Beiträge

Bei IPsec handelt es sich um eine Erweiterung des Internet-Protokolls (IP), das als Alternative zu OpenVPN eingesetzt wird. IPsec bereichert das Internet-Protokoll mit leistungsstarken Authentifizierungs- und Kryptographie-Mechanismen, wodurch das IP die Fähigkeit erhält, IP-Pakete verschlüsselt über öffentliche und unsichere Netzwerke zu transportieren. IPsec wurde ursprünglich von der Internet Engineering Task Force (IETF) ausschließlich für IPv6 (Internet-Protokoll Version 6) spezifiziert. Weil das IPv4 über keine Sicherheitsmechanismen verfügte, wurde IPsec nachträglich auch für das IPv4 entwickelt.

Allgemeine Informationen zu IPsec

IPsec wird grundsätzlich bei Gateway-zu-Gateway-Szenarien eingesetzt, also bei der Verbindung zwischen zwei Netzen über ein drittes, ungesichertes Netzwerk. Ebenso gut lässt sich IP-Security auch im Rahmen eines Host-zu-Gateway-Szenarios einsetzen, wobei die hohe Komplexität von IPsec und einige andere Aspekte von TCP/IP an dieser Stelle in manchen Fällen Probleme bereiten können. Eher untypisch ist der Einsatz von IP-Security bei Host-zu-Host-Szenarien, ist aber ebenso möglich. Typische Einsatzszenarien im Überblick:

–       Site-to-Site-VPN / Gateway-to-Gateway-VPN

–       End-to-Site-VPN / Host-to-Gateway-VPN

–       End-to-End-VPN / Remote-Desktop-VPN / Peer-to-Peer-VPN

IP-Security zeichnet sich durch den Nachteil aus, dass es nur in der Lage ist, IP-Funktionalitäten für die Konfiguration von IP-Adressen, Subnetzmasken und DNS-Server nicht vorhanden sind. Aus diesem Grund ist es sinnvoll, für die Realisierung eines VPN-Tunnels außer IPsec auch andere Lösungen, wie beispielsweise SSL-VPN, zu verwenden. IP-Security setzt sich aus folgenden Bestandteilen zusammen:

–       Interoperabilität

–       Schutz übertragener Daten

–       Datenintegrität

–       Verschlüsselung

–       Bestätigung und Verwaltung kryptografischer Schlüssel

–       Authentifizierung des Absenders

Vertrauensstellungen / Security Association

Der Hauptbestandteil von IP-Security sind die Vertrauensstellungen (Security Association), die zwischen zwei Kommunikationspartnern realisiert werden. Eine Vertrauensstellung muss nicht unbedingt an den teilnehmenden Clients implementiert werden. In vielen Fällen reicht es auch aus, wenn beispielsweise bei der Kopplung zweier Netzwerke die beiden Netzwerk-Router mit einer Vertrauensstellung versehen sind. In einer Verbindung können selbstverständlich auch mehrere Vertrauensstellungen vorhanden sein. Durch die Vertrauensstellung werden alle Aspekte der Kommunikation von IPsec geregelt. Da sich die Vertrauensstellungen äußerst flexibel konfigurieren lassen, erfordern diese einen sehr hohen Konfigurationsaufwand.

 

Um eine gesicherte Verbindung zwischen zwei Entitäten herstellen zu können, müssen zunächst auf beiden Seiten einige wichtige Parameter ausgetauscht werden. Hierzu gehören:

–       der Schlüssel

–       der eingesetzte Verschlüsselungsalgorithmus (MD5, 3DS, AES)

–       die Gültigkeitsdauer der jeweiligen Schlüssel

–       Art der gesicherten Verbindung (Verschlüsselung oder Authentifizierung)

Eine Vertrauensstellung wird durch den Austausch von vorab definierten Schlüsseln hergestellt. Eine andere Form der Vertrauensstellung ist die Vergabe von Sicherheits-Zertifikaten durch eine zentrale Trust-Entität oder einen dedizierten Zertifikat-Server. Durch den Einsatz von Schlüsseln und Zertifikaten soll sichergestellt werden, dass man auch derjenige ist, für wen man sich ausgibt. Dieses Verfahren wird mit dem Begriff Authentifizierung bezeichnet und komme im Rahmen aller modernen Verschlüsselungs-Mechanismen zum Einsatz. Schlüssel und Zertifikate lassen sich mit einem Personalausweis vergleichen, mit dem man gegenüber anderen Personen seine Identität bestätigt.

Verschlüsselung und Tunneling bei IPsec

Die wichtigsten Funktionen, die eine IPsec-Architektur bereitstellt, sind das ESP-Protokoll (Encapsulating Security Payload), das AH-Protokoll (Authentification Header) sowie die Schlüsselverwaltung (Key Management). Integrität, Authentizität und Vertraulichkeit werden im Rahmen von IP-Security durch ESP und AH umgesetzt. Die beiden Protokolle ESP und AH können entweder gemeinsam als auch eigenständig im Rahmen einer IPsec-Infrastruktur eingesetzt werden. Beide Verfahren gewährleisten eine gesicherte Übertragung der Daten. Das AG-Verfahren wird bei der Authentifizierung der übertragenen Daten eingesetzt, während ESP die Datensicherheit in Bezug auf den gewählten Verschlüsselungsalgorithmus erhöht. Bei IPsec werden keine bestimmten Authentifizierungs- und Verschlüsselungsverfahren vorausgesetzt. Aus diesem Grund kommt es häufig zu Problemen, wenn unterschiedliche VPN-Lösungen zusammenarbeiten müssen.

