E-Mail-Verschlüsselung, aber einfach - mit Microsoft Purview!

Wenn allgemein von E-Mail-Verschlüsselung die Rede ist, meint man damit in der Regel S/MIME. Es gibt zwar noch PGP als Alternative, dieses wird aufgrund der höheren Komplexität jedoch üblicherweise eher im privaten Bereich genutzt.
Beide Varianten sind recht komplex in der Einrichtung. Im Fall von S/MIME kann es auch recht teuer werden, wenn eine automatische Verwaltung angestrebt wird.

Microsoft bietet mit der Purview-Nachrichtenverschlüsselung (Purview Message Encryption, PME) eine schöne Alternative hierzu. Diese ist für Benutzer ziemlich einfach verwendbar und kann daher die Akzeptanz für solche Verfahren erhöhen.

Dieser Artikel soll zeigen, wie sich S/MIME und PME unterscheiden und wo die jeweiligen Vor- und Nachteile liegen. Ebenso wird gezeigt, wie Purview für Benutzer bereitgestellt werden kann und wie sie es nutzen können.

Wie funktioniert S/MIME?

S/MIME (Secure/Multipurpose Internet Mail Extensions) ist ein weit verbreiteter Standard zur Signierung und Verschlüsselung von E-Mails. Hierfür werden Zertifikate sowohl auf Sender- als auch auf Empfängerseite benötigt.

Das bedeutet, dass es nicht ausreicht, wenn nur die Benutzer des eigenen Unternehmens Zertifikate erhalten. Auch die Kontakte, die verschlüsselte E-Mails erhalten sollen, müssen zwingend Zertifikate erhalten.
Die Zertifikate können hierbei sowohl von einer internen Unternehmens-PKI als auch von einer öffentlichen PKI verwendet werden. Wird eine interne PKI verwendet, müssen die Zertifikatssperrlisten im Internet öffentlich verfügbar sein.

Für die Nutzung von S/MIME müssen grundsätzlich die folgenden Schritte durchgeführt werden:

• Zertifikat mit den Zwecken "Digitale Signatur" und "Verschlüsselung" bereitstellen
• Vom Benutzer eine signierte E-Mail an alle Empfänger senden, mit denen verschlüsselte E-Mails ausgetauscht werden sollen
• Der Empfänger muss auf diese E-Mail mit einer ebenfalls signierten E-Mail antworten
• Beide Seiten müssen den mit der E-Mail mitgelieferten öffentlichen Schlüssel des jeweiligen Zertifikats bei sich abspeichern
• Erst dann können gegenseitig verschlüsselte E-Mails versendet werden!

Da die Verwaltung der Zertifikate ab einer gewissen Benutzerzahl sehr aufwendig werden kann, können Unternehmen alternativ auch sogenannte S/MIME-Gateways betreiben. Hierbei handelt es sich um zentrale Systeme, die alle notwendigen Vorgänge für die E-Mail-Ver- und Entschlüsselung automatisieren. Diese sind jedoch recht teuer in der Anschaffung und Pflege und rechnen sich daher erst ab einer bestimmten Anzahl an Benutzern (z.B. 20-50, je nach Größe der IT-Abteilung und Komplexität der Kommunikation).

Die Purview-Nachrichtenverschlüsselung (PME)

Wie funktioniert PME?

Die Purview-Nachrichtenverschlüsselung verfolgt einen gänzlich anderen Ansatz als herkömmliche E-Mail-Verschlüsselungslösungen. Die E-Mail wird hierbei nicht wirklich versendet, sondern verschlüsselt und für einen Zugriff bereitgestellt. Wie dieser Zugriff aussieht, hängt von den Möglichkeiten des Empfängers ab:

Szenario: Der Empfänger verwendet Exchange Online sowie eine Version von Outlook (OWA, Outlook Desktop, Outlook Mobile) für den Zugriff.

