So verschlüsseln Sie Ihre geschäftlichen E-Mails mit Exchange Online

26.02.2016 von Redaktion

Vor allem in Zeiten von Überwachungsskandalen ist die Verschlüsselung von E-Mails für Unternehmen ein wichtiges Thema. Mitarbeiter sollten bei der elektronischen Kommunikation stets sehr sorgsam handeln – selbst bei vermeintlich harmlosen Inhalten einer Nachricht. Informationen über sensible Firmendaten wie Kontonummern oder Geschäftsgeheimnisse sollten beim Verschicken ohnehin geschützt werden. Aber auch bei anderen Inhalten lohnt sich die Verschlüsselung der digitalen Post, damit Nachrichten und Anhänge bei der Übermittlung nicht in falsche Hände geraten.

Dabei ist es ein Irrglaube vieler Nutzer, dass nur Technikexperten E-Mails mit Verschlüsselungssystemen versenden können. Microsoft Exchange Online verfügt über eine intuitive Konfiguration, die eine gefahrlose Übertragung vertraulicher Informationen schnell und unkompliziert sicherstellt. Was genau versteht man aber eigentlich unter einer Verschlüsselung digitaler Nachrichten und wie funktioniert diese?

Ohne passenden Schlüssel läuft nichts

Als Verschlüsselung wird der Prozess bezeichnet, mit dem Informationen codiert werden. Das Ziel dieses Prozesses ist, dass nur autorisierte Empfänger die Informationen erhalten und nutzen können. Der Empfänger muss in der Lage sein, die Botschaft zu decodieren. Die Verschlüsselung von E-Mails funktioniert dabei in der Regel wie folgt: Eine Nachricht wird während ihrer Übertragung in einen nicht lesbaren Chiffretext umgewandelt. Diese Verschlüsselung erfolgt entweder lokal auf dem Computer des Absenders oder durch einen Server.

Falls die E-Mail auf dem Weg zu ihrem Absender abgefangen wird, kann sie aufgrund der Chiffrierung nicht gelesen werden. Hat der Empfänger die E-Mail erhalten, lässt sie sich wieder in einen lesbaren Text umwandeln. Die Dekodierung geschieht mithilfe eines privaten Schlüssels. Dieser ist in der Regel auf dem Computer des Adressaten vorhanden..

Verschiedene Verschlüsselungstypen bei Microsoft
Office 365

Bei Exchange Online von Microsoft Office 365 sind verschiedene Optionen der Verschlüsselung verfügbar, die das sichere Übermitteln von vertraulichen Daten gewährleisten. Die gesamte E-Mail Verschlüsselung in der Cloud basiert auf Microsofts Azure Active Directory Rights Management. Die drei gängigsten Verschlüsselungstypen, die Office 365-Administratoren zur Verfügung stehen, sind

  • die Office 365 Nachrichtenverschlüsselung (Office Message Encryption, OME),
  • die Secure/Multipurpose Internet Mail Extensions (S/MIME) und
  • das Information Rights Management (IRM).

Office 365 Nachrichtenverschlüsselung

Bei der Office 365 Nachrichtenverschlüsselung (Office Message Encryption, kurz: OME) handelt es sich um einen Dienst, der auf dem sogenannten Azure Rights Management (Azure RMS) aufbaut. Damit werden codierte E-Mails an Empfänger innerhalb oder außerhalb des Unternehmens gesendet. Die Ziel-Adresse spielt dabei keine Rolle. Es ist folglich egal, ob der Adressat ein Postfach bei Microsoft, Google oder beispielsweise Yahoo hat. Der Administrator kann dabei die Bedingungen für die Verschlüsselung anhand einer Transportregel definieren. Wenn ein Mitarbeiter eine E-Mail basierend auf dieser Regel verschickt, erfolgt die Verschlüsselung automatisch. Der Vorteil: Die Empfänger können die verschlüsselte Nachricht sehen und ebenfalls verschlüsselt darauf antworten. Voraussetzung dafür ist entweder, dass man über ein Konto verfügt, das mit Office 365 verknüpft ist, oder sich mit einem Microsoft-Konto anmeldet. Alternativ können Empfänger auch einen einmaligen Zugangscode verwenden. Beispiel: Ein Versicherungsangestellter sendet eine Versicherungspolice an seinen Kunden – der Nachrichtenverkehr erfolgt auf diese Weise beidseitig verschlüsselt.

Secure/Multipurpose Internet Mail Extensions (S/MIME)

Die Secure/Multipurpose Internet Mail Extensions (kurz: S/MIME) sind eine Verschlüsselungslösung, mit der E-Mails verschlüsselt und digital signiert werden können. S/MIME stellt damit sicher, dass nur autorisierte Empfänger die Nachricht lesen können und sich zusätzlich die Identität des Absenders überprüfen lässt. Das Prinzip ist dank eindeutiger digitaler Zertifikate möglich. Diese enthalten die Schlüssel zum Codieren/Decodieren und Überprüfen von digitalen Signaturen. Voraussetzung dafür ist, dass der Absender im Besitz von gespeicherten öffentlichen Schlüsseln ist. Empfänger verwalten wiederum ihre eigenen privaten Schlüssel, die permanent gespeichert sind. Sollte ein privater Schlüssel eines Empfängers einmal aus Sicherheitsgründen gefährdet sein, verteilt dieser an seine Absender öffentliche Schlüssel und verwendet einen neuen privaten Schlüssel. S/MIME wird in der Praxis üblicherweise beim elektronischen Schriftverkehr zwischen Unternehmen und Behörden angewendet.

Information Rights Management (IRM)

Beim Information Rights Management (kurz: IRM) handelt es sich um einen Dienst, der Nutzungseinschränkungen auf E-Mails anwendet und wie OME auf dem sogenannten Azure Rights Management (Azure RMS) aufbaut. Durch die IRM-Verschlüsselungslösung wird verhindert, dass sensible Daten von unbefugten Empfängern gedruckt, kopiert oder weitergeleitet werden. Beispiel: Ein Vorgesetzter verwendet die IRM-Funktion für eine E-Mail mit vertraulichen Informationen, die die Option „Nicht weiterleiten“ enthalten soll.

So werden Nachrichten in Microsoft Office 365 verschlüsselt

Mit Exchange Online kann der Administrator Regeln zum Ver- bzw. Entschlüsseln von E-Mails erstellen, um die Microsoft Office 365 Nachrichtenverschlüsselung (OME) zu aktivieren. Damit werden ausgehende Nachrichten verschlüsselt oder codiert empfangene Mails entschlüsselt. Bei Office 365 werden die Regeln mithilfe des Exchange Admin Center (kurz: EAC) definiert. Folgende Arbeitsschritte sind dafür aufseiten des Administrators erforderlich:

  • Schritt 1: Klicken Sie im Exchange Admin Center auf „E-Mail-Fluss“ > „Regeln“ > „Neu“.
  • Schritt 2: Wählen Sie „+“ > „Neue Regel erstellen“ aus.
  • Schritt 3: Bezeichnen Sie die Regel mit einem Namen.
  • Schritt 4: Wenden Sie diese Regel an und wählen Sie eine Bedingung aus. Hier können Sie beispielsweise den Empfänger definieren und angeben, ob er sich innerhalb oder außerhalb Ihres Unternehmens befindet.
  • Schritt 5: Klicken Sie auf „Nachrichtensicherheit ändern“, um die Verschlüsselung zu aktivieren.

Durch diese Regeln kann also definiert werden, dass bestimmte Empfänger oder auch alle unternehmensexternen Adressaten automatisiert nur verschlüsselte Nachrichten erhalten.

Datenverschlüsselung mit Exchange Online
Im Exchange Admin Center kann der Administrator Regeln für die Verschlüsselung von E-Mails definieren.
Bild-Quelle: https://technet.microsoft.com/de-de/library/dn569289.aspx

Alternativ erstellt der Administrator eine Transportregel, die es dem Absender ermöglicht, Nachrichten nur bei Bedarf zu verschlüsseln. Ein Mitarbeiter kann die Codierung dann beispielsweise in die Wege leiten, indem er „verschlüsseln“ zur Betreffzeile hinzufügt.

Datenverschlüsselung mit Exchange Online
E-Mails lassen sich durch den Benutzer auch separat codieren, beispielsweise durch das Wort „verschlüsseln“ im Betreff.
Bild-Quelle: https://technet.microsoft.com/de-de/library/dn569287.aspx

So senden Sie verschlüsselte Nachrichten

Für Benutzer von Exchange Online gibt es somit zwei Möglichkeiten, um eine verschlüsselte Nachricht zu senden. Wenn eine durch den Administrator definierte Regel angewandt wird (weil beispielsweise als Kriterium eine externe Adresse festgelegt wurde), verschickt sich die E-Mail mit einem HTML-Anhang. Die Nachricht wird automatisch im Hintergrund chiffriert, ohne dass der Benutzer aktiv eingreifen muss.

Datenverschlüsselung mit Exchange Online
Mithilfe eines Zertifikats lassen sich E-Mails in Outlook per Mausklick verschlüsseln oder digital signieren.
Bild-Quelle: http://www.security-insider.de/index.cfm?pid=7540&pk=439533&fk=698949&type=article (Thomas Joos)

Die zweite Möglichkeit ist die Nachrichtenverschlüsselung für einzelne E-Mails. Mit ihr kann der Nutzer bei jeder einzelnen Nachricht entscheiden, ob er sie verschlüsseln will oder nicht – sofern sein Postfach in Office 365 gehostet wird. Bedingung dabei ist, dass auf dem Computer des Benutzers ein Zertifikat für die Verschlüsselung vorhanden ist. Die auf dem PC vorhandenen Zertifikate lassen sich durch die Eingabe „certmgr.msc“ im Windows-Explorer ermitteln. Nun muss das Zertifikat für die Verschlüsselung noch im Trust-Center des E-Mailprogramms mit Outlook verbunden werden. Anschließend lassen sich E-Mails mithilfe der Optionen verschlüsseln oder digital signieren.

Ganz gleich, über welchen Weg die elektronische Post verschlüsselt wird, sie erreicht das Postfach des Empfängers mitsamt einer HTML-Anlage. Nach dem Öffnen des Anhangs erhält der Empfänger im unverschlüsselten Text eine Anleitung, wie er die Nachricht öffnen und anzeigen kann.

Buchen Sie Microsoft Exchange Online

ab 3,25 / Monat / Nutzer

Jetzt buchen

Redaktionsteam TelekomCLOUD

Das Redaktionsteam gibt Praxistipps zu den Anwendungen aus der TelekomCLOUD, schreibt Ratgeber und Checklisten und spricht mit Experten oder Kunden zu allen Themen rund um SaaS, IaaS und PaaS. Sie erreichen uns unter cloud-blog(at)telekom.de

Kategorien

  • Exchange Online
  • Microsoft Office 365
  • Professionelle E-Mail-Lösungen