Frage zu S/Mime bzw PGP für MS "Outlook" in der Fa.

serie300

Well-Known Member
Guten Abend,

evtl. kann mir hier jemand mit einem nicht Unix spezifischen IT Problem bzgl Mail unter Win helfen. Ich muß öfters sensible Daten mit einem Kunden austauschen (sind keine >20MB Daten). Unverschlüsselt ist bäh. Die Methode die Daten mit zip zu verschlüsseln und in die gleiche Mail das Passwort zu schreiben hilt auch nicht wirklich. Den verschlüsselten Server, den wir von meiner IT aus verwenden sollen läßt die Kundenfirewall nicht durch; umgekehrt ist es beim Kunden ein Drama, daß die einen Zugang zu einem ihrer verschlüsselten Server bereitstellen. Jetzt dachte ich mir, ich könnte lokal nur für mich und den Kundenansprechpartner für die E-Mail ein Schlüsselpaar erzeugen, mein Ansprechpartner beim Kunden macht das selbe, wir basteln das in MS-Aussicht 2016 rein und ich kann ihm per Mail ohne weitere Eingriffe Daten schicken. Und - ich will möglichst wenig mit meiner IT diskutieren.
Meine Fragen:
1. PGP geht bei MS-Aussicht ja wohl nicht rein. Bleibt eigentlich für Outlook nur noch S/MIme? Ist S/Mime sicher (was auch immer sicher heißt)?
2. Kann ich bzw der Kunde die Schlüsselpaare einfach so lokal generieren und dann in Outlook einlesen?
3. Schafft es "Aussicht" dann _automatisch_ die verschlüsselte Mail zu erkennen und in der Inbox zu dechiffrieren und beim Senden zu wissen, daß es zu diesem Adressaten verschlüsseln soll?
4. Wohin würdet ihr den geheimen Schlüssel legen? Der Desktop ist vielleicht nicht der beste Platz, jedesmal eintippen ist vielleicht nicht so effizient oder wird der dann in Outlook gesichert und ist dort evtl. für die Serverbetreiber sichtbar)?
5. Oder sagt ihr: "Mach mit dem Kunden ein Schlüsselwort ab und schick das Zeug mit zip verschlüsselt. Da hast du weniger Ärger."

Serie300
 
Keine Ahnung, was Microsoft da kann und welche Programme es in dieser Welt gibt. Alleine, da GPG ein weit verbreitetes OpenSource-Verschlüsselungs-Tool ist, erwarte ich einfach, dass es dafür auch Lösungen mit Microsoft gibt.

Also, ich verschlüssele quasi alles immer und nur noch per GPG.
Natürlich am liebsten direkt aus meinem Mail-Client (bei mir Claws-Mail), aber nur wenige Gesprächspartner haben das eingerichtet, leider. Hätten die das eingerichtet, dann fände ich auch ihren öffentlichen Schlüssel und könnte den importieren. Damit dann Mails direkt verschlüsseln, oder auch nur Dateien, die ich dann anhängen möchte.
Für mich ist das die beste Möglichkeit, weil die öffentlichen Schlüssel halt öffentlich sind und daher einfach benutzt werden können und eine Datei ganz exakt für einen einzigen Empfänger verschlüsselt werden kann. GPG!!!
Ich meine, das geht nicht nur mittels Mail und Internet, sondern auch für Dateien auf einem USB-Stick, die ich vielleicht per Post senden möchte oder dem Empfänger direkt übergebe. Mit seinem eigenen Schlüssel versehen, kann nur ER/SIE diese Datei auch öffnen.

Das nutze ich dann natürlich auch gerne für solche Dateien, die nur mir selbst ihren Inhalt preis geben sollen.

