ComcryptoMXG

comcrypto MXG – Email-Gateway

Das digitale Einschreiben von E-Mails

Sicherer Email-Versand für Inhalte mit besonderem Schutzbedarf

comcryptoMXG-EmailEncryption

shutterstock_759701224

Versenden Sie Ihre E-Mails datenschutzkonform

Garantieren Sie den Schutz von Daten bei der Übertragung über den Email-Kanal und erfüllen Sie damit auch die gesetzlichen Anforderungen beim Versenden von Personendaten.

Darf ich besonders schützenswerte Daten über E-Mail versenden?

Grundsätzlich ja, denn der E-Mail-Kanal hat sich in den vergangenen Jahren als Haupt-Instrument für den Austausch von Informationen im täglichen Leben etabliert. Dies betrifft heute sämtliche Bereiche unserer Gesellschaft. Die Gesetzgeber haben insbesondere den Umgang mit besonders schützenwerten Daten wie Personen-, Gesundheits-, Finanzdaten u.v.m., strikter geregelt.

Werden solche Daten also per Mail versendet, müssen die Daten zwingend verschlüsselt übertragen werden.

Durch die Verschlüsselung entweder der E-Mail selbst (Inhaltsverschlüsselung bzw. Ende-zu-Ende-Verschlüsselung) oder der sicheren Übertragung der E-Mail (Transportverschlüsselung) werden die Datenschutzanforderungen erfüllt. Den Datenschutz einzuhalten ermöglicht, rechtskonform per E-Mail zu kommunizieren.

Warum der E-Mail-Kanal Sie auch interessieren muss

Die Verschlüsselung des Datenverkehrs kennt heute fast jeder Benutzer beim Verwenden von Internet-Browser bei der Nutzung von Online-Services wie z.B. eBanking, eShopping und vielem mehr. Durch die heute eingesetzten Technologien bei der Transportverschlüsslung prüfen Browser vor dem eigentlichen Datenaustausch die Sicherheit der Verbindung und waren sofort bei Unregelmässigkeiten.

Obwohl zwischen E-Mail-Systemen die gleiche Art von Verschlüsselung, wie zwischen Browser und Webserver, eingesetzt wird, führen die E-Mail-Systeme untereinander aktuell keine Sicherheitsprüfung und können damit den Nutzer auch nicht vor entsprechenden Problemen warnen.

Damit kann beim Versenden von Emails der Versender nicht prüfen, ob der Empfänger die Daten ohne dass sie von Dritten gelesen (oder verändert) wurden, erhalten hat. Die Nachvollziehbarkeit von sicheren Übertragungen ist damit nicht möglich.

Versenden Sie wichtige Emails geschützt mit comcrypto MXG

Die Lösung von Comcrypto ermöglicht eine datenschutz-konforme E-Mail-Übertragung, ohne aber das Benutzerverhalten gross ändern zu müssen. Damit stellen Sie sicher, dass im Tagesgeschäft beim Versenden von Emails die Anforderungen an den Schutz eingehalten werden können.

 

 

 

Die technische Implementation ist einerseits als fester Baustein der Kunden-Infrastruktur vor Ort oder andererseits als Cloud-Service möglich.

shutterstock_416926126

Beim Versand von E-Mail stellt sich die Frage nach den möglichen Risiken, welche auf dem Transport bestehen. Hierzu werden insbesondere beim Versand von Personendaten mögliche Szenarien betrachtet:

  • Normales Risiko: bedarf einer obligatorischen Transportverschlüsselung
    • Beispiele: Rechnungen, Anmeldungen aller Art wie Bestellungen, etc.
  • Hohes Risiko: benötigt eine qualifizierte Transportverschlüsselung
    • Beispiele: Arzttermin, Arztzeugnisse, Lohnausweise, Bankzahlungen, Öffentliche Verwaltung etc.
  • Vertraulich (betrifft Berufsgeheimnisträger): verlangt eine End-2-End Verschlüsselung
    • Beispiele: Krankengeschichte, Gutachten, Kontoauszüge, Steuerunterlagen, Justizdokumente, Demographische Details etc.

Je nach Kategorie müssen unterschiedliche Schutzmassnahmen für den Versand von E-Mail durchgesetzt werden können.