Zugriff: Die E-Mail wird im Postfach des Empfängers angezeigt und kann so aufgerufen werden, als befände sie sich nativ im Postfach des Empfängers.

Szenario: Der Empfänger verwendet ein anderes E-Mail-System als Exchange Online (bspw. auch Exchange Server) oder ein anderes E-Mail-Programm für den Zugriff auf E-Mails.

Zugriff: Der Empfänger erhält eine Informationsmail mit einem Link, die auf das Purview-Nachrichtenportal verweist. Der Empfänger kann sich dort je nach Einstellung mit einem Microsoft-Geschäftskonto, einem persönlichen Microsoft-Konto, einem Gmail- oder Yahoo!-Konto anmelden. Die Anmeldung muss je nach Einstellung ggf. mit einem Einmalcode zusätzlich bestätigt werden.

Dieser Ansatz erscheint im Vergleich sicherer, da die E-Mail das Unternehmen nicht verlässt. Mit S/MIME verschlüsselte E-Mails lassen sich jedoch ohne das notwendige Zertifikat ebenfalls nicht lesen, so dass die Verwendung von S/MIME nicht per se als schlechter zu erachten ist.

Allerdings kann die Einschränkung auf Microsoft-Produkte ggf. ein Hindernis darstellen, falls die Empfängerseite andere Lösungen verwendet. Es muss also vor dem Einsatz abgewogen werden, ob PME eine gleichwertige Alternative darstellen kann. In dem Fall ist Purview vorzuziehen, da die Implementierung deutlich einfacher funktioniert.

Lizenzierung

Die Purview-Nachrichtenverschlüsselung ist in folgenden Lizenzen enthalten:

• Office 365 A1/A3/A5, E3/E5, G3/G5
• Microsoft 365 Business Premium
• Microsoft 365 E3/E5

Sie kann alternativ auch mittels des Addons Azure Information Protection Plan 1 zu folgenden Lizenzen hinzugefügt werden:

• Exchange Online Plan 1/2
• Office 365 E1/F3
• Microsoft 365 Business Basic/Standard

Daher eignet sich PME auch sehr gut für kleine Unternehmen, die verschlüsselte E-Mails versenden wollen oder müssen.

Konfiguration

Die folgenden Kapitel beschreiben das Vorgehen zur Bereitstellung der Purview-Nachrichtenverschlüsselung.

Prüfung des Status von Azure RMS und Aktivierung (optional)

Die Basis von PME stellt der Dienst Azure-Rechteverwaltung dar (Azure Rights Management Service, RMS). Dieser wird in der Regel automatisch aktiviert, so dass nichts weiter zu tun ist. Für den Fall, dass dies nicht der Fall ist, wird hier beschrieben, wie man die Funktionalität prüfen und ggf. aktivieren kann.

# Notwendiges PowerShell-Modul installieren, falls noch nicht installiert
if (!(Get-InstalledModule AIPService -ErrorAction SilentlyContinue)){Install-Module AIPService -Scope CurrentUser}
if (!(Get-InstalledModule ExchangeOnlineManagement -ErrorAction SilentlyContinue)){Install-Module ExchangeOnlineManagement -Scope CurrentUser}

# Zu Exchange Online verbinden
# Hinweis: benötigt die Rolle "Complianceadministrator" oder höher
Connect-ExchangeOnline

# Informationsrechteverwaltung prüfen und bei Bedarf aktivieren
if ((Get-IRMConfiguration).AzureRMSLicensingEnabled -ne $True){Set-IRMConfiguration -AzureRMSLicensingEnabled $True    

# Zu Azure-Rechteverwaltung verbinden
# Hinweis: benötigt die Rolle "Compliancedatenadministrator", "Complianceadministrator" oder höher
Connect-AIPService

# Azure-Rechteverwaltung aktivieren, falls noch nicht aktiviert
if ((Get-AIPService).Status -ne 'Enabled'){Enable-AIPService}

