Verschlüsselung E-Mails im Unternehmen

[batista0102]

Hallo zusammen,

durch die neue Datenschutzgrundverordnung DSGVO bin ich in unserem Unternehmen auf der Suche nach einer guten Lösung, wie ich am Besten den E-Mailverkehr konform der DSGVO verschlüsseln kann. Gibt es hierzu empfehlenswerte Programme? Oder reichen hier lediglich Einstellungen in Outlook aus? Hat schon jemand Erfahrungswerte hiermit?

Vorab vielen Dank.

MfG

Batista0102

 

[konkretor]

https://de.wikipedia.org/wiki/S/MIME

 

[Rou]

Sollte man dafür nicht die IT des Unternehmens zu rate ziehen? Es hängt dabei vieles von den Gegebenheiten ab.

 

[BFF]

Beschaeftige Dich mit PGP oder S/MIME.
Dabei wirst Du alles finden was noetig ist um das einzusetzen.
Denke aber daran, dass wenn der Kommunikationspartner keine Verschluesselung von Mail macht, Du dem auch nix Verschluesseltes senden kannst.

Andererseits gehoert personenbezogener Krams und um den geht es, nicht in eine Mail. Egal ob verschluesselt oder nicht. Jaja, wird schon immer so gemacht.

BFF

 

[batista0102]

Auf der Suche bin ich auf die Seite https://www.gpg4win.de/index-de.html gestoßen, welche wohl mit dem BSI zusammenarbeitet. Dort gibts es ja sogar ein Outlook-Plugin, welches die Mails verschlüsselt. Nur sehe ich leider nicht, ob mein Gegenüber diese Software dann ebenso auf dem PC installiert haben muss..

 

[He4db4nger]

cryptshare.com, da hatten wir grade gestern ne präsentation von denen bei uns. sieht ganz vernünftig aus, ist aber so allumfassende Lösung sprich da gehts dann auch um eine richtige Anhangsverschlüsselung und Frage des Hostings etc.

edit: wenn ich die anderen lösungen jetzt richtig versteh müssen beide seiten dann die gleichen tools nutzen und man benötigt ein zertifikat was auch beide seiten benötigen? bzw. den key? das ist in unternehmen mit vielen einzelnen kontakten völlig unrealistisch.

 

[BFF]

Beschaeftige Dich damit wie Verschluesselung funktioniert und Du wirst sehr schnell merken, dass der Gegenueber auch PGP einsetzen muss damit ihr untereinander verschluesselte Mail austauschen koennt.
Das das beim BSI nicht direkt steht liegt wohl daran, dass es eigentlich "Grundwissen aus der Verschluesselungstechnologie" ist.

BFF

 

[snaxilian]

Seit wann ist Mailverschlüsselung eine Voraussetzung der DSGVO bzw woraus ergibt sich der Zwang dazu? Klar wenn man personenbezogene Daten austauscht dann sollte dies verschlüsselt geschehen aber (größere) Datenmengen verschickt man auch nicht per Mail...
Mail-Verschlüsselung setzt idR voraus, dass beide Seiten dies nutzen, zumindest bei PGP, S/MIME.
Blöd nur, dass S/MIME seit EFail so ziemlich als kaputt ansehen muss, da grundlegende Designfehler vorliegen. Bei PGP kommt es darauf an, dass die Implementierung in den Clients sauber ist.

 

[smart-]

Das musst du mit der Unternehmensleitung absprechen, bzw. der IT-Abteilung.
Ohne die IT darf man in den meisten Firmen gar nichts selber machen.
Mit der DSGVO hat Mail-Verschlüsselung nicht wirklich was zu tun, außerdem bringt das nur etwas, wenn beide Seiten die entsprechende Verschlüsselung nutzen. Ist also im Geschäftsbereich eher nutzlos, da man immer wieder mit Leuten kommuniziert, die das sowieso nicht nutzen. Ich brauch da nichts konfigurieren, wenn die Gegenseite das sowieso nicht hat. Die interne IT kann das nicht beeinflussen.
Fakt ist einfach, Email ist nicht sicher und kann sowieso manipuliert werden und die Verschlüsselung bringt wie gesagt nur etwas, wenn das überall einheitlich geregelt ist, was es aber nicht ist. Daher wird das auch in vielen Firmen nicht wirklich eingesetzt. Dafür gibt es andere Kommunikationswege.

