E-Mail-Verschlüsselung in Office 365

 

Gilt für:Exchange Online, Exchange Online Protection, Office 365

Letztes Änderungsdatum des Themas:2017-03-05

Zusammenfassung: Vergleicht die Verschlüsselungsoptionen in Office 365, einschließlich Office-Nachrichtenverschlüsselung (Office Message Encryption, OME), S/MIME und Information Rights Management (IRM) und führt Transport Layer Security (TLS) ein.

Office 365 bietet mehrere Verschlüsselungsoptionen, die Ihnen dabei helfen, Ihre geschäftlichen Anforderungen für E-Mail-Sicherheit zu erfüllen. In diesem Artikel werden die drei Typen von Verschlüsselungen dargestellt, die für Office 365-Administratoren verfügbar sind, um E-Mail-Sicherheit in Office 365 zu gewährleisten.

  • Office-Nachrichtenverschlüsselung (Office Message Encryption, OME)

  • Secure/Multipurpose Internet Mail Extensions (S/MIME)

  • Information Rights Management (IRM).

Verschlüsselung ist der Prozess, mit dem Informationen codiert werden, sodass nur autorisierte Empfänger sie decodieren und die Informationen nutzen können. Office 365 verwendet Verschlüsselung auf zwei Arten: Bei der ersten wird die Verschlüsselung im Dienst implementiert, und bei der zweiten wird sie Ihnen als Kundensteuerelement bereitgestellt. Bei der Dienstmethode erfolgt die Verschlüsselung auf der Plattform, wo sie standardmäßig funktioniert und Sie nichts konfigurieren müssen. Office 365 verwendet z. B. Transport Layer Security (TLS), um die Verbindung bzw. die Sitzung zwischen zwei Servern zu verschlüsseln.

So funktioniert die E-Mail-Verschlüsselung in der Regel:

  • Eine Nachricht wird entweder lokal auf dem Computer des Absenders oder durch einen zentralen Server während der Nachrichtenübertragung verschlüsselt, d. h. aus Nur-Text in nicht lesbaren Chiffretext umgewandelt.

  • Die Nachricht verbleibt während der gesamten Übertragung im Chiffretextformat, um zu verhindern, dass sie gelesen werden kann, falls sie abgefangen werden sollte.

  • Nachdem die Nachricht vom Empfänger empfangen wurde, wird sie mit einer der folgenden zwei Methoden wieder in lesbaren Nur-Text umgewandelt:

    • Der Computer des Empfängers entschlüsselt die Nachricht mithilfe eines Schlüssels.

    • Ein zentraler Server entschlüsselt die Nachricht im Auftrag des Empfängers, nachdem er die Identität des Empfängers überprüft hat.

Weitere Informationen zur Sicherung der Kommunikation zwischen Servern in Office 365, z. B. zwischen Organisationen innerhalb von Office 365 oder zwischen Office 365 und einem vertrauenswürdigen Geschäftspartner außerhalb von Office 365, finden Sie unter Wie Exchange Online mithilfe von TLS E-Mail-Verbindungen in Office 365 sichert.

Dieses Video gibt eine Einführung in die Verschlüsselung in Office 365.

 

Konzeptionelle Grafik, die OME beschreibt. Konzeptionelle Grafik, die IRM beschreibt. Konzeptionelle Grafik, die SMIME beschreibt.

Was ist das?

Office 365-Nachrichtenverschlüsselung (Office Message Encryption, OME) ist ein Dienst, der auf Azure Rights Management (Azure RMS) aufbaut und mit dem Sie verschlüsselte E-Mails an Personen innerhalb oder außerhalb Ihrer Organisation senden können, unabhängig von der E-Mail-Zieladresse (Google Mail, Yahoo! Mail, Outlook.com usw.).

Als Administrator können Sie Transportregeln einrichten, die die Bedingungen für die Verschlüsselung definieren. Wenn ein Benutzer eine Nachricht sendet, die mit einer Regel übereinstimmt, wird die Verschlüsselung automatisch angewendet.

Zum Anzeigen verschlüsselter Nachrichten können Empfänger entweder eine einmalige Kennung abrufen, sich mit einem Microsoft-Konto anmelden oder sich mit einem Geschäfts- oder Schulkonto anmelden, das Office 365 zugeordnet ist. Empfänger können auch verschlüsselte Antworten senden. Sie benötigen kein Office 365-Abonnement, um verschlüsselte Nachrichten anzuzeigen oder verschlüsselte Antworten zu senden.

IRM ist eine Verschlüsselungslösung, die auch Nutzungseinschränkungen auf E-Mail-Nachrichten anwendet. Mit dieser Lösung können Sie verhindern, dass vertrauliche Informationen von nicht autorisierten Personen gedruckt, weitergeleitet oder kopiert werden.

IRM-Funktionen in Office 365 verwenden Azure Rights Management (Azure RMS).

S/MIME ist eine zertifikatbasierte Verschlüsselungslösung, mit der Sie Nachrichten sowohl verschlüsseln als auch digital signieren können. Durch die Nachrichtenverschlüsselung kann sichergestellt werden, dass nur der vorgesehene Empfänger die Nachricht öffnen und lesen kann. Mithilfe einer digitalen Signatur kann den Empfänger die Identität des Absenders überprüfen.

