Cryptshare kommt in der zumTestzeitpunkt aktuellen Version4.4 als Server, der als Softwareon­site oder beim ausgewähltenHosting­Anbieter als virtuelle be­ziehungsweise Hardware­App­liance betrieben werden kann.Alternativ ist Cryptshare auch alsSoftware as a Service (beim Her­steller selbst) oder in der PrivateCloud (im Microsoft Azure Mar­ketplace) erhältlich. Diese Ser­verlösung speichert die zu ver­sendenden Daten lokal verschlüs­selt (dabei wird für jede Kommu­nikation ein anderer Schlüsselverwendet) und schickt E­Mail­Benachrichtigungen an die Emp­fänger, die einen Link enthalten,über den sich die Informationendann über gesicherte Verbindun­gen herunterladen lassen. Um fürSicherheit zu sorgen, können dieMitarbeiter die einzelnen Datei­übertragungen mit Passwörternschützen, neben den Mail­Inhal­ten und den Anhängen auch denBetreff der Nachrichten ver­schlüsseln und die Gültigkeit derDownload­Links, sowie die Auf­bewahrungsdauer der Dateienzeitlich beschränken.

Umfassende Nachvollziehbar­keitsfunktionen sorgen für Com­pliance, die Behandlung der ein­zelnen Übertragungen wird überPolicies geregelt und APIs und

Automatisierungsfunktionen sor­gen im Betrieb für die nahtloseIntegration des Produkts ins Un­ternehmensumfeld. Auch dasLook and Feel der Lösung lässtsich umfassend anpassen. EinMS Outlook­Add­In, mit dem dieAnwender Cryptshare direkt ausdem Mail­Client von Microsoftheraus bedienen, schließt zusam­men mit einer HCL Notes­Inte­gration und der QUICK Techno­logy (Quick Use Integra­ted Cryptshare Key) den Leis­tungsumfang von Cryptshare 4.4ab.

Die genannte QUICK­Technolo­gie lässt sich nutzen, um diePasswörter, die zur Verschlüsse­lung der Datenübertragungenzwischen Kommunikationspart­nern zum Einsatz kommen, zuverwalten und die Datentransfersabzusichern. Das bedeutet, mitaktivierter QUICK­Funktionsorgt Cryptshare für die automa­tische Erzeugung aller Passwör­

ter für die Dateiübertragungenund die Anwender müssen sichmit der Passwortverwaltung –und dem Handling nicht weiterauseinandersetzen, sondern kön­nen die Files einfach ganz nor­mal, wie bei bekannten S/MIME­Lösungen, permanent sicher aus­tauschen, ohne dabei jedes Malein neues Passwort zu vergeben.

Der TestIm Test setzten wir bei uns imTestlabor einen Cryptshare­Ser­ver auf Basis einer virtuellenMaschine auf. Dieser verwendetedann im Betrieb unseren Ex­change 2016­Mail­Server als Re­lay, um Mails mit unseren Test­Konten auszutauschen. Nach derErstkonfiguration und Inbetrieb­nahme des Systems versendetenwir zunächst einmal diverse Da­teien an unterschiedliche Kontenund prüften, wie die normale Ar­beit mit dem Produkt abläuft.Danach setzten wir uns dann mitdem Outlook­Add­In, derQUICK­Technologie, den Optio­nen zum Anpassen der Benutze­roberfläche und der Nutzung desSystems von mobilen Endgerätenaus auseinander.

Installation als virtuelle Ma­schineFür den Test stellte uns Crypts­hare zunächst einmal eine Li­

Im Test: Cryptshare 4.4

Datentransfer ohne GrenzenDr. Götz Güttich

Mit seiner gleichnamigen Lösung hat der deutsche Anbieter Cryptshare ein Produktzum verschlüsselten Dateiversand im Angebot. Dieses kommt ohne Beschränkungen bei

der Dateigröße aus, sorgt für Nachvollziehbarkeit, lässt sich mit beliebigenKommunikationspartnern ad hoc nutzen und bietet eine Vielzahl weiterer Funktionen.

Wir haben uns im Testlabor angeschaut, wie die Arbeit damit abläuft und was dieLösung im praktischen Alltag leisten kann.

