In Teil 1 habe ich beschrieben, wie man Daten innerhalb der Cloud sichert. In diesem Artikel möchte ich auf ein etwas komplizierteres Thema eingehen. Email Verschlüsselung ist nicht nur ein Thema für eine Cloud basierte Email Kommunikation, aber hierbei ist der Stellenwert noch höher. Wie immer zählen für mich bei solchen Lösungen Transparenz, Plattformunabhängigkeit und Standards. Zur sicheren Email Kommunikation setzte ich dabei immer auf den PGP Standard, um genau zu sein OpenPGP. Infos zum PGP Verfahren findet ihr hier: PGP - Verfahren 

Plattform unabhängig wird man wenn man ein Gateway im Drop-in Modus verwendet, bei dem der Datenstrom über das Gateway abgewickelt wird und dort Ver- und entschlüsselt wird. Bei bis zu 500 Usern reicht dafür auch ein Gateway mit nur 1 netzwerkkarte aus. Wie immer gilt die Grundregel, dass bei Cloud basierten Systemen das Key-Management innerhalb des eigenen Unternehmen bleibt und nur Verschlüsselte Daten transportiert werden. Die meisten Gateway haben noch keine direkte Verbindung zum Verzeichnisdienst können aber eine CSV Datei der User mit der eindeutigen Zuordnung der Emailadresse importieren. Entscheidend ist die Reihenfolge der Felder beim Export der Daten.

Wenn man klassisches PGP nutzen will, dann ist die Verschlüsselung immer Anwender bezogen und durch ein eindeutig zugeordnetes Schlüsselpaar gesichert. Soll eine domänenbasierte End-to-End Verschlüsselung realisiert werden, so benötigt man auf  beiden Seiten ein Gateway, da sonst immer nur eine Absenderadresse verwendet wird, was häufig zur Einstufung als SPAM führt. Regelbasiert muss man nun definieren, wie und wann die Verschlüsselung angewendet wird.

• Immer für einen User gültig – Alle Emails werden automatisch verschlüsselt
• Abhängig von der Zieldomäne – Nur Email an eine Zieldomäne werden verschlüsselt.
• Abhängig von der Zieladresse – Nur Email an einen bestimmen Empfänger werden verschlüsselt
• Abhängig von definierten Schlagwörtern – Wenn z.B. das Wort “Vertraulich” im Betreff gefunden wird, dann wird die Email automatisch verschlüsselt

Drop-in Modus ist mit wenigen Schritten zu realisieren:

1. Die zu managende Domäne eintragen (Eigene Domäne)
2. Den Server angeben über den die Mails dann versendet werden (relaying)
3. Sende Connector im Email Server auf Smarthost umstellen (PGP Gateway)

Nun wird der gesamte Email Datenstrom über das PGP Gateway umgelenkt und regelbasiert verschlüsselt. Auf dem Client muss keine zusätzliche Software installiert werden. Es muss keine Anpassung im Email Client vorgenommen werden, was den Einsatz aller Geräte ermöglicht (Smartphone, Slate PC, verschiedene Betriebssysteme). Eine kleine Ausnahme ist hier der Email Zugriff über eine Weboberfläche. Um diesen Zugriff zu sichern, muss neben der Email Verschlüsselung auch der Transport der Email abgesichert werden (TLS – Transport Layer Security). Im Gateway wird die URL für dem Web-Zugriff umgelenkt wodurch die Email nicht entschlüsselt wird, sondern komplett verschlüsselt zum Empfänger transportiert wird und dort als Anhang in einer Email bereitgestellt wird. Öffnet man diese Email, dann fordert das System zur Eingabe des Kennworts auf. Erst danach kann die Email im Klartext gelesen werden.

Antwortet man auf eine mit PGP verschlüsselte Email, dann wird diese Antwort automatisch verschlüsselt und gesichert übertragen. Für Cloud Dienste sollte man das Gateway so konfigurieren, dass selbst interne Emails verschlüsselt werden und der Transportweg auch gesichert ist. 

Neben der PGP Verschlüsselung kann auch eine interne (oder externe) PKI eingebunden werden, schneller und einfacher geht es mit dem sicheren PGP Standard. OpenPGP ist 100% Kompatibel zu den kommerziellen PGP Versionen. Selbstverständlich ist das PGP Schlüsselpaar verschlüsselt auf dem Gateway gespeichert. Hat ein Benutzer bereits ein altes Schlüsselpaar, dann kann man diese über Import Schnittstellen einem Konto zuordnen, um bereits verschlüsselte Email weiterhin lesen zu können. Systembackups sind verschlüsselt und nur über das Gateway lesbar.

Bei der Auswahl des Cloud Providers ist darauf zu achten, dass man Zugriff auf die Konfiguration über den Sendeconnector bekommt, damit der Drop-in Modus konfiguriert werden kann. Die Email Datenbank sollte auch einem verschlüsselten Laufwerk liegen, welches in Teil 1 beschrieben worden ist.

Für Fragen stehe ich gerne zur Verfügung

Viel Spaß

Frank