Die Sicherung der E-Mail-Kommunikation ist für digitales Vertrauen unerlässlich, doch die Wahl der geeigneten Verschlüsselungsmethode kann eine Herausforderung darstellen. Dieser Artikel untersucht zwei E-Mail-Verschlüsselungsstandards: Microsoft Purview Message Encryption und Secure/Multipurpose Internet Mail Extensions (S/MIME).
Beide Standards schützen E-Mail-Inhalte, unterscheiden sich jedoch in Verschlüsselungsarchitektur, Schlüsselverwaltung und Benutzerfreundlichkeit. Das Verständnis dieser Unterschiede hilft IT-Teams, den besten Ansatz zum Schutz verschiedener sensibler Daten zu ermitteln.
Microsoft Purview Message Encryption ist ein Cloud-basierter Dienst, der auf Azure Rights Management (Azure RMS) aufbaut. Er integriert Verschlüsselung mit Identitäts- und Autorisierungsrichtlinien.
MS Purview legt großen Wert auf Zugriffskontrolle. Wenn eine E-Mail bestimmte Kriterien erfüllt, z. B. wenn ein Benutzer „Verschlüsseln“ auswählt oder eine E-Mail-Flussregel aktiviert wird, sichert der Dienst die Nachricht mithilfe mandantenspezifischer Azure-Schlüssel. Absender können außerdem Rechterichtlinien anwenden, darunter „Nicht weiterleiten“ oder „Nur verschlüsseln“.
MS Purview ist benutzerfreundlich und daher nützlich. Interne Anwender können problemlos damit arbeiten, und externe Empfänger erhalten Nachrichten über ein sicheres Webportal oder durch Authentifizierung mit Diensten wie Google oder Microsoft. Da die Verschlüsselungsschlüssel entweder vom Mandanten oder von Microsoft verwaltet werden, bietet MS Purview keine echte Ende-zu-Ende-Verschlüsselung. Der Dienstanbieter kann Inhalte bei Bedarf zur Weiterverarbeitung dennoch entschlüsseln.
Ein zentrales Problem für Unternehmen ist, dass Microsoft seinen Sitz in den USA hat. US-Behörden können gemäß Gesetzen wie dem Patriot Act Zugriff auf Verschlüsselungsschlüssel verlangen. Sollten die Behörden diese Schlüssel erhalten, könnten Nutzer den Zugriff auf ihre verschlüsselten E-Mails verlieren.
Der US-amerikanische Cloud Act verpflichtet Microsoft, gültigen Anordnungen der US-Regierung bezüglich Kundendaten Folge zu leisten, selbst wenn diese außerhalb der USA gespeichert sind oder Kunden BYOK (Bring Your Own Key) verwenden. Dies bedeutet, dass Microsoft gegebenenfalls entschlüsselte Inhalte bereitstellen muss, da das Unternehmen auch dann Zugriff auf die Dienste hat, wenn Kunden ihre eigenen Schlüssel verwenden. Kritiker merken an, dass BYOK zwar vor Datendiebstahl durch Dritte schützt, jedoch nicht vor gerichtlichen Vorladungen. Für einen besseren Schutz sollten Kunden HYOK (Hold Your Own Key) verwenden oder Anbieter außerhalb der USA wählen, wobei HYOK jedoch einige Funktionen einschränken kann.
Während manche Organisationen dies als Vorteil sehen mögen, kann es für diejenigen, die die volle Kontrolle über ihre Verschlüsselungsschlüssel behalten wollen, problematisch sein. Angesichts der aktuellen geopolitischen Lage könnte dieses Risiko den Geschäftsbetrieb ernsthaft beeinträchtigen.
S/MIME ist ein offener Standard, der auf einer Public-Key-Infrastruktur (PKI) basiert. Im Gegensatz zum mandantenbasierten Ansatz von MS Purview verwendet S/MIME für jeden Benutzer eindeutige öffentliche und private Schlüsselpaare.
Dieser Standard bietet zwei entscheidende Sicherheitseigenschaften:
Die Wahl zwischen MS Purview und S/MIME hängt davon ab, ob die zentrale Steuerung oder die kryptografische Sicherheit Priorität hat.
Um MS Purview nutzen zu können, benötigen Sie einen entsprechenden Microsoft 365-Plan, zum Beispiel:
Diese Pläne beinhalten Azure Rights Management, das der Mandant aktivieren kann. Für die Benutzergeräte ist keine zusätzliche Software erforderlich. Interne Benutzer greifen direkt in Outlook auf verschlüsselte E-Mails zu, während externe Empfänger ein sicheres Webportal nutzen.
