{"id":2283,"date":"2015-06-16T06:50:23","date_gmt":"2015-06-16T04:50:23","guid":{"rendered":"https:\/\/www.psw-group.de\/blog\/?p=2283"},"modified":"2025-12-29T12:53:49","modified_gmt":"2025-12-29T11:53:49","slug":"gateway-e-mail-verschluesselung","status":"publish","type":"post","link":"https:\/\/www.psw-group.de\/blog\/gateway-e-mail-verschluesselung\/","title":{"rendered":"Gateway-L\u00f6sungen zur zentralen Verschl\u00fcsselung und digitalen Signatur von E-Mails"},"content":{"rendered":"

Mit E-Mail-Gateways<\/strong> gelingt das Verschl\u00fcsseln und Signieren Ihrer E-Mails automatisch<\/strong>; Sie kommen also g\u00e4nzlich ohne Kryptografie-L\u00f6sungen aus. Insbesondere f\u00fcr Unternehmen sind Gateway-L\u00f6sungen attraktiv, da sie einfach in der Umsetzung sind.<\/p>\n

<\/p>\n

E-Mail Gateway-L\u00f6sungen: Sicherheit ja, aber bitte einfach<\/h2>\n

Viele Unternehmen haben sich den sicheren E-Mail-Verkehr auf die To-Do-Liste gesetzt<\/strong>, jedoch hapert es nicht zuletzt an der Umsetzung, die vielen zu kompliziert erscheint. Nicht nur die Implementierung steht an, sondern Verschl\u00fcsselung muss auch angewendet werden. Die mangelnde Akzeptanz liegt nicht nur auf der Seite der eigenen Mitarbeiter, sondern auch auf der anderer Kommunikationspartner. Probleme dieser Art entstehen vor allem beim clientbasierten Sicherheitskonzept: lokale Anwenderrechner m\u00fcssen bei diesem Ende-zu-Ende-Ansatz zum Verschl\u00fcsseln, Entschl\u00fcsseln, Signieren sowie beim Verifizieren eingesetzt werden. Das bedeutet, dass jeder Rechner mit einem sicheren E-Mail-Client ausger\u00fcstet<\/strong> sein muss, der Kryptografie-Funktionen beherrscht. Eine zentrale PKI (Public Key Infrastruktur) versorgt die Einzelrechner mit eigenen und fremden Schl\u00fcsseln, die dezentral auf den einzelnen Rechnern verwaltet werden. So werden E-Mails vom Sender bis zum Empf\u00e4nger gesch\u00fctzt<\/strong>, deshalb spricht man von Ende-zu-Ende<\/strong>.<\/p>\n

Hier, bei der lokalen und dezentralen Verwaltung, entsteht ein Sicherheitsrisiko<\/strong>: Es bleibt jedem Mitarbeiter selbst \u00fcberlassen, ob er Verschl\u00fcsselung und Signierung diszipliniert bei wirklich jeder vertraulichen Information einh\u00e4lt. Wissen Ihre Mitarbeiter ganz genau, was Sie in Ihren Unternehmensrichtlinien als „vertraulich“<\/strong> erachten? Eine konsequente Umsetzung wird schwierig und erfordert ein hohes Ma\u00df an Security-Awareness seitens der Mitarbeiter<\/strong>. Dies kann Schulungen voraussetzen, die finanziell und personell eventuell schwer zu stemmen sind.<\/p>\n

Secure E-Mail-Gateways: Serverseitige Verschl\u00fcsselung<\/h3>\n

Eine serverseitige Verschl\u00fcsselungsl\u00f6sung<\/strong>, auch Gateway-L\u00f6sung<\/strong> genannt, kann genau dort ansetzen. Bei einem Secure E-Mail-Gateway<\/strong> laufen s\u00e4mtliche kryptografischen Vorg\u00e4nge<\/strong>, etwa das Verschl\u00fcsseln und Signieren von Inhalten, \u00fcber ein dediziertes E-Mail-Gateway<\/a><\/strong>, w\u00e4hrend die Mitarbeiter nach wie vor an ihren individuellen Workstations arbeiten. Das Gateway wird an zentraler Stelle des Unternehmensnetzwerks implementiert<\/strong> und wahlweise als Aufsatz f\u00fcr einen bereits vorhandenen E-Mail-Server oder als eigenst\u00e4ndiger Server<\/strong> eingesetzt. E-Mail-Gateways nehmen Mitarbeitern oder individuell bestimmten Nutzergruppen alle relevanten kryptografischen Vorg\u00e4nge automatisiert ab: ausgehende E-Mails werden verschl\u00fcsselt und signiert, eingehender E-Mail-Verkehr wird entschl\u00fcsselt und verifiziert \u2013 jeweils automatisiert, einheitlich und den Unternehmensrichtlinien entsprechend<\/strong>. Das spart immensen Mehraufwand und senkt das Sicherheitsrisiko „Mitarbeiter“, denn die Mitarbeiter k\u00f6nnen E-Mails wie gewohnt versenden und empfangen, ohne zus\u00e4tzliche T\u00e4tigkeiten ausf\u00fchren zu m\u00fcssen.<\/p>\n

