Ja, es ist ein grosser Schritt, zumindest aus den Augen der Marketingexperten der drei (eigentlich nur zwei, da die Marken web.de und GMX beide zum Konzern united Internet AG (1und1) gehören) deutschen Provider.

Aber die Frage bleibt offen, warum gerade die beiden Marken der united Internet AG, web.de und GMX, nicht schon früher untereinander per TLS kommunizierten? Technisch ist das nun nicht wirklich ein Problem. Neu ist allerdings tatsächlich, dass nun die Kundenwebmailer dies im Browser anzeigen (siehe hierzu auch den Artikel und Screens aus der Pressekonferenz “E-Mail Made in Germany”: SSL-Verschlüsselung für (fast) alle

Neu ist ganz bestimmt, das nun zwei grosse deutsche Konzerne hierbei zusammen arbeiten, die Deutsche Telekom und die united Internet. Doch wie schwer ist die Zusammenarbeit? Rein aus technischer Sicht der eMail Server überhaupt nicht, zumindest nicht aus Microsoft Exchange Admin Sicht. Denn eine Verbindung zwischen zwei Domänen per TLS zu sichern, ist sogar Prüfungsfrage in der MCP Prüfung seit mindestens Exchange 2003, also nunmehr knapp 10 Jahren. Doch Hut ab, beide Konzerne haben in der Darstellung der Web UI investiert, damit “Werbewirksam” die Sicherheit angezeigt wird (siehe obigen Link).

Bei der Betrachtung viel mir dann auf, dass nun alle iOS und Android Apps dieses Feature, nämlich die Übertragung einer eMail über einen gesicherten Transportweg, erhalten. Im ersten Moment dachte ich, “Na typisch, da werden die ganzen Windows Phone / Windows Mobile Geräte wieder mal aussen vor gelassen…” Doch dann viel mir ein… “Warum nicht? Wieso brauche ich für WP8 eine T-Mobile App oder eine Web.de oder GMX App um endlich verschlüsselt eMails zu versenden? Ich habe doch meinen Exchange Account per ActiveSync angebunden!” :-) ? “Ja und?” könnte sich unbedarfte Internetnutzer fragen…

Ganz einfach, eine Konfiguration eines ActiveSync fähigen Geräts ist nur mit einem gültigen Zertifikat des Exchangeservers möglich, denn die Übertragung wird ausschließlich per SSL durchgeführt. Und so ganz nebenbei, in den Microsoft Online Diensten ehemals BPOS und anschliessend Office 365 / Exchange Online ist das ein unüberwindbarer Zustand, dass zum einen die Verbindung eines Clients verschlüsselt ist und das ein remote SMTP Server, der sich mit einem Exchange Online Benutzer authentifzieren möchte, TLS als Verbundungsvoraussetzung unterstützen muss. Hierzu habe ich eine etwas ältere Anleitung als kleinen “Nachweis” gefunden:
Vom 17.Mai 2011 “Konfiguration eines SMTP Relay für Office 365” und eine etwas aktuellere Anleitung
Einrichten von SMTP-Relay in Office 365

So, nun überlegen Sie doch mal, wer im letzten Urlaub im Ausland (Roaming sei Dank), seine eMails “sicher” und verschlüsselt gelesen hat, der Exchange Online Benutzer oder ein T-Online / web.de / GMX Web UI Kunde?

Daher möchte ich mal folgende Theorie darstellen, die selbstverständlich nicht zu 100% nachgwiesen werden kann, aber das gilt für alle Seiten.
Wenn nun in Deutschland die Konfiguration unter dem Logo “E-Mail made in Germany” statt findet, damit die internationalen Behörden nicht mehr die Daten während des Transports so ohne weiteres auswerten können, dann hat das nachweisslich der Microsoft Online Dienst schon wesentlich länger unterstützt. Doch lieber Leser, bitte beachte meine Betonung auf “internationale Behörde”, denn laut dem deutschen Telekommunikationsgesetz können die deutschen Behörden noch immer mitlesen. Und, es gibt noch die eine oder andere Kleinigkeit zu beachten. Der Client muss sich möglichst bei einem der beiden Provider im Internet angemeldet haben, damit die lokale DNS Auflösung den direkten Weg zu den deutschen Servern nimmt und der Internetbenutzer darf kein “ach so tolles” annonymes Internetsurfen nutzen, da er sonst den Datenverkehr aus Deutschland heraus leitet.

