MXG E-Mail-Gateway validiert TLS-Zertifikate

Was bisher unmöglich schien, setzt comcrypto MXG nun sicher um: die Validierung von TLS. Und damit eine Logik, die im sicheren Web-Browsing, im Online-Banking und Online-Shopping schon längst Stand der Technik ist.
MXG liefert aber nicht nur den Nachweis der Verschlüsselung per TLS, sodass die E-Mail-Verschlüsselung als Grundsatz für die Verarbeitung von personenbezogenen oder anderweitig sensiblen Daten gemäß EU-DSGVO auch nachgewiesen werden kann (vgl. Kapitel 4, Artikel 24).
Zusätzlich bietet das MXG E-Mail-Gateway die notwendigen Alternativen, um den E-Mail-Versand sicher durchzuführen, falls TLS nicht, nicht sicher verifizierbar oder nur in einer veralteten Version auf dem Empfängerserver verfügbar ist. Wie dies erfolgen soll, regelt der Nutzer in seinem MXG ganz einfach selbst.


Sicherer E-Mail-Versand durch TLS-Prüfung

In aller Regel ist ein Eingriff in das MXG E-Mail-Gateway aber gar nicht nötig und wenn, dann nur einmalig. Aber der Reihe nach: Während bisherige Standards wie PGP und S/MIME nur einen sehr kleinen Teil der Online- und E-Mail-Kommunikation von allein sicher ablaufen lassen können - nämlich dann, wenn Sender- und Empfänger-Server aufwändig mit diesen Zertifikaten oder Schlüsseln konfiguriert wurden, also dieselbe "Sprache" sprechen - ist TLS ein weit verbreiteter Standard. 99 Prozent des weltweiten E-Mail-Verkehrs werden heute bereits über TLS abgewickelt, nur wird das Zertifikat bisher nicht vor dem Datenversand geprüft und deshalb nicht sicher genutzt. Das TLS-Zertifikat allein bedeutet also keinen Schutz. Es muss vor dem E-Mail-Versand geprüft werden – ähnlich einer Ausweiskontrolle. Diese Aufgabe übernimmt MXG.


Comcrypto MXG ist mit jedem E-Mail-Server kompatibel
und schützt 100% DSGVO-konform.

Georg Nestmann
Geschäftsführer Produktmanagement

E-Mail-Kryptografie: Perfect Forward Secrecy

Das Zertifikat wird auf Einhaltung der Standards, auf Echtheit und auf Übereinstimmung mit dem Empfänger geprüft, also validiert. Wenn das Zertifikat alle Sicherheitsmerkmale erfüllt, baut das MXG E-Mail-Gateway eine sichere Verbindung zum Empfängerserver auf. MXG sorgt bei der Abstimmung mit dem Empfängerserver - dem so genannten TLS-Handshake - dafür, dass nur besonders sichere Verschlüsselungs-Algorithmen verwendet werden, die die hohen Anforderungen des Bundesamts für Sicherheit in der Informationstechnik (BSI) erfüllen.
Diese Anforderungen an den Einsatz von TLS für den sicheren E-Mail-Versand schreiben auch das Verfahren der Perfect Forward Secrecy vor. Perfect Forward Secrecy steht für besonders hohe Sicherheit, die darauf beruht, dass im Verbindungsaufbau mit dem Empfängerserver nur neue und noch niemals verwendete kryptografische Schlüssel verwendet werden. Die Verschlüsselung ist also immer einzigartig.
Selbst im Falle eines erfolgreichen Angriffs, bei dem verschlüsselte Daten abgefangen oder mitgeschnitten und im Nachgang aufwändig analysiert und entschlüsselt werden könnten, ist somit sichergestellt, dass der entwendete Einmal-Schlüssel für andere Nachrichten nicht funktioniert.


Sichere E-Mail-Verschlüsselung ohne Passwort

Auf diese Weise validiert das MXG E-Mail-Gateway die bereits flächendeckend eingesetzten TLS-Zertifikate erstmals nach den Standards des BSI zur Verwendung von TLS.
Im Firmenumfeld mit häufig selbst und individuell eingerichteten Empfängerservern können unseren Erhebungen nach auf diese Weise 80% und mehr der ausgehenden E-Mails ohne jegliche Einschränkung oder Passwort-Eingabe sofort und sicher verschickt werden. E-Mails an private Nutzer (Kunden, Patienten, Mitarbeiter) können oft sogar zu über 90% direkt sicher validiert und ohne Passwort verschickt werden. Das liegt daran, dass große und häufig privat genutzte E-Mail-Anbieter wie T-Online, GMX und Web.de mit der Initiative E-Mail made in Germany 2014 unter anderem die Nutzung des TLS-Standard vereinbart haben, den MXG erfolgreich validiert. Auch weltweit agierende Unternehmen wie Microsoft (Outlook, Live) und Google (Gmail) nutzen selbstverständlich validierbares TLS.


Fehlende oder unsichere E-Mail-Zertifikate

In den 10 bis 20% der Fälle, in denen ein Server auf Empfängerseite kein TLS-Zertifikat bereitstellen kann, dieses nicht erfolgreich geprüft wurde oder nur eine unzureichende Verschlüsselung angeboten wird, meldet sich MXG und bietet mehrere Möglichkeiten an, den E-Mail-Versand dennoch sicher abzubilden.
So kann ein Einmal-Passwort erstellt werden, mit dem sich der richtige Empfänger ausweist. Vergleichbar mit dem smsTAN-Verfahren im Online-Banking. Alternativ kann einem Empfänger ein Whitelisting erteilt werden, sodass keine weiteren Prüfmechanismen angewendet werden. Beispielsweise, wenn eine übergeordnete vertragliche Regelung zur Auftragsdatenverarbeitung besteht und im Sinne der DSGVO absichert.
Schließlich bleibt dem MXG-Nutzer auch immer noch die Möglichkeit, den E-Mail-Versand an einen unsicheren Empfänger nicht zuzulassen.


E-Mail-Gateway on-premise oder in der Cloud

Für den Betrieb des MXG E-Mail-Gateways stehen grundsätzlich zwei Szenarien zur Verfügung. Das Gateway kann auf dem Server des Unternehmens installiert werden, sodass der Betrieb der EDV-Lösungen vollständig in-house abgebildet wird. Oft ist dies eine zentrale Anforderung der IT-Regularien.
Gleichsam folgt MXG der zunehmenden Erwartung, als Software as a Service über eine Cloud eingerichtet werden zu können - ohne Footprint und Kosten in der IT-Struktur des Unternehmens. MXG lässt sich dabei grundsätzlich auf einer vom Kunden zur Verfügung gestellten oder präferierten kompatiblen Cloud installieren. comcrypto bietet aber selbstverständlich auch eine eigene und bereits vorkonfigurierte Cloud-Umgebung an.
Für die Einrichtung des MXG E-Mail-Gateways sind egal in welcher Konstellation keine großen Aufwendungen nötig. In einer etwa 2-stündigen Support-Sitzung richten wir MXG gemeinsam mit Ihrem Administrator ein. Dieser Inbetriebnahme-Support ist kostenfrei.