IT und Recht, Cloud und mehr
Die Datenschutzkonferenz der LandesdatenschützerInnen und des Bundesdatenschützers (DSK) hat in ihrer letzten Sitzung eine aktualisierte Orientierungshilfe zur Verschlüsselung von Emails verabschiedet und kurz darauf veröffentlicht. Diese gibt konkrete Hinweise, welche Verschlüsselung und wann diese bei der Verarbeitung von Emails vorliegen muss.
Es ist sehr interessant, wie heute noch mit Daten gearbeitet wird. Es werden E-Mails mit bis zu 150MB verschickt und dies mit immer sensibleren Daten. Ich möchte mit diesem Beitrag unterstützen, dass dies nicht mehr passiert, denn es ist ein Sicherheitsrisiko.
Mit dem aktuellen Update des Azure Information Protection Client (1.41.51.0, Download) bekommen, die die bereits eine S/MIME (Secure / Multipurpose Internet Mail Extensions) Infrastruktur zum Verschlüsseln ausgerollt haben. Dann könnt ihr diese nutzen, so dass ihr S/Mime mit dem AIP Label kombiniert und so über AIP Label S/Mime zur Verschlüsselung nutzt und das Label zum Labeling der Email.
Heute schreibe ich einen Blogbeitrag, auf den ich mich schon sehr gefreut habe, denn es geht um die Kombination zweier für mich innovativer Technologien einmal Office 365 und der Microsoft HoloLens. Im Rahmen dessen habe ich mich schon auf der TechReady 2015 mit Mitgliedern der Produktgruppe sehr gut unterhalten und konnte in den letzten Monate einiges sehen, aber dazu mehr, sobald die Informationen öffentlich sind.
Nun zu der veröffentlichten Information:
Microsoft Store in der HoloLens – So erhaltet ihr die App für eure HoloLens
Sucht nach der Applikation: Outlook Mail and Calendar
Screenshots aus dem Microsoft Blogpost:
Besonderes freut mich das Multitasking, welches nach dem letzten Update in den vergangenen Tagen auch die Nutzung paralleler Apps ermöglicht. So kann nun auch ein SkypeCall samt Email und Calender geöffnet sein. Ich hoffe auch hier weiter auf die Veröffentlichung der anderen Office Apps samt PowerPoint, Word, OneNote und Excel, denn so kann man dann im Büro auch richtig arbeiten.
Jetzt fragt ihr euch, wie soll ich den tippen oder Texte bearbeiten? Dies funktioniert über eine per Bluetooth angeschlossene Maus und Tastatur. Hier könnt ihr alle gängigen Mäuse und Tastaturen nutzen.
via
https://blogs.office.com/2016/06/02/bringing-outlook-mail-and-calendar-to-microsoft-hololens/
Die Telekom kündigte heute an, dass alle Telekom Server am 31.03.2014 auf verschlüsselte Email Übertragung umgestellt werden. Um nun ab dem 31.03.2014 Emails empfangen und senden zu können, muss die SSL-Verschlüsselung auf den diversen Geräten wie Smartphones oder Tablets eingeschaltet sein.
Eine Schritt zu Schritt Anleitung findet Ihr hier:
http://kommunikationsdienste.t-online.de/email/verschluesselung/auswahl.html
Quelle:
http://kommunikationsdienste.t-online.de/email/verschluesselung/
Ob im professionellen oder im privaten Umfeld, die Emailarchivierung ist ein immer wichtiger werdendes Thema. Schon heute sind Emailfächer mit mehr als 4 GB keine Seltenheit mehr, da auch die Kapazität der Anhänge immer mehr wächst und die Kommunikation per Email sich aktuell auf einem Höhepunkt befindet.
Im privaten Umfeld kümmert sich jeder Benutzer selber um die Sicherung und Archivierung der eigenen Emails oder eben nicht. Viele Provider bieten eine Archivierung an, sowie Outlook dies auch lokal auf dem eigenen Rechner anbietet.
Im professionellen Bereich und im Hinblick auf BYOD (Bring-your-own-device) ist die Archivierung von Emails um so wichtiger. Viele entscheidende Informationen befinden sich in Emails und müssen auch nach dem Weggang des Arbeitnehmers verfügbar sein.
Unternehmen die eine Office 365 Tentant einsetzen, können auf die Emailarchivierung von Office 365 setzen. Neben der Archivierung können durch Regeln auch Email durchsucht oder die gesamte Kommunikation gefiltert werden.
Archivierung – Online Exchange Archivierung
Die Archivierung ist verfügbar ab folgenden Versionen:
• Exchange Online Plan 1
• Office 365 Midsize Business
• Office 365 Enterprise E1
• Office 365 Government G1/K1
• Office 365 Education A2
• Office 365 Enterprise K1
Seit einiger Zeit ist nun die Exchange Online Archivierung so verfügbar, dass man als Administrator entscheiden kann, ob man rein in Office 365 arbeitet und in der Cloud speichert oder ob man lokale Exchange Server 2013 benutzt, aber dennoch die Speicherung in der Cloud will.
Möglichkeit 1:
3 Schritte zur Archivierung
1. Accountauswahl
In diesem Fall wählen wir mva@rakoellner.com aus und klicken anschließend auf “Exchange-Eigenschaften bearbeiten”.
2. Schritt: Archivierung aktivieren
In diesem Screenshot erkennt man die aktuelle Nutzung des Postfaches. Nun gehen wir auf den Navigationspunkt: Postfachfunktionen.
3. Schritt: Aktivieren und konfigurieren
Nach der Aktivierung: (Seite neu laden)
Eingabe des Namen für das Archivpostfach. Die Größe beträgt in diesem Plan E3 100 GB. Die unbegrenzte Größeneinstellung ist nur im Exchange Plan 2 oder in der Exchange Online-Archivierungslizenz möglich.
Nach der Eingabe einmal neu laden und man erhält einen Status, sowie eine Anzeige über die Nutzung des lokalen Archives.
Nun öffnen wir das Postfach des Accounts:
In jenem taucht nach erfolgreicher Einrichtung ein neuer Ordner mit dem von uns angegebenen Daten für den Archivordner auf. Wir haben somit 25 GB pro Postfach und im Archivordner noch einmal 100 GB Speicherplatz frei.
2. Möglichkeit: automatische Archivierung
Weiterhin besteht die Möglichkeit eine automatische Archivierung über Aufbewahrungsrichtlinien und Aufbewahrungstags. Diese können selber erstellt werden und dann auf alle Postfächer oder nur ein einziges Postfach angewandt werden.
Achtung Compliance:
Die technischen Möglichkeiten und deren Einsatz ist ohne weiteres nicht möglich. Sollte der Admin leichtfertig diese Möglichkeiten einsetzen, kann es zu nachhaltigen Konsequenzen bis hin zu Imageproblemen und einem Aufruhr in der Presse führen. Man muss jedoch zwischen Möglichkeit 1 und Möglichkeit 2 unterscheiden. Bei der Möglichkeit 1 kann der User selber entscheiden, was sie oder er archivieren möchte, bei der Möglichkeit 2 wird es vom Administrator vorgegeben.
Als Admin muss ich darauf achten: (Checkliste)
Für die Ausarbeitung der jeweiligen Dokumente ist es ratsam einen entsprechend qualifizierten Anwalt zu beschäftigen.
Problematik Email-Archivierung und Filterung
Seit die Email zu einem wichtigen Bestandteil geworden ist, wird auch immer die Frage gestellt, wie diese Kommunikation im Unternehmen durchgeführt werden kann. Rechtlich gesehen kann einmal auf das Mietrecht, Werkvertragsrecht, Dienstvertragsrecht und auf der anderen Seite auf das Telefommunikationsgesetz abgestellt werden. Zu unterscheiden sind Vorgänge des Post-Providers, also des Admins, sowie die Speicherung der Daten oder auch der Abruf und die Versendung von Emails.
Bei reinen Arbeitsemail-Accounts, die auch nur für Emails im Bezug auf die Arbeit genutzt werden, also zum Beispiel für Emails an Kunden, Emails an den Manager oder Emails zwischen Kollegen mit einem arbeitstechnischen Inhalt, ist die Speicherung und Archivierung zunächst einmal kein Problem. Diese muss dem Mitarbeiter jedoch vor Antritt, also am Besten beim Überreichen des Accounts mitgeteilt werden und dieser muss dies zur Kenntnisnahme unterschreiben. Damit ist zwischen Arbeitnehmer und Arbeitgeber klar gestellt, dass diese Emails gespeichert und archiviert werden.
Zu erweitern wäre diese Vereinbarung, wenn man die Nachrichtenfilterung oder auch die Durchsuchung des Emailaccounts aus der Office 365 Exchange-Verwaltungskonsole nutzten will. Dieses Thema behandele ich in einem weiteren Blogeintrag.