Darüber hinaus kann man aber auch symetrisch verschlüsseln, also ein Passwort bei der Verschlüsselung direkt vergeben, dass dann beim Entschlüsseln genutzt werden muss. Nur, wer im Besitz des Passworts ist, kann die Datei öffnen. Leider kann aber JEDER, der in den Besitz des Passwortes kommt, diese Datei dann öffnen. Deshalb darf keineswegs dieses Passwort in der gleichen Mail genannt werden und ich würde es auch nicht in einer anderen Mail offen übermitteln. Zwei Faktor, wie man heute so schon sagt, ist zweifelsohne sicherer. Also, das PW zB per SMS (ich würde das nicht machen! bin aber vielleicht paranoid) oder per Brief oder im persönlichen Gespräch, also jedenfalls einem anderen Weg, als den, welche die verschlüsselte Datei nimmt. Sodann jede Datei mit einem neuen Passwort verschlüsseln (pwgen(1) hilft beim Finden von Passwörtern) und sich die dann natürlich jeweils merken und wieder vertraulich weiter geben.

Das Merken der Passworte geht einfach: nämlich in einer Textdatei auf dem Rechner, die dann sofort wieder verschlüsselt und nur bei Bedarf geöffnet wird.
 
PGP Funktioniert wohl mit Outlook, ich selbst habe es aber noch nicht probiert. Für Outlook Online gibts sogar Browserplugins um PGP nachzurüsten. So eins hab ich mal probiert und hat gekappt (wenn auch nicht sooo praktisch wie z.b. Enigmail in Thunderbird).
Prinzipiell würd ich aber immer darauf achten was Firmenpolicy ist.

Wenn es nur ein Empfänger ist kannst du wie schon erwähnt auch einfach symatrisch mit gpg verschlüsseln. Da machst du dir mit deinem Kunden per Telefon oder so ein PW aus und gut. Ist vielleicht der einfachere Weg.

ZIP unterstützt 2 Arten von Verschlüsselung, eine davon ist gebrochen und sollte nicht verwendet werden.
 
Vielleicht lässt sich das Problem noch leichter erschlagen. Kannst du rausfinden, ob die Mailserver Transportverschlüsselung nutzen? Die meisten deutschen Provider tun dies. Damit wäre zumindest der größte Unsicherheitsfaktor behoben und evtl. könnt ihr damit auf die zusätzliche Verschlüsselung verzichten.
 
Soweit ich das mal kurz gegoogelt hab muss man gpg für outlook 2016 manuell zusätzlich installieren.
Wenn die ne restriktive Firewall haben hat der Benutzer ja vermutlich auch keine admin-rechte um genau das zu tun. AFAIK braucht gpg doch auch noch irgendwelchen Internetzugriff um Zertifikate abzugleichen? (Bin da kein experte)

Der "Korrekte" weg wäre meiner Meinung nach, das entweder eure admins oder deren admins euch da eine funktionsfähige Lösung schaffen. Das sollte ja eigentlich nicht so schwer sein. Wir haben da z.B. etwas auf https basis, da muss man dann maximal irgendwo ne einzelne Webseite freigeben und keine Löcher in den Paketfilter o.ä. basteln.

Wenn die Daten allerdings auf der einen Seite nicht sonderlich Wertvoll sind (=Schadensumme bei Datenverlust an dritte), nicht sonst irgendwie problematisch (Image-Verlust bei Bekanntwerden der Daten z.B.) und keine Personenbezogenen Daten enthalten (nach DSGVO) würde ich je nach aufwand für die "richtige" Lösung das Passwortgeschütztearchiv wählen und dann das passwort per telefon oder so in betracht ziehen.
(Ich würde mir ggf. nochmal kurz anlesen welches archivformat am besten geeignet ist, ich meine mich zu erinnern das es da teilweise auch große unterschiede gibt)
 
Wenn die Daten allerdings auf der einen Seite nicht sonderlich Wertvoll sind (=Schadensumme bei Datenverlust an dritte), nicht sonst irgendwie problematisch (Image-Verlust bei Bekanntwerden der Daten z.B.) und keine Personenbezogenen Daten enthalten (nach DSGVO)
... und genau dafür soll die Transportverschlüsselung ausreichend sein (zu dieser sind die deutschen Provider verpflichtet (§ 88 TMG). Ob sie sich daran halten, ist eine andere Frage. :)), wenn zusätzlich sichergestellt werden kann, dass beide Seiten sich zB per SSL mit dem Mailprovider verbinden.
 