Mit der comcrypto MXG Plattform kann der E-Mail-Kanal wie folgt konfligiert werden und bedarfsgerecht kryptografische Methoden und Verfahren angewendet werden:

  • Obligatorische Transportverschlüsselung für die E-Mail-Übertragung von schützenswerten, insbesondere von Personendaten normalen Risikos
  • Qualifizierte Transportverschlüsselung für die E-Mail-Übertragung personenbezogener Daten hohen Risikos, welche folgende Zusatzfunktionen beinhaltet:
    • Secure DNS-Lookup zum Ausschluss gefälschter IP-Adressen
    • Zertifikatsprüfung des Empfängersystems zum Ausschluss von «Man-in-the-Middle»-Angriffen
    • Anwendung der kryptografischen Methoden einschließlich «Perfect Forward Secrecy»
  • Passwortverschlüsselung für die E-Mail-Kommunikation für vertrauliche Inhalte oder welche unter Schweigepflicht (z.B. Ärzte) fallen oder als Lösung, wenn die Transportverschlüsselung nicht garantiert werden kann.

Wenn der E-Mail-Server des Empfängers kein gültiges TLS-Zertifikat trägt oder keine sichere Verschlüsselung ermöglicht, dann ist die Verbindung auch nicht als sicher zu bewerten. MXG prüft dann, ob die Nachricht bereits inhaltsverschlüsselt wurde. Falls nicht, folgt es den zuvor von Ihnen konfigurierten Sicherheitsregeln, um die Nachricht trotzdem sicher und datenschutzkonform, passend zu Ihrer Compliance, zu übertragen.

comcryptoMXG-EmailEncryption

comcryptoMXG-EmailEncryption

Qualifizierte Transportverschlüsselung (qTLS) als Standard

Comcrypto MXG nutzt den neuen Standard der qualifizierten Transportverschlüsselung erstmals flächendeckend für den sicheren E-Mail-Versand. Ihre E-Mails werden erst nach der vollautomatischen Verifizierung des Empfänger-Servers über eine sichere TLS-Verschlüsselung übertragen.

 

Diese Technologie wird seit Jahren bei der Internetnutzung zum Beispiel im Online-Banking oder beim sicheren Einkaufen eingesetzt und gilt als der zwingende Standard. Die sichere und qualifizierte Transportverschlüsselung erkennt Sie dort am (grünen) Schloss-Symbol im Browser. Angreifer auf den Netzverkehr, sogenannte Man-in-the-Middle, werden wirksam abgewehrt.

Comcrypto MXG nutzt die qualifizierte Transportverschlüsselung (qTLS) für den E-Mail-Versand und macht das neu für Emails auch für den Empfänger mit dem Schlosssymbol erkenntlich.

Was bedeutet qTLS genau und wie funktioniert qTLS?

Die qualifizierte Transportverschlüsselung qTLS unternimmt drei ganz entscheidende Prüfschritte, um die Sicherheit der E-Mail-Übertragung zu gewährleisten.

  • Secure DNS-Lookup: Die IP-Adresse eines Empfänger-Systems muss fälschungssicher abgerufen werden
  • TLS-Zertifikatsprüfung des Servers: Das Zertifikat muss gültig und von einer anerkannten Institution ausgestellt worden sein
  • Sichere Verschlüsselung: Für die verschlüsselte Übertragung werden nur die vom BSI erlaubten Algorithmen, Chiffren und Schlüssellängen verwendet. Die Verschlüsselung kann nicht in endlicher Zeit geknackt werden

TLS ist auf 99% aller E-Mail-Server installiert. Die qualifizierte Transportverschlüsselung nutzt diese vorhandene Infrastruktur und ist somit automatisch für die meisten Empfänger verfügbar.

Vergleich der qualifizierten Transportverschlüsselung mit der normalen Transportverschlüsselung

Die qualifizierte Transportverschlüsselung überträgt eine E-Mail durch die genannten Prüfschritte erstmals sicher und 100% datenschutzkonform.

Qualifizierte-Transportverschluesselung-E-Mail-Versand

Die bisherige, normale Transportverschlüsselung erfüllt diese Kriterien nicht und ist deshalb auch nicht sicher!

Warum brauche ich Comcrypto MXG? Mein E-Mail-Server nutzt bereits eine Transportverschlüsselung

Tatsächlich verschlüsseln viele E-Mail-Server bereits mit TLS. Dabei handelt es sich aber nur um die normale Transportverschlüsselung. Die Verifizierung des Empfänger-Servers findet nicht statt.

Dadurch ist es für “Man-in-the-Middle”-Angreifer leicht möglich, sich für den Empfänger-Server auszugeben und alle Daten entgegen zu nehmen. Verschlüsselt ja, aber nicht sicher. Und zudem hochgefährlich, da das Mitlesen oft jahrelang unbemerkt bleibt.

Diese Sicherheitslücke besteht auch unabhängig von der Version des verwendeten TLS-Protokolls, also auch bei TLS 1.2 und TLS 1.3.