Für Abonnements niedrigerer Stufen, wie beispielsweise Exchange Online Plan 1/2, Microsoft 365 Business Basic/Standard oder Office 365 F1/E1/F3, müssen Sie ein Add-on erwerben, wie beispielsweise Azure Information Protection Plan 1 oder das Microsoft Purview Message Encryption Add-on, um diese Funktion zu aktivieren.
Organisationen ohne Microsoft Purview oder das Azure Information Protection Plan 1-Add-on können mit dieser Funktion keine verschlüsselten E-Mails versenden. Benutzern wird die Option „Verschlüsseln“ weder in Outlook noch in Outlook Web App (OWA) angezeigt, und E-Mail-Flussregeln wenden keine Verschlüsselung an.
Interne Benutzer können weiterhin MS Purview-verschlüsselte E-Mails von externen Absendern in Outlook empfangen und anzeigen. Die Entschlüsselung hängt vom Mandanten-RMS des Absenders und der Empfängerauthentifizierung ab.
Für die Verwendung von S/MIME ist Folgendes erforderlich:
Das Zertifikat jedes Benutzers muss in seinem E-Mail-Client (z. B. Outlook) oder über ein Plugin installiert werden. Benutzer können selbst entscheiden, wann Nachrichten verschlüsselt oder signiert werden sollen, oder die Verschlüsselung als Standard festlegen. Empfänger benötigen einen S/MIME-fähigen E-Mail-Client und ein eigenes Zertifikat zum Entschlüsseln der Nachrichten. Es wird kein Webportal verwendet.
Da Automatisierung mittlerweile unerlässlich ist, um die fortschreitende Reduzierung der Gültigkeitsdauer von SSL/TLS-Zertifikaten zu bewältigen, ist sie auch entscheidend, um die vollen Sicherheitsvorteile von S/MIME ohne zusätzlichen Verwaltungsaufwand zu realisieren.
KeyTalk CKMS (Certificate and Key Management System) wandelt S/MIME von einer wartungsintensiven Aufgabe in eine skalierbare, automatisierte Lösung um. KeyTalk beseitigt die herkömmlichen Herausforderungen von S/MIME durch die Automatisierung des gesamten Zertifikatslebenszyklus, einschließlich Ausstellung, Verlängerung und Widerruf.
KeyTalk CKMS geht die technologischen und betrieblichen Herausforderungen an, die häufig mit der Einführung von S/MIME verbunden sind, und ermöglicht so die einfache Implementierung und Automatisierung einer umfassenden S/MIME-Architektur in jeder Organisation.
Für Organisationen, die höchste Sicherheit bei der Identitätsprüfung und echte Ende-zu-Ende-Verschlüsselung benötigen, bleibt S/MIME der Goldstandard. Durch den Einsatz automatisierter Managementlösungen können IT-Teams diese strengen Sicherheitsstandards implementieren und gleichzeitig die operativen Fallstricke der manuellen Zertifikatsverwaltung vermeiden.
Dieser Blogbeitrag befasste sich mit Microsoft Purview Message Encryption und Secure/Multipurpose Internet Mail Extensions (S/MIME) zur E-Mail-Verschlüsselung. Beide schützen E-Mail-Inhalte, verwenden jedoch unterschiedliche Technologien, Verschlüsselungsmethoden, Authentifizierungsverfahren und Vertrauensmodelle. Auch die Benutzererfahrung, die Einrichtungsfreundlichkeit und die unternehmensübergreifende Kompatibilität unterscheiden sich.
MS Purview basiert auf Azure Rights Management (Azure RMS) und lässt sich daher einfach in Microsoft 365 einrichten und verwenden. Es bietet jedoch keine vollständige Ende-zu-Ende-Verschlüsselung, da Microsoft weiterhin Zugriff auf die Nachrichten hat. Angesichts geopolitischer Entwicklungen sollte dies sorgfältig überdacht werden, da Regierungsbehörden Zugriff auf sensible E-Mail-Informationen erhalten und somit Geschäftsabläufe beeinträchtigen können.
S/MIME nutzt eine Public-Key-Infrastruktur (PKI), um eine stärkere Verschlüsselung und digitale Signaturen zu gewährleisten, ist jedoch schwieriger zu verwalten und sowohl Sender als auch Empfänger benötigen Zertifikate.
von KeyTalk vereinfacht die Nutzung von S/MIME durch die Automatisierung der Zertifikatsverwaltung, die Vereinfachung von Einrichtung und Konfiguration, die Unterstützung externer Empfänger sowie die Verbesserung von Sicherheit und Compliance.
——-
E-Mail oder über unser Kontaktformular zur Verfügung, um Sie bei der Implementierung einer vollautomatisierten PKI-Architektur zu unterstützen .
Das KeyTalk-Team