1

Die Funktionsweise von

Cryptshare

zenzdatei zur Verfügung, die denCryptshare­Dienst für die vonuns verwendeten Domänen frei­schaltete. Nachdem wir diese Da­tei erhalten hatten, wechselten

wir auf die Webseite htt­ps://www.cryptshare.com/de/sup­port/vm­build­service und mach­ten uns daran, die für uns ange­passte virtuelle Appliance erstel­len zu lassen. Dazu fragte uns derBuild­Service zunächst nach demTyp der virtuellen Maschine(VM). Dabei bietet das SystemVmware­ und Hyper­V­Maschi­nen an. Beim Einsatz von Hyper­V muss man sich allerdings überein Kontaktformular an den Her­steller wenden, nur die Erstellungvon Vmware­VMs läuft automa­tisch ab. Dementsprechend ent­schieden wir uns zu diesem Zeit­punkt für eine VM für Vmware­Umgebungen.

Anschließend fragte uns der As­sistent nach Namen, Telefonnum­mer und E­Mail­Adresse undwollte, dass wir unsere Lizenzda­tei ins Web­Interface hochluden,damit sie direkt in die VM inte­griert werden konnte. Hat ein In­teressent zu diesem Zeitpunktnoch keine Lizenz, so kann er die

VM übrigens trotzdem erstellenund die Lizenz später selbst überdas Konfigurationswerkzeug desServers einspielen.

Im nächsten Schritt wollte derWizard wissen, wie die Absen­deradresse für den Mail­Versandvon E­Mail­Nachrichten und dieAdministratoradresse für denEmpfang der Systemmeldungenlauten. Zum Schluss ging es andie Netzwerkkonfiguration mitIP­Adresse, Subnetz, Gateway,Hostname, den zu verwendendenDNS­Servern, der Domänensuch­liste und dem E­Mail­Gateway.Sobald diese Angaben gemachtwurden, erstellt der Wizard dieVM mit den gewünschten Para­metern (die sich bei Bedarf imlaufenden Betrieb jederzeit än­dern lassen) und schickt denKunden nach wenigen Minuteneine E­Mail mit einem Cryptsha­re­Link zu, über den sie die ferti­ge VM herunterladen können.

Die VM kommt in Form einerOVF­Datei mit einer knapp zweiGByte großen virtuellen Festplat­te im VMDK­Format. Diese bei­den Files ließen sich im An­schluss problemlos in einen unse­rer ESXi­Hypervisoren mit derVersion 6.7 Update 3 importie­ren.

Erstkonfiguration und Inbe­triebnahmeNachdem wir den Import der VMabgeschlossen hatten, machtenwir uns daran, das System ent­sprechend der Dokumentationvon Cryptshare in Betrieb zunehmen. Um die Download­Grö­ße der VM in Grenzen zu haltenund da jedes Unternehmen unter­schiedliche Anforderungen anden Speicherbedarf des Verzeich­nisses für die zu übertragenenDateien hat, enthält die VM nach

dem Import keinen Speicherplatzfür Datei­Uploads, Backups undso weiter. In der Dokumentationwird darauf hingewiesen, dass eszunächst erforderlich ist, einensolchen Speicher einzurichten.Sie gibt auch Ratschläge, wievielSpeicher für welche Umgebun­gen erforderlich sein dürfte.

Dementsprechend fügten wir dervirtuellen Appliance zu diesemZeitpunkt zunächst einmal mitVmware­Bordmitteln eine virtu­elle Festplatte hinzu, die genugSpeicher für unsere Testumge­bung bereitstellte. Die virtuelleVM kommt mit einer als SCSI(0:0)­konfigurierten Festplattean, wir definierten unsere neueHDD als SCSI (0:1) am gleichenController.

Danach fuhren wir die VM, dieunter OpenSuse 15.0 lief, hochund loggten uns als "root" ein.

Die Passwörter für den Zugriffauf die VM und das Konfigurati­onsinterface fanden sich in derDownload­ZIP­Datei der VM,genau wie ein Link zur Doku­mentation.

Nach dem Login stellten wir fest,dass Linux die ursprünglicheFestplatte als "/dev/sda" einge­bunden hatte und dass unsereneue HDD als "/dev/sdb" er­

2

So empfängt das Cryptshare­Web­In­

terface die Benutzer

Der Upload der zu übertragenen Da­teien auf den Server

reichbar war. Im nächsten Schrittriefen wir nun das Skript"/opt/csappliance/attachHDD.sh"auf, das die neue Festplatte parti­tionierte, formatierte, mit den be­nötigten Zugriffsrechten versahund ins System einband.

Zum Schluss unserer Vorberei­tungen erzeugten wir auf unserer

neuen Festplatte noch ein zusätz­liches Verzeichnis für temporäreDateien, fügten den Pfad zu die­sem Verzeichnis wie in der Do­kumentation beschrieben zu derKonfigurationsdatei "/opt/crypts­hare­3/launcher.ini" hinzu undstarteten den Cryptshare­Dienstmit der Befehlssequenz "rccryts­hare stop" und "rccryptsharestart" neu. Damit war die Arbeitan der Konsole abgeschlossenund wir konnten uns dem Konfi­gurationsinterface der Lösungzuwenden.

Die Einrichtung über dasBrowser­InterfaceLaut Handbuch ergibt es jetztSinn, das SSL­Zertifikat für dieVerschlüsselung des Zugriffs aufden Server einzuspielen. Da es

sich bei unserer Installation umeine Testumgebung handelte, ver­zichteten wir auf diesen Schrittund verwendeten das mitgeliefer­te, selbstsignierte Zertifikat. Au­ßerdem sollten die Administrato­ren laut Dokumentation zu die­sem Zeitpunkt ihre Lizenzdateieinspielen. Auch diesen Schrittkonnten wir überspringen, da wirihn ja bereits beim Anlegen derVM durchgeführt hatten.

Der Login beim Konfigurations­Interface erfolgt über die URLhttps://{Name des Cryptshare­Servers}:8080. Nach dem erstenLogin muss der Administratorzunächst einmal das vorgegebeneStandardpasswort ändern, sonsterhält er keinen Zugriff auf dieVerwaltungsoberfläche. Wir fin­den das gut, da auf diese Weisevermieden wird, dass irgendwel­che Cryptshare­Server mit Stan­dardpasswörtern in Netz arbeiten.

Für die nun folgende Erstkonfi­guration des Systems gibt es kei­nen Wizard im klassischen Sinn,stattdessen weist die Dokumenta­tion darauf hin, in welchen Berei­chen unter den "System Einstel­lungen" manuelle Anpassungenerforderlich sind. In diesem Zu­sammenhang spielen zunächsteinmal die "Verbindungseinstel­lungen" eine Rolle, die zur Defi­nition der Basis­URL für dieDownload­Links dienen, die spä­ter per E­Mail verschickt werden.Außerdem lassen sich an dieserStelle auch sichere Verbindungen(via HTTPS) erzwingen und dieiFrame­Sicherheit konfigurieren,die festlegt, ob die Möglichkeitbesteht, das Cryptshare­Benut­zerinterface in andere Webseiteneinzubetten.

Unter "Systembenachrichtigun­gen" legen die Administratoren

im Gegensatz dazu fest, welcheSchwellenwerte für das DiskSpace Monitoring gelten sollenund unter welchen E­Mail­Adressen Administratoren Be­nachrichtigungen über Warnun­gen, Fehler und anstehende Up­dates erhalten. Die "Verifizie­rung" sorgt dafür, dass das Sys­tem überprüft, ob die E­Mail­Adresse, die ein Absender beimAnstoßen einer Datenübertragungangibt, auch wirklich zu ihm ge­hört. Nachdem der Anwenderseine E­Mail­Adresse angegebenhat, sendet ihm der Cryptshare­Server einen Verifizierungs­Codezu, den er dann in der Benutzero­berfläche eintragen muss, umseine Mail­Adresse zu bestätigen.

Das Konfigurations­Interfacebietet in diesem Zusammenhangdie Option, die Gültigkeitsdauerdieser Verifizierungs­Codes fest­zulegen, die Zahl der Eingabenbeziehungsweise Anforderungenfür Codes zu beschränken undbestehende Codes zu löschen.

Über die Transfereinstellungensind die zuständigen Mitarbeiterdazu in der Lage, das Verzeichnisfestzulegen, in dem der Server

3

Im Rahmen des Dateiversands legendie Nutzer auch fest, ob und wie siedarüber informiert werden sollen,wenn eine Datei vom Empfänger her­untergeladen wird

Der Abschluss eines Cryptshare­Transfers

die zu übertragenden Dateien ab­legt. Außerdem lässt sich an glei­cher Stelle eine Funktion aktivie­ren, die Prüfsummen für die Da­teien der Transfers erzeugt. Zu­dem ist es möglich, den Aufbe­wahrungszeitraum für die Filesund – falls gewünscht – ein ma­ximales Transfervolumen festle­gen.

