IT-Security

Gateway-Lösungen zur zentralen Verschlüsselung und digitalen Signatur von E-Mails

16. Juni 2015 von Larissa Weigand

Gateway-Loesung

5
(7)

Mit E-Mail-Gateways gelingt das Verschlüsseln und Signieren Ihrer E-Mails automatisch; Sie kommen also gänzlich ohne Kryptografie-Lösungen aus. Insbesondere für Unternehmen sind Gateway-Lösungen attraktiv, da sie einfach in der Umsetzung sind.

E-Mail Gateway-Lösungen: Sicherheit ja, aber bitte einfach

Viele Unternehmen haben sich den sicheren E-Mail-Verkehr auf die To-Do-Liste gesetzt, jedoch hapert es nicht zuletzt an der Umsetzung, die vielen zu kompliziert erscheint. Nicht nur die Implementierung steht an, sondern Verschlüsselung muss auch angewendet werden. Die mangelnde Akzeptanz liegt nicht nur auf der Seite der eigenen Mitarbeiter, sondern auch auf der anderer Kommunikationspartner. Probleme dieser Art entstehen vor allem beim clientbasierten Sicherheitskonzept: lokale Anwenderrechner müssen bei diesem Ende-zu-Ende-Ansatz zum Verschlüsseln, Entschlüsseln, Signieren sowie beim Verifizieren eingesetzt werden. Das bedeutet, dass jeder Rechner mit einem sicheren E-Mail-Client ausgerüstet sein muss, der Kryptografie-Funktionen beherrscht. Eine zentrale PKI (Public Key Infrastruktur) versorgt die Einzelrechner mit eigenen und fremden Schlüsseln, die dezentral auf den einzelnen Rechnern verwaltet werden. So werden E-Mails vom Sender bis zum Empfänger geschützt, deshalb spricht man von Ende-zu-Ende.

Hier, bei der lokalen und dezentralen Verwaltung, entsteht ein Sicherheitsrisiko: Es bleibt jedem Mitarbeiter selbst überlassen, ob er Verschlüsselung und Signierung diszipliniert bei wirklich jeder vertraulichen Information einhält. Wissen Ihre Mitarbeiter ganz genau, was Sie in Ihren Unternehmensrichtlinien als „vertraulich“ erachten? Eine konsequente Umsetzung wird schwierig und erfordert ein hohes Maß an Security-Awareness seitens der Mitarbeiter. Dies kann Schulungen voraussetzen, die finanziell und personell eventuell schwer zu stemmen sind.

Secure E-Mail-Gateways: Serverseitige Verschlüsselung

Eine serverseitige Verschlüsselungslösung, auch Gateway-Lösung genannt, kann genau dort ansetzen. Bei einem Secure E-Mail-Gateway laufen sämtliche kryptografischen Vorgänge, etwa das Verschlüsseln und Signieren von Inhalten, über ein dediziertes E-Mail-Gateway, während die Mitarbeiter nach wie vor an ihren individuellen Workstations arbeiten. Das Gateway wird an zentraler Stelle des Unternehmensnetzwerks implementiert und wahlweise als Aufsatz für einen bereits vorhandenen E-Mail-Server oder als eigenständiger Server eingesetzt. E-Mail-Gateways nehmen Mitarbeitern oder individuell bestimmten Nutzergruppen alle relevanten kryptografischen Vorgänge automatisiert ab: ausgehende E-Mails werden verschlüsselt und signiert, eingehender E-Mail-Verkehr wird entschlüsselt und verifiziert – jeweils automatisiert, einheitlich und den Unternehmensrichtlinien entsprechend. Das spart immensen Mehraufwand und senkt das Sicherheitsrisiko „Mitarbeiter“, denn die Mitarbeiter können E-Mails wie gewohnt versenden und empfangen, ohne zusätzliche Tätigkeiten ausführen zu müssen.

Funktionsweise von E-Mail-Gateways

Funktionsweise GatewayIn aller Regel unterstützen Gateway-Lösungen die Verschlüsselungsstandards S/MIME und (Open)PGP. Das Gateway speichert neben den öffentlichen und privaten Schlüssel der Absender auch die öffentlichen Schlüssel der Empfänger-Zertifikate. Individuelle Regeln teilen dem Gateway mit, unter welchen Umständen E-Mails signiert oder verschlüsselt werden. Solche Regeln können beispielsweise aus bestimmten Schlüsselwörtern bestehen, die sich im Betreff oder im Inhalt der E-Mail befinden, oder aber sie beziehen sich auf bestimmte E-Mail-Empfänger. Mitarbeiter haben keinen gesonderten Aufwand mit diesen Regeln, da sie innerhalb der Sicherheitsrichtlinien fest im Gateway definiert werden.

Versendet nun ein Mitarbeiter eine E-Mail, wird diese zunächst vom E-Mail-Gateway empfangen und auf die eingestellten Regeln überprüft. Entsprechend dieser Regeln wird verschlüsselt und signiert. Eine Signatur erfolgt über den zentral hinterlegten Private-Key des versendenden Mitarbeiters, verschlüsselt wird mit dem öffentlichen Empfänger-Schlüssel. Die nun gesicherte E-Mail wird anschließend an den eigentlichen Empfänger weitergeleitet. Analog dazu funktioniert das Empfangen einer verschlüsselten E-Mail: automatisch werden E-Mails verifiziert und entschlüsselt. Das Gateway gibt die E-Mails an den einzelnen Mitarbeiter weiter, der die verschlüsselte E-Mail bereits im Klartext sehen kann. Im Betreff oder über eine spezielle Headerzeile befindet sich ein entsprechender Kommentar als Hinweis für den Mitarbeiter. Wenn das Absender-Zertifikat im Gateway bereits vorliegt, wird die Signatur geprüft. Andernfalls ruft das Gateway die für die Prüfung notwendigen Zertifikate über interne sowie externe Serviceanbieter ab.

Kann der Empfänger nicht auf den Schlüssel des Absender-Zertifikats zugreifen, existieren alternative Methoden, die moderne Gateway-Lösungen beherrschen: die Nachricht kann beispielsweise auf einem sicheren Webserver hinterlegt werden oder eine verschlüsselte, selbst extrahierende Datei, die mithilfe einer Passphrase entschlüsselt wird, kann versendet werden. Beim Hinterlegen auf einen Webserver gehen Gateways in aller Regel so vor, dass sie den Empfänger per E-Mail benachrichtigen. Dieser greift mittels Passwort und HTTPS-Verbindung auf den Webmailer zu und kann die verschlüsselte E-Mail dort abrufen.

Vor- und Nachteile zentraler Gateway-Lösungen

Wie eingangs bereits erwähnt, ist einer der großen Vorteile an Gateway-Lösungen, dass das Verschlüsseln und das sichere Zustellen ausgehender E-Mails nach entsprechenden Sicherheitsrichtlinien im Unternehmen gewährleistet wird. Weder mangelnde Disziplin noch Flüchtigkeitsfehler sowie Unachtsamkeit senken die Vertraulichkeit von Informationen. Ein weiterer Vorteil ist die Tatsache, dass sich Installations- sowie Administrationsaufwand erheblich verringern. PKI-Funktionen können aufgrund des zentralen Ansatzes zügig und sehr einfach implementiert und genutzt werden, zusätzliche Software ist unnötig. Weiter wird die einheitliche Umsetzung der Security Policy des Unternehmens durch den Gateway-basierten Ansatz wesentlich erleichtert: die Richtlinien und Regeln werden zentral definiert und verwaltet. Die Virenprüfung kann zudem vor dem E-Mail-Server erfolgen, sodass auch Viren- sowie inhaltliche Prüfungen zentral und der Unternehmenspolicy entsprechend erfolgen. Zu den Vorteilen zählt auch die Unterstützung verschiedener Standards, darunter meist S/MIME, OpenPGP oder ISIS-MTT. Auch werden gängige Methoden wie die asymmetrische oder symmetrische Verschlüsselung unterstützt. Öffentliche Schlüssel von externen Kommunikationspartnern können zentral verwaltet und gesichert werden.

Auch diese Medaille hat jedoch zwei Seiten. Nachteilig an Gateway-Lösungen ist der Konfigurationsaufwand, der im Vergleich zu isolierten Ende-zu-Ende-Lösungen hoch ausfällt. Insbesondere für kleinere Unternehmen, die sicherheitstechnisch geringere Ansprüche haben, lohnt sich die Überlegung, ob eine isolierte Lösung eventuell besser wäre. Sind Sie unschlüssig, welche Lösung für Ihr Unternehmen sinnvoll ist, sprechen Sie uns gerne an, wir beraten Sie! Ein weiterer Nachteil ist der Schutz der internen Strecke: viele E-Mail-Gateways schützen sie nicht und bei Bedarf muss die innere Sicherheit mit einer weiteren Lösung erreicht werden (viele bieten zusätzliche Plugins an). Eine solche Lösung könnte es etwa sein, ein E-Mail-Gateway zum Sichern dieser internen Strecke zu installieren. Dann müssen jedoch sämtliche Anwenderrechner mit einer zusätzlichen Clientsoftware, alternativ mit benutzerspezifischen Zertifikaten und Schlüsseln ausgerüstet werden, womit der Vorteil der zentral geregelten Verwaltung verlorengeht. Ein sinnvollerer Ansatz wäre, spezifische Verschlüsselungsmechanismen innerhalb der E-Mail-Infrastruktur mit Portverschlüsselung oder SMTP (via SSL) mit Microsoft Exchange einzurichten. Clients müssen dann nicht mit benutzerspezifischen Schlüsseln und Zertifikaten oder zusätzlicher Software ausgerüstet werden.

Anbieter von E-Mail-Gateway-Lösungen

Der Markt bietet eine immer größere Auswahl an möglichen Anbietern für Gateway-Lösungen. Unsere Aufstellung erhebt keinen Anspruch auf Vollständigkeit (gerne können Sie empfehlenswerte Anbieter, Empfehlungen, Fragen oder Hinweise in den Kommentaren unter dem Artikel ergänzen), sie zeigt nur einige verschiedene Anbieter sowie deren Arbeitsweise auf. Grundsätzlich gilt: Gateways können im internen Unternehmensnetz entweder als Aufsatz für bereits vorhandene E-Mail-Server oder aber als eigenständige E-Mail-Server eingesetzt werden. Im ersten Fall werden Gateways in bereits bestehende Infrastrukturen, zum Beispiel IBM Lotus Domino, Microsoft Exchange oder aber Novell GroupWise, integriert. Die meisten Unternehmen entscheiden sich für einen eigenständigen Server, der zwischen dem eigenen Netzwerk und dem Internet einen Übergang bildet. Zahlreiche Hersteller bieten hierfür zentralisierte Gateway-Lösungen an:

  • zertificon: Der Anbieter nennt seine Lösung „Z1 SecureMail Gateway„. Das zertificon-Gateway bearbeitet als SMTP-Proxy den kompletten E-Mail-Verkehr von Unternehmen. Ausgehende E-Mails werden verschlüsselt und signiert, eingehende entschlüsselt und ihre Signatur wird überprüft. Auffällige Sendungen können blockiert werden, wobei interne Nutzer benachrichtigt werden. Ein flexibel anpassbares Regelwerk löst die E-Mail-Bearbeitung; Konfigurationen werden über die webbasierte Admin-Oberfläche vorgenommen. Zertificon arbeitet S/MIME- und PGP-konform, daneben ist passwortbasierte E-Mail-Verschlüsselung für Empfänger möglich, die ohne PKI arbeiten. Hochflexible Skalierbarkeit sowie die recht einfache Integration in bestehende E-Mail-Infrastrukturen machen zertificon zu einem der Marktführer für E-Mail-Gateways. Features wie interne und Ende-zu-Ende-Verschlüsselung, Managed PKI oder die Anhangsverarbeitung von branchenspezifischen Datenformaten wie CAD oder EDI ergänzen bei Bedarf.
  • SEPPmail: Der aus der Schweiz stammende Anbieter offeriert ebenfalls Gateway-Lösungen. Das Gateway arbeitet mit Zwei-Faktoren-Authentisierung, um auch vor Phishing-Attacken zu schützen, sogenannte Domain-Keys werden für die vollautomatische Domain-Verschlüsselung zwischen SEPPmail-Appliances eingesetzt, S/MIME sowie OpenPGP finden Einsatz und die Kommunikation zwischen der SEPPmail-Appliance sowie der entsprechenden Gegenstelle findet über einen TLS-gesicherten Kanal statt.
  • Sophos Ltd.: Die Lösung „Secure Email Gateway“ stammt aus dem Hause Sophos. Zwei Möglichkeiten werden geboten: Mit der „Sophos Email Appliance“ verschlüsseln Sie auf einer Appliance E-Mails mit DLP richtlinienbasiert. Zum Sichern eines gesamten Netzwerks über eine zentrale Appliance ist das Paket „UMT Email Protection“ gedacht.
  • procilon GROUP: Das eigenentwickelte Secure Mail Gateway proGOV von procilon sorgt für die automatisierte Einhaltung von Schutzzielen der Informationssicherheit bei elektronischen Kommunikationsprozessen. Technologiekomponenten für Ver- und Entschlüsselung, Signaturerzeugung, Signaturprüfung, Zertifikatsverwaltung und ein integriertes Regelwerk bilden den Kern der Software-Lösung. Neben der klassischen E-Mail-Verarbeitung ist proGOV in der Lage, über die Protokolle nach OSCI, De-Mail-Standard, AS2 oder AS4 Daten auszutauschen. Für den Abruf von öffentlichen Schlüsseln existiert eine Reihe von Schnittstellen zu öffentlichen Verzeichnisdiensten oder können über den LDAP-Standard geschaffen werden. Zur Datenarchivierung oder Weiterverarbeitung bestehen zu über 30 Repositories von mehr als 20 Herstellern ausprogrammierte Konnektoren. Um den hohen Ansprüchen bei der Langzeitarchivierung signierter Dokumente gerecht zu werden, ist eine Schnittstelle nach BSI TR-ESOR ArchiSafe S4 nutzbar. Fachapplikationen werden individuell über das Modul Integration angebunden. Durch die konsequente Beachtung regulatorischer Vorgaben und deren konforme Umsetzung in proGOV-Technologie ist die Lösung in vielen Anwendungsfällen ein erprobtes Produkt.