Fazit: rein arbeitstechnisch genutzte Emailaccounts weisen bei Einhaltung der Regelungen zunächst keine Probleme auf. Arbeitnehmer sollten schriftlich darauf hingewiesen werden und auch darauf für private Emails sich einen separaten Account anzulegen.
Die Mischnutzung von Emailaccounts im Unternehmen ist wohl der häufigste, aber auch rechtlich schwierigere Fall der Nutzung. In der juristischen Literatur wurden bereits mehrere Dr. Arbeiten verfasst. Problematisch ist hier, dass nicht nur unternehmensbezogene Emails gespeichert und archiviert werden, sondern auch private Emails von Personen, die nicht in einem Anstellungsverhältnis oder ein einem Geschäftsverhältnis stehen.
Die unkomplizierteste Methode ist es den privaten Emailverkehr über einen Emailaccount des Unternehmens zu verbieten, aber dies führt nicht wirklich zum gewünschten Ergebnis. Es gibt jedoch einige Unternehmen, die diese Lösung präferieren.
Eine andere Möglichkeit wäre es, dass man die technischen Möglichkeiten von Office 365 nutzt und die arbeitstechnischen Emails über eine wortbezogene Filterung raussucht und archiviert oder man setzt die Möglichkeit 1 ein, und lässt den Mitarbeiter, die Mitarbeiterin selber entscheiden. Ebenso könnte man alle privaten Emails oder Domains sperren, so dass keine Email an diese Adressen versandt werden kann´. Diese letzte Möglichkeit führt jedoch bestimmt auch nicht zum Erfolg, da es die Probleme eher vergrößern würde.
Eine weitere Möglichkeit wäre es, dass man per Vereinbarung zwischen Arbeitnehmer und Arbeitgeber auch private Emails einschließt. Die Frage ist jedoch weit diskutiert, da man dementsprechend auch alle privaten Kontakte ob vor Eintritt ins Arbeitsverhältnis und auch nach Eintritt ins Arbeitsverhältnis einbeziehen müsste. Dies führt wahrscheinlich ebenso wenig zu praktikablen Ergebnissen.
Fazit:
Es handelt sich hierbei um eine rechtliche Problematik. Technisch wäre die Umsetzung der Archivierung, Speicherung oder auch Filterung mit wenigen Klicks umzusetzen. Technik und Recht muss diesbezüglich jedoch in Ausgleich gebraucht werden. Das jeweilige Recht hinkt leider oft hinterher. Kurzum sollte man lieber den Arbeitnehmerinnen für private Zwecke einen eigenen Emailaccount vorschlagen, auch diesen könnte man in Office 365 einrichten und zur Verfügung stellen oder per Link auf gängige Provider hinweisen wie Outlook.com oder gmail. Wobei letzteres anzuraten wäre.
Anmerkung:
Eine genauere rechtliche Analyse mit den passenden Literaturangaben erfolgt in einem der nächsten Blogartikel.
Nachdem auch im Unternehmen immer mehr auf die sichere Unternehmenskommunikation geachtet wird und werden muss, habe ich mich in diesem Blogbeitrag noch einmal mit dem Thema in Verbindung mit Office 365 beschäftigt.
Exchange Online in Office 365
Zunächst werden Emails in Office 365 über den in der Office 365 Umgebung integrierten Exchange Online Server empfangen und gesendet. Jeder Office 365 Account ist gleichzeitig eine Emailadresse. Die Emails werden in Default nicht verschlüsselt. Das ist der Stand der Dinge, wenn man einen Office 365 Tantent erhält.
Emailverschlüsselung Teil 1: Right Management / Informations Right Management
Im Rahmen des Right Management kann der Administrator auf der einen Seite festlegen welche Benutzer mit welchem Inhalt untereinander Emails schreiben können und welche nicht. Auf der anderen Seite können auch Benutzer festlegen wer von Administrator vordefinierte Gruppen Emails versenden oder auch welche den Inhalt der Email sehen können.
Beschränkungen können so vom User unter Optionen bei Outlook in der Email eingestellt werden:
Ein kleiner Nachteil ist, dass die Beschränkungen nur innerhalb der Organisation möglich ist. Benutzer können so ihre Emails und deren Inhalte vor anderen Benutzern innerhalb der Organisation und vor Externen schützen, wenn die Email an einen Account innerhalb der Organisation geht. Dies kann soweit gehen, dass auch die Screenshotfunktion des Betriebssystems und auch die z.B. von OneNote nicht verfügbar ist.