Policies als Herzstück des Ser­versJetzt kommen die Policy­Einstel­lungen an die Reihe. Diese stel­len ein Herzstück des Cryptsha­re­Systems dar und definieren,wer das System wie nutzen darf.Jede Regel besteht aus drei Tei­len. Das Absendermuster legtfest, welche Absender (wie etwaalle Mitglieder der Domäne "test­

domain.online") einen Daten­transfer anstoßen dürfen. DasEmpfängermuster definiert imGegensatz dazu, wer Datenüber­tragungen erhalten darf und wei­tere Einstellungen dienen dazu,Einschränkungen und Transfer­möglichkeiten festzulegen, diebei der dazugehörigen Absen­der/Empfänger­Kombination An­

wendung finden. Auf diese weite­ren Einstellungen gehen wir spä­ter noch genauer ein.

Die einzelnen Regeln lassen sichentweder manuell erstellen undbearbeiten oder aus der auf demServer installierten Lizenz ablei­ten. Im Test entschieden wir unszu diesem Zeitpunkt für denletztgenannten Weg und das Sys­tem erzeugte automatisch Poli­cies, mit denen die Benutzer dervon uns lizensierten DomänenDatentransfers an alle Internet­User verschicken konnten undauch dazu in der Lage waren, Da­ten von allen Internet­Anwendernzu erhalten.

Der letzte Punkt der Schnellstart­anleitung befasst sich mit denEinstellungen für den Mail­Ser­ver. In diesem Zusammenhangvergeben die Administratoren ei­ne Mail­Adresse und einen Ab­sendernamen, die für den Ver­sand der Mail­Benachrichtigun­gen zum Einsatz kommen unddefinieren den SMTP­Host, denSMTP­Port und die SMTP­Au­thentifizierung. Letztes ist nurauf selbstinstallierten Systemenerforderlich, da die Appliancesmit einem eigenen Mail­Server(Postfix) kommen und deshalbhier die Angabe "localhost" aus­reicht. Der Postfix­Mail­Serverschickt dann die Nachrichten vonder Appliance aus an ein Mail­Relay im LAN, in unserem Test­labor kam dazu wie gesagt einExchange Server 2016 zum Ein­satz, das die Mails dann weiter­leitete. Die Konfiguration diesesMail­Relays erfolgt während deroben beschriebenen Erstellungder VM mit dem Online­Wizard.Soll sie nachträglich geändertwerden, so geht das nicht überdas Administrations­Interface derAppliance, sondern mit Suse­Li­

nux­Bordmitteln über den Befehl"yast mail". Das genaue Vorge­hen dazu wurde im Detail in derDokumentation beschrieben.

Darüber hinaus lassen sich unterden Mail­Server­Einstellungendes Konfigurations­Interfacesnoch Settings zum Mail­Format(HTML, Klartext, Multipart) undzur Codierung (beispielsweise"Quoted Printable") vornehmen.Außerdem legen die zuständigenMitarbeiter an dieser Stelle auchnoch fest, wie Bilder in die E­Mails eingebunden werden sollenund ähnliches.

Damit ist die Erstkonfigurationabgeschlossen. Wir überprüftenzu diesem Zeitpunkt noch mit derUpdate­Funktion, ob unsererServer auf dem aktuellen Standwar und konnten das System an­schließen nutzen. Während desTests aktualisierten wir unsereInstallation übrigens von der unsursprünglich zur Verfügung ge­

stellten Version 4.3 auf die neuerschienene Version 4.4, dabeikam es zu keinen Schwierigkei­ten. In diesem Zusammenhang istes aber noch wichtig zu wissen,dass die Update­Funktion des

Der Transferdialog im Outlook­Add­

In. Hier lässt sich auch die Verschlüs­

selung des Betreffs aktivieren.

4

Die Gültigkeit der Download­Linkslässt sich beliebig begrenzen

Web­Interfaces nur zum Aktuali­sieren der Cryptshare­Softwareselbst zum Einsatz kommt. Daszugrundeliegende Suse­Linuxbringt sich über einen Cron­Jobregelmäßig selbst auf den aktuel­len Stand. Lediglich größere Up­grades, wie beispielsweise vonOpenSuse­Version 15.0 auf 15.1,muss der Administrator selbst an­

stoßen. Das geht auch über dasWeb­Interface.