Funktionsweise von E-Mail-Gateways<\/h3>\n

\"Funktionsweise<\/a>In aller Regel unterst\u00fctzen Gateway-L\u00f6sungen die Verschl\u00fcsselungsstandards S\/MIME<\/a> und (Open)PGP<\/strong>. Das Gateway speichert neben den \u00f6ffentlichen und privaten Schl\u00fcssel der Absender auch die \u00f6ffentlichen Schl\u00fcssel der Empf\u00e4nger-Zertifikate. Individuelle Regeln<\/strong> teilen dem Gateway mit, unter welchen Umst\u00e4nden E-Mails signiert oder verschl\u00fcsselt<\/strong> werden. Solche Regeln k\u00f6nnen beispielsweise aus bestimmten Schl\u00fcsselw\u00f6rtern<\/strong> bestehen, die sich im Betreff oder im Inhalt der E-Mail befinden, oder aber sie beziehen sich auf bestimmte E-Mail-Empf\u00e4nger<\/strong>. Mitarbeiter haben keinen gesonderten Aufwand<\/strong> mit diesen Regeln, da sie innerhalb der Sicherheitsrichtlinien fest im Gateway definiert<\/strong> werden.<\/p>\n

Versendet nun ein Mitarbeiter eine E-Mail, wird diese zun\u00e4chst vom E-Mail-Gateway empfangen und auf die eingestellten Regeln \u00fcberpr\u00fcft. Entsprechend dieser Regeln wird verschl\u00fcsselt und signiert.<\/strong> Eine Signatur erfolgt \u00fcber den zentral hinterlegten Private-Key des versendenden Mitarbeiters, verschl\u00fcsselt wird mit dem \u00f6ffentlichen Empf\u00e4nger-Schl\u00fcssel. Die nun gesicherte E-Mail wird anschlie\u00dfend an den eigentlichen Empf\u00e4nger weitergeleitet. Analog dazu funktioniert das Empfangen einer verschl\u00fcsselten E-Mail: automatisch werden E-Mails verifiziert und entschl\u00fcsselt. Das Gateway gibt die E-Mails an den einzelnen Mitarbeiter weiter, der die verschl\u00fcsselte E-Mail bereits im Klartext sehen kann. Im Betreff oder \u00fcber eine spezielle Headerzeile befindet sich ein entsprechender Kommentar als Hinweis f\u00fcr den Mitarbeiter. Wenn das Absender-Zertifikat im Gateway bereits vorliegt<\/strong>, wird die Signatur gepr\u00fcft. Andernfalls ruft das Gateway die f\u00fcr die Pr\u00fcfung notwendigen Zertifikate<\/strong> \u00fcber interne sowie externe Serviceanbieter ab.<\/p>\n

Kann der Empf\u00e4nger nicht auf den Schl\u00fcssel des Absender-Zertifikats zugreifen, existieren alternative Methoden<\/strong>, die moderne Gateway-L\u00f6sungen beherrschen: die Nachricht kann beispielsweise auf einem sicheren Webserver hinterlegt<\/strong> werden oder eine verschl\u00fcsselte, selbst extrahierende Datei<\/strong>, die mithilfe einer Passphrase entschl\u00fcsselt wird, kann versendet werden. Beim Hinterlegen auf einen Webserver gehen Gateways in aller Regel so vor, dass sie den Empf\u00e4nger per E-Mail benachrichtigen. Dieser greift mittels Passwort und HTTPS-Verbindung auf den Webmailer zu und kann die verschl\u00fcsselte E-Mail dort abrufen.<\/p>\n

