Events

Test: E-Mail-Verschlüsselung mit Reddcrypt

Abschied von der Postkarte

04. November 2020, 06:00 Uhr   |  Thomas Bär und Frank-Michael Schlede/jos

Abschied von der Postkarte
© Bild: Reddox

Die Experten bei Reddox haben eine aktuelle Studie zum Status der E-Mail als Kommunikationsmittel in Deutschland durchgeführt. Dies ergab unter anderem, dass die Verschlüsselung für einen Großteil der Nutzer noch kein Thema ist.

Informationen in einer E-Mail-Nachricht sind so offen wie auf einer Postkarte. Diese allgemein bekannte Tatsache hat jedoch bis dato wenig dazu beigetragen, den Einsatz von E-Mail-Verschlüsselung populärer zu machen oder weiter zu verbreiten. Das deutsche Unternehmen Reddoxx hat sich auf die Fahnen gechrieben, dies mit seiner Lösung Reddcrypt Business zu ändern.

Der E-Mail wird immer wieder ein baldiges Ende vorausgesagt. Dies ist meist mit der Behauptung verbunden, Kommunikationsformen wie WhatsApp und andere Messenger könnten solche Aufgabe viel besser erledigen. Besonders das Umfeld der kleinen und mittleren Unternehmen belegt allerdings: E-Mail stellt nach wie vor einen der wichtigsten Kommunikationswege im Businessbereich dar. Allerdings gibt einen schwachen Punkt beim Einsatz von E-Mail: In der Regel wandern die Nachrichten unverschlüsselt über das Netz und sind deshalb sehr leicht auszulesen. In diesem Punkt können viele moderne Messenger mit einer integrierten Ende-zu-Ende-Verschlüsselung punkten.

Grundsätzlich stehen den Nutzern eine ganze Reihe von Möglichkeiten – sowohl aus dem Bereich der freien Software als auch bei den kommerziellen Lösungen – zur Verfügung, um ihre E-Mail-Nachrichten sicher zu verschlüsseln. Allerdings eint all diese Lösungen ein Problem: Ihre Anwendung ist vielfach aufwendig, und Installation sowie täglicher Einsatz sind entgegen aller Versprechen meist kompliziert. Das deutsche Unternehmen Reddoxx aus Kirchheim in Baden-Württemberg hat sich nach eigenen Aussagen auf die Bereiche E-Mail-Management sowie IT-Sicherheit spezialisiert. Reddoxx bietet die E-Mail-Verschlüsselungslösung Reddcrypt  in einer Version für „Einzelnutzer“ und in einer Business-Variante an. Bei der Einzelnutzer-Variante unterscheidet der Hersteller noch zwischen einer freien und einer als „Personal“ bezeichneten Ausprägung der Software. Alle drei Varianten umfassen neben den Möglichkeiten zum Ver- und Entschlüsseln der Nachrichten auch den Einsatz einer Zwei-Faktor-Authentifizierung. Während die freie Version dem Anwender nur 500 MByte Speicherplatz bietet, bekommt er bei der Personal-Ausprägung der Software 1.000 MByte bereitgestellt. Bei der Businessversion sind es ebenfalls 1.000 MByte pro Nutzer.

Installation und Technik

Wir haben für diesen Bericht die 30-Tage-Testversion der Software in der Businessvariante heruntergeladen, die über diesen kompletten Zeitraum ohne Einschränkungen zur Verfügung stand. Um sie zu nutzen, reicht es aus, wenn sich der Interessent mit einer E-Mail-Adresse auf der Website des Anbieters anmeldet und ein Reddcrypt-Konto anlegt. Grundsätzlich handelt es sich um eine Lösung, die auf einen Cloud-Server beim Anbieter setzt, sodass es für die Nutzer leicht ist, die Software auf verschiedenen Endgeräten und an verschiedenen Orten zu nutzen. Der Anbieter legt jedoch großen Wert auf die Feststellung, dass das Ver- und Entschlüsseln stets auf dem jeweiligem Endgerät des Nutzers stattfindet. Auf den Servern von Reddoxx, die sich laut Angaben des Unternehmens alle in Deutschland befinden, sind die Daten zu jeder Zeit verschlüsselt. Auf der Web-Seite, die zur Anmeldung dient, kann sich der Nutzer mit einem Klick auf „technische Detail“ auch gleich sehr schnell und anschaulich erklären lassen, auf welche Art die Verschlüsselung bei Reddcrypt abläuft.

303 LANline 2020-11 Bild2 REDDCRYPT
© Bild: Reddox

Erste Anmeldung: Wer sich der erste Mal bei Reddcrypt anmeldet, kann sich auch gleich darüber informieren, wie die Verschlüsselung funktioniert.