Details zu den weiteren Einstel­lungen der PoliciesBevor wir uns mit unseren Erfah­rungen bei der praktischen Arbeitmit der Cryptshare­Lösung aus­einandersetzen, ergibt es an die­ser Stelle Sinn, noch einmal imDetail auf die weiteren Einstel­lungen einzugehen, die Teil derPolicies sind. Diese lassen sichnutzen, um für Übertragungen,auf die die jeweilige Regel zu­trifft, bestimmte Zeiträume vor­zugeben, während denen die zuübertragene Datei auf demCryptshare­Server vorgehaltenwird. Außerdem lässt sich aucheine maximale Transfergröße de­finieren, so dass beispielsweiseMitarbeiter aus der Grafikabtei­

lung größere Dateien versendendürfen als Benutzer aus derBuchhaltung. Darüber hinauskann eine Regel auch das Ver­schlüsseln einer Nachricht er­zwingen, bestimmte Signaturenanhängen oder den Download ei­ner Datei nach einer bestimmtenZahl falscher Passworteingabe­versuche sperren. Alle diese Poli­

cy­Einträge überschreiben dieDefault­Einstellungen des Ser­vers, so dass es Sinn ergibt, ser­ver­seitig eine bestimmte Grund­konfiguration vorzugeben, diezum Absichern der meisten Über­tragungen ausreicht, und dann fürkritische Bereiche Policies zu de­finieren, die die Sicherheitskonfi­guration weiter verfeinern. Abge­sehen von den genannten Punk­ten können die Policies unter an­derem auch zum Einsatz kom­men, um übertragungsbasiertEinstellungen für den Mailserverzu modifizieren und die Settingsfür das Logging anzupassen.

Die praktische Arbeit mitCryptshareUm nun die praktische Arbeit mitCryptshare unter die Lupe zunehmen, riefen wir zunächst ein­

mal das Benutzer­Interface(Cryptshare Web Application)unter https://{Hostname desCryptshare­Servers} über einenBrowser auf. Danach wollte dasSystem wissen, ob wir eine Dateibereitstellen oder abrufen woll­ten. Nachdem wir auf "Bereit­stellen" geklickt hatten, wolltedas System unseren Namen, un­sere Telefonnummer und unsereE­Mail­Adresse in Erfahrungbringen. Daraufhin schickte unsder Cryptshare­Server eine Veri­fizierungs­E­Mail mit einem Co­de, den wir anschließend imWeb­Interface eintragen mussten,um unsere Mail­Adresse zu be­stätigen. Jetzt konnten wir dieEmpfänger­Mail­Adresse eintra­gen, dabei besteht auch die Opti­on, mehrere Empfänger, mitKommas oder Leerzeichen ge­trennt, anzugeben.

Im nächsten Schritt war es dannmöglich, der Nachricht die Da­teien anzufügen, die übertragenwerden sollten. Außerdem gibt esauch die Option, der Benachrich­tigungs­E­Mail mit dem Down­load­Link eine vertrauliche (ver­schlüsselte) Nachricht hinzuzu­fügen.

Jetzt kommen die Transferoptio­nen an die Reihe. Dabei legen dieMitarbeiter die Sprache für dieBenachrichtigungs­Mail fest unddefinieren, wie lang der Down­load verfügbar sein soll. Darüberhinaus haben die Anwender andieser Stelle unter anderem Gele­genheit, sich Benachrichtigungenschicken zu lassen, wenn die Da­teien vom Empfänger herunter­geladen wurden und festzulegen,ob die Dateinamen der herunter­geladenen Files in diesen Be­nachrichtigungs­Mails erscheinensollen, oder nicht. Zu guter Letztlässt sich die Übertragung bei

5

Dateiversand mit dem Outlook­Add­In

Bedarf auch noch mit einem ge­nerierten oder selbst eingegebe­nen Passwort sichern. Falls ge­wünscht haben die Anwenderauch die Option, an dieser Stelledie bereits erwähnte QUICK­Technologie zu aktivieren, überDatenübertragungen mit QUICKspäter mehr.