Die Email an sich ist mit einem roten Kreis mit einem kleinen weißen Strich in der Mitte gekennzeichnet. Dieses Symbol kennt ihr bestimmt aus dem Straßenverkehr, es ähnelt dem Durchfahrt-Verboten Schild.
Emailverschlüsselung Teil 2: TLS Verschlüsselung
Unter TLS Verschlüsselung versteht man ein hybrides Verschlüsselungsverfahren. Den meisten unter euch müsste es als Webstandard TLS/SSL im Browser bekannt sein .Wenn ihr zum Beispiel Onlinebanking macht oder in einem Online-Shop einkauft wird dieser Standard genutzt. Die Hauptaufgaben liegen einmal in der Authentifizierung der Kommunikationspartner unter Verwendung von asymetrischen Verschlüsselungsverfahren und Zertifikaten, sowie der Austausch eines gemeinsamen Sitzungsschlüssels (Session-Key). Weiterhin dient es zur vertraulichen Datenübertragung von einem Ende zum Anderen mit Hilfe symmetriescher Verschlüsselungsverfahren unter Verwendung eines gemeinsamen Sitzungsschlüssels. Als Letztes soll durch dieses Verfahren die Integrität der transportierten Daten unter Verwendung eines Message Authentication Codes sichergestellt werden.
Eine Informationen findet ihr beim BSI (Bundesamt für Sicherheit in der Informationstechnik)
Beispiel für öffentliche Einrichtungen: https://www.bsi.bund.de/DE/Publikationen/Mindeststandards/SSL-TLS-Protokoll/SSL-TLS-Protokoll.html
Bei Office 365 und der Emailversendung bedeutet dies, dass zunächst in einem ersten Schritt eine vertrauliche TLS Verbindung zwischen den Sender und Empfänger aufgebaut wird und dann in einem zweiten Schritt die Email über diese sicherere Verbindung versendet wird.
Die Regel kann für alle Emails oder auch für nur bestimmte Sender oder Empfänger konfiguriert werden. Im Default, ist diese Regel nicht definiert.
Kleiner Nachteil: Auch der Partner muss eine TLS Verschlüsselung anbieten. Informationen erhaltet Ihr hier über ein Szenario für TLS mittels Forefront: http://technet.microsoft.com/en-us/library/gg430177.aspx
Emailverschlüsselung Teil 3: Exchange Hosted Encryption (EHE) vs. Office 365 Encryption (angekündigt)
Vergleichen wir einmal den heutigen Möglichkeiten mit den zukünftigen Sicherheitseinstellungen:
1. Screen: Neu ab Q1 2014 2. Screen: aktueller Stand (E3 Plan)
Auf dem Screenshot ist zu erkennen, dass zwei neue Optionen als Regel in dem Bereich “Nachrichtensicherheit” auszuwählen sind.
Erste Informationen zu der Verschlüsselung und ihrer Einrichtung habe ich in meinem Blogartikel mit dem Titel ” verschlüsselte Email mit Office 365 ” geschrieben. Dort findet Ihr auch eine Verlinkung zu dem Blogeintrag, der die zusätzlichen Einstellungen ankündigt und weitergehende Informationen gibt. Hier nun noch die kurze Zusammenfassung:
Office 365 Message Encryption:
Office 365 Encryption einstellen und starten (genauere Informationen bei TechNet)
Teil 4: Verschlüsselung der Übertragungswege
Microsoft kündigte weiterhin am 04.12.2013 an, dass es die Daten der Kunden besser vor dem Zugriff der Behörden schützen will. Es sollen mehr oder sogar alle Übertragungswege geschützt werden. In einem weiteren Schritt kündigte Microsoft an und im Anschluss auch Google sowie Apple, dass sie auch gerichtlich gegen das aus ihrer Sicht illegale Abfangen von Daten außerhalb der USA ohne Gerichtsbeschluss vorgehen wollen. Dies würde in dem jeweiligen Land gegen die dortigen Gesetze verstoßen. Bezieht man dies auf Deutschland und das hier geltende Recht liegt ein Verstoß gegen geltendes Recht vor, welches auch strafrechtlich verfolgt werden müsste, wenn es sich beweisen ließ.
möglicherweise liegen vor:
§ 202 b StGB (“Abfangen von Daten”)
§ 202 a StGB (“Ausspähen von Daten”)
§ 202 c StBG (“Vorbereiten des Ausspähens und Abfangens von Daten”)
§ 269 StGB (“Fälschung beweiserheblicher Daten”)
Verfügbarkeit:
Zunächst nur die E Pläne und dann auch die A-Pläne und alle anderen.
