Mobile-Menu

Praxistest SEPPmail Teil 1 Mail einfach und sicher verschlüsseln

Autor / Redakteur: Thomas Bär / Peter Schmitz

Die E-Mail ist inzwischen 50 Jahre alt und wurde schon oft für tot erklärt. Dennoch ist sie in Deutschland noch immer das wichtigste Kommunikationstool für Unternehmen. Ein großes Argument gegen den Einsatz von E-Mail im geschäftlichen Umfeld: jeder kann auf dem Weg vom Sender zum Empfänger den Inhalt einer E-Mail mitlesen. Darum ist der Ruf nach E-Mail-Verschlüsselung laut.

Firma zum Thema

Ein häufig thematisiertes Problem bei der E-Mail-Verschlüsselung ist die Kommunikation mit anderen Unternehmen und deren Nutzern.
Ein häufig thematisiertes Problem bei der E-Mail-Verschlüsselung ist die Kommunikation mit anderen Unternehmen und deren Nutzern.
(© natali_mis - stock.adobe.com)

In schöner Regelmäßigkeit postulieren Unternehmen wie Microsoft, Slack und nicht zuletzt Facebook mit WhatsApp das nahende Ende der E-Mail, die dabei als antiquiertes Kommunikationsmittel dargestellt wird. Auch wenn man wenig auf den Marketinglärm dieser Messenger-Apologeten gibt, so gibt es doch immer das eine Argument gegen den Einsatz von E-Mail-Nachrichten im Business-Umfeld: E-Mails sind offen wie Postkarten – jeder kann auf dem Weg vom Sender zum Empfänger den Inhalt mitlesen. Darum ist nach wie vor der Ruf nach E-Mail-Verschlüsselung laut.

Die Anforderungen an Secure E-Mail-Lösungen sind groß. Dieser zweiteilige Testbericht soll einen tieferen Einblick geben, was moderne E-Mail-Sicherheitslösungen leisten. Dabei konzentriert sich der erste Teil auf die Installation und Implementierung in bestehende Infrastrukturen sowie die ersten Einstellungen.

Technik, Bestandteile und Einrichtung

Das Schweizer Unternehmen SEPPmail AG hat sich ganz auf Sicherheitsprodukte rund um die E-Mail spezialisiert. Neben Produkten für digitale Zertifikate und Signaturen ist das Secure E-Mail Gateway das Hauptprodukt in der Angebotspalette. Dabei handelt es sich um ein Appliance, die sowohl in Hardware als auch als virtuelle Maschine zum Einsatz kommen kann. Zudem ist es auch möglich, die Lösung als virtuelle Maschine auf der Azure-Cloud zu betreiben. Dazu können die Kunden den entsprechenden Dienst in Microsoft Azure über den Marketplace beziehen.

Die Software lässt sich unter den verschiedensten Virtualisierungslösungen nutzen: Neben ESX von VMware und Hyper-V von Microsoft kann SEPPmail unter anderem auch für den Einsatz unter KVM oder Xen installiert werden. Insgesamt fünf unterschiedliche Ausprägungen der Lösung stehen dabei zur Verfügung: Während die sogenannte Basic-Variante für bis zu 50 E-Mail-Postfächer/Nutzer ausgelegt ist, kann die Standardvariante schon bis zu 500 Nutzer bedienen. Als Maximum benennt das Unternehmen die als Enterprise bezeichnete Version ab 5000 Nutzer. Dazwischen liegen die Versionen Business und Advanced, mit jeweils einem Maximum von 1000 beziehungsweise 5000 Nutzer. Die Lösung kann aber auch kaskadierend mit mehreren Appliances verwendet werden, um das Limit weiter nach oben zu treiben.

Ein Blick in das gut strukturierte und übersichtliche Handbuch, das komplett in deutscher Sprache zur Verfügung steht, zeigt zudem, dass es für erfahrende IT-Administratoren recht leicht sein dürfte, die Appliance – gleich ob in Hardware oder als virtuelle Installation – im eigenen Unternehmen zu installieren. Ein „Quick Setup Guide“ beschreibt zusätzlich die wichtigsten Einstellungen und Handgriffe bei der Installation. Diese Beschreibung steht ebenfalls komplett in deutscher Sprache zur Verfügung. Dabei ist es laut SEPPmail grundsätzlich sinnvoll, dass die Appliance direkt und vollständig in den „Strom der E-Mails“ integriert wird. Das bedeutet dann, dass wirklich jede ein- und ausgehende Nachricht auch durch die Appliance geht und von dieser bearbeitet werden kann.

