Office 365 – Message Encryption per Klick

Emailverschlüsselung gehört leider immer noch nicht zum Standard, so dass verschiedene Unternehmen nun mit S/MINE oder auch PGP oder eben mit Office 365 Message Encryption. Letzeres wird nun im Standard aktiviert, so dass neue Office 365 Nutzer in den Enterprise Plänen nur noch verschlüsselte Emails versenden. Es ist dennoch ratsam dies zu konfigurieren.

Ziel von Office Message Encryption

Wie ihr bestimmt wisst, gleicht jede E-Mail einer Postkarte. Diese wird unverschlüsselt versandt und kann mit entsprechender kostenlos erhältlicher Software mitgelesen werden. Anleitungen gibt es reichlich im Internet, um E-Mails mitzulesen und so auch sensible Kommunikation abzufangen. Es ist also wichtig und geboten die Emails immer zu verschlüsseln und so lediglich den Empfängern zum Lesen zur Verfügung zu stellen, die es auch bekommen sollen. Dies ist aus meiner Sicht nicht nur für sensible Kommunikation, sondern für jede Kommunikation per Email wichtig. 

Daraus folgt eine gewisse Herausforderung, denn die Empfänger sollten die Email ebenso unkompliziert lesen und auch beantworten können, als wäre diese unverschlüsselt. Im Idealfall sollten keine Zertifikate ausgetauscht werden und man sollte per “Klick” die Email verschlüsseln können. 

Möglichkeiten

Es gibt verschiedenste Möglichkeiten, die mit Microsoft 365/ Exchange Online zusammen funktionieren:

  • S/Mine
  • PGP
  • Office 365 Message Encrytion
  • Office 365 Message Encrytion V2
  • Azure Information Protection / Microsoft Information Protection / MCAS Integration
  • Office Message Encrytion
  • 3rd Party Werkzeuge von Gateways bis DE-Mail und Volksverschlüsselung (Bild/Fraunhofer)

Wir schauen uns die neue Office Message Encryption in diesem Beitrag an, denn diese wird aktuell ausgerollt und ist für alle Business Pläne verfügbar.

 

Konfiguration

Ihr müsst nicht viel konfigurieren, denn die Option “Encryption” wird in den Businessplänen automatisch verfügbar. Ich hoffe sehr, dass es für alle Pläne verfügbar wird. In der Planung ist es aktuell. Die Parameter für “Encrypt” oder auch “nur verschlüsseln” in deutscher Sprache könnt ihr zunächst nicht über die UI ändern, ihr kommt nur per PowerShell hin. Ihr solltet dies aber auch nicht ändern, sondern dann lieber über Azure Information Protection nachdenken und gleich eigene Labels definieren und Encrypt und nicht weiterleiten einfach als Zusatz nutzen. 

 

Berechtigungen – “Encrypt”

hier seht ihr die Berechtigungen und Beschreibungen, die dem Label “Encrypt” zugeordnet sind. Einsehen könnt ihr dies wenn ihr eine Email erhaltet oder in eurem Account unter Berechtigungen euch diese anschaut:

 

Wie sieht es aus? – Edge Browser aus Sicht des Absenders

Ich habe für euch einmal die Sicht des Absenders mit Screenshots belegt. Es unterscheidet sich in Chrome oder Firefox nur geringfügig. 

Hier seht ihr im folgenden Screen das Ergebnis, wenn Ihr den “Encrypt” Button gedrückt habt. Die Email ist verschlüsselt und der Empfänger kann dies nicht entfernen. Ihr könnt die Rechte verändern oder die Verschlüsselung wieder entfernen.

Nun seht ihr das Fenster zum Verändern der Rechte, die natürlich bei mir auf Azure Information Protection basieren, aber ihr seht auch die beiden default Arten:

  • Encrypt
  • Do not forward

Neu ist auch, dass ihr mit AIP natürlich auch S/Mine nutzen könnt (neu), sowie Hold-your-Own-Key (HSM, neu mit Azure Stack) oder Bring-Your-Own-Key mit dem Azure Key Vault. 

 Sicht des Absenders – Outlook (Windows/Mac)

Der Rollout für Outlook bei Windows und beim Mac steht noch an. Ich liefere euch hier die Screenshots noch nach, sobald die Funktionen im öffentlichen Ring sichtbar sind.

Aktuell findet ihr die Optionen jedoch schon unter Optionen in Outlook for Desktop:

Wundert euch bitte hier nicht der verschiedenen und unterschiedlichen Labels und Parameter. Ich teste sehr viel und so gibt es viele verschiedene Labels und Verschlüsselungen.

 

Sicht des Absenders – WindowsPhone, iOS und Andorid

ddd

 

 

Sicht des Empfängers

Wichtig ist natürlich nicht nur die Sicht des Absenders, sondern auch des Empfängers. Diese zeige ich euch an ein paar Beispielen:

Outlook – Desktop

 

iOS Outlook

Experiance für 3te, die eine Email erhalten und nicht innerhalb der Umgebung sind

 

Ich habe mich nun extra einmal für Googlemail entschieden, um euch zu zeigen, wie es für Dritte ist: 

 

Hier sehr ihr die Email im Googlemail Posteingang: 

 
Es ist klar zu erkennen, woher die E-Mail stammt und was zu tun ist. Klick auf den blauen großen Button, um die geschützte Nachricht zu lesen: 

Nun könnt ihr euch mit eurem Googlemail Account anmelden oder die Einmalkennung nutzen.

 

Nutzung gegen über 3ten Emailadressen – Einmalkennung

Ihr könnt auch außerhalb von Googlemail, Microsoft ID und auch Azure AD mit anderen Kontakten zusammenarbeiten, diese müssen dann auf die Einmalkennung zurückgreifen. Hierbei bekommt der Abrufende eine Email mit einem Kennwort, welches 15 Minuten lang gültig ist.

Nach der Auswahl der Einmalkennung, erhaltet ihr ein Feld zur Eingabe der Zahlenkombination. Diese erhaltet ihr ein einer nächsten Email:

Also hier habt ihr euren Code und schon könnt ihr auch die verschlüsselte Nachricht lesen. Das schöne bei dem Portal ist, dass jeder Dritte auch Emails verschlüsselt zurück schicken kann. Ihr kommuniziert zusammen verschlüsselt innerhalb eines Portals.

Tipp vom Profi – Automatisierung

Schon vorher war es möglich mittels der Nachrichtenregeln in Exchange Online dieses Verfahren zu nutzen. So ist es ratsam, dass ihr in eurem Tenant immer eine Regel definiert, dass alle Nachrichten verschlüsselt werden und eine zweite Regel, dass diese innerhalb eures Tenants bei einem Empfänger aus eurem Tenant wieder entschlüsselt werden, so dass der Empfänger keinen Unterschied merkt und dennoch nur verschlüsselt arbeitet.

Wenn ihr dann noch EMS oder AIP P1 habt, dann nutzt gleich AIP Protection und labelt/klassifiziert Dateien und Emails.

Video zum Thema von Microsoft