Die Verwaltung von Schlüsseln

Es gibt zwei Möglichkeiten, Schlüssel innerhalb eines VPNs zu verwalten und zu verteilen. Neben der manuellen Schlüsselverwaltung, können auch automatisierte Lösungen eingesetzt werden, wie beispielsweise das Internet Key Exchange Protocol (IKE). Bevor die netzwerkübergreifende Kommunikation geschützt werden kann, müssen sich die Kommunikationspartner auf den Schlüssel und Verschlüsselungsverfahren einigen. Diese äußerst wichtigen Parameter sind Bestandteile der Vertrauensstellungen und werden von dem IKE automatisch verwaltet und ausgehandelt.

Das Internet Key Exchange Protocol wird für die automatische Verwaltung von Schlüsseln innerhalb einer IPsec-Infrastruktur verwendet. Es basiert auf dem Diffie-Hellman-Verfahren zur sicheren Erzeugung von kryptografischen Schlüsseln über ein ungesichertes Netzwerk. IKE nutzt außerdem das Internet Security Association and Key Management Protocol, welches das Verhalten aller beteiligten Kommunikationspartner genau festlegt.

Probleme mit Network Adress Translation (NAT)

Der automatische Schlüsselaustausch mit IKE kann an den beteiligten NAT-Routern scheitern. Wenn Netzwerkgeräte in lokalen Netzwerken mit privaten IP-Adressen versehen sind und über NAT-Router in das Internet gehen, dann kann IPsec in Kombination mit NAT Probleme verursachen. Durch NAT wird ein IPsec-Paket mit einer neuen IP-Adresse versehen und einem anderen Quell-Port. Das Problem dabei spiegelt sich in der Tatsache wider, dass wenn, ein IPsec-Paket verändert wird, dann wird es automatisch ungültig. Durch diese Änderung kann die Integrität des Pakets nicht mehr gewährleistet werden, sodass es verworfen wird. Die direkte Folge ist, dass sich so keine Verbindung aufbauen lässt. Ein weiteres Problem ist, dass die Ausgangs-IP-Adresse und TCP-Ports durch den Einsatz von IPsec verschlüsselt sind, sodass sie der NAT-Router nicht auslesen kann. Um solche Probleme zu verhindern, sind aktuelle Router-Modelle mit dem sogenannten „IPsec-Passthrough-Verfahren“ ausgestattet, bei dem die Ausgangs-Ports nicht verändert werden.

Bring Your Own Device (BYOD) ist ein Trend aus den USA, der vor allem in der Arbeitswelt eine Rolle spielt. Vor- und Nachteile für alle Beteiligten werden seit einigen Jahren intensiv diskutiert. Seit Inkrafttreten der Datenschutzgrundverordnung (DSGVO) kommt hierbei dem Datenschutz eine besondere Bedeutung zu. Die Voraussetzungen für den technisch und rechtlich sicheren Einsatz privater Geräte stellen zunehmend eine Herausforderung dar.

BYOD – Definition und Varianten

Die privaten mobilen Endgeräte oder auch Speichermedien mit- oder einbringen heißt konkret, auf interne Netzwerke von Firmen oder Bildungseinrichtungen und Bibliotheken zuzugreifen. Für Arbeitnehmer ist eine solche Vereinbarung grundsätzlich freiwillig. Dieses Konzept ist ursprünglich als Instrument bekannt, um die Produktivität von Arbeitnehmer zu steigern und dabei gleichzeitig die Kosten auf Arbeitgeberseite zu senken. Hinzu kommt die positive Auswirkung auf den ökologischen Fingerabdruck.

Mit wachsender praktischer Erfahrung hat sich die Auffassung durchgesetzt, dass Kosten und Nutzen sich in etwa die Waage halten. Der Anteil von Smartphones und Tablets steigt stetig an. Die Varianten, wie BYOD in unterschiedlichen Unternehmen gelebt wird, sind vielfältig. Hier einige Beispiele:

– Private Endgeräte werden unabhängig von der Unternehmens-IT betrieben.

– Endgeräte werden von der Unternehmens-IT unterstützt und gewartet.

– Softwarelizenzen des Unternehmens werden dienstlich und privat genutzt.

-Mitarbeiter beteiligen sich an den Kosten für Hard- und Software.

-Ausschließlich separates Gäste-WLAN, das ebenso von Besuchern genutzt wird.

BYOD: Vorteile für Arbeitgeber

In manchen Branchen wie beispielsweise dem Customer Service (Callcenter), entfallen die Kosten für einen kompletten Bildschirmarbeitsplatz. In diesem Bereich kommen auch private Desktop-PCs zum Einsatz. Zumindest jedoch werden mittels BYOD die regelmäßigen Anschaffungskosten für adäquate Hardware reduziert. Teilweise ergibt sich zusätzlich ein Einsparpotenzial im Bereich der Softwarelizenzen.

