M 5.108 Kryptographische Absicherung von E-Mail
Verantwortlich für Initiierung: IT-Sicherheitsmanagement, Administrator
Verantwortlich für Umsetzung: Benutzer, Administrator
Damit E-Mails nicht unterwegs verändert oder mitgelesen werden können, sind zusätzliche Maßnahmen erforderlich. Diese gehören oft nicht zum Standardumfang von E-Mail-Systemen, sondern müssen zusätzlich installiert und konfiguriert werden. Dabei kann die Vertraulichkeit von E-Mail durch Verschlüsselung und die Integrität und Authentizität durch digitale Signaturen von E-Mails erreicht werden. Die digitale Signatur stellt dabei sicher, dass die E-Mail vom angegebenen Absender kommt und unverändert ist.
Generell ist die kryptographische Absicherung von E-Mail auf drei Ebenen möglich:
-
Netz-zu-Netz
Hierbei wird die Kommunikation von einem Netzübergabepunkt zum anderen abgesichert, z. B. durch den Aufbau eines VPN (Virtual Private Network, siehe dazu auch Baustein B 4.4 Remote Access).
Vorteil: Die vorgegebene Verschlüsselung funktioniert unabhängig von Benutzereingriffen. Statt vielen Benutzern müssen nur einzelne Administratoren geschult werden.
Nachteile: Es sind keine individuellen Einstellungen möglich, z. B. für digitale Signaturen. Diese Lösung kann außerdem nur für einzelne Gruppen von vorher festgelegten Kommunikationspartnern eingesetzt werden.
Dies ist eine gute Lösung, wenn Organisationen oder Organisationsteile, die geographisch getrennt sind, häufig über einen sicheren Kanal kommunizieren wollen. -
Client-zu-Web-/Mailserver: z. B. TLS/SSL, Proxy-Lösung
Bei der Proxy-Lösung wird jede Mail auf dem E-Mail-Server ver- bzw. entschlüsselt und im Klartext an den Client weitergeleitet.
Vorteil: Dies funktioniert unabhängig vom E-Mail-Client. Es ist keine zusätzliche Installation von Kryptoprogrammen bei den E-Mails-Clients erforderlich.
Nachteile: Bei Proxy-Lösungen kann die Konfiguration aufwendig sein. Bei TLS/SSL-Lösungen kann viel falsch gemacht werden. -
Client-zu-Client bzw. "Ende zu Ende"
Bei der kryptographischen Absicherung von Client-zu-Client werden Funktionalitäten benutzt, die im jeweiligen E-Mail-Client integriert sind oder dort nachträglich installiert werden (z. B. als Plug-In). Bekannte Produkte hierfür sind GnuPG oder PGP. Bei deren Einsatz müssen viele Rahmenbedingungen beachtet werden, damit diese wirklich die Sicherheit bieten, die von ihnen erwartet wird. Was hierzu umzusetzen ist, ist beispielsweise in den folgenden Maßnahmen beschrieben:- M 4.34 Einsatz von Verschlüsselung, Checksummen oder Digitalen Signaturen
- M 5.63 Einsatz von GnuPG oder PGP
- M 5.85 Einsatz von Verschlüsselungsverfahren für Lotus Notes E-Mail
- M 5.100 Einsatz von Verschlüsselungs- und Signaturverfahren für die Exchange 2000 Kommunikation
- M 5.110 Absicherung von E-Mail mit SPHINX (S/MIME)
In vielen E-Mail-Clients ist mittlerweile bereits die Möglichkeit zur Verschlüsselung und Digitalen Signatur integriert. Dadurch ergibt sich der Vorteil, dass diese Funktionen ohne Zusatzaufwand benutzt werden können. Der E-Mail-Verkehr innerhalb einer Institution kann damit direkt geschützt werden. Der Nachteil ist, dass dabei manchmal kryptographisch schwache Verfahren oder Implementierungen verwendet werden. Häufig treten auch Inkompatibilitäten mit anderen E-Mail-Clients auf.
Als Alternative gibt es eine Reihe von Plug-Ins, also Programme, die einem vorhandenen E-Mail-Client weitere Funktionalitäten hinzufügen, in diesem Fall also Verschlüsselung und Digitale Signatur. Vorteil: Die Produkte können so ausgewählt werden, dass sie genau auf die Bedingungen und Sicherheitsansprüche innerhalb einer Institution passen. Ein Nachteil ist, dass diese Plug-Ins nicht immer für alle E-Mail-Programme verfügbar sind. Bei Updates des E-Mail-Programms ist unsicher, ob das Plug-In noch funktioniert oder auch dafür ein Update benötigt wird. Es kann passieren, dass diese Verschlüsselungsprogramme inkompatibel mit ähnlichen Programmen auf Empfängerseite sind.
Da die Client-zu-Client-Absicherung immer darauf basiert, dass jedem Benutzer kryptographische Schlüssel zugeordnet werden müssen, ist hierzu ein zentrales Schlüsselmanagement notwendig. Dieses muss unter anderem gewährleisten, dass die Schlüssel regelmäßig gewechselt werden, immer aktuell sind und sicher installiert und gespeichert werden, also nur dem Berechtigten zugänglich sind. Dies zieht natürlich einiges an Aufwand nach sich (siehe auch M 2.46 Geeignetes Schlüsselmanagement).
Welche Kriterien (z. B. Funktionalität, Benutzerfreundlichkeit, Interoperabilität, Wirtschaftlichkeit, vorliegende Sicherheitsuntersuchungen) bei der Auswahl eines geeigneten kryptographischen Produktes zu beachten sind, ist in Baustein B 1.7 Kryptokonzept beschrieben.
Ergänzende Kontrollfragen:
- Existiert ein Konzept für die kryptographische Absicherung von E-Mail?
- Werden die Benutzer bzw. Administratoren im Umgang mit Krypto-Produkten geschult?
- Welche Verschlüsselungs- bzw. Signaturverfahren werden eingesetzt?