... und genau dafür soll die Transportverschlüsselung ausreichend sein (zu dieser sind die deutschen Provider verpflichtet (§ 88 TMG). Ob sie sich daran halten, ist eine andere Frage. :)), wenn zusätzlich sichergestellt werden kann, dass beide Seiten sich zB per SSL mit dem Mailprovider verbinden.

Naja villeicht macht einer von den beiden oder beide ja Mail selbst und verschlüsselt nicht villeicht weil da irgend ne alte Appliance oder so rumhängt?

/edit Auch hier wieder mein Punkt von oben: Die admins fragen ;)
 
Danke für die Antworten
- Transportverschlüsselung automatisch durch die Mailserver - das wär's wahrscheinlich - muß ich mal nachfragen. Wäre ja sinnvoll. Bleibt noch der unverschlüsselte Transport in den Firmennetzwerken.
- PGP - Was ich gelesen habe, muß man für Outlook ein Plugin installieren und genau dann gibt es Ärger mit der IT; deshalb dachte ich an S/MIME, aber das soll wohl teiweise unsicher sein.
- Admins kommst du in größeren Firmen schlecht dran. Da ist First-Level Support davor.

Serie300
 
Danke für die Antworten
- Transportverschlüsselung automatisch durch die Mailserver - das wär's wahrscheinlich - muß ich mal nachfragen. Wäre ja sinnvoll. Bleibt noch der unverschlüsselte Transport in den Firmennetzwerken.
Das ist regelmäßig dadurch gegeben, dass sich der Mailclient per SSL verbindet bzw. weniger von Interesse, weil die Daten dann ja schon in der Firma sind. Aber wie @CommanderZed sagt, die Admins wissen das. Und du musst das ja nicht selbst in die Hand nehmen, das kann der Kunde regeln.

Unabhängig davon halte ich eine Ende-zu-Ende Verschlüsselung (in welcher Form auch immer) für sicherer. Nur die Frage ist, ob man das mit akzeptierbaren Aufwand schafft.
 
Das ist regelmäßig dadurch gegeben, dass sich der Mailclient per SSL verbindet bzw. weniger von Interesse, weil die Daten dann ja schon in der Firma sind. Aber wie @CommanderZed sagt, die Admins wissen das. Und du musst das ja nicht selbst in die Hand nehmen, das kann der Kunde regeln.

Unabhängig davon halte ich eine Ende-zu-Ende Verschlüsselung (in welcher Form auch immer) für sicherer. Nur die Frage ist, ob man das mit akzeptierbaren Aufwand schafft.

Ähh wenn er in Firma A sitzt und er Daten nach Firma B schickt und deren externe Mailserver machen, wie oft noch verbreitet und oben von mir vermutet, kein SSL (zumal er das ja halt auch kaum prüfen kann) - wieso ist dann der Weg Mailserver -> Client relevant der in den meisten Unternehmen ja eh irgendwie noch mal zusätzlich geschützt ist?

First-Level> Das kommt natürlich sehr stark aufs Unternehmen und die abläufe an, mein AG hat z.B. ca. 22K Mitarbeiter und ist damit sicher nicht mehr KMU, aber auch nicht sonnen first-level-support sondern ganz andere, ich würde sagen eher "klassischere" Strukturen :)

Sollte der 1st level das nicht wissen sollte es in einem gut funktionieren Betrieb imho so sein das der das Ticket dann halt weitergibt und jemand der sich auskennt das kurz beantwortet. Ich verstehe aber natürlich das das leider uhhh - nicht immer so ist.
 