Im nächsten Schritt zeigt dasSystem den Anwendern dieNachricht an, die der Empfängerzu sehen bekommen wird und er­möglicht es, den Transfer zu star­ten. Danach lädt die Software diezu übertragenen Files auf denServer hoch und verschlüsseltsie. Parallel dazu stellt das Sys­tem die Empfänger­Mail zu.Über einen Klick auf den darinenthaltenen Download­Link ha­ben die Empfänger dann Zugriffauf die verschlüsselte Nachrichtund die Dateien. Ist kein QUICKaktiv und wurde ein Passwortvergeben, so müssen sie diesesallerdings zuerst – beispielsweisetelefonisch – in Erfahrung brin­gen. Im Test ergaben sich bei derArbeit mit dem Cryptshare Web­Interface keine Probleme.

Das Outlook­Add­In im Ein­satzNachdem wir erfolgreich überdas Web­Interface die ersten Da­tenübertragungen vorgenommenhatten, nahmen wir im Test dasOutlook­Add­In unter die Lupe.Dieses stellt innerhalb des Out­look­Mail­Clients die gleichenCryptshare­Funktionen bereit,die auch das Web­Interface bietetund ermöglicht es so, dabei zumBeispiel die Outlook­Notizbü­cher mit zu benutzen und allevon Cryptshare versendetenMails im Postfach zu archivieren.Der Leistungsumfang des Add­Ins geht sogar noch über den desWeb­Interfaces hinaus, denn das

Add­In ist zusätzlich dazu in derLage, Passwörter per SMS zuverschicken und Mails zu klassi­fizieren.

Im Test luden wir zunächst dieInstallationsdatei für das Add­Invon der Webseite des Herstellersherunter, die dieser im MSI­For­mat bereitstellt. Die Installationläuft Wizard­gesteuert ab undwird niemanden vor unüberwind­bare Schwierigkeiten stellen.

Nachdem wir die Software einge­spielt und Outlook gestartet hat­ten, fand sich im Ribbon­Bereich

des Mail­Clients unter "Start" einCryptshare­Eintrag, der es er­möglicht, den Support zu kontak­tieren, QUICK zu aktivieren undden Transfermanager einzublen­den, der am rechten Fensterrandüber Benachrichtigungen, ver­wendete Passwörter und verfüg­bare Up­ und Downloads infor­miert. Außerdem haben die Mit­arbeiter an dieser Stelle auch dieOption, Einstellungen vorzuneh­men. Dazu gehören die Server­Adresse des Cryptshare­Servers,die Proxykonfiguration sowieDaten wie Name, Vorname undTelefonnummer des Benutzers.Dazu kommen noch diverse Add­In­Einstellungen, die es bei­spielsweise möglich machen,

Passwörter zu speichern, eineTransferhistorie anzulegen undähnliches.

Um nun eine Datei mit Hilfe desAdd­Ins via Cryptshare zu ver­senden, müssen die Anwenderlediglich ganz normal unter Out­look eine neue Mail erstellen undihre Attachments anhängen. Da­nach gehen sie aber nicht auf denButton "Senden", sondern aufden Button "Mit Cryptshare sen­den", der nun neu oben links imFenster erscheint.

Danach öffnet sich auf der linkenFensterseite eine Seitenleiste,über die sich bei Bedarf weitereDateien zu der Nachricht hinzu­fügen lassen, auch große Files,die die Anwender über das Büro­klammer­Symbol von Outlooknicht anhängen könnten. An­schließend genügt ein Klick auf"Senden", um den Transferdialogzu öffnen, über den die Nutzerdie bekannten Transfereinstellun­gen wie Passwörter, Ablaufdatumund Empfängersprache vorneh­men können. Im Outlook­Add­Inist es zudem auch möglich anzu­geben, dass die Nachricht und aufWunsch sogar die Betreffzeilemit verschlüsselt werden. EinKlick auf "Transfer starten" sorgtdann für das Verschicken derNachricht.

Wenn der Empfänger ebenfallsüber das Outlook­Add­In verfügt,muss er zum Dateiempfang nichtauf die Web­Oberfläche vonCryptshare zurückgreifen. Einge­hende Transferbenachrichtigun­gen landen in diesem Fall in derTransfer­Manager­Übersicht undlassen sich dort direkt anzeigen.Es ist auch möglich, dort denDownload der Dateien zu starten.Im Test gestaltete sich die Arbeitmit dem Outlook­Add­In unpro­

6

Die Klassifizierungsfunktion des Out­look­Add­Ins

blematisch und die Integration indie Office­Umgebung ließ keineWünsche offen.