Digitale Signaturen und Nachrichtenverschlüsselung werden durch Verwendung eindeutiger digitaler Zertifikate ermöglicht, die die Schlüssel für das Überprüfen von digitalen Signaturen und das Verschlüsseln oder Entschlüsseln von Nachrichten enthalten.

Um S/MIME verwenden zu können, müssen Sie über gespeicherte öffentliche Schlüssel für jeden Empfänger verfügen. Empfänger müssen ihre eigenen privaten Schlüssel verwalten, die dauerhaft gesichert sein müssen. Wenn der private Schlüssel eines Empfängers gefährdet ist, muss der Empfänger einen neuen privaten Schlüssel abrufen und neue öffentliche Schlüssel an alle potenziellen Absender verteilen.

Vorhandene Funktionen

OME:

  • Verschlüsselt Nachrichten, die an interne oder externe Empfänger gesendet werden.

  • Ermöglicht Benutzern das Senden verschlüsselter Nachrichten an beliebige E-Mail-Adressen, einschließlich Outlook.com, Yahoo! Mail und Google Mail.

  • Ermöglicht es Ihnen als Administrator, das E-Mail-Anzeigeportal entsprechend der Marke Ihrer Organisation anzupassen.

  • Die Schlüssel werden von Microsoft sicher verwaltet und gespeichert, Sie müssen sich nicht darum kümmern.

  • Es ist keine spezielle clientseitige Software erforderlich, sofern die verschlüsselte Nachricht (als HTML-Anlage gesendet) in einem Browser geöffnet werden kann.

IRM:

  • Verwendet Verschlüsselung und Nutzungsbeschränkungen, um Online- und Offlineschutz für E-Mail-Nachrichten und Anlagen bereitzustellen.

  • Gibt Ihnen als Administrator die Möglichkeit, Transportregeln oder Outlook-Schutzregeln einzurichten, um IRM automatisch auf ausgewählte Nachrichten anzuwenden.

  • Ermöglicht Benutzern das manuelle Anwenden von Vorlagen in Outlook oder Outlook Web App.

In S/MIME erfolgt die Absenderauthentifizierung durch digitale Signaturen, und die Vertraulichkeit von Nachrichten wird durch Verschlüsselung sichergestellt.

Nicht vorhandene Funktionen

Mit OME können keine Nutzungseinschränkungen auf Nachrichten angewendet werden. Sie können damit z. B. nicht verhindern, dass Empfänger eine verschlüsselte Nachricht weiterleiten oder drucken.

Einige Anwendungen unterstützen IRM-E-Mails möglicherweise nicht auf allen Geräten. Weitere Informationen zu diesen und anderen Produkten, die IRM-E-Mails unterstützen, finden Sie unter Clientgerätefunktionen.

Mit S/MIME können verschlüsselte Nachrichten nicht auf Schadsoftware, Spam oder Richtlinien überprüft werden.

Empfehlungen und Beispielszenarien

Die Verwendung von OME wird empfohlen, wenn Sie vertrauliche Geschäftsinformationen an Personen außerhalb Ihrer Organisation senden möchten, unabhängig davon, ob es sich um Verbraucher oder andere Unternehmen handelt. Beispiel:

  • Ein Bankangestellter sendet Kreditkartenabrechnungen an Kunden.

  • Eine Arztpraxis sendet eine Krankenakte an einen Patienten.

  • Ein Anwalt sendet vertrauliche Rechtsinformationen an einen anderen Anwalt.

Die Verwendung von IRM wird empfohlen, wenn Sie Nutzungseinschränkungen und Verschlüsselung anwenden möchten. Beispiel:

  • Ein Vorgesetzter, der vertrauliche Details über ein neues Produkt an sein Team sendet, wendet die Option "Nicht weiterleiten" an.

  • Eine Führungskraft muss ein Angebot für ein anderes Unternehmen freigeben, das eine Anlage von einem Partner enthält, der Office 365 verwendet, und sowohl die E-Mail als auch die Anlage müssen geschützt werden.

Die Verwendung von S/MIME wird empfohlen, wenn Ihre Organisation oder die Organisation des Empfängers in eine echte Peer-zu-Peer-Verschlüsselung benötigt.

S/MIME wird am häufigsten in den folgenden Szenarien verwendet:

  • Kommunikation zwischen Behörden

  • Kommunikation zwischen einem Unternehmen und einer Behörde

Informationen zu E-Mail-Verschlüsselungsoptionen für Ihr Office 365-Abonnement finden Sie in der Exchange Online-Dienstbeschreibung. Hier finden Sie Informationen zu den folgenden Verschlüsselungsfeatures:

  • Azure RMS, einschließlich IRM-Funktionen und OME

  • S/MIME

  • TLS

  • Verschlüsselung von Daten im Ruhezustand (über BitLocker)

"Daten im Ruhezustand" bezieht sich auf Daten, für die derzeit keine Übertragung aktiv ist. In Office 365 werden E-Mail-Daten im Ruhezustand mit der BitLocker-Laufwerkverschlüsselung verschlüsselt. BitLocker verschlüsselt die Festplatten in Office 365-Datencentern, um verbesserten Schutz vor nicht autorisiertem Zugriff bereitzustellen. Weitere Informationen finden Sie unter BitLocker-Übersicht.

 
Anzeigen: