mehreren Monaten auch angerufen oderund abgearbeitet, aber wenn man rein gar nichts unternimmt
wird es mit der Einführung von Verschlüsselung ganz gleich
welcher Art immer Probleme geben.
Das gehört eben auch zu einer Kundenbindung dazu
das man sich damit auseinander setzt.
Da gibt es sicher soviele unterschiedliche Lösungen,
dass erstmal hier aussortiert werden muss.
Also das Gateway und die "Corporate" Versiondass erstmal hier aussortiert werden muss.
und gut ist es.
Was hältst Du von der Cisco Lösung die ich oben erwähnt habe?
Die arbeiten auch mit einem Gateway also das selbe in "grün"nur höchstwahrscheinlich nicht so kompatibel zu anderen
Sachen
Das Vorgehen sollte so einfach wie möglich sein, im
schlechtesten Fall sollte der User höchstens noch eine
Checkbox für "ja/nein verschlüsseln" setzen müssen.
Das muss er gar nicht, er schreibt die Mail und schickt sieschlechtesten Fall sollte der User höchstens noch eine
Checkbox für "ja/nein verschlüsseln" setzen müssen.
dann ab, und das Gateway schaut dann erst einmal nach was
für diesen Mailempfänger hinterlegt ist und dann wird automatisch
verschlüsselt, signiert oder eben es passiert nichts und dann
wird die Mail erst weitergeleitet zu dem Mailserver der sie dann
verschickt.
Im besten Fall sortiert das GW die Emails nach Inhalt /
Betreff oder verschlüsselt von Haus aus einfach alle.
Auch das kann man einstellen nur es bringt Dir rein garBetreff oder verschlüsselt von Haus aus einfach alle.
nichts wenn Du auf einer Seite alleine agierst, wer soll denn die verschlüsselten Mails auf der anderen Seite wieder entschlüsseln?
Schmankerl wäre natürlich eine Lösung, die auch den
Kunden angeboten werden kann.
Wer bist Du und was sind das für Kunden?Kunden angeboten werden kann.
Bist Du ein Systemhaus? Oder einfach nur eine Firma
die mit Lieferanten kommuniziert?
Gruß
Dobby
Als Gateway käme auch das hier in Frage:
http://www.djigzo.com/gateway.html
BTW: Hat jemand von euch Gateway Betreibern einen Prozentwert was typischerweise verschlüsselt rausgeht?
Gruß
Andi
http://www.djigzo.com/gateway.html
BTW: Hat jemand von euch Gateway Betreibern einen Prozentwert was typischerweise verschlüsselt rausgeht?
Gruß
Andi
BTW: Hat jemand von euch Gateway Betreibern einen
Prozentwert was typischerweise verschlüsselt rausgeht?
Je nach Firma und je nach Kundenvereinbarung also obProzentwert was typischerweise verschlüsselt rausgeht?
der Kunde bzw. Partner auch verschlüsselt kann das von
5% - bis hin zu 100% aller Mails betragen.
Das kann Dir niemand so pauschal beantworten denn
in einigen Bereichen der Wirtschaft ist es heute schon Gang und
Gebe dass man mindestens signiert und auch verschlüsselt, je
nach Firmenauflage und/oder Zertifizierung bis hin zu einem muss
für Firmen die mit anderen Firmen kommunizieren die so etwas
sogar vorschreiben.
Gruß
Dobby
@108012: Es geht nicht um eine pauschale/präzise Antwort sondern mehr in der Art x% des *gesamten* E-Mail Ausgangs-Traffics. Nahezu jede Firma hat eine größere Anzahl an Empfängern aus allen möglichen Branchen, d.h. einzelne Sonderauflagen für manche Empfänger sollten sich zumindest teilweise wieder ausmitteln. Ich kann mir nicht vorstellen das eine Firma die mehr als eine Handvoll Kunden hat in die Nähe von 100% kommt oder hast du wirklich ein solches Beispiel aus der Praxis??
Gruß
Andi
Gruß
Andi
Ich kann mir nicht vorstellen das eine Firma die mehr als eine Handvoll
Kunden hat in die Nähe von 100% kommt oder hast du wirklich ein
solches Beispiel aus der Praxis??
Kleine Firmen die ausschließlich die Rüstungsindustrie bedienenKunden hat in die Nähe von 100% kommt oder hast du wirklich ein
solches Beispiel aus der Praxis??
verschlüsseln alles also zu 100% alleine aus Gründen der Zertifizierung.
Mittlere Firmen die eine durchwachsene Klientel haben und bedienen
verschlüsseln nur einen Teil ihres Mailverkehrs und den Rest eben nicht.
Große Firmen die zum Teil mit Regierungen und/oder Ministerien
zu tun haben und zum Teil mit normalen Kunden geschäftlich in
Verbindung stehen verschlüsseln nur einen kleinen Teil ihres Mailverkehrs.
- Aufgrund von Zertifizierungen der Firma
- Firmen eigener Anweisungen, Vorschriften und Gegebenheiten
- Vorschriften von Geschäftspartnern
- Örtliche Gegebenheiten wie in China, Iran, und.......
Und das kannst Du Dir nicht vorstellen?
Gruß
Dobby
Ich kenne es eher so das bei den Firmen bei denen nur sehr wenige Kunden mit hohen Sicherheitsansprüchen bedient werden E-Mail überhaupt nicht zulässig ist. Bei "Scheinselbstständigen" oder Niederlassungen im Ausland welche im Prinzip nur für eine Firma arbeiten mag man in die Nähe von 80% verschlüsselter Mail kommen, aber in einer Firma mit einigermaßen breit gestreuten Kunden sind >10% schon viel. Das alles deshalb weil der Kunde (Empfänger) vorgibt ob es möglich ist oder nicht und nicht weil die Firma Zertifiziert ist oder nicht. Wir haben auch Kunden aus Banken/Versicherungsumfeld aber E-Mail Verschlüsselung wird dort trotzdemm als exotisch betrachtet
Deshalb würde es micht interessieren wo deine optimistischen Zahlen herkommen...
Gruß
Andi
Deshalb würde es micht interessieren wo deine optimistischen Zahlen herkommen...
Gruß
Andi