 

[Helge01]

Blöd nur, dass S/MIME seit EFail so ziemlich als kaputt ansehen muss, da grundlegende Designfehler vorliegen.

Es ist kein Designfehler in S/MIME vorhanden, auch wurde die Verschlüsselung nicht geknackt.
Bei EFail handelt es sich ausschließlich um einen Fehler des E-Mail Clients, wie dieser mit entschlüsselten Daten umgeht.

 

[Yuuri]

Seit wann ist Mailverschlüsselung eine Voraussetzung der DSGVO bzw woraus ergibt sich der Zwang dazu?

Transportverschlüsselung ist ausreichend. Inhaltsverschlüsselung ist u.U. gar nicht möglich bzw. praktisch unmöglich (bspw. eine fehlende Suchmöglichkeit).

Bzgl. Efail: S/MIME und PGP haben keine Lücken, sondern die Clients sind das Problem. Siehe auch https://www.computerbase.de/forum/threads/efail-verstaendnisfragen.1768091/

Aber schön zu sehen, dass die Propaganda von allen News-Seiten gewirkt hat und alle die Verschlüsselung als Problem sehen.

 

[benneq]

Verschlüsselung funktioniert grundsätzlich immer nur dann, wenn es von beiden Seiten eingesetzt wird.

Gegenbeispiel:
Annahme:
Der Sender schickt einen (vermeintlich) verschlüsselten Inhalt.
Aber der Empfänger kann jeden beliebigen Client benutzen, um die Daten zu empfangen und auszulesen. Und braucht dazu auch keinen besonderen Schlüssel.
Ergebnis:
Dann kann auch jeder andere die Daten abgreifen und auslesen / einsehen. Wäre also vollkommen wirkungslos. (Daten abgreifen ist grundsätzlich eh immer möglich im Internetz)

Der Sender braucht irgendeinen Schlüssel vom Empfänger mit dem er den Inhalt verschlüsseln kann. Heißt also, dass beide Seiten mit Verschlüsselungstechnologie arbeiten müssen, damit es funktioniert. Ob man das nun symmetrisch oder asymmetrisch macht ist grundsätzlich erst mal egal. Beim symmetrischen Verfahren braucht man halt pro Sender-Empfänger-Paar einen neuen Schlüssel. Beim asymmetrischen Verfahren braucht jeder Empfänger nur einen Schlüssel (im Endeffekt ist es ein Schlüsselpaar bestehend aus Private und Public Key).

Und nein: E-Fail heißt im Prinzip gar nichts! Die Verschlüsselung wurde nicht geknackt. Sonst wäre inzwischen auch so ziemlich jede andere Verschlüsselung (wie z.B. HTTPS) wertlos. Das Problem sind die schlampig umgesetzten Verschlüsselungsplugins für die E-Mail-Programme. Also ein Fehler, der sich beheben lässt.

Zusätzlich muss man jetzt noch unterscheiden, ob man eine Ende-zu-Ende Verschlüsselung will / braucht. Oder ob eine Verschlüsselte Übertragung zwischen den einzelnen Nodes ausreicht.
Die Ende-zu-Ende Verschlüsselung funktioniert wunderbar mit PGP und S/MIME. Dabei liegen die unverschlüsselten Daten nur Empfänger und Sender vor. Alle Parteien dazwischen (vor allem die E-Mail-Server) sehen nur den verschlüsselten Datensalat.
Die Transport Verschlüsselung nutzt eigentlich (fast?!) jeder heutzutage schon. Sobald man IMAP, POP3, SMTP in Verbindung mit SSL oder TLS liest, hat man auf jeden Fall schon mal eine verschlüsselte Übertragung zwischen Client und E-Mail Server. Die Daten auf dem E-Mail Server und auf dem Client liegen (im Normalfall) aber weiterhin unverschlüsselt vor (außer man hat sein Dateisystem verschlüsselt und nutzt einen E-Mail Anbieter wie z.B. Lavabit, der die Postfächer komplett verschlüsselt speichert). Und zusätzlich kann auch nicht garantiert werden, dass die E-Mail Server untereinander verschlüsselt kommunizieren.