2020_10_06_TlsFallbewertung_V0_21_3

comcryptoMXG-EmailEncryption

Funktionsübersicht comcrypto MXG

Die Architektur von comcrypto MXG ist so ausgelegt, dass die heutigen und künftigen gesetzlichen, regulatorischen und unternehmensinterne Vorgaben in Bezug auf Konfiguration und Kombination der nötigten kryptografischen Verfahren jederzeit erfüllt werden können.

Die Passwort-Verschlüsselung wird automatisierbar auch dann eingesetzt, wenn sich die Sicherheit des Transportkanals als unzureichend darstellt.

Zudem bezieht comcrypto MXG bestehende kryptografische Produkte wie S/MIME, PGP, PDF/ZIP-Verschlüsselung, FTAPI, cryptshare, Sophos SPX, Azure Information Protection und SEPPmail in die datenschutzkonforme E-Mail-Übertragung ein (Management-Funktion).

MXG-E-Mail-Gateway-Inbetriebnahme-on-premise

Alternativ können Sie comcrypto MXG selbstverständlich auch als Cloud-Service nutzen, zum Beispiel als E-Mail-Gateway für Exchange Online/Microsoft 365 oder Sie verwenden comcrpyto MXG als externes Relay bei selbst gehosteten E-Mail-Systemen.

2020_10_19_Screenshot_RisksKnownDomains

Comcrypto MXG erkennt die Sicherheitsmerkmale und -defizite der Empfängersysteme und ergreift entsprechend der Risikoklassifizierung die erforderlichen Maßnahmen, um das notwendige Datenschutzniveau herzustellen.

Das Monitoring erfolgt in der Management-Konsole und kann als regelmässiger Report exportiert werden, z.B. für interne oder externe Audits.

2020_10_19_Tranksactions_V0_1

comcryptoMXG-EmailEncryption

Melden Sie sich für eine Demo an

Gerne zeigen wir Ihnen comcrypto MXG mit allen Vorteilen

Buchen Sie direkt hier Ihren Termin oder mittels nachfolgendem Formular

Oder kontaktieren Sie uns über das Kontaktformular hier

shutterstock_consulting_mittel

comcryptoMXG-EmailEncryption

Kryptografische Verfahren in comcrypto MXG

Comcrypto MXG nutzt folgende kryptografische Technologien und Verfahren.

Im Falle von qualifizierter Transportverschlüsselung werden Zielsysteme als vertrauenswürdig eingestuft, wenn folgende Kriterien vollständig erfüllt sind:

  • Unterstützung der TLS-Protokollversion 1.2 oder höher
  • Unterstützung von TLS-Chiffren gemäss BSI TR-02102-2 mit Einschränkung auf Perfect Forward Secrecy gemäß der Orientierungshilfe der Datenschutzkonferenz
  • Unterstützung von Schlüssellängen (RSA, Diffie-Hellman) und Kurventypen gemäß BSI TR-02102-2
  • Verfügbarkeit von Widerrufs-Infrastrukturen (CRL-/OCSP-Server) seitens der Intermediate und Root-CAs, von welchen das Zertifikat des Zielservers abgeleitet wurde, gemäss der Orientierungshilfe der Datenschutzkonferenz
  • Vorliegen einer vertrauenswürdigen TLS-Zertifikatskette (zeitliche Gültigkeit, prüfbare Signaturen, keine widerrufenen Zertifikate innerhalb der Zertifikatskette, Übereinstimmung von in den Zertifikaten hinterlegten Hostnamen mit den tatsächlichen Hostnamen der Server), gemäß der Orientierungshilfe der Datenschutzkonferenz

Bei Durchführung der TLS-Verschlüsselung wird sodann sichergestellt, dass auch nur diese von BSI und Datenschutzkonferenz empfohlenen Algorithmen zur Anwendung kommen (bzgl. Chiffren, Schlüssellängen, etc.).

Im Falle von Passwort-Verschlüsselung kommen folgende kryptografische Methoden bzw. Algorithmen zum Einsatz:

  • Passwortgenerierung: Fortuna mit Twofish-256 und SHA2-256 Die Erzeugung von Passwörtern erfolgt stets direkt auf dem comcrypto MXG.
  • Schlüsselableitung: PBKDF2 mit HMAC-SHA2-512
  • Verschlüsselung: AES-256 im Betriebsmodus CTR
  • Authentizitätssicherung: HMAC-SHA2-256

Disclaimer:
Comcrypto MXG ist eine Lösung der comcrypto GmbH, Brückenstraße 4, 09111 Chemnitz, Deutschland. Sämtliche Rechte vorbehalten. Die Inhalte sind urheberrechtlich geschützt!

 

 

 

 

 

mehr Informationen zu comcrypto GmbH finden Sie hier.

comcryptoMXG-EmailEncryption