Liebe Kollegen,

ich möchte meine komplette Emailkommunikation verschlüsseln und signieren. Dazu habe ich bisher auf einzelenen Rechnern Zertifikate installiert. Das ist unübersichtlich und schränkt die Arbeit ein, wenn der entsprechende Rechner gerade besetzt ist usw.

Daher die Frage, ob sich im Forum bereits jemand mit entspr. Security-Gateway-Angeboten beschäftigt hat oder selbst eines in der Praxis nutzt? Was kostet soetwas? Wie lässt sich das in die vorhandene Infrastruktur integrieren? Macht das evtl. mit dem Connector Probleme?

Mit besten Grüßen,

Mario Zerbaum
Gefragt von (1.5k Punkte)
–1 Punkt

2 Antworten

Würde mich auch interessieren
Beantwortet von (5.7k Punkte)
0 Punkte
Guten Tag Herr Zerbaum,

Ihre Frage ist, denke ich, für viele Ihrer Kollegen interessant. Mit der Möglichkeit E-Mails einfach zu verschlüsseln ist ein Austausch von Informationen (auch kritischer) einfacher. Um Ihre Frage zu spezifizieren, muss man einmal verschiedene Dinge unterscheiden:

Sie fragen nach einem Security Gateway - hierunter würde ich eine klassische UTM Firewall verstehen (also eine Firewall mit Zusatzfunktionen wie Virenschutz für Internetverkehr, Virenprüfung für ein- und ausgehende Mails und Spamschutz). Ein Security Gateway verschlüsselt selbst keine E-Mails.

Die Lösung, die Sie meinen (wenn ich Sie nicht falsch verstehe) ist ein E-Mail Encryption Gateway. So ein Produkt wird in Deutschland u.a. von der Telekom (https://geschaeftskunden.telekom.de/security/cloud-security-data-security/email-encryption-gateway) angeboten. Da hier aber keine Preise zu sehen sind, gehe ich (nach meiner Erfahrung) davon aus, dass die Lösung entweder recht teuer pro Benutzer oder nur in großen Benutzermengen (ab 25/50/100 Benutzer aufwärts) oder gar beides zu haben ist. Im Grunde ist ein E-Mail Encryption Gateway nichts anderes als ein E-Mail Server mit ein paar Zusatzfunktionen (u.a. automatische Verschlüsselung der E-Mail mit dem persönlichen Zertifikat).

Gängiger als ein E-Mail Encryption Gateway ist die Lösung, einen eigenen E-Mail Server zu nutzen, welcher über eine Webmail Lösung verfügt. Lösungen wie Kerio-Connect bieten hier die Möglichkeit die Verschlüsselungszertifikate zu hinterlegen und bei Versand die E-Mail zu signieren oder (wenn das Zertifikat des Gegenüber vorhanden ist) sie zu verschlüsseln.

Dies gilt aber nur für den gängisten Weg der Verschlüsselung und Signierung über S/MIME. Hier können Sie signierte (Sie unterschreiben mit Ihrem persönlichen Zertifikat) oder verschlüsselte (Sie verschlüsseln mit Ihrem Zertifikat und dem Zertifikat des Empfängers) E-Mails versenden und empfangen. Der Nachteil von S/MIME ist (wie bei anderen Standards auch), dass E-Mails nur signiert werden, wenn sie nicht die Zertifikate des Gegenübers haben. Andererseits ist der Vorteil, dass alle aktuellen E-Mail Programme diesen Standard unterstützen und somit keine Gefahr der Inkompatibilität auftritt.

Eine sicherere Lösung ist die Nutzung der Verschlüsselung über PGP. Hier werden aber Zusatzprogramme benötigt, welche nicht mit allen E-Mail Programmen kompatibel sind. PGP verschlüsselt die E-Mails immer - hier muss aber ebenfalls der jeweilige Schlüssel (Zertifikat) des Empfängers bekannt sein. Ohne Schlüssel keine Verschlüsselung. Der große Vorteil von PGP ist die sichere Verschlüsselung (aktiviere ich diese ist sie meist nicht zu knacken), größter Nachteil: Die Verbreitung ist abseits von IT afinen Personen oder Branchen mit hohem Sicherheitsstandard sehr gering. Hier ist S/MIME von Vorteil, da viele Firmen und Organisationen dieses sowieso einsetzen um den E-Mail Verkehr zu verifizieren (signieren).

