Im Jahre 2001 hat die Onaras AG als erste Schweizer Firma einen Gateway zum Verschlüsseln von E-Mails auf den Markt gebracht. Abgesehen vom Namen SEPP (Secure E-Mail PGP Proxy) hat der heutige Secure-E-Mail-Gateway nicht mehr viel mit dem ursprünglichen Gerät gemeinsam. Mittlerweile beherrscht der Gateway nicht nur die gängigen Verschlüsselungsstandards openPGP und S/MIME, sondern auch die einzigartige Verschlüsselungsmethode «SEPPMail», dank welcher mit jedem beliebigen E-Mail-Empfänger sicher kommuniziert werden kann – auch wenn dieser keine Infrastruktur zum Verschlüsseln von E-Mails installiert hat.
Dass sicheres Versenden von E-Mails ein Muss ist, bestreitet mittlerweile kein IT-Manager mehr. Das Problem der konventionellen Verschlüsselungsverfahren ist jedoch, dass der Kommunikationspartner gezwungen ist, selbst ein Programm wie PGP oder wenigstens ein S/MIME-Zertifikat zu installieren. Im normalen Geschäftsleben ist dies kaum durchsetzbar.
Onaras hat sich intensiv Gedanken zu diesem Thema gemacht. Unter anderem wurden folgende Lösungen in Erwägung gezogen:
Ein Lösungsansatz zur Einbindung externer Empfänger wäre prinzipiell ein «sicheres Webmail». Wie die jüngsten Phishing-Affären gezeigt haben, existiert dies jedoch leider nicht. Ein Empfänger kann mit relativ geringem Aufwand dazu gebracht werden, seine Zugangsdaten durch Zusenden eines «gefälschten» E-Mails mit Link auf eine dem Login des Webmail nachempfundene Site preiszugeben. Der Hacker hat dann nicht nur Zugriff auf ein einzelnes Mail, sondern gleich auf die gesamte Historie der E-Mail-Kommunikation.
Ein weiterer Lösungsansatz wäre das Versenden von selbstextrahierenden Files. Auch dieses Verfahren birgt aber Gefahren und Probleme. Viele Firewalls lassen im Zeitalter der E-Mail-Viren ausführbare Dateien gar nicht bis zum Empfänger durch. Und die verantwortlichen IT-Manager sollten dies auch nicht ändern. Würde sich diese Technologie wirklich verbreiten, würde es bestimmt nicht lange dauern, bis eine neue Generation Trojaner im «Secure-E-Mail-Look» im Umlauf ist. Abgesehen davon können selbstextrahierende Files auch per Brute-Force-Attacke geknackt werden; insbesondere, wenn der Absender das Passwort selber wählen kann.
Eine weitere Möglichkeit besteht im Versenden von kleinen Programmen, die auf dem PC des Empfängers installiert werden müssen. Abgesehen davon, dass lange nicht jeder Empfänger Programme auf seinem PC installieren darf, ist mit stark erhöhtem Supportaufwand zu rechnen, wenn die Zusatz-Programme auf externen PCs gewartet werden müssen.
Mit SEPPmail beschreitet die Onaras einen völlig neuen – und technisch nicht ganz einfachen – Weg. Für den Benutzer allerdings ist die Bedienung einfach:
• Das Mail wird gesendet, jedoch als «vertraulich» markiert.
• Wenn für den Empfänger kein S/MIME oder PGP-Key auf dem Gateway vorhanden ist und zum ersten Mal ein verschlüsseltes Mail an ihn gesendet wird, erhält der Absender ein Passwort per E-Mail. Dieses muss er einmalig auf alternativem Weg (Telefon, SMS, Fax) dem Empfänger mitteilen.
• Der Empfänger erhält das E-Mail mit einem HTML-Attachement. Nach dem Öffnen dieses Attachements wird er aufgefordert, das Passwort einzugeben. Anschliessend wird das entschlüsselte E-Mail im Browser dargestellt. Der Empfänger kann jetzt problemlos und sicher auf dieses Mail antworEine weitere Möglichkeit besteht im Versenden von kleinen Programmen, die auf dem PC des Empfängers installiert werden müssen. Abgesehen davon, dass lange nicht jeder Empfänger Programme auf seinem PC installieren darf, ist mit stark erhöhtem Supportaufwand zu rechnen, wenn die Zusatz-Programme auf externen PCs gewartet werden müssen.
ten.
Für den Benutzer ist SEPPmail somit denkbar einfach. Im Hintergrund jedoch läuft einiges:
• SEPP erhält die E-Mail vom Absender. In der Rule-Engine ist festgelegt, dass ein E-Mail, welches als «vertraulich» gekennzeichnet ist, verschlüsselt werden muss.
• SEPP prüft, ob das E-Mail mit PGP oder S/MIME verschlüsselt werden kann.
• Ist dies nicht der Fall, prüft SEPP, ob für den Empfänger bereits ein SEPPmail-Account vorhanden ist. Falls nicht, wird automatisch ein Key und ein Passwort für den Empfänger generiert und dem Absender zugesendet.
3 SEPP verschlüsselt das ganze Mail und sendet es dem Empfänger. Das E-Mail wird also nicht auf dem SEPP gelagert, wie dies bei einemWebmail der Fall wäre.
• Der Empfänger erhält das E-Mail und gibt das Passwort ein.
• Das ganze Mail wird nun per HTTPs an SEPP zurückgesendet. Dieser entschlüsselt mit dem gespeicherten Key und dem Passwort.
• Das entschlüsselte E-Mail wird per HTTPs zurückgesendet und im Browser dargestellt.
Die Hauptvorteile von SEPPmail im Vergleich mit anderen Methoden sind somit, dass kein Speicherplatz für die gesendeten Mails auf dem Gateway notwendig ist, der Schutz vor Phishing gewährleistet ist (ohne das E-Mail ist das Passwort nutzlos), SEPPmail mit allen E-Mail-Programmen und Browsern funktioniert und Brute-Force-Attacken nicht möglich sind, weil SEPP nach einer bestimmten Anzahl falscher Eingaben den Zugang sperren kann.
Die Funktion SEPPmail ist sicher die interessanteste Funktion der Secure E-Mail-Appliance SEPP. Um den Betrieb in einer modernen Umgebung – und insbesondere in einer Umgebung mit hohen Anforderungen an Performance, Sicherheit und Verfügbarkeit – zu ermöglichen, hat der Gateway aber noch andere Fähigkeiten:
• Programmierbare Rule Engine: Das Verhalten des Gateways kann vollständig an die Bedürfnisse des Endkunden angepasst werden.
• Domain Encryption: Zwischen zwei Secure E-Mail Gateways kann der gesamte E-Mailverkehr verschlüsselt werden.
• LDAP/ADS: SEPP legt Konfigurations- und Schlüsseldaten in einer LDAP-Datenbank ab. Diese kann auf einen LDAP-Server bzw. in ein ADS ausgelagert werden.
• Clustering: Zur Erhöhung des Durchsatzes oder für ein «fail over» können mehrere Appliances zu einem Cluster verbunden werden.
• Web-GUI für die User- und Schlüsselverwaltung: Das Administratorinterface des SEPP basiert auf einer Webapplikation.
