T wie Transport Layer Security (TLS)

Von /
IT-Sicherheit

Den Buchstaben T widmen wir in unserem Blog dem Thema Transport Layer Security (TLS). Dabei handelt es sich um ein Protokoll, das für eine verschlüsselte Datenübertragung im Internet sorgt. TLS verschlüsselt zum Beispiel die Datenübertragung zwischen einer Webseite und einem Server. Der TLS-Standard ist der Nachfolget des SSL-Standards. Diesen gab es in den Varianten 1.0, 2.0 und 3.0. Beim TLS-Standard gibt es Stand April 2024 vier verschiedene Varianten. TLS 1.0 und 1.1 sind seit März 2021 überholt. Moderne Webbrowser blockieren die Varianten aus Gründen der Sicherheit. Up to date sind TLS 1.2 und TLS 1.3.

Um es in bildhafter Sprache zu sagen: TLS überwacht die Straße zwischen Sender und Empfänger. Es sorgt dafür, dass Unbefugte den Datenverkehr nicht mitschneiden können. Rufen Sie zum Beispiel eine unverschlüsselte Webseite auf und würden bestimmte Programme nutzen, können Sie den Datenverkehr mitschneiden. Möglich ist das zum Beispiel mit Wireshark, einer Software zur Analyse von Daten.

Was können Sie als Enduser machen?

Sie rufen zum Beispiel eine Webseite auf und sehen die Meldung „Die Webseite ist nicht sicher“. Dann bedeutet das, dass dem Browser ein vertrauenswürdiges Zertifikat fehlt. Ist die Webseite gefälscht bzw. leitet die URL auf eine gefälschte Webseite um, fehlt das sichere Zertifikat. Ganz wichtig: Wenn Sie eine Fehlermeldung aufgrund einer unsicheren Seite erhalten, klicken Sie diese bitte nicht einfach weg. Fertigen Sie besser einen Screenshot an oder machen ein Foto mit dem Smartphone. Das macht es dem Admin später leichter, nachzuvollziehen, was genau los war.

E-Mail-Verschlüsselung und TLS im Unternehmen

Doch, zurück zum E-Mail-Thema. Was müssen zum Beispiel Admins von kleinen Firmen bei der Datenübertragung und -verschlüsselung beachten?

Es gibt die Möglichkeit, den Server entsprechend zu konfigurieren, dass er nur die neuesten E-Mail-Zertifikate unterstützt. Dann versucht der E-Mail-Server mit dem Empfängerserver den höchstmöglichen Standard auszutauschen. Wenn ein Server zum Beispiel den TLS-Standard 1.2. und einer den Standard 1.3 verwendet, ist ein Datenaustausch per Standard 1.2. möglich. Es kann allerdings sein, dass ein Server auf einem höheren Standard besteht. Liefert ein anderer Server einen niedrigeren Standard, wird die E-Mail nicht zugestellt.

Bei manchen Domainanbietern kann es hier zu Problemen kommen. Das ist aber eher die Ausnahme. Es kann sein, dass diese noch auf einem älteren Standard sind. Glücklicherweise sind alle großen Anbieter eigentlich immer technisch vorne mit dabei. Zudem sind sie sehr tolerant, was die Abwärtskompatibilität mit anderen Lösungen angeht.

Wenn Ihnen die Verschlüsselung des Transportwegs nicht reicht, gibt es andere Möglichkeiten. Das ist eine richtige Ende-zu-Ende-Verschlüsselung. Doch, wir wissen, dass das für Admins sehr komplex ist und nicht für jedes Unternehmen in Frage kommt.

Die S/MIME-Verschlüsselung bei E-Mails

Ein anderes Thema ist die S/MIME-Verschlüsselung bei E-Mails. S/MIME steht für Secure / Multipurpose Internet Mail Extensions. Es handelt sich um einen Standard für die Verschlüsselung und Signation von E-Mails. Zum Einsatz kommt ein asymmetrisches Kryptosystem. S/MIME sichert nicht nur E-Mails ab. Die Lösung kommt ebenso bei vielen anderen Anwendungen zum Einsatz.

S/MIME ist ein sehr sicherer Standard. Das Problem bei der S/MIME-Verschlüsselung ist allerdings: Ist das Endgerät weg, ist auch die E-Mail weg, falls das Zertifikat nicht vorher separat gesichert worden ist. Andernfalls haben Sie keine Möglichkeit mehr, auf Ihre E-Mails zuzugreifen. Daher empfehlen wir, das Zertifikat vorher in einem sicheren Bereich zu speichern. Denn auch Lösungen für die E-Mail-Archivierung haben sonst keinen Zugriff mehr, weil alles an das Gerät gekoppelt ist

Sichere Gateway-Lösungen für die E-Mail-Verschlüsselung

Ein Kompromiss sind so genannte Gateway Lösungen. Sie sind praktisch für Anti-Spam und Antivirus. Die Einstellungen erfolgen direkt an der Gateway oder an der Firewall des Systems. Die Lösung übernimmt die Verschlüsselung und die Entschlüsselung von E-Mails. Die Gateway entschlüsselt eingehende E-Mails und verschlüsselt ausgehende E-Mails. Sie kann lokal on premise laufen oder cloudbasiert sein. Das ist gerade im Zusammenspiel mit Office 365 interessant. Hat ein Empfänger kein Zertifikat, erfolgt die Verschlüsselung passwortbasiert.

Noch mehr E-Mail-Sicherheit mittels FTAPI

Wenn Ihnen das nicht genug ist, gibt es noch eine Möglichkeit: Die Verschlüsselung von E-Mails über FTAPI. Hier geht es vor allem um die Verschlüsselung von Anhängen, denn das ist das Grundprinzip der Software. Der Fokus von FTAPI liegt weniger auf dem Text, sondern vielmehr auf dem Inhalt. Ein wesentliches Feature von FTAPI ist, dass Nutzer große Anhänge sicher versenden können. Diese befinden sich beim Senden der E-Mail in einem sicheren Speicherbereich. Das Schöne an der FTAPI-Lösung ist: Sie sind unabhängig vom Gegenpart. Sie können sehr große Anhänge hochladen und sind direkt DSGVO-konform.

Unserer Ansicht nach ist das der höchste Sicherheitsstandard. Berufsgeheimnisträger, wie Notare oder Rechtsanwälte, sind zum Beispiel für den gesamten Weg der E-Mail verantwortlich. Mit FTAPI sind Sie dabei auf der sicheren Seite. Weitere Informationen zu FTAPI erfahren Sie in diesem Beitrag.

Wie immer an dieser Stelle: Melden Sie sich gerne, wenn Sie Fragen haben oder eine Beratung zum Thema E-Mail- oder IT-Sicherheit benötigen. Vereinbaren Sie jetzt ein kostenfreies Beratungsgespräch.

Anrufen: +49 (0) 2246 92 39 0

E-Mail schreiben | Remote Support