Eine Grafik auf der Web-Seite zeigt, wie das bei dieser Software zum Einsatz kommende PGP-Verschlüsselungsverfahren arbeitet. Dies funktioniert bekanntermaßen mit Hilfe eines öffentlichen und eines privaten Schlüssels. Da Nutzer genau diese Erstellung und Verwaltung der Schlüsselpaare häufig als umständlich und aufwendig empfinden, generiert das System bei dieser Lösung nach der Eingabe der E-Mail-Adresse und eines Passworts durch den Nutzer automatisch ein Schlüsselpaar. Dann wird der private Schlüssel auf dem Client-System mit einem Passwort-Hash verschlüsselt und dann gemeinsam mit dem öffentlichen Schlüssel auf den Reddoxx-Server hochgeladen. Die Verschlüsselung läuft dabei laut der Beschreibung von Reddoxx je nach der eingesetzten App im Browser oder im Programm selbst und somit im Arbeitsspeicher des Endgeräts ab.

Die E-Mail-Nachrichten werden ebenfalls mit dem Schlüssel des Nutzers verschlüsselt und in dieser Form auf den Servern des Anbieters abgelegt, der diese Art der Speicherung von Daten als „Zero-Knowledge“ bezeichnet. Nur die E-Mail-Adresse und der öffentliche Schlüssel sind dabei unverschlüsselt auf den Systemen des Unternehmens abgelegt. Dies bedeutet jedoch auch – und darauf weist Reddoxx schon am Anfang mit einer Warnung hin – dass dort kein Passwort, sondern nur ein davon abgeleiteter Hash-Wert abgelegt ist. Wenn ein Nutzer sein Kennwort vergisst, so hat er zwar die Möglichkeit, ein neues Passwort für sein Konto zu vergeben. Er ist dann jedoch für das System ein „neuer Nutzer“, sodass ein Zugriff auf ältere E-Mails dann nicht mehr möglich, da sich diese durch den Verlust des Passworts nicht mehr entschlüsseln lassen.

Nach der Eingabe von E-Mail-Adresse und Passwort erhält der Nutzer eine Nachricht mit einer „Validation PIN“ (einem vierstelligen PIN-Code) an seine E-Mail-Adresse. Nach Eingabe dieses Codes ist die Einrichtung bereits abgeschlossen und der Anwender befindet sich in der übersichtlichen Web-Oberfläche von Redd­crypt, die ihm in deutscher und englischer Sprache zur Verfügung steht. Dort kann er die verschieden Einstellungen vornehmen, Nachrichten versenden und empfangen und natürlich auch ver- und entschlüsseln. Wer die Businessversion verwendet, findet an dieser Stelle unter dem Menüpunkt „Meine Organisation“ die Einstellungen für den Einsatz der Lösung im Unternehmen. Ist der Nutzer dort als Administrator eingetragen, kann er die Nutzer in seinem Unternehmen betreuen und zum Beispiel auch neue Benutzer hinzufügen.

Sehr gut haben uns dabei die Möglichkeiten gefallen, die einem Administrator im Zusammenhang mit einem sogenannten „Master Key“ zur Verfügung stehen. Hat er nämlich einen solchen optionalen Master Key für einen Nutzer angelegt, dann kann er auch das Kennwort des Nutzers zurücksetzen, ohne dass dabei der Zugriff auf alte E-Mails verloren geht. Diese Funktion ist auch dann nützlich, wenn Mitarbeiter das Unternehmen verlassen. Dazu gehört nicht nur, dass der Administrator über diese Konsole über die Möglichkeit verfügt, Mitarbeiter aus dem System zu löschen, er kann auch mit Hilfe des Master Keys eventuell noch vorhandene Nachrichten eines solchen Mitarbeiters entschlüsseln, um an wichtige Informationen in diesen Nachrichten zu gelangen.

Weiterhin können die Systembetreuer in dem Bereich „Meine Organisation“ auch die eigene Unternehmens-Domäne in Reddcrypt Business hinterlegen, sodass neue Nutzer im Unternehmen automatisch zugeordnet sind. Die Möglichkeit, ein Unternehmensprofil anzulegen und so die Transport-Mail anzupassen, die Nutzer außerhalb des eigenen Unternehmens erhalten, rundet die Businessversion ab.
Die Zeiten, in denen alle Nutzer für eine bestimmte Tätigkeit die gleichen Endgeräte und -programme einsetzten, sind lange Geschichte. Deshalb ist es auch bei der so weitverbreiteten Nutzung der E-Mail in der Regel nicht so, dass alle Endnutzer das gleiche Programm verwenden. Selbstverständlich existieren in den meisten Unternehmen Regeln und Vorschriften, die den Einsatz bestimmter Lösung vorschreiben. Zudem liegt es jedoch auch im Bestreben der IT, keine allzu große Diversität aufkommen zu lassen. Aber allein der Einsatz mobiler Geräte wie Smartphones und Tablets macht es notwendig, den Nutzern auf jedem Fall unterschiedliche Ausprägungen eines E-Mail-Clients zur Verfügung zu stellen.

Seite 1 von 3

1. Abschied von der Postkarte
2. Freie Auswahl: Web, Windows-Programm, Mobile oder Outlook
3. Einfach bei der Installation und im Einsatz

Auf Facebook teilenAuf Twitter teilenAuf Linkedin teilenVia Mail teilen

Verwandte Artikel

Reddoxx

E-Mail