Mobiles Arbeiten ist ein entscheidender Faktor für die Attraktivität des Arbeitsplatzes und trägt zur Mitarbeiterzufriedenheit bei. Dies wiederum wirkt sich positiv aus auf die Produktivität.

BYOD: Vorteile für Beschäftigte

Egal ob Smartphone oder Notebook, das vertraute Arbeitsgerät stellt einen Wohlfühlfaktor dar. Mobiles Arbeiten verbessert die Vereinbarkeit von Beruf und Familie und ist gerade auch für Pendler attraktiv. Dienstreisende benötigen nur noch jeweils ein Smartphone, Tablet oder Notebook.

BYOD: Nachteile für Arbeitgeber

Die Kosten für die Erarbeitung eines BYOD-Konzeptes sind nicht zu unterschätzen. Die Umsetzung der Datenschutzgrundverordnung allein erfordert einen erheblichen administrativen und technischen Aufwand. Hinzu kommen höhere Wartungskosten. Private Endgeräte stellen immer ein potenzielles Sicherheitsrisiko dar. Ein Angriff auf die IT-Infrastruktur kann existenzbedrohend sein.

BYOD: Nachteile für Beschäftigte

Je nach Unternehmenskonzept erhält der Arbeitgeber Kontroll- und Zugriffsrechte. Durch die uneingeschränkte Erreichbarkeit verschwimmen die Grenzen zwischen Arbeit und Freizeit. Dies führt dazu, dass Arbeitszeiten nicht erfasst und folglich nicht vergütet werden.

 

Rahmenbedingungen für BYOD

Die rechtlichen Grundvoraussetzungen aber auch die Risiken für beide Seiten erfordern ein Regelwerk, dass die Interessen aller Beteiligten berücksichtigt – ein BYOD-Konzept. Dieses sollte folgende Aspekte behandeln:

Betriebssystem, Firewall und Virenscanner

– Zugriffshürden und Zugriffsbeschränkungen

– Verwendung von Blickschutzfiltern in der Öffentlichkeit

– Trennung von dienstlichen und privaten E-Mail-Konten

Speicherung von Firmendaten auf dem privaten Endgerät

– Zeitliche Zugriffsbeschränkung

Risiken minimieren bei BYOD

Wie umfassend Ihr BYOD-Konzept auch sein mag, ein Restrisiko in Bezug auf die Datensicherheit bleibt immer. Um Ihre sensiblen Firmendaten und alle personenbezogenen Daten bestmöglich zu schützen, gibt es eine Reihe von Möglichkeiten.

Technische Zugriffshürden

Ein sogenannter VPN-Tunnel ermöglicht eine verschlüsselte Verbindung zwischen dem Endgerät und dem Unternehmensserver. Ein Virtual Private Network (VPN) nutzt das Internet als Datenleitung. Mithilfe des VPN-Client auf dem Endgerät und einer zweiten Authentifizierungsmethode wird ein Zugriff Dritter auf Ihre Unternehmensdaten deutlich erschwert. Zusätzlich haben Sie die Möglichkeit, den Zugang auf „Remote-Access“ zu beschränken. Das heißt, Dokumente oder Datensätze können gelesen und bearbeitet aber nicht gespeichert werden.

Verschlüsselte „Container“ bei BYOD

Bei dieser Methode wird der lokale Festplattenspeicher des privaten Endgeräts in zwei Bereiche (Partitionen) geteilt. Somit entstehen aus technischer Sicht zwei separate Festplatten, von denen eine verschlüsselt ist. Verbindungen zum Unternehmensnetzwerk werden ausschließlich über den Container hergestellt.

Mobile Device Management (MDM)

Das Mobile Device Management wird mithilfe einer speziellen Software durchgeführt. Über dieses Tool gelingt es Ihrer Unternehmens-IT, die privaten Endgeräte in die IT-Infrastruktur zu integrieren und zu verwalten. Des Weiteren ermöglicht ein professionelles MDM:

– die Verwaltung von Daten

– das Installieren von Updates

– die Sperrung unsicherer Verbindungen (WLAN)

– die Sperrung unbekannter Apps

Sandboxing

Mithilfe einer Sandbox arbeiten Sie in einer abgeschirmten virtuellen Umgebung. Hierbei werden keine Daten auf dem privaten Gerät gespeichert. Eine Sandbox wird auch als Testumgebung für Software in der Entwicklung eingesetzt.

Wenn Sie sich für diese Lösung entscheiden, ist es unabdingbar, den ganzen Weg zu gehen. Auch der gelegentliche Einsatz privater Endgeräte bedarf technischer Grundvoraussetzungen und klarer Vereinbarungen. Eine einzige E-Mail kann eine signifikante Bedrohung für den Datenschutz und die IT-Sicherheit in Ihrem Unternehmen bedeuten.

Für die Skeptiker bietet „Choose Your Own Device“ (CYOD) eine Alternative. Mit „Own Device“ ist hier jedoch Unternehmens-Equipment gemeint.

