{"id":969,"date":"2015-01-16T16:24:35","date_gmt":"2015-01-16T15:24:35","guid":{"rendered":"http:\/\/www.cojama-hosting.com\/blog\/?p=969"},"modified":"2016-05-03T07:55:44","modified_gmt":"2016-05-03T05:55:44","slug":"verschluesselte-e-mail-kommunikation-dank-starttls","status":"publish","type":"post","link":"https:\/\/www.cojama-hosting.com\/blog\/verschluesselte-e-mail-kommunikation-dank-starttls\/","title":{"rendered":"Verschl\u00fcsselte E-Mail Kommunikation dank StartTLS"},"content":{"rendered":"

\"Sichere<\/a><\/p>\n

Der Wunsch nach einem verschl\u00fcsselten E-Mail Austausch ist nicht neu und erh\u00e4lt auf Grund der zur\u00fcckliegenden Enth\u00fcllungen geheimdienstlicher Aktivit\u00e4ten im IT-Bereich zus\u00e4tzliche Dynamik.<\/p>\n

Gleichzeitig verlangen Anwender und Unternehmen nach L\u00f6sungen, die keinen zus\u00e4tzlichen Verwaltungsaufwand mit sich bringen und die Funktionalit\u00e4t der E-Mail Kommunikation in keiner Weise einschr\u00e4nken.<\/p>\n

Hier bietet das StartTLS Verfahren einen sicheren und zugleich praxistauglichen Ansatz.<\/p>\n

Im Gegensatz zu einer End-zu-End Verschl\u00fcsselung, wie sie das PGP-Verfahren oder S\/MIME bieten, wird beim Start-TLS Verfahren nur die Server-zu-Server Kommunikation verschl\u00fcsselt. Daher sind an den E-Mail bzw. Groupware-Clients keine Konfigurations\u00e4nderungen oder Software-Installationen erforderlich.<\/p>\n

Wie funktioniert StartTLS?<\/span><\/span><\/p>\n

StartTLS wird von den meisten E-Mail Servern unterst\u00fctzt und muss lediglich aktiviert werden. Weiterhin ist ein Verschl\u00fcsselungs-Zertifikat erforderlich, wie es auch f\u00fcr den verschl\u00fcsselten Zugriff auf Webseiten (https:\/\/) genutzt wird. Das Zertifikat sollte von einer vertrauensw\u00fcrdigen und verbreiteten Certification Authority (CA) stammen, damit es von allen Gegenstellen akzeptiert wird. Umgekehrt sollte der SMTP-Server auch nur Verbindungen mit Zertifikaten von vertrauensw\u00fcrdigen \u00f6ffentlichen CAs akzeptieren.<\/p>\n

Bei einem selbst signierten Zertifikat besteht grunds\u00e4tzlich das Risiko eines Man-in-the-Middle Angriffs. Mit einem gewissen technischen Aufwand k\u00f6nnte eine Instanz im Netz eines der beteiligten Internet-Provider vort\u00e4uschen, der Server des Nachrichtenempf\u00e4ngers zu sein und die Kommunikation entschl\u00fcsseln. Diese Gefahr ist bei einer vertrauensw\u00fcrdigen CA \u2013 also einem gekauften Zertifikat \u2013 \u00e4u\u00dferst gering.<\/p>\n

Damit die Nachrichten\u00fcbertragung auch tats\u00e4chlich verschl\u00fcsselt erfolgt, m\u00fcssen die Mailserver des Senders und des Empf\u00e4ngers StartTLS unterst\u00fctzen. Tut einer dies nicht oder gelingt der Aufbau einer sicheren Verbindung aus einem anderen Grund nicht, werden die Nachrichten \u00fcber eine unverschl\u00fcsselte SMTP-Verbindung \u00fcbertragen.<\/p>\n

F\u00fcr den Benutzer ist im Vorfeld nicht erkennbar, ob der Versand verschl\u00fcsselt erfolgt. Dies kann erst in der empfangenen Nachricht anhand des Mail-Headers festgestellt werden.<\/p>\n

Mandatory TLS<\/span><\/span><\/p>\n

Da die Verschl\u00fcsselung \u00fcber StartTLS nur funktioniert, wenn beide Partner mitspielen, gehen gr\u00f6\u00dfere Organisationen, die Wert auf Datensicherheit legen, mittlerweile dazu \u00fcber, verschl\u00fcsselten E-Mail Verkehr von und zu Ihren Gesch\u00e4ftspartnern zu erzwingen.<\/p>\n

Man spricht hier auch vom Mandatory TLS Verfahren. Die SMTP-Gateways des Mailsystems werden so konfiguriert, dass die SMTP-Kommunikation an bestimmte Ziel-Domains ausschlie\u00dflich TLS-verschl\u00fcsselt erfolgt. Gelingt es nicht, einen verschl\u00fcsselten Kanal aufzubauen, werden die betreffenden Nachrichten nicht versandt, sondern bleiben f\u00fcr eine gewisse Zeit in der Ausgang-Warteschlange stehen. Die Partnerunternehmen werden meist im Rahmen eines standardisierten Prozesses eingebunden und m\u00fcssen Ihre Systeme entsprechend konfigurieren.<\/p>\n