# Notwendiges PowerShell-Modul installieren, falls noch nicht installiert
if (!(Get-InstalledModule AIPService -ErrorAction SilentlyContinue)){Install-Module AIPService -Scope CurrentUser}
if (!(Get-InstalledModule ExchangeOnlineManagement -ErrorAction SilentlyContinue)){Install-Module ExchangeOnlineManagement -Scope CurrentUser}

# Zu Exchange Online verbinden
# Hinweis: benötigt die Rolle "Complianceadministrator" oder höher
Connect-ExchangeOnline

# Informationsrechteverwaltung prüfen und bei Bedarf aktivieren
if ((Get-IRMConfiguration).AzureRMSLicensingEnabled -ne $True){Set-IRMConfiguration -AzureRMSLicensingEnabled $True    

# Zu Azure-Rechteverwaltung verbinden
# Hinweis: benötigt die Rolle "Compliancedatenadministrator", "Complianceadministrator" oder höher
Connect-AIPService

# Azure-Rechteverwaltung aktivieren, falls noch nicht aktiviert
if ((Get-AIPService).Status -ne 'Enabled'){Enable-AIPService}

Anpassung des Aussehens für E-Mails und Nachrichtenportal

Das Aussehen des Purview-Nachrichtenportals und der zugehörigen Informations-E-Mails kann angepasst werden. Hierfür existiert eine Standardvorlage, die an die Anforderungen des Unternehmens angepasst werden kann.

Standardmäßig kann nur eine Vorlage für alle Benutzer verwendet werden. Ist es erforderlich, mehrere Vorlagen zu verwenden, müssen alle Benutzer eine Lizenz für die erweiterte Nachrichtenverschlüsselung erhalten. Diese ist diversen Addons sowie in den E5-Paketen enthalten.

Zur Vorbereitung und gleichzeitigen Dokumentation der Einstellungen kann die folgende Excel-Vorlage verwendet werden. Hier können die Daten gemäß den individuellen Anforderungen des Unternehmens eingegeben werden. In der Zeile darüber wird dann der vollständige PowerShell-Befehl generiert:

Erstellung einer E-Mail-Transportregel

Um es Benutzern zu ermöglichen, E-Mails mit PME zu verschlüsseln, muss eine Transportregel in Exchange Online eingerichtet werden. Hierfür muss bestimmt werden, unter welchen Voraussetzungen eine E-Mail verschlüsselt werden soll. Hierfür sind beispielsweise folgende Varianten denkbar, wobei Transportregeln noch sehr viele weitere Bedingungen und auch Ausschlüsse beinhalten können:

• Der Benutzer gibt einen bestimmten Text in den Betreff oder in die Nachricht ein, z.B. "[Verschlüsseln]"
• Mails an einen bestimmten Empfänger bzw. eine bestimmte Domäne werden immer verschlüsselt
• Für alle Mitarbeitenden eines bestimmten Bereichs werden E-Mails immer verschlüsselt

Die Transportregel kann grundsätzlich auch mit PowerShell erstellt werden. Aufgrund der Vielzahl an Möglichkeiten, wie eine Transportregel erstellt werden kann, erscheint der Weg über das Exchange Online Admin Center zielführender.

• Exchange Online Admin Center aufrufen
• "Eine Regel hinzufügen" auswählen und die Option "Office 365-Nachrichtenverschlüsselung und -Rechteschutz anwenden auf Nachrichten" auswählen
• Namen und Regeln gemäß Anforderungen eingeben
• Assistenten fortsetzen und Regel speichern
• Ggf. weitere Regeln erstellen

Anschließend sollten die Benutzer testen, ob der Versand von verschlüsselten E-Mail-Nachrichten wie vorgesehen funktioniert.

Gefällt Dir der Beitrag? Lass es andere wissen!

• Share on LinkedIn
• Share on Bluesky
• Share on Facebook
• Email this Page
• Share on Reddit