Kein Unternehmen arbeitet heute in der Regel ohne die Unterstützung einer möglichst maßgeschneiderten IT-Infrastruktur. Doch was ist das eigentlich genau? Was gehört zu diesem Begriff und was sollte rund um die passende IT-Infrastruktur eines Unternehmens unbedingt beachtet werden? Das Wichtigste dazu bietet Ihnen dieser kompakte Überblick.

Die zwei Hauptkomponenten der IT-Infrastruktur

Das wesentliche Unterscheidungskriterium der an einer IT-Anlage eines Unternehmens beteiligten Elemente ist die Einteilung in Hardware und Software. Hardware sind alle Geräte, die die physische Ausstattung der IT betreffen. Das sind zum einen physische Server und die Rechner des Unternehmens, aber auch alle Ein- und Ausgabegeräte wie Tastatur, Maus, Monitor und Drucker. Auch die mobilen Endgeräte eines Unternehmens, beispielsweise Smartphones, Tablets und Netbook, zählen zur IT-Infrastruktur. Dies alles kann nur funktionieren, wenn eine Software installiert ist. Sie ist das zweite wichtige Element in der betrieblichen IT. Softwareprodukte sind zum Beispiel das Betriebssystem der Rechner und die bedarfsgerechten Anwendungen für die Anforderungen der Nutzer. Auch CRM- und ERP-Programme sowie Antivirenschutz zählen zum Softwarebereich der IT-Infrastruktur.

Das Netzwerk Ihres Unternehmens

Wenn eine gute funktionierende IT-Infrastruktur mit hoher Professionalität und passgenauem Praxisbezug geschätzt wird, ist immer wichtig, dass Hard- und Softwareprodukte bedarfsgerecht ausgewählt, installiert und konfiguriert werden. Das Zusammenspiel der einzelnen Bestandteile im Rahmen eines soliden und geschützten Netzwerks spielt für das Unternehmen und seine Anforderungen eine wichtige Rolle.

Zwei Beispiele dieser Zusammenarbeit im Netzwerk sollen der Veranschaulichung dienen. Ein Beispiel ist das CRM, das Customer Relationship Management. Bei diesen Programmen werden alle Kundenkontakte nicht nur lückenlos dokumentiert, sondern unternehmensintern auch all denjenigen verfügbar gemacht, die diese benötigen. So ist es insbesondere möglich, eine Kundenanfrage auch dann professionell und präzise zu betreuen, wenn der zuständige Sachbearbeiter im Urlaub sein sollte. Ein zweites Beispiel ist das Bestandsmanagement in einem Betrieb. So kann mittels eines gut ausgebauten Netzwerks ein Außendienstmitarbeiter mit dem Smartphone die Auskunft aus der IT erhalten, ob ein bestimmter Artikel, für den sich der Kunde interessiert, auf Lager ist.

Zentraler Datenabruf und Datenspeicherung

Bei einer modernen IT-Infrastruktur ist der zentrale Datenzugriff oft besonders wichtig. Die obigen Beispiele demonstrieren das. Die Daten, die in einem Unternehmen gespeichert, aufbewahrt, geändert und verarbeitet werden, haben hohe Volumina. Das bedeutet, dass die Speicherkapazitäten klassischer Server oft überlastet sind. Denn alle Unternehmensprozesse von der Angebotserstellung über die Produktionsabwicklung bis zu Werbung und Verkauf werden heute IT-basiert abgewickelt. Es ist häufig sinnvoll, die internen Rechnerkapazitäten durch ein effizientes Outsourcing zu entlasten. So ist es möglich, physische und virtuelle Server zu mieten, Switches zu integrieren oder die modernen Cloudlösungen dazu zu nutzen, die eigene IT-Infrastruktur optimal zu ergänzen. All diese Möglichkeiten schonen nicht nur die eigenen Kapazitäten des Unternehmens. Sie können auch einen zentralen und bedarfsgerechten Datenzugriff ermöglichen.

Sicherheit ist das A und O bei der IT-Infrastruktur

Eine IT-Infrastruktur ist eine moderne Errungenschaft, die für Ihr Unternehmen mit einer ganzen Reihe von überzeugenden Vorteilen verknüpft ist. Doch gibt es dadurch natürlich auch ein Datenrisiko. Zum einen kann ein Datenverlust durch einen Software- oder Hardwarefehler verursacht sein. Typisch sind die geschrottete Festplatte oder der Blitzeinschlag, der die Serverdaten löscht. Auch ein Virus kann die Daten des Unternehmens löschen. Zum anderen sind es aber auch die Hackerangriffe, die beispielsweise Kundendaten oder Konkurrenzdaten sammeln. Deshalb gehört zu jeder modernen IT-Infrastruktur auch ein professioneller Schutz. Dieser wird durch die Firewall von Rechnern und Servern, aber auch spezielle Antivirenprogramme umgesetzt.

Einen kompetenten IT-Dienstleister beauftragen

Wenn ein Unternehmen keine Professionalität in Sachen IT-Infrastruktur in den eigenen Reihen besitzt, ist es wichtig, sich diese heute unverzichtbare Unterstützung durch Experten von außen zu holen. Ein IT-Dienstleister hat die Expertise, die IT-Infrastruktur eines Unternehmens bedarfsgerecht zu erstellen, zu konfigurieren und bezüglich individueller und sich oft ändernder Anforderungsprofile kompetent zu skalieren. Im Rahmen einer öffentliche IT-Infrastruktur wird die Hard- und Software beim gewählten Anbieter beauftragt, gewartet und auch repariert.

