Mail Verschlüsselung in der Firma!

[DJSlice]

Hallo Apfeltalker,
ich habe in der Firma folgendes Problem, wir müssen intern sprich untereinander dieverse Sensible Daten per Mail verschicken.
Wie kann ich das Sicher gestalten ohne erstmal große Kosten entstehen zu lassen?

Jetzt habe ich schon das mit den Zertifikaten herausbekommen aber ist es genug wenn ich einfach diese im Schlüsselbund erzeuge und auf jedem Rechner des jeweiligen installiere?

Hoffe ihr habt ein paar gute Ideen und vor allem vielleicht könnt ihr mir helfen das ganze ein bischen mehr zu Verstehen!

Danke jetzt schon für eure Hilfe!

 

[Mikrolisk]

Rein intern? Warum nehmt Ihr nicht für Daten einfach einen nur intern verfügbaren Fileserver? Wenns sehr sensibel ist, könntest Du noch paßwortgeschützte/verschlüsselte DMGs (im Mac-Netzwerk) bzw. anderweilig verschlüsselte Dateicontainer benutzen. Mail hat ja meist auch eine Größenbeschränkung (ok, nicht überall).

Andreas

 

[DJSlice]

Danke für deine Idee Andreas,
aber leider sind wir in der Firma erstens auf Windows unterwegs und zweitens ist dies nur die Stufe eins dieses Projektes den diese Sicherheit sollte dann in der zweiten Phase auch nach aussen hin funken. Daher möchte ich jetzt schon richtig ansetzten damit ich nacher nicht so viel anders machen muss.
Hoffe Du verstehst meinen Gedankengang.

 

[Mikrolisk]

Ok, wenns so sein soll...

Also Mailserver so einrichten, daß per SSL-Verbindung darauf zugegriffen wird, vielleicht mal mit PGP rumspielen, womit man Mails neben der Signierung (in diesem Bezug wohl dann auch wichtig) auch verschlüsseln kann.

Andreas

 

[DJSlice]

Also jetzt das nächste Problem, Mailserver ist bei Telekom ausgelagert damit brauchen wir keinen der sich damit auskennen muss. Da dies ja wegen dem Haken und so nicht ganz leicht ist!

 

[Mikrolisk]

Die meisten Mailserver können schon SSL, hier müßte nur das Mailprogramm angepaßt (konfiguriert) werden. Einfach mal in der EDV nach den Daten fragen (oft anderer Servername, anderer Port)...

 

[DJSlice]

Aber sind diese Standard SSL Schlüssel nicht bei einem Abfangen (mit dem richtigen Prog.) zu entziffern?

 

[nggalai]

SSL verschlüsselt nur die Übertragung Client <-> Server. Nicht die Mail an und für sich.

Wenn das in Phase 2 auch für Endkunden oder Außendienst tun soll, kommt Ihr wohl um S/MIME-Zertifikate kaum herum.

Cheers,
-Sascha

 

[DJSlice]

SSL verschlüsselt nur die Übertragung Client <-> Server. Nicht die Mail an und für sich.

Wenn das in Phase 2 auch für Endkunden oder Außendienst tun soll, kommt Ihr wohl um S/MIME-Zertifikate kaum herum.

Servus Sascha,
habe jetzt gerade die mit dieser S/MIME-Zertifikate mal rumgelesen und telefoniert und wenn ich das richtig verstehe funkt das erst wenn beide Parteien ein solche Besitzen und den öffentlichen Schlüssel gegeseitig austauschen.
Jetzt habe hier im Forum auch erfahren das man diese mit dem Schlüssebung erzeugen kann. (habe ich schon getestet funkt soweit ganz gut) Nur was ist jetzt der genaue Unterschied zwischen den die ich selber mache (sind die sicher?) oder denen die man zb. bei A-trust kaufen kann?

 

[Mikrolisk]

Wenn Du die Schlüssel selbst sicher erzeugen kannst, dann gibts von der Sicherheit keine Unterschiede. Bloß viele wissen eben nicht, wie ein sicherer Schlüssel erzeugt werden kann.

 

[nggalai]

… und der selbsterzeugte Schlüssel wird von der E-Mail-Software / vom Sicherheits-Modul nicht verifiziert. Bei Outlook kommt dann z.B. ein großes farbiges VORSICHT UNVERIFIZIERTE SIGNATUR MALWARE? WTF-Fenster.

 

[DJSlice]

Wenn es am Anfach nicht Verifiziert ist sollte das kein Problem sein.
Das kann man ja wie ich jetzt erfahren habe nachholen.
Und wenn ich in Outlook diese bestätige und vertraue dann sollte dies ja auch kein Problem sein oder?

 

[nggalai]

Wenn. Ich hatte schon mit meiner VeriSign-Signatur ein halbes Dutzend WURDEST DU GEHACKT???-Emails in meiner Inbox. Die Leute dachten, das sei ein Virus oder so, weil ein Fenster aufpoppte.

Und die CAs von VeriSign liegen praktisch allen aktuellen Betriebssystemen und Mailclients bei. Nur leider nicht die Signing-Autority fürs „Personal Certificate“, ergo bei heftiger Firewall oder komischen Sicherheitseinstellungen -> Warnung.

Bei selbst-signierten Zertifikaten ist die Rumflenn-Quote gewisser Software noch höher. Manche meiner Kunden sortieren so etwas gleich automatisch in den Spam-Ordner aus.