Gehen wir an dieser Stelle nochkurz auf die E­Mail­Klassifizie­rungsfunktion ein, die das Add­inbietet. Diese dient dazu, die E­Mails vor dem Versand vom Ab­sender in eine bestimmte Schutz­klasse einordnen zu lassen, wiebeispielsweise "öffentlich", "ver­traulich" oder "streng vertrau­lich". Die Schutzklassen kom­men dann wiederum zum Ein­satz, um die Zahl der Empfängereinzuschränken und so zu verhin­dern, dass Nachrichten verse­hentlich an nicht befugte Adres­saten gelangen. Außerdem sinddie IT­Verantwortlichen damit inder Lage, bestimmte Voreinstel­lungen für die oben genanntenTransferoptionen festzulegen.Auf diese Weise stellen sie si­cher, dass für bestimmte Inhalts­typen immer gleiche Sicherheits­einstellungen Verwendung fin­den. Insgesamt lassen sich 25verschiedene Klassifizierungsstu­fen einrichten, die die zuständi­gen Mitarbeiter beliebig benen­nen können.

QUICK: Sichere Datenüber­tragungen ohne Passwort­tauschUm die bereits erwähnteQUICK­Technologie, die denmanuellen Austausch der Pass­wörter zwischen den Kommuni­kationsteilnehmern überflüssigmacht, zu aktivieren, muss manlediglich eine Datenübertragunganstoßen, die Schaltfläche"QUICK aktivieren" auswählenund ein „erstes“ Passwort verge­ben. Wenn der Empfänger an­schließend mit dem Passwort aufdie Übertragung zugreift, hat erdie Option, ebenfalls QUICK zuaktivieren. Dann erhält er eine

Verifizierungs­E­Mail vom Sys­tem. Nachdem diese eingegebenwurde, ist QUICK aktiv undkann genutzt werden.

Konkret bedeutet das, dass dasSystem alle späteren Datenüber­tragungen zwischen den beidenKommunikationspartnern, die jabeide verifiziert wurden, automa­tisch mit Einmalpasswörternschützt, ohne dass die Benutzerdazu in irgendeiner Form aktivwerden müssen. Im Test funktio­nierte das einwandfrei und dieseTechnologie ist wirklich absolutempfehlenswert, da sie den An­wendern viel Arbeit spart unddarüber hinaus eine große Zahlan Fehlerquellen ausschließt. Vor

allem auf mobilen Geräten, aufdenen keine richtige Tastatur zurVerfügung steht, ist QUICK einechter Pluspunkt.

Geht die QUICK­Verbindungverloren, lässt sie sich mit Hilfeeines zweiten für QUICK akti­vierten Clients oder mit Hilfe ei­nes Administrators aktivieren.Dieser erhält dann eine Nachrichtund kann dem betroffenen Useranschließend einen Code gene­rieren und zur Verfügung stellen,mit dem dieser dann in die Lageversetzt wird, QUICK auf seinem

Endgerät zu nutzen. Dieses Vor­gehen ergibt beispielsweise Sinn,wenn es darum geht, weitereEndpoints (wie etwa mobile Ge­räte) zu einer bestehendenQUICK­Verbindung hinzuzufü­gen oder wenn eine QUICK­Ver­bindung wiederbelebt werdensoll, für die keine Endgerätemehr existieren, da alle diesbe­züglichen Token gelöscht wur­den.

Hintergründe zu QUICKGehen wir an dieser Stelle nochkurz etwas konkreter auf dieFunktionsweise von QUICK ein.Sobald die Benutzer ihren Verifi­zierungscode in ihrem Clienteingeben, erzeugt das System ein

Verifizierungs­Token und spei­chert dieses in dem selben Client.Stößt ein Anwender nun die ersteDateiübertragung mit QUICK an,so generiert das System einengeteilten Schlüssel für die Kom­munikation zwischen Absenderund Empfänger. Dieser geteilteSchlüssel wird für den Absenderverschlüsselt auf dem Server ab­gelegt. Zum Schutz dient ein au­tomatisch erzeugter persönlicherSchlüssel, der ebenfalls ver­schlüsselt auf dem Server abge­legt wird. Auf diesen wiederumwird der Zugriff nur über das lo­

Eine Transferbenachrichtigung in Qutlook mit aktivem Add­In

7

kal gespeicherte Verifizierungsto­ken gewährt.

Wenn der Empfänger nun auf denTransfer zugreift, so generiert dasSystem auch einen persönlichen

Schlüssel für den Empfänger.Anschließend wird der geteilteSchlüssel mit Hilfe des persönli­chen Schlüssels des Empfängersverschlüsselt und auf demCryptshare­Server gespeichert.

Damit wurde QUICK eingerich­tet. Wenn es nun darum geht, Da­tenübertragungen über bestehen­de QUICK­Verbindungen abzu­wickeln, so verwendet das Sys­tem beim Erstellen einer Daten­übertragung den persönlichenSchlüssel des Absenders, um dengeteilten Schlüssel, der auf demServer liegt, zu entschlüsseln.Anschließend erzeugt die Lösungunter Verwendung des gemeinsa­men Schlüssels und eines Zu­fallsfaktors ein Einmalpasswortmit 64 Zeichen Länge und ver­schlüsselt damit den Datentrans­fer.

Wenn der Empfänger nun die Da­tei herunterlädt, so greift das Sys­tem mit Hilfe des Verifizierungs­tokens auf dem Client auf dessen

persönlichen Schlüssel zu. Dieserkommt dann zum Einsatz, umden geteilten Schlüssel auf demServer lesbar zu machen. Der ge­teilte Schlüssel findet dann Ver­wendung, um in Kombinationmit dem Zufallsfaktor das Trans­ferpasswort zu ermitteln und da­mit auf die Daten zuzugreifen.Der Empfänger leitet sich dasVerschlüsselungspasswort alsoselbst her und es ist nicht erfor­derlich, das Passwort in irgendei­ner Form zu verschicken oder zuspeichern. Zudem kommt für je­den Datentransfer automatischein anderes Passwort zum Ein­satz.

Die Optionen zum Anpassender BenutzeroberflächeDa Cryptshare üblicherweise engintegriert in die Mail­ und Web­Umgebungen der Kunden zumEinsatz kommt, spielen die Funk­tionen zum Anpassen des Ausse­hens des Systems eine besonderswichtige Rolle. Deswegen lassensich über das Konfigurations­In­terface der Lösung nicht nur ver­schiedene Sprachen einrichten,sondern auch Unternehmenslo­gos in die Web­Oberfläche ein­binden sowie deren Farben undHintergründe ändern. Es bestehtbei Bedarf sogar die Option,CSS­Codes einzubinden. Auchdas Layout der E­Mails lässt sichjederzeit mit Logo und Farbenanpassen und es ist auch mög­lich, benutzerdefinierte Linkszum Anwendungsmenü hinzuzu­fügen.

FazitDie Cryptshare­Lösung ist ex­trem flexibel. Dank der Automa­tisierung lässt sie sich auch fürdie Machine to Machine­ undApplication to Application­Kom­munikation nutzen. Auf Seitendes Empfängers müssen keine

besonderen technischen Voraus­setzungen erfüllt sein, er mussnur E­Mails empfangen können.Das hilft dabei, Schatten­IT zuverhindern.

Umfassende Protokollierungs­funktionen sorgen dafür, dassstets klar ist, welche Dateienwann von wem wohin verschicktwurden und alle Transfers lassensich optional auf Viren und Mal­ware prüfen. Bei Bedarf könnendie Verantwortlichen auchLöschfristen für die Dateien aufdem Server setzen und das Ein­halten der Vorgaben durch dieDSGVO stellt kein Problem dar.

Für den Betrieb der Lösung sindzudem keine Benutzerkonten undspeziellen Zertifikate erforderlichund die Einbindung mobiler Ge­räte (im Test verwendeten wirSmartphones und Tablets unterAndroid und iOS) gestaltet sichnahtlos. Das gleiche gilt für dieQutlook­Integration, bei der unsbesonders die Funktion zur Klas­sifizierung von E­Mails positivauffiel. Cryptshare ist damit aufjeden Fall für alle Administrato­ren einen Blick wert, die sich mitder sicheren Übertragung großerDateien an beliebige Empfängerauseinandersetzen müssen.

Die Einladung zu QUICK auf demClient des Empfängers

QUICK nach der erfolgreichen Akti­

vierung

8