Ein wichtiger Vorteil, den ein solches Arrangement hat: Diese IT-Infrastruktur wird durch den IT-Dienstleister konsequent mit spezieller Softwareprodukten überwacht. Dieses Monitoring ist wertvoll, weil es reibungslos funktionierende Betriebsabläufe und die Sicherheit der IT-Infrastruktur nachhaltig umsetzen kann. Für ein Unternehmen bedeutet das, dass es sich ganz auf seine Kernkompetenzen konzentrieren kann.

Insbesondere bei der Datensicherheit werden IT-Dienstleister immer mehr geschätzt. Seit dem Inkrafttreten der DSGVO am 25. Mai 2018 ist Datensicherung ein wichtiges Thema. Die Nichtbeachtung der komplexen Regelungen der Europäischen Union sind unangenehm. Da viele Datenschutzlecks und Sicherheitslücken in der IT-Infrastruktur der Unternehmen vorhanden sind, ist es die Tendenz, für die Sicherheit die IT-Experten zu beauftragen. Oft ist dies mit Cloud-Lösungen verbunden, die bei Datencrash durch Backups die Daten in aller Regel wiederherstellen können.

 

 

Microsoft Office365 ist ein Softwarepaket für Büroanwendungen und wird Privat- und Gewerbekunden in verschiedenen Versionen angeboten. Auf Ihrem Rechner installierte Programme sind nur ein kleiner Teil des Pakets, das üblicherweise in der Cloud auf Servern von Microsoft läuft. Office365 ist nur als Abo erhältlich und enthält insbesondere auch einen Mailserver.

Wie lange gibt es Office365 schon?

Das Paket ist seit 2011 für Gewerbekunden erhältlich und wurde als Nachfolger der früher angebotenen Business Productivity Online Suite entwickelt. Zwei Jahre später wurden Versionen für Privatkunden in das Angebot von Microsoft aufgenommen. Office365 stellt einen weiteren Schritt in die Richtung der Verlagerung von Unternehmenssoftware in die Cloud dar.

Was leistet Office365?

Das Paket ist zu einem Teil offline nutzbar, was aber von den Entwicklern nicht für den normalen Betrieb vorgesehen wurde. Wird das System nämlich für 31 Tage nur offline benutzt, können Dokumente zwar noch angezeigt, aber nicht mehr bearbeitet werden. Das ist erst wieder möglich, wenn eine Internetverbindung zu den Servern von Microsoft hergestellt wird. Benutzt werden kann Office365 allerdings mit jedem beliebigen Browser.

Office365 ist als „Software as a Service“ konzipiert. Eine solche Software läuft in der Cloud auf den Servern des Anbieters, in diesem Fall also Microsoft. Ihre Daten werden dort gespeichert und verarbeitet. Sie haben den Vorteil, dass Ihnen immer die neueste Version der Programme zur Verfügung steht. Es sind also keine Updates oder Patches mehr einzuspielen, das machen alles die Spezialisten von Microsoft selbst. Das Abo für Office365 ist an Sie als Benützer gebunden und nicht an ein bestimmtes Gerät. Mit einem solchen Abo können Sie von jedem Gerät mit einem Browser auf Ihre Daten zugreifen. Die Programme können Sie auf einer bestimmten Anzahl von Geräten installieren.

Die Verfügbarkeit Ihrer Daten jederzeit und überall ist zwar ein Vorteil, bringt aber auch Probleme der Sicherheit und Vertraulichkeit mit sich. Administratoren von Office365 sehen etwa genau, welche E-Mails Mitarbeiter lesen und sogar zu welchem Zeitpunkt. Das ist an sich nicht verträglich mit der Datenschutzgrundverordnung der EU. Außerdem besitzen die Behörden der USA Zugriff auf Ihre Daten und auch Ihre E-Mails.

Was ist ein Mailserver und wozu brauche ich ihn?

Office365 beinhaltet auch einen Mailserver. Das ist ein Server, der immer online sein sollte und Ihre E-Mails in Empfang nimmt und speichert. Sie sehen die Mails, wenn Sie sich einloggen und Ihr Computer als Client die E-Mails herunterlädt. Auch zum Versenden von E-Mails laden Sie die Nachricht auf den Mailserver hoch, der sie dann an den Empfänger weiterleitet, genauer an seinen Mailserver.

Wozu setze ich einen Virenscanner ein?

Viren sind Schadprogramme, die sich oft per E-Mail ausbreiten. Der E-Mail angefügten Dokumente infizieren den Computerhädliche. Scanner sind ihrerseits Programme, die solche Viren erkennen und unschädlich machen sollen. Das funktioniert relativ gut, allerdings können auch die besten Scanner nicht alle möglichen Virusprogramme erkennen.