Kurzer Blick auf die Administration

Uns wurde vom Unternehmen für diesen Bericht eine Installation von SEPPmail auf Azure zur Verfügung gestellt, was den sofortigen Einsatz des E-Mail-Gateway in direkter Zusammenarbeit mit Microsoft 365 möglich machte. Der Schwerpunkt unseres Tests lag dabei auf dem praktischen Einsatz der Lösung aus Sicht der Nutzer, weswegen wir hier nur kurz auf die Verwaltung des Gateway aus der Sicht der IT-Abteilung eingehen. Zu Verwaltung und Betreuung können sich die Administratoren direkt auf dem Gateway anmelden. Dazu steht in der Appliance ein integrierter Web-Server bereit, zu dem sie dann eine Verbindung via SSL aufbauen können.

Die Entwickler von SEPPmail haben der Versuchung widerstanden, die Software – wie es bei vielen aktuellen Produkten im Moment üblich ist – mit einer möglichst umfangreichen Oberfläche im Browser in Form eines Dashboards auszustatten. Wer sich hier anmeldet, findet sich danach in einer Oberfläche wieder, die den spröden Charme einer Linux-Anwendung aus den 90er-Jahren verbreitet; was wohl nicht zuletzt dem Betriebssystem OpenBSD geschuldet ist, auf dem die Software basiert. Doch die einfache, im Prinzip textorientierte Oberfläche bietet dem Administrator alle Konfigurationsmöglichkeiten, die er benötigt. Hinzu kommt die unbestrittene Tatsache, dass dieses Unix-Derivat für seine Robustheit und Widerstandsfähigkeit gegenüber Angriffen bekannt ist. Dieses Betriebssystem ist dann aber verantwortlich dafür, dass die Oberfläche an dieser Stelle nur in englischer Sprache bereitsteht.

Die Appliance verfügt auch über ein rollenbasiertes Rechtesystem. So existieren neben dem Admin mit Vollzugriff weitere spezielle Rollen, beispielsweise für administrative Nutzer, die systemrelevante Konfigurationseinstellungen vornehmen können, oder für einen Backup-Nutzer, an dessen Adresse täglich ein verschlüsseltes Backup der Appliance gesendet werden kann. Weitere Rollen betreffen unter anderem die Gruppenverwaltung, wobei Administratoren die vorhandenen Rollen und Gruppen ergänzen können, oder einen Administrator, der ausschließlich für die Verwaltung der GINA-Domänen zuständig ist. Wer jetzt bei der Erwähnung von täglichen Backups Bedenken bekommt, dass damit die Appliance schnell überlastet und der Speicherplatz ausgeschöpft ist, sollte sich bewusst machen, dass auf der SEPPmail Appliance keine Nutzdaten abgespeichert werden. Die verschlüsselten Nachrichten werden immer komplett ausgeliefert. Dadurch beschränkt sich der Inhalt der Sicherung ausschließlich auf die Konfigurations- und Schlüsseldaten. Der Anbieter versicherte uns in diesem Zusammenhang, dass das Datenvolumen der Sicherungen selbst nach jahrelangem Betrieb der Appliance sehr gering bleibt.

In der Oberfläche steht den Systembetreuern auch das zentrale Management der gesamten Verwaltung von OpenPGP Public Keys und S/MIME-Zertifikaten inklusive automatischen Widerrufs (Revokation) und einer Liste der Trusted Certification Authorities (CAs) zur Verfügung. IT-Mitarbeiter, die sich schon mit der Einrichtung und Verwaltung einer PKI (Public Key Infrastructure) für das eigene Unternehmen herumärgern durften, werden den hier verfolgten Ansatz des zentralen Managements sicher begrüßen. Trotzdem steht natürlich auch die Anbindung an eine externe PKI zur Verfügung. Auch das automatisierte Erstellen persönlicher S/MINE-Zertifikate bietet die Appliance an. Administratoren, die mit der Oberfläche im Browser arbeiten wollen, müssen sich nur daran gewöhnen, möglichst nicht die Vor- und Zurück-Pfeile des Browsers zu nutzen, um sich in dem Menü zu bewegen. Sie sollten nach Möglichkeit das gewünschte Untermenü aus der oberen Leiste des Browser-Fensters auswählen. Ansonsten kann es ihnen passieren, dass sie die Fehlermeldung „Formular erneut einreichen?“ zu sehen bekommen. Das funktioniert dann aber nicht, so dass eine neue Anmeldung am Web-Server nötig wird.