Für beide Lösungen gilt: Verliere ich den Schlüssel, kann ich die Inhalte der versendeten und empfangenen, verschlüsselten Mails nicht mehr lesen. Hier kann in der Tat ein E-Mail Encryption Gateway helfen (oder ein E-Mail Server, der die Daten im Webmail speichert): Dieser speichert die benötigten Zertifikate sicher ab und garantiert eine Bereitstellung der E-Mails, auch wenn man das Zertifikat auf seinem eigenen Rechner verloren haben sollte.

Um auf Ihre Frage zurück zu kommen: Ja es gibt passende Lösungen, welche sich auch einfach in Ihre Infrastruktur integrieren lassen (Apple Mail, tomedo), diese sind aber (wahrscheinlich) relativ teuer oder von der Handhabung ählich Ihrem aktuellen Vorgehen.
Beantwortet von (140 Punkte)
0 Punkte
Folgendes Angebot erscheint mir auf den ersten Blick sehr passend für eine "normale" Arztpraxis, leider ist für mich nicht so richtig ersichtlich, wie das Ganze letztlich funktionieren soll, d.h. ist es eine vor Ort zu installierende Software oder eine Cloud-Lösung? Auf jeden Fall erscheinen die Kosten mit ca. 1,45 Euro/User/Monat sehr günstig.

https://www.e-mail-verschluesselung.de

https://www.nospamproxy.de/de/

Mit besten Grüßen, Mario Zerbaum
Hallo,

dieses Angebot kannte ich noch nicht, jedoch fällt mir hier direkt auf: Die genannten 1,45€ pro User/Monat beziehen sich nur auf die Software, nicht auf die benötigten Zertifikate (die man entweder teilweise teuer kaufen muss z.B. über D-Trust oder selbst signiert - was aber bei den meisten Empfängern nicht akzeptiert wird).

Die Funktion dieses Gateways ist wie folgt:

Vor den eigenen E-Mail Server wird ein Server zwischengeschaltet, der die Verschlüsselung übernimmt. Zusätzlich bietet das System die Möglichkeit für Empfänger ohne S/MIME die E-Mail als PDF auf einem Webportal herunterzuladen (geht erst nach separater Registrierung durch den Empfänger). Der Nachteil dieser Lösung ist, dass man auch einen eigenen Mailserver betreiben muss (es gehen also keine Mails von web.de, t-online.de oder anderen externen Maildiensten wie Strato oder HostEurope). Dazu kommen dann die Serverinfrastrukturen für den Betrieb des Systems. Da die Lösung "Windows only" ist, fallen hier nicht unerhebliche Kosten an, da das System ein Windows Serverbetriebssystem erfordert (Lizenz- und Wartungskosten da das System am Internet hängt sind eine nicht zu vernachlässigende Summe). Somit relativieren sich die Kosten leider wieder.

Hinzu kommt, dass das hierfür benötigte Addon anscheinend nur für Outlook (auf Windows) verfügbar ist - für Mac Nutzer also wertlos. Das angebotene Webportal (was als Alternative zu Outlook erscheint) ist aber nur als Abruf für Empfänger gedacht -> braucht aber wiederum einen Windows Server mit IIS (Internet Information Services).

Als Alternative zum ganzen Serverbasteln unter Windows gibt es von dem Anbieter eine Office365 Version - hier braucht man aber die (relativ) teuer Office 365 Business Variante mit integriertem Exchange sowie eine eigene Azure (Cloud Computing) Instanz für den Gateway - das lohnt sich preislich für eine Praxis unter 50 Mitarbeitern leider nicht wirklich.

Eine Möglichkeit für Sie bestände darin, einen managed Service Provider zu finden, der diese Lösung für Sie anbietet (sie mieten also einen Mailserver mit diesem Dienst). Hier kann ich Ihnen aber leider nicht weiter helfen, da wir eine solche Lösung nicht schlüsselfertig anbieten.
6,072 Beiträge
10,434 Antworten
13,823 Kommentare
2,495 Nutzer