Microsoft Office365 als Mailserver

Traditionell haben viele auch kleinere und auf jeden Fall mittlere Unternehmen ihren eigenen Mailserver betrieben. Auch Microsoft hat mit dem Exchange einen solchen Server im Angebot. Die Administration eines solchen Mailservers ist allerdings immer aufwendiger geworden und heute so komplex, dass kleinere Unternehmen sich nach Alternativen umsehen.

Ein möglicher Weg ist die Verlagerung des Mailservers in die Cloud und diesen Service enthält Office365. Je nach Abo können Sie den Umfang des Speicherplatzes für Ihre Mails frei wählen, was auch für die Zahl der Nutzer mit einer Adresse gilt. Ein weiterer Service ist die Einrichtung von Sammeladressen wie support@…, die dann mehreren Nutzern zur Verfügung stehen und von ihnen gemeinsam bearbeitet werden können. Durch das Webhosting sehen sie alle die gleichen Mails, ohne dass besondere Maßnahmen zur Koordination getroffen werden müssten. Beim Umgang mit vertraulichen Daten und möglicherweise sensitiven Schritten wie dem Hinzufügen von Adressaten werden Sie von Office365 automatisch gewarnt und auf die Folgen Ihrer Schritte hingewiesen. Nachdem Mails schnell und einfach verschickt werden können, besteht auch die Gefahr von unbeabsichtigten Datenlecks. Eine zusätzliche Sicherung gegen solche Datenabflüsse kann Ihrem Unternehmen gegebenenfalls viel Geld sparen.

Sicherheit und Vertraulichkeit von Daten mit Office365 als Mailserver

An möglichen Bedrohungen sind hier auf der einen Seite Kriminelle, auf der anderen aber auch die Behörden zu nennen. Die Sicherheit vor kriminellen Hackern liegt im Verantwortungsbereich von Microsoft. Der Systemadministrator in Ihrer Firma braucht sich nicht mehr selbst um die Absicherung eines eigenen Mailservers zu kümmern. Man kann davon ausgehen, dass die Spezialisten von Microsoft diesen Aspekt hinreichend gut im Griff haben. Als Besonderheit ist hier der Schutz durch ATP oder Advanced Threat Protection zu nennen. Das System erkennt verdächtige Mail-Anhänge und warnt vor ihnen. Auch ATP bietet keinen vollständign Schutz. Es wird aber ständig von Fachleuten weiterentwickelt.

Durchwachsener sieht es allerdings mit dem Schutz vor Behördenwillkür aus. Die Nachrichtendienste der USA können sich nach der Gesetzeslage ohne große Schwierigkeiten Zugang zu Ihren Daten verschaffen. Sie müssen beurteilen, wie Sie diese Gefahr und die möglichen Folgen einschätzen.

Bei Postfix handelt es sich um einen sogenannten „Mail Transfer Agent“ für Unix und Linux-Distributionen, der im Jahr 1998 entwickelt und veröffentlicht wurde. Die Entwickler wollten mit der Software eine kompatible Alternative zu Sendmail bieten. Dabei fokussierten sich die Programmierer in erster Linie auf Sicherheitsaspekte, um die Software möglichst sicher zu gestalten. Der Quellcode von Postfix wird unter der IBM Public Lizenz zur Verfügung gestellt, womit Postfix eine freie Software ist.

Entwicklungsgeschichte von Postfix

Postfix ist ein Mail Transfer Agent der als Open Source-Software frei für Betriebssysteme auf Basis von Unix, wie beispielsweise Solaris, BSD und Linux zur Verfügung gestellt wird und ist im Gegensatz zu Office 365 und Exchange nicht für Windows-Systeme erhältlich. Postfix wurde ursprünglich von dem niederländischen Softwareentwickler Wietse Venema bei dem US-amerikanischen IT-Unternehmen IBM entwickelt und im Jahr 1998 auf den Markt gebracht. IBM hat Postfix jedoch einige Jahre nach dem offiziellen Marktstart der Open Source-Community zur freien Weiterentwicklung zur Verfügung gestellt und hat mittlerweile keine Kontrolle über das Projekt. Die Software ist in erster Linie als eine sichere und leicht zu bedienende Alternative für Sendmail entworfen worden. Sendmail war zu jener Zeit der am meisten genutzte Mailserver im Internet, die Software hatte jedoch 2 erhebliche Schwachstellen, und war:

–          Sendmail hatte in der Vergangenheit immer wieder mit gravierenden Sicherheitslücken zu kämpfen.

–          Die Software ist äußerst kompliziert zu bedienen und zu administrieren. Früher galt unter IT-Experten der Spruch, dass man kein echter Unix-Administrator ist, wenn man Sendmail nicht konfiguriert hat.

Obwohl die Sicherheitslücken in Sendmail relativ schnell geschlossen wurden, war die Architektur der Software nicht auf Sicherheit ausgelegt. Postfix ist hingegen von Anfang an auf hohe Sicherheit ausgelegt. Der Postfix-Entwickler Wietse Venema war ein anerkannter IT-Sicherheitsexperte, der sich in erster Linie mit IT-Sicherheitsforschung beschäftigt hatte. Im Gegensatz zu Sendmail ist Postfix kein monolithischer Block, sondern setzt sich vielmehr aus einer Vielzahl einzelner Programmteile zusammen. Dank dieser Microservice-Architektur ist es möglich, jeden einzelnen Teil von Postfix nur mit so vielen Rechten zu versehen, wie es unbedingt nötig ist. Kein Programmteil von Postfix, der einen direkten Zugriff auf Netzwerkkommunikation hat, läuft mit Root-Rechten.