Unterschiede in den Details

E-Mails werden kryptografisch über einen zentralen Server bearbeitet: die Grundfunktion von E-Mail-Gateways ist grundsätzlich gleich, die Unterschiede liegen, wie so oft, im Detail. Die meisten Anbieter setzen auf Linux-Systeme. Einige Gateways werden als sogenannte Software Appliances ausgeliefert: vorkonfigurierte Pakete, die alle Anwendungen mitbringen und mit wenigen Handgriffen installiert und konfiguriert werden. Andere Anbieter setzen auf Hardware Appliances für verschiedene Nutzerzahlen. Diese Anbieter stellen ein vorkonfiguriertes System mit der dazugehörigen Hardware bereit. Solche Gateways eignen sich insbesondere für Anwender, die über sehr geringe Administrationskapazitäten verfügen. Die Lizenzkosten sind meist abhängig von der Anzahl der Nutzer. Einige Hersteller verlangen darüber hinaus auch Fixkosten für jedes verwendete Gateway, weshalb wir in der obigen Anbieteraufstellung auf das Nennen von Preisen verzichtet haben.

Achten Sie in jedem Fall bei der Auswahl darauf, dass S/MIME und PGP unterstützt werden – auf die von uns genannten Anbieter trifft das zu. Diese standardisierten Protokolle haben den Vorteil, eine sichere Kommunikation mit nahezu jedem Gesprächspartner zu erreichen. Übrigens: sämtliche Lösungen sind auch geeignet für kleinere Netzwerke, die zehn bis fünfzig Mitarbeiter verbinden. Bedenken Sie unbedingt, dass nicht jeder Ihrer Kommunikationspartner über ein so ausgeprägtes Sicherheitsverständnis verfügt. Verzichtet Ihr Kommunikationspartner auf eine Krypto-Lösung, sollte Ihr Gateway-Anbieter die oben erwähnten Wege (idealerweise passwortgeschützte Website mit HTTPS-Zugriff) oder andere Alternativen offerieren.

 

Fazit: Gateway-Lösungen für den sicheren E-Mail-Versand

Gerade bei einer großen Anzahl von Usern machen sich Gateway-Lösungen bezahlt: angepasst an die unternehmensinternen Sicherheitsrichtlinien findet das Signieren und Verschlüsseln beziehungsweise das Verifizieren und Entschlüsseln an zentraler Stelle statt – der Administrationsaufwand ist wesentlich geringer als bei lokal implementierten Ende-zu-Ende-Lösungen. Das Sicherheitsrisiko „Mitarbeiter“ wird reduziert, da die Unternehmensrichtlinien über die Sicherheit entscheiden, nicht der einzelne User. Gängige und sichere Verschlüsselungsstandards und -verfahren werden von modernen Anbietern unterstützt und Unternehmen sind auch für den Fall gewappnet, dass der Kommunikationspartner auf Krypto-Lösungen verzichtet. Jedoch muss eventuell die interne Kommunikationsstrecke noch zusätzlich abgesichert werden (informieren Sie sich hier unbedingt beim Anbieter, einige halten zubuchbare Plugins dafür bereit oder haben diese Sicherung ohnehin bereits integriert). Weiter ist der Konfigurationsaufwand insbesondere für kleinere Unternehmen wesentlich höher als bei isolierten Ende-zu-Ende-Lösungen. Nach der Konfiguration sinkt der Administrationsaufwand allerdings deutlich unter dem von Einzellösungen. Insgesamt zeigen sich Gateways vor allem bei großen Userzahlen als sinnvoll, um das Signieren und Verschlüsseln eingehender und ausgehender E-Mails zu automatisieren und vertrauliche Inhalte stets zu sichern.

Wie hat Ihnen dieser Artikel gefallen?

Average rating 5 / 5. Vote count: 7


2 Kommentar(e)

Schreibe einen Kommentar

* Die DSGVO-Checkbox ist ein Pflichtfeld

*

Ich stimme zu

Auf dieses Thema gibt es 2 Reaktionen