Hat das Unternehmen einen Serviceprovider mit dem Betrieb des Groupware-Systems beauftragt oder nutzt einen Dienst aus der Cloud, wie z. B. Hosted Exchange<\/a>, so k\u00fcmmert sich der Outsourcing Partner um alle notwendigen Schritte.<\/p>\n

Das Thema Transport Layer Security (TLS) im Zusammenhang mit der E-Mail Kommunikation wurde in der Vergangenheit von Unternehmen aus dem Automotive-Bereich stark vorangetrieben. Wer als Gesch\u00e4ftspartner die geforderten Standards nicht umsetzen kann, verliert gegen\u00fcber gro\u00dfen Auftraggebern schnell an Attraktivit\u00e4t.<\/p>\n

Unterschiede zu einer End-zu-End Verschl\u00fcsselung<\/span><\/span><\/p>\n

Im Gegensatz zu einer End-zu-End Verschl\u00fcsselung bleiben die E-Mail Nachrichten beim TLS-Verfahren unverschl\u00fcsselt in den Postf\u00e4chern der Anwender liegen. Ein Angreifer, der sich Zugang zu den Mailservern verschafft, auf denen die Postf\u00e4cher untergebracht sind, kann daher alle Inhalte lesen.<\/p>\n

Beim PGP oder S\/MIME Verfahren k\u00f6nnen die Nachrichteninhalte nur gelesen werden, wenn die genutzten Clients mit einer entsprechenden Software, bzw. einem pers\u00f6nlichen Zertifikat ausgestattet sind.<\/p>\n

Dies ist mit einem hohen Verwaltungsaufwand und Kosten verbunden. Auch nach einem Austausch der Clients m\u00fcssen die alten Zertifikate (S\/MIME) oder Schl\u00fcsselpaare (PGP) wieder eingebunden werden, um \u00e4ltere verschl\u00fcsselte Nachrichten lesen zu k\u00f6nnen.
\nDa man nicht (mehr) davon ausgehen kann, dass Daten, die \u00fcber das Internet zwischen zwei Systemen im Inland \u00fcbertragen werden, nur die Systeme der Netz-Provider durchlaufen und vor unberechtigtem Zugriff gesch\u00fctzt sind, sollten E-Mails mit vertraulichem Inhalt oder personenbezogenen Daten heute nicht mehr unverschl\u00fcsselt versandt werden. Das TLS-Verfahren bietet hierf\u00fcr eine sichere und zuverl\u00e4ssige Basis.<\/p>\n

Als Anbieter von Microsoft Exchange aus der Cloud unterst\u00fctzt cojama seit mehr als sechs Jahren auf seiner Infrastruktur das StartTLS Verfahren.<\/p>\n

 <\/p>\n

 <\/p>\n","protected":false},"excerpt":{"rendered":"

Der Wunsch nach einem verschl\u00fcsselten E-Mail Austausch ist nicht neu und erh\u00e4lt auf Grund der zur\u00fcckliegenden Enth\u00fcllungen geheimdienstlicher Aktivit\u00e4ten im IT-Bereich zus\u00e4tzliche Dynamik. Gleichzeitig verlangen Anwender und Unternehmen nach L\u00f6sungen,…<\/p>\n","protected":false},"author":5,"featured_media":973,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1,5],"tags":[495,487,130,488,494,531,411,493,330,496,497,439,491,490,263,499,500,485,486,484,503,502,498,492,501,489],"class_list":["post-969","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-allgemein","category-hosted-exchange","tag-client","tag-dynamik","tag-e-mail","tag-end-zu-end-verschluesselung","tag-groupware","tag-hosted-exchange","tag-https","tag-kommunikation","tag-mailserver","tag-man-in-the-middle","tag-mandatory-tls","tag-nachrichten","tag-pgp","tag-smime","tag-smime-zertifikat","tag-schluessel","tag-schluesselpaar","tag-ssl","tag-starttls","tag-tls","tag-tls-verschluesselt","tag-tls-verschluesselung","tag-transport-layer-security","tag-verfahren","tag-verschluesselung","tag-zertifikat","entry"],"_links":{"self":[{"href":"https:\/\/www.cojama-hosting.com\/blog\/wp-json\/wp\/v2\/posts\/969","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.cojama-hosting.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.cojama-hosting.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.cojama-hosting.com\/blog\/wp-json\/wp\/v2\/users\/5"}],"replies":[{"embeddable":true,"href":"https:\/\/www.cojama-hosting.com\/blog\/wp-json\/wp\/v2\/comments?post=969"}],"version-history":[{"count":4,"href":"https:\/\/www.cojama-hosting.com\/blog\/wp-json\/wp\/v2\/posts\/969\/revisions"}],"predecessor-version":[{"id":1348,"href":"https:\/\/www.cojama-hosting.com\/blog\/wp-json\/wp\/v2\/posts\/969\/revisions\/1348"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.cojama-hosting.com\/blog\/wp-json\/wp\/v2\/media\/973"}],"wp:attachment":[{"href":"https:\/\/www.cojama-hosting.com\/blog\/wp-json\/wp\/v2\/media?parent=969"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.cojama-hosting.com\/blog\/wp-json\/wp\/v2\/categories?post=969"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.cojama-hosting.com\/blog\/wp-json\/wp\/v2\/tags?post=969"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}