Eigenschaften

Postfix setzt sich aus unterschiedlichen Teilen zusammen, die jeweils verschiedene Rollen im Gesamtsystem ausüben. Dadurch wird nicht nur ein performanter Antiviren– und Spamschutz, sondern auch eine ausgezeichnete Performance gewährleistet, weswegen die Software in erster Linie in großen Rechenzentren und Mainframes zum Einsatz kommt. Postfix ist ein performantes und im Verhältnis zu den beiden Konkurrenten qmail und Sendmail ein einfach zu administrierendes System. Wie jeder Mail Transfer Agent setzt auch Postfix ein gewisses Maß an Kenntnissen in den Bereichen Mailserver, Netzwerkprotokolle sowie Betriebssysteme voraus, da sich die Konfiguration der Software je nach vorgesehenem Einsatzbereich sehr komplex gestalten kann.

Entwickler haben bei Postfix ein besonderes Augenmerk auf eine simple Administration und hohe Sicherheit gelegt. Es ist mit Sendmail kompatibel und kann mit Software genutzt werden, die Sendmail anstatt Postfix als Mailserver erwarten würde. Darüber hinaus ist der Mail Transfer Agent modular aufgebaut und führt sämtliche Befehle ohne Root-Rechte aus. Änderungen in der Konfiguration können zur Laufzeit realisiert werden, sodass ein Neustart nicht nötig ist.

Konfiguration

Auf den meisten Systemen wird das Verzeichnis mit den Konfigurationsdateien als „/etc/postfix“ angelegt. In diesem Verzeichnis finden Sie die master.cf und auch die Hauptkonfigurationsdatei main.cf. Sämtliche Funktionalitäten und Einstellungen aller Postfix-Teile werden über die Hauptkonfigurationsdatei main.cf realisiert. Die main.cf setzt sich aus Name-/Werte-Paaren zusammen. Dabei wird der Name eines des Konfigurationsparameters als erster Begriff auf einer Zeile auf der linken Seite eingefügt. Danach folgt die explizite Zuweisung eines Wertes. Manche Parameter können sich aus mehreren Werten zusammensetzen. Die multiplen Werte können sowohl durch Leerzeichen als auch durch Kommas getrennt werden.

Mit dem Begriff wird im Rahmen der IT ein elektronischer Echtheitsnachweis bezeichnet, der von einer Zertifizierungsstelle, der sogenannten „Certification Authority“, ausgestellt wird. Zertifikate werden in erster Linie zur Verschlüsselung des Datenverkehrs im World Wide Web eingesetzt.

Allgemeine Informationen

Beim digitalen Zertifikat handelt es sich um einen elektronischen Echtheitsnachweis, der von einer Zertifizierungsstelle herausgegeben wird. Im Internet üben Zertifikate eine vergleichbare Rolle aus wie Personalausweise in der „Offline-Welt“. Durch den Einsatz eines Zertifikats kann ein öffentlicher Schlüssel zweifelsfrei und mit hoher Sicherheit einem bestimmten Besitzer zugeordnet werden. Ein digitales verfügt u.a. über folgende Informationen:

–       Name des Besitzers

–       Herausgeber des Zertifikats

–       Gültigkeitsdauer

–       Verwendungszweck des Zertifikats

Sie kommen in Kombination mit der sogenannten „Public Key Infrastruktur“ (PKI) zum Einsatz, um Informationen im World Wide Web sicher und verschlüsselt übertragen zu können. Die Verschlüsselung basiert auf einem komplexen asymmetrischen kryptografischen Verfahren auf Grundlage öffentlicher und privater Schlüssel. Dadurch kann man zuverlässig bestätigen, wer der Besitzer des Zertifikats ist. Alle modernen Betriebssysteme und Browser verfügen über Listen mit vertrauenswürdigen Zertifikaten. Falls ein Zertifikat von einer Certification Authority ausgestellt wurde, wird es vom Webbrowser bzw. Betriebssystem als echt betrachtet. Das Format und der Inhalt von digitalen Zertifikaten werden im Rahmen der ITU-Empfehlung X.509 V geregelt.

Einsatzgebiete

In der IT werden Zertifikate in einer Vielzahl unterschiedlicher Bereiche eingesetzt. Sie kommen vorwiegend dort zum Einsatz, wo die Identität eines Kommunikationspartners oder einer Informationsquelle unmissverständlich bestätigt werden muss. Häufige Anwendungsfälle sind:

–       Signieren und verschlüsseln von E-Mails.

–       Verschlüsseln von Verbindungen zwischen einem Browser und Webserver per SSL (Secure Sockets Layer). Solche Zertifikate werden als SSL-Zertifikate bezeichnet.

–       Realisierung von VPN-Verbindungen (Virtual Private Network)

–       Signieren von Software-Produkten und Updates.

 

Welche Informationen stehen zur Verfügung?

