tom's networking guide
 
Anzeige
Valentinstag lädt ein zum Cybercrime >
< AVG schafft per App Platz auf dem Handy
11.02.16 16:11 Alter: 2 Jahre
Kategorie: Produkt-News, Top-News, Internet-Intranet, Internetdienste, Mobile Generation, Authentifizierung, Verschlüsselung
Von: Nina Eichinger

SecurePIM: Email-Verschlüsselung für Jedermann

Im Vorfeld der Münchner Sicherheitskonferenz hat am 11. Februar 2016 die Firma Virtual Solution SecurePIM vorgestellt. Für Android- und iOS-Smartphones gibt es bereits eine App, für Windows- und Mac-PC soll noch im Frühjahr eine Lösung kommen, die die Einrichtung in Apple-Mail, Microsoft Outlook oder Thunderbird übernimmt.


SecurePIM heißt die Email-Verschlüsselungslösung von Virtual Solutions, einem deutschen Unternehmen, dass auf schweizer Zertifikate setzt.

SecurePIM heißt die Email-Verschlüsselungslösung von Virtual Solutions, einem deutschen Unternehmen, dass auf schweizer Zertifikate setzt.

Im Email-Client sieht der Nutzer direkt, ob eine Mail verschlüsselt und damit autentifizieert gesendet wurde oder nicht.

Im Email-Client sieht der Nutzer direkt, ