SICHERE E-MAIL-KOMMUNIKATION –AUCH IN DER CLOUD

SICHERE E-MAIL-KOMMUNIKATION – AUCH IN DER CLOUD

17.09.21 SEPPmail - Deutschland GmbH | Stephan Heimel1

S T E P H A N H E I M E LLL.M.Prokurist – Sales Director

A G E N D A

ü Sichere E-Mail- und Datenkommunikation

ü E-Mail Signatur, Zertifikate und mPKI

ü Verschlüsselung

ü Anti-Virus / Anti-Spam

ü Large File Transfer – sicherer Austausch übergroßer Daten

ü Zentrales Disclaimer – Management

ü Die Probleme mit der Cloud

ü Lösung durch SEPPmail Cloud Data Protection

ü Unternehmen, Kunden, Quellen


G A N Z H E I T L I C H E E - M A I L - S I C H E R H E I T


Interner Nutzer Externer Email-Sender/Empfänger

B E G R I F F S B E S T I M M U N G


Digitale E-Mail-Signatur:

ü Integrität

ü Authentizität

ü Verbreitung des öffentlichen Schlüssels

E-Mail-Verschlüsselung:

ü Verschlüsselung des Transportweges (TLS)

ü Vertraulichkeit des E-Mail-Inhaltes

S E P P M A I L A R C H I T E K T U R


Das SEPPmail Gateway ist eine HW/VM Appliance als „all-in“ Firmware Paket• beinhaltet OS: openBSD• verfügbare VMs sind ESX, Hyper-V, Hyper-Visor, KVM oder Azure• zentralisierter Download-Server• zentralisierter Update und Lizenzserver

Mailserver

Mitarbeiter bzw. Sender

Firewall

SMTP

ohne Schutzbzw. unbekannt

ExternerEmpfänger

andere Organisation mit secureGateway (z.B. SEPPmail)

E - M A I L S I G N A T U R

Signatur und Zertifikate


E - M A I L S I G N AT U R


Mailserver Firewall

SMTP

ExternerEmpfänger

1. Alle öffentliche Schlüssel werden automatisch aus den Signaturen gesammelt und bei Bedarf zur Verschlüsselung an den Sender herangezogen.



Mailserver Firewall

SMTP

ExternerEmpfänger


2. Alle ausgehenden E-Mails werden am Gateway automatisch im Namen des Senders signiert.



Mailserver Firewall

SMTP

ExternerEmpfänger


2. Alle ausgehenden E-Mails werden am Gateway automatisch im Namen des Senders signiert.

3. Integrierte Konnektoren erlauben vollautomatischen Bezug und Verwaltung von Zertifikaten

O N B O A R D I N G


Mailserver Firewall

SMTP

ExternerEmpfänger

1. Mitarbeiter sendet seine erste Mail über das neu implementierte Gateway

2. Das Gateway prüft nun, ob der Nutzer im angeschlossenen AD Mitglied einer angelegten Gruppe istWenn ja:

- Wird ihm eine Lizenz zugewiesen- und über den Konnektor ein Zertifikat ausgestellt

Wenn nein:- Das Gateway verhält sich wie ein „heißer Draht“

E - M A I L V E R S C H L Ü S S E L U N G


E - M A I L V E R S C H L Ü S S E L U N G


Hochfrequente vertrauliche Kommunikation

Der Kommunikationspartner ist bekannt undsollte eine dieser Technologien im Einsatz haben:

ü S/MIMEü openPGP

ü Domainverschlüsselung

ü TLS

Niederfrequente, spontane vertrauliche Kommunikation

Der Kommunikationspartner ist unbekannt oder hat keine eigene Technologie im Einsatz:

ü Keine zusätzliche SW notwendigü Dadurch spontane Übermittlung möglich

ü Sichere Rückantwortmöglichkeit gegeben

ü E-Mail ist im Hoheitsbereich des Empfängers

(rechtlicher Aspekt)

G I N A T E C H N O L O G I EV O R G A N G


SMTP

Schritt 1: Schreiben

Der Sender verfasst seine E-Mail in seinem Standard Clientund klassifiziert diese als VERTRAULICH

VERTRAUL

ICH

Externer Empfängerohne Schutz

bzw. unbekannt

G I N A T E C H N O L O G I ER U L E S E T


SMTP


bzw. unbekannt

öffentlicher S/MIME Schlüssel des Empfängers vorhanden ?

NEIN kein S/MIME ………….. openPGP Schlüssel vorhanden ?

NEIN kein openPGP ……………… Domainschlüssel bekannt ?

JA: verschlüsseln - > versenden

Bei jeder E-Mail wird geprüft ob



NEIN kein Domainschlüssel und VERTRAULICH, dann GINA

Schri& 2: Prüfung der besten Op7on

G I N A T E C H N O L O G I E


SMTP

-Technologie von SEPPmail

1. E-Mail inkl. Anhang wird verschlüsselt ausgeliefert

2. Empfänger benötigt keine zusätzliche SW

3. Empfänger kann sofort gesichert antworten

4. Lesebestätigung zum Nachweis des Zugangs


bzw. unbekannt

G I N A T E C H N O L O G I EV O R G A N G


via https Strecke wird die entschlüsselte E-Mail zum Empfänger ausgeliefert und verschwindet von der SEPPmail Appliance.

via https Strecke wird die verschlüsselte E-Mail beim Anmeldeprozess des Empfängers zum Entschlüsseln temporär an die SEPPmail Appliance gesendet

Vorteile des patentierten GINA Verfahrens:

• E-Mails werden immer AUSGELIEFERT

• Wird vom Sender eine Lesebestätigung gewünscht, wird diese von der Appliance in dem Augenblick versendet, wenn die Mail zur Entschlüsselung eingeliefert wird

• Das Zugriffspasswort kann jederzeit vom Empfänger geändert werden

• Spontane sichere Kommunikation in beide Richtungen möglich

• Die GINA Oberfläche und alle Texte können 100% per CSS-Stylesheet verändert werden

• Empfänger können sich vorgängig anmelden und so ihre bevorzugte Verschlüsselungsform (Passwort oder Zertifikatskey) wählen

• Empfänger kann über das Portal seine bevorzugte Verschlüsselungsform einstellen

S E P P M A I L U N D M S O F F I C E 3 6 5


Signatur

Ver- und Entschlüsselung- S/MIME- OpenPGP- Domain- GINA

Large File Transfer

Central Disclaimer Management

Autom. Zertifikatsverwaltung

C L O U D = V E R T R A U E N


D I E P R O B L E M E M I T D E R C L O U D


Ø Nach Schrems II: Unsicherheit in Bezug auf die Nutzung amerikanischer Cloud-DiensteØ Richtlinien des EDSA vom Juni 2021:

Ø Nutzung amerikanischer Cloud-Dienste ist ohne weitere technische Maßnahmen nicht DSGVO-konform

(auch wenn die Server in Europa stehen).

Ø Standardvertragsklauseln alleine sind nicht mehr ausreichend, um DSGVO-Konformität zu erreichen.

Ø Die von Cloud-Anbietern angebotenen Sicherheitslösungen (wie bspw. Microsoft E5-Lizenz) sind nicht ausreichend, um DSGVO-Konformität zu erreichen.

Ø Nicht der Cloud-Anbieter, sondern jedes Unternehmen ist eigenständig für die Einhaltung der EU-DSGVO

verantwortlich.

Ø Ihr Unternehmen, Ihre Daten – geben Sie die Datenkontrolle nicht aus der Hand und vermeiden Sie so unnötige

Strafen.

L Ö S U N G S A N S Ä T Z E


Ø Nicht in die Cloud gehenØ Keine vertraulichen Daten in der Cloud speichern

Ø Cloud-Angebote von lokalen Anbietern nutzen

Ø SEPPmail Cloud Data Protection (CDP)

Ø Daten schützen, bevor sie die vertrauenswürdige Umgebung verlassen (Verschlüsselung vor der Cloud)

Ø Kein Zugriff auf Schlüssel & Verschlüsselung durch Cloud-Anbieter

eperiGateway

Outlook / OWA

Nutzer via eperi Gateway verbunden

OWA

B e i s p i e l : E - M a i l D a t e n f l u s s


C D P – C L O U D D ATA P R O T E C T I O N


Vorteile:ü Kritische Daten verlassen Ihr Unternehmen nur in unlesbarer Form

ü Sie haben die alleinige Kontrolle über und den Zugriff auf Ihre Daten und Schlüsselü Schnelle, einfache Installation ohne Änderungen auf Server- und Clientseite

ü Wichtige O365 Funktionalität wird nicht beeinträchtigt (Serverseitige Volltextsuche in Office 365, sortieren, filtern)

ü Patentierte Template-Architektur, erlaubt eine Nutzung auch mit anderen Cloud Services (z.B.

Salesforce)ü Neben Mails, auch Verschlüsselung von Kalendereinträgen und Aufgaben

ü Alle Clients (Outlook for Windows, Outlook for Mac, Mobile Clients, OWA,…) werden vollständigunterstützt.

ü Komplette Unterstützung durch Microsoft

S E P P M A I L - D A S U N T E R N E H M E N


§ SEPPmail AG in Neuenhof bei Zürich§ SEPPmail – Deutschland GmbH in Brunnthal bei München§ SEPPmail – Deutschland Entwicklungscenter Leipzig§ Entwicklung von Secure E-Mail Lösungen§ 20 Jahre Erfahrung mit Secure E-Mail Technologien§ Firma zu 100% eigenfinanziert (keine Investoren)§ Kunden und Vertriebspartner in ganz Europa (2-stufiges Vertriebsmodell)

Stefan Klein CEO

R E F E R E N Z E N - A U S Z U G


§ Hellmann Logistik (Osnabrück)§ KUKA (Augsburg)

§ TÜV-Saarland, TÜV-Rheinland

§ FC Bayern München (München)

§ Nationale Anti Doping Agentur (Köln)

§ SPARDA-Banken (Nürnberg)§ Klinikum Wolfsburg, Barmh. Brüder (München)

§ KVJS , Caritas

§ Noerr Gruppe (München)

§ DATEV(Nürnberg)

§ Kreis Herzogtum Lauenburg§ SVG Bundeszentralgenossenschaft (Frankfurt)

§ Lufthansa Systems (PCI)

> 10.000 Unternehmensdomänen

T E C H N O L O G I E P A R T N E R S C H A F T E N


Softwarehaus und IT-Dienstleister für

§ Steuerberater

§ Wirtschaftsprüfer

§ Rechtsanwälte

sowie deren zumeist mittelständische Mandanten.

§ Einer der größten Informationsdienstleister und Softwarehäuser in Europa

§ Bietet SEPPmail als Dienst an, mit derzeit

§ > 2 Millionen Accounts

T E C H N O L O G I E P A R T N E R S C H A F T E N


§ Schweizer Extranet für den sicheren Datenaustausch im Gesundheitswesen

§ Über 300 Spitäler, Versicherungen, Labors etc., rund 13 900 Arztpraxen

§ Lieferung der Plattformtechnologie

§ SEPPmail Konnektor für den Zugang zu HIN Teilnehmern

§ Mit HIN Secure Mail GLOBAL können ALLE Empfänger mit vertraulichen Informationen via E-Mail versorgt werden (patentierte GINA Technologie).

§ Automatische Integration von SwissSign Zertifikaten, Managed PKI

§ SEPPmail Konnektor für den Zugang zu IncaMail Teilnehmern

§ egov Schnittstelle für den sicheren Datenverkehr mit Behörden

§ Technologieaustausch

Q U E L L E N


Schrems II – Urteil (Sekundärquelle)h7ps://www.forum-verlag.com/blog-di/schrems-2-urteilh7ps://www.europarl.europa.eu/RegData/etudes/ATAG/2020/652073/EPRS_ATA(2020)652073_EN.pdf

US-Privacy-Shieldh7ps://www.datenschutz.rlp.de/de/themenfelder-themen/privacy-shield/

Cloud Acth7ps://www.heise.de/select/ix/2018/7/1530927567503187

Finale Empfehlung der EDSAh7ps://edpb.europa.eu/system/files/2021-06/edpb_recommenda\ons_202001vo.2.0_supplementarymeasurestransferstools_en.pdf

Neue Standardvertragsklauselnzwischen Verantwortlichem und Au4ragsverarbeiterh7ps://eur-lex.europa.eu/eli/dec_impl/2021/914/oj?locale=de&uri=CELEX:32021D0914für interna:onalen Datentransferh7ps://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32021D0915

https://www.forum-verlag.com/blog-di/schrems-2-urteil

https://www.europarl.europa.eu/RegData/etudes/ATAG/2020/652073/EPRS_ATA(2020)652073_EN.pdf

https://www.datenschutz.rlp.de/de/themenfelder-themen/privacy-shield/

https://www.heise.de/select/ix/2018/7/1530927567503187

https://edpb.europa.eu/system/files/2021-06/edpb_recommendations_202001vo.2.0_supplementarymeasurestransferstools_en.pdf

https://eur-lex.europa.eu/eli/dec_impl/2021/914/oj?locale=de&uri=CELEX:32021D0914

https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32021D0915

he ime l@seppmai l .de



Konfuzius551 v.Chr. – 479 v.Chr.

ERZÄHLE es mir – und ich werde es VERGESSEN

ZEIGE es mir – und ich werde mich ERINNERN

Lass es mich TUN – und ich werde es BEHALTEN

TESTEN Sie uns …

SICHERE E-MAIL-KOMMUNIKATION –AUCH IN DER CLOUD

Documents

Transcript of SICHERE E-MAIL-KOMMUNIKATION –AUCH IN DER CLOUD