Abschiessend bin ich bei dem Heise Artikel über einen anderen Umstand gestoplert.
Zitat” [Update 16:10 Uhr: Entgegen zunächst anders lautender Angaben wird bei “E-Mail made in Germany” genau wie bei De-Mail die Mail auf den Servern der beteiligten Unternehmen mit einem Virenscanner auf Virenfreiheit geprüft. Wer dies nicht wünscht, muss den Inhalt der Mail und etwaige Attachments verschlüsseln.]
und Zitat “Korrektur: In der ersten Fassung dieses Artikels hieß es unter Berufung auf die Anbieter, die E-Mails würden bei den Providern nicht auf Viren oder Malware geprüft und seien damit durchgehend verschlüsselt. Dies trifft nicht zu, die Passage wurde oben korrigiert. (Detlef Borchers)”

Für den nicht ganz technisch versierten Leser. Wenn eine Datei oder wie hier, eine eMail auf einem Server auf Viren durchsucht wird, werden die Daten der eMail inklusive die Dateianhänge (auch in gepackten Dateien wie ZIP) auf einem zum eMail gehörigen Laufwerk ausgelagert und durchsucht. In diesem Moment sind alle Daten der eMail im Klartext (in der Regel in Form einer normalen Textdatei) lesbar. Das bedeutet, dass potentiell ein hohes Risiko besteht, dass ein eMail Server Administrator oder ein AntiViren Administrator Zugriff auf die eMail mit allen Inhalten hat und diese sogar unbemerkt kopieren kann, da keine Protokollierung eines eMail Servers mehr diesen Vorgang erfassen kann.

Anders sieht das im Microsoft Exchange Umfeld aus. Alle eMails werden in geschlossenen Datenbanken gespeichert. Eine AntiViren Lösung, sofern diese auf dem Exchange Server installiert ist, muss innerhalb der Datenbank arbeiten. Eine Auslagerung ist dann nur noch möglich, wenn ein Admin innerhalb der AV Lösung die Option aktiviert “in Quarantäne auf Laufwerk x verschieben”. Exchange Online (seit BPOS) nutzt aber zur AntiViren Überprüfung ein vorgelagertes System. Ehemals unter Exchange ForeFront oder ForeFront Online Protection for Exchange (FOPE) bekannt und nun als Exchange Online Protection (EOP). Dabei werden alle eMails über dezentrale eMail Gateways auf Malware in einem Online Scan überprüft und erst dann an die Exchange Server weiter geleitet. Also auch hier ist eine wesentlich höherer Zugriffsschutz vorhanden. Zusätzlich sind alle zu einem Exchangesystem gehörenden Datenbanken bzw. Protokolldateien auf Laufwerken mit der Microsoft Festplattenverschlüsselung “Bitlocker” verschlüsselt. Über eine eingesetzte Festplattenverschlüsselung war bei den deutschen Onlinediensten nichts zu lesen. Über die vorhandenen Sicherheitsimplementierungen habe ich im übrigen vor ein paar Tagen geschrieben “Wie sicher ist die Cloud?

Ach, und dann hat Microsoft ja noch etwas interessantes im Angebot (und das auch schon seit vielen Jahren). Kennen Sie “Echange Hosted Encryption” (EHE)? Nein? Dann schauen Sie sich das doch mal hier an und lernen Sie, wie man mit Transportregeln das Verschlüsseln von eMails erwzingen kann.
Exchange Hosted Encryption Service-Abonnement für die E-Mail-Verschlüsselung in FOPE

So, ich hoffe, ich konnte wieder die eine andere Nebelleuchte im “Nebel der unsicheren Clouds” einschalten und Ihnen einen kleinen Überblick verschaffen, wie Sie Ihre Cloud Nutzung sicherer machen können.

Ein schönes Wochenende
Michael

 

The short URL of the present article is: http://wp.me/p1MQAv-OB

Tagged with:

Filed under: CloudOffice365Security