Im Rahmen des X.509-Standards wird genau festgelegt, welche Inhalte in welcher Form in einem Zertifikat vorkommen müssen. Während einige Informationen obligatorisch sind, sind andere wiederum optional, um E-Mails nach dem S/MIME-Standard zu unterschreiben und zu verschlüsseln oder den Datenverkehr mit dem HTTPS-Protokoll zu verschlüsseln. Informationen, die bei einem X.509-Zertifikat wichtig sind, finden Sie im Folgenden:

–       die Seriennummer

–       der Name des Ausstellers

–       der Name des Inhabers

–       die Versionsnummer

–       die Gültigkeitsdauer

–       relevante Informationen zum öffentlichen Schlüssel des Zertifikatsinhabers

–       Informationen zum Einsatzzweck

–       die digitale Signatur der zuständigen Zertifizierungsstelle

Welche Rolle hat eine Zertifizierungsstelle?

Zertifizierungsstellen spielen im Rahmen der Public Key-Infrastruktur eine äußerst bedeutende Rolle. Eine Certification Authority prüft die Angaben und die Identität eines Antragstellers für ein digitales Zertifikat und stellt es bei erfolgreicher Überprüfung aus. Des Weiteren sorgen sie für die Veröffentlichung der Zertifikate, indem sie die ausgestellten Zertifikate in einem öffentlich zugängigen Verzeichnis ablegen. Weitere Aufgaben der Zertifizierungsstellen sind das Veröffentlichen und Verwalten von Zertifikatssperrlisten und die Protokollierung sämtlicher Zertifizierungsaktivitäten.

Blick in die Details

Die Abkürzung SSL steht für „Secure Sockets Layer“ und bezeichnet ein Verschlüsselungsverfahren, das bei der Client-Server-Kommunikation eingesetzt wird. Im Rahmen von SSL werden Daten verschlüsselt, die zwischen einem Browser und Webserver ausgetauscht werden. Alle Informationen und Vorgaben, wie eine solche Verschlüsselung realisiert werden soll, sind in einem entsprechenden SSL-Zertifikat enthalten. Konkret bedeutet das, dass ein SSL-Zertifikat wie ein Vertrag zwischen einem Webbrowser und Server fungiert, in dem sämtliche Konditionen definiert sind. Die wichtigsten Aufgaben eines SSL-Zertifikats sind:

–       Die Authentifikation eines Kommunikationspartners. Bei diesem Verfahren werden asymmetrische Verschlüsselungsverfahren eingesetzt.

–       Die sichere Übertragung von Daten durch den Einsatz symmetrischer Algorithmen. Hierbei wird der gesamte Datenverkehr zwischen zwei Kommunikationspartnern verschlüsselt.

–       Die Sicherstellung, dass die transportierten Daten vollständig und unverändert sind.

Bei einem SSL-Zertifikat handelt es sich also um einen digitalen Datensatz, der bestimmte Eigenschaften von Organisationen, Personen oder Objekten validiert und dessen Echtheit und Integrität durch kryptografische Prozesse überprüft und sichergestellt werden. Ein SSL-Zertifikat ist mit allen nötigen Informationen versehen, die für eine solche Validierung benötigt werden.

S/MIME-Zertifikate im Überblick

Die Abkürzung S/MIME steht für „Secure/Multipurpose Internet Mail Extensions“ und stellt einen kryptografischen Standard für die sichere Verschlüsselung und Signatur von E-Mails dar. S/MIME wurde von dem US-amerikanischen Software-Unternehmen RSA Security entwickelt und basiert auf der Public Key Infrastructure bzw. einer asymmetrischen Verschlüsselung. Es bietet E-Mail-Sicherheit durch sichere Verschlüsselung, Verifizierung und Integrität. Konkret bedeutet das, dass Sie Ihre E-Mails digital signieren können, sodass Ihr Kommunikationspartner verifizieren kann, dass die E-Mail auch tatsächlich von Ihnen stammt und keinen Manipulationen ausgesetzt wurde. Während die E-Mail durch das World Wide Web unterwegs ist, wird ihre Integrität durch die starke Verschlüsselung gewährleistet. Dadurch wird verhindert, dass Unbefugte die E-Mail abfangen und manipulieren können.

Installation

Auf diese Weise geht S/MIME deutlich über den Sicherheitsaspekt hinaus, den traditionelle E-Mail-Server bieten. Die Installation eines S/MIME-Zertifikats auf einem E-Mail-Server ist empfehlenswert, da sich damit viele Cyberangriffe effektiv verhindern lassen. Bei S/MIME-Zertifikaten kommen zwei unterschiedliche Schlüssel zum Einsatz, und zwar ein öffentlicher und ein privater Schlüssel. Dabei kann ein privater Schlüssel nur einen öffentlichen Schlüssel haben und umgekehrt. Im Rahmen von S/MIME versendet der Absender eine E-Mail und verschlüsselt diese über den öffentlichen Schlüssel des Empfängers. Der Empfänger entschlüsselt die E-Mail mit seinem privaten Schlüssel, zu den nur er Zugang hat. Somit gibt es also keine Möglichkeit für Dritte, den Inhalt der E-Mail zu lesen oder zu manipulieren.