Vor- und Nachteile zentraler Gateway-L\u00f6sungen<\/h3>\n

Wie eingangs bereits erw\u00e4hnt, ist einer der gro\u00dfen Vorteile an Gateway-L\u00f6sungen, dass das Verschl\u00fcsseln und das sichere Zustellen ausgehender E-Mails nach entsprechenden Sicherheitsrichtlinien im Unternehmen gew\u00e4hrleistet<\/strong> wird. Weder mangelnde Disziplin noch Fl\u00fcchtigkeitsfehler sowie Unachtsamkeit senken die Vertraulichkeit von Informationen. Ein weiterer Vorteil ist die Tatsache, dass sich Installations- sowie Administrationsaufwand erheblich verringern<\/strong>. PKI-Funktionen k\u00f6nnen aufgrund des zentralen Ansatzes z\u00fcgig und sehr einfach implementiert und genutzt werden, zus\u00e4tzliche Software ist unn\u00f6tig<\/strong>. Weiter wird die einheitliche Umsetzung der Security Policy des Unternehmens<\/strong> durch den Gateway-basierten Ansatz wesentlich erleichtert: die Richtlinien und Regeln werden zentral definiert und verwaltet. Die Virenpr\u00fcfung kann zudem vor dem E-Mail-Server erfolgen, sodass auch Viren- sowie inhaltliche Pr\u00fcfungen zentral und der Unternehmenspolicy entsprechend<\/strong> erfolgen. Zu den Vorteilen z\u00e4hlt auch die Unterst\u00fctzung verschiedener Standards<\/strong>, darunter meist S\/MIME, OpenPGP oder ISIS-MTT<\/strong>. Auch werden g\u00e4ngige Methoden wie die asymmetrische oder symmetrische Verschl\u00fcsselung<\/strong> unterst\u00fctzt. \u00d6ffentliche Schl\u00fcssel von externen Kommunikationspartnern k\u00f6nnen zentral verwaltet und gesichert<\/strong> werden.<\/p>\n

Auch diese Medaille hat jedoch zwei Seiten. Nachteilig an Gateway-L\u00f6sungen ist der Konfigurationsaufwand<\/strong>, der im Vergleich zu isolierten Ende-zu-Ende-L\u00f6sungen hoch ausf\u00e4llt. Insbesondere f\u00fcr kleinere Unternehmen, die sicherheitstechnisch geringere Anspr\u00fcche haben, lohnt sich die \u00dcberlegung, ob eine isolierte L\u00f6sung eventuell besser w\u00e4re. Sind Sie unschl\u00fcssig, welche L\u00f6sung f\u00fcr Ihr Unternehmen sinnvoll ist, sprechen Sie uns gerne an<\/a>, wir beraten Sie! Ein weiterer Nachteil ist der Schutz der internen Strecke<\/strong>: viele E-Mail-Gateways sch\u00fctzen sie nicht und bei Bedarf muss die innere Sicherheit mit einer weiteren L\u00f6sung erreicht werden (viele bieten zus\u00e4tzliche Plugins an). Eine solche L\u00f6sung k\u00f6nnte es etwa sein, ein E-Mail-Gateway zum Sichern dieser internen Strecke zu installieren. Dann m\u00fcssen jedoch s\u00e4mtliche Anwenderrechner mit einer zus\u00e4tzlichen Clientsoftware, alternativ mit benutzerspezifischen Zertifikaten und Schl\u00fcsseln ausger\u00fcstet werden, womit der Vorteil der zentral geregelten Verwaltung verlorengeht. Ein sinnvollerer Ansatz w\u00e4re, spezifische Verschl\u00fcsselungsmechanismen innerhalb der E-Mail-Infrastruktur mit Portverschl\u00fcsselung oder SMTP (via SSL) mit Microsoft Exchange<\/strong> einzurichten. Clients m\u00fcssen dann nicht mit benutzerspezifischen Schl\u00fcsseln und Zertifikaten oder zus\u00e4tzlicher Software ausger\u00fcstet werden.<\/p>\n

Anbieter von E-Mail-Gateway-L\u00f6sungen<\/h3>\n

Der Markt bietet eine immer gr\u00f6\u00dfere Auswahl an m\u00f6glichen Anbietern f\u00fcr Gateway-L\u00f6sungen. Unsere Aufstellung erhebt keinen Anspruch auf Vollst\u00e4ndigkeit (gerne k\u00f6nnen Sie empfehlenswerte Anbieter, Empfehlungen, Fragen oder Hinweise in den Kommentaren unter dem Artikel erg\u00e4nzen), sie zeigt\u00a0nur einige verschiedene Anbieter sowie deren Arbeitsweise<\/strong> auf. Grunds\u00e4tzlich gilt: Gateways k\u00f6nnen im internen Unternehmensnetz entweder als Aufsatz f\u00fcr bereits vorhandene E-Mail-Server oder aber als eigenst\u00e4ndige E-Mail-Server<\/strong> eingesetzt werden. Im ersten Fall werden Gateways in bereits bestehende Infrastrukturen, zum Beispiel IBM Lotus Domino, Microsoft Exchange oder aber Novell GroupWise, integriert. Die meisten Unternehmen entscheiden sich f\u00fcr einen eigenst\u00e4ndigen Server, der zwischen dem eigenen Netzwerk und dem Internet einen \u00dcbergang bildet. Zahlreiche Hersteller bieten hierf\u00fcr zentralisierte Gateway-L\u00f6sungen an:<\/p>\n