Ähh wenn er in Firma A sitzt und er Daten nach Firma B schickt und deren externe Mailserver machen, wie oft noch verbreitet und oben von mir vermutet, kein SSL (zumal er das ja halt auch kaum prüfen kann) - wieso ist dann der Weg Mailserver -> Client relevant der in den meisten Unternehmen ja eh irgendwie noch mal zusätzlich geschützt ist?
Ich komme nicht ganz mit, befürchte aber, dass wir stellenweise aneinander vorbei reden. :) Ich habe mir das so vorgestellt:

Mailclient Absender ---SSL---> Mailserver Provider Absender <---Transportverschlüsselung---> Mailserver Provider Empfänger <--- SSL--- Mailclient Empfänger

Ich kann mir bei diesem Szenario nicht vorstellen, dass es (in D) Provider gibt, die hier kein zB SSL vorschreiben. Den Weg Mailserver -> Client halte ich deshalb für relevant, da er über das Internet gehen kann und die Daten auch hier datenschutzrechtlich geschützt sein müssen. Häufig ist zwischen Mailclient und Mailserver aber noch ein eigener Mailserver, der dann aber im Unternehmen steht. Dann muss man den Ablauf entsprechend erweitern. Hier kann ich es mir auch vorstellen, dass Mailclient -> eigener Mailserver ohne SSL läuft, was dann tatsächlich nicht relevant sein kann.

First-Level> Das kommt natürlich sehr stark aufs Unternehmen und die abläufe an, mein AG hat z.B. ca. 22K Mitarbeiter und ist damit sicher nicht mehr KMU, aber auch nicht sonnen first-level-support sondern ganz andere, ich würde sagen eher "klassischere" Strukturen :)

Sollte der 1st level das nicht wissen sollte es in einem gut funktionieren Betrieb imho so sein das der das Ticket dann halt weitergibt und jemand der sich auskennt das kurz beantwortet. Ich verstehe aber natürlich das das leider uhhh - nicht immer so ist.
Das sehe ich genauso. :)
 
Muss leider das Thema nochmal vorholen, weil ich gewagt habe, bei der IT nachzufragen, ob Mail Verschlüsselung geht und dann einen Einlauf bekommen habe... (von wegen Daten Sicherheit ist nur mit dem Tool F*ckAPI möglich und wenn das beim Kunden nicht geht, dann ist das dessen Problem...).

Jeder halbwegs professionelle Mailserver sollte doch anhand der mailadresse feststellen können, daß er diese mail nur verschlüsselt übertragen darf und falls das nicht möglich ist, die Übertragung unterbinden?

Vor allem dt. Automotive Großkonzerne sollten das doch im Griff haben.
 
Muss leider das Thema nochmal vorholen, weil ich gewagt habe, bei der IT nachzufragen, ob Mail Verschlüsselung geht und dann einen Einlauf bekommen habe... (von wegen Daten Sicherheit ist nur mit dem Tool F*ckAPI möglich und wenn das beim Kunden nicht geht, dann ist das dessen Problem...).

Jeder halbwegs professionelle Mailserver sollte doch anhand der mailadresse feststellen können, daß er diese mail nur verschlüsselt übertragen darf und falls das nicht möglich ist, die Übertragung unterbinden?

Vor allem dt. Automotive Großkonzerne sollten das doch im Griff haben.

Wenn etwas beim Kunden nicht geht, ist es doch aufgabe eurer IT ein passendes Tool zu finden das beim Kunden geht, im zweifel mit der Kunden-IT zusammen?

Wenn ich das richtig verstanden habe ist euer vorhandenes Tool nicht als "normale" Webseite per https erreichbar sondern es muss irgend ein dubioses Protokoll über irgend einen speziellen port von einen speziellen Programm aufgerufen werden? Dann ist das doch, Sorry, einfach scheisse und untauglich.
 
hi

es gibt fuer windows software die verschlüsselte container anlegen , um die z.b. in der cloud abzulegen bzw. auszutauschen.
diese software müsste dann auf beiden seiten vorhanden sein.

die Software ist recht transparent und einfach in der anwendung.

die container können da einfach per mail oder usb oder was auch immer ausgtauscht werden.

z.b. VeraCrypt.

Holger
 
Zurück
Oben