Quellen:
Protecting Customer data from government snooping
Exchange Hosted Encryption (EHE) upgrade center
http://technet.microsoft.com/en-us/library/dn532175.aspx
Security White Paper Office 365 (Bietet sehr gute Informationen)
http://download.microsoft.com/download/6/6/2/662F89E4-9340-4DDE-B28E-D1643681ADEB/Security%20in%20Office%20365%20Whitepaper.docx
Microsoft kündigt Email-Verschlüsselung für Office 365 an
In Zeiten von öffentlichen Diskussionen zu NSA, PRISM und der Datensicherheit im Netz ist es heute noch so, dass die meisten Nutzerinnen Emails unverschlüsselt versenden. Dies gilt für private Nutzerinnen und auch für den Geschäftsverkehr, welcher heute sehr oft per Email abgewickelt wird.
Ich selber erlebe es häufig, dass Kunden Lizenzschlüssel, Passwörter und auch gesamte Accounts, wie auch Bankdaten einfach per Email verschicken und sich nicht bewusst sind, dass es hochsensible Daten sind, die abgefangen werden können. Ich hatte auch schon mal einen Fall, dass sich ein Mandant wunderte warum Lizenzschlüssel nicht mehr funktionierten. Nach einer kurzen Analyse kam heraus, dass dieser die in einer unverschlüsselten Mail bekommen hatte und diese abgefangen wurde und auf Torrent-Netzwerken verbreitet wurde.
Auf Lifehackers sieht man zum Beispiel eine Übersicht, welche Dienste Daten verschlüsseln: http://lifehacker.com/this-infographic-shows-which-sites-properly-encypt-your-1471169272?utm_campaign=socialflow_lifehacker_facebook&utm_source=lifehacker_facebook&utm_medium=socialflow
Nun hat Microsoft au seinem Office 365 Blog angekündigt, dass es Anfang 2014 einen neuen Service geben soll. Dieser erlaubt verschlüsselte Emails auch außerhalb der Office 365 Umgebung in der eigenen Firma zu verschicken. Dies soll unabhänig von der Ziel-Adresse sein. Es wird zum Bespiel Lotus Notes, Outlook.com, gmail, GroupWise und auch Exchange genannt.
Verschlüsselung
Die Verschlüsselung soll auf einer neuen Version von Exchange Hosted Encryption (EHE) basieren. Diese soll mit Office 365 Postfächern und auch mit lokalen Postfächern mit Online Protection arbeiten.
Kosten
Kostenlos verfügbar wird dieser Service für alle Plan E 3 und E 4 Kunden und sind auch ein Teil des Windows Azure Right Management. Für alle anderen Nutzerinnen kostet das gesamte Paket 2 Dollar, also wahrscheinlich bei uns also 1,50 bis 2 Euro.
Umsetzung
Die Einstellungen werden ebenfalls in dem Blogartikel gleich mit erläutert. Der Administrator der Office 365 Umgebung kann die Verschlüsselung (EHE) innerhalb der Transporting Rules, also der Transportregelungen im Exchange Online Server einstellen.
Die Optionen:
Modify the message security und dann auf Apply Office 365 Messenage Encryption oder Remove Office 365 Messenage Encryption
Externer Empfänger
Wenn diese verschlüsselte Email nun von einem externen Empfänger wie zum Beispiel einem Outlook.com Konto empfangen wird, ist der Inhalt verschlüsselt und kann runtergeladen werden. Der Inhalt kann auch im Browserfenster geöffnet werden, dann muss man seine Microsoft ID oder eben deine Office 365 ID verifizieren und erhält dann den Inhalt angezeigt. Inhalt ist nicht nur die Email, dazu gehören auch die Anhänge.
Alle weiteren Fragen, wie auch die Möglichkeit im Rahmen der Verschlüsselung das Branding der Firma (Logo, Text) einzuarbeiten oder die PowerShell Befehle findet Ihr hier:
http://blogs.office.com/b/office365tech/archive/2013/11/21/introducing-office-365-message-encryption-send-encrypted-emails-to-anyone.aspx