Teilhabe für alle: GINA in der Praxis

Ein häufig thematisiertes Problem bei der E-Mail-Verschlüsselung ist die Kommunikation mit anderen Unternehmen und deren Nutzern. Kann oder will die „Gegenseite“ nicht die entsprechende Verschlüsselungssoftware installieren, so müssen auch die eigenen Mitarbeiter – wenigstens für diese Einsatzfälle – wieder auf unverschlüsselte Nachrichten setzen. Um dieses Problem zu umgehen, haben die Entwickler von SEPPmail die sogenannte GINA-Technologie entwickelt, die sie als Teil der Lösung bereitstellen. Das Unternehmen hat diese Technik auch patentiert. Bei diesem Web-Mailer werden auf der Empfängerseite nur ein Web-Browser und die Möglichkeit, E-Mails zu empfangen, benötigt. Auf der Seite des Senders muss für das Einrichten dieses Verfahrens gewährleistet sein, dass die SEPPmail-Appliance aus dem Internet erreichbar ist. Dies wird in der Regel über den SSL Port 443 gewährleistet. Zudem sollte auf der Appliance laut SEPPmail ein gültiges SSL-Zertifikat einer akkreditierten Certification Authority (CA) eingebunden sein.

Wer nun als Anwender in einem Unternehmen mit einem SEPPmail-Server eine verschlüsselte Nachricht an einen E-Mail-Empfänger ohne eine entsprechende Lösung versenden möchte, kann dazu seiner Betreffzeile das Schlüsselwort [confidential] voranstellen. Nutzer, die Outlook einsetzen, können die Mail dort auch einfach als „Vertraulich“ markieren. Mit dem Outlook-Add-In für lokal installierte Outlook-Anwendungen stehen diesem Anwenderkreis auch entsprechende Schaltflächen zur Verfügung. Auf den Einsatz dieses Add-In gehen wir im weiteren Verlauf dieses Berichts noch detailliert ein.

Handelt es sich bei dieser Nachricht um die erste verschlüsselte Mail an diesen Empfänger, so bekommt der Nutzer von der Lösung eine Mail mit einem Passwort. Dieses kann er dann ganz im Sinne der Verschlüsselung dem Empfänger der Nachricht über einen anderen Kanal wie SMS oder Telefon mitteilen. Besonders gut hat uns dabei gefallen, dass der Versender auch die Möglichkeit besitzt, in der Betreffzeile der ausgehenden Nachricht mit „(sms: +49xxxxxxxxx)“ gleich die Telefonnummer des Empfängers hinzuzufügen. Das Mail-Gateway entfernt dann diesen Eintrag aus der Betreffzeile und sendet das Passwort direkt als SMS an den Empfänger.

Das ist eine sehr praxistaugliche und gute Lösung, diese Austauschprozedur zu Beginn zu vereinfachen und zu beschleunigen. Der Empfänger erhält die verschlüsselte Mail und das Passwort und kann so die Mail entschlüsseln. Er hat im Browser-Fenster auch die Möglichkeit, gleich wieder verschlüsselt zu antworten. Zudem kann (und sollte er unbedingt) an dieser Stelle dann auch gleich das Initialpasswort ändern. Sind diese Schritte durchlaufen, so wird das Mail-Gateway ab diesem Zeitpunkt jede als vertraulich gekennzeichnete Mail an diesen Empfänger automatisch verschlüsseln. Dem Empfänger ist das Speichern der Mail als E-Mail- oder Outlook-Nachricht sowie als PDF-Datei ebenfalls direkt aus dem Browser-Fenster heraus möglich.

Der erste Teil des Tests zeigt, dass sich die Appliance einfach in bestehende IT-Infrastrukturen integrieren lässt und die erforderlichen Konfigurationen nach relativ kurzfristiger Einarbeitung problemlos durchführbar sind. Des Weiteren sind positiv die durchgehende Einhaltung der Datenschutzaspekte und auch die geringen Datenressourcen für Sicherungen zu erwähnen. Die Lösung lässt sich zentral administrieren und lässt sich darüber hinaus auch an eine externe PKI anbinden.

Im folgenden zweiten Teil des Tests stehen die praktische Anwendung eines Secure E-Mail Gateways im Vordergrund. Auch der Einsatz und die Einbindung einer E-Mail-Sicherheitslösung in Outlook wird dabei unter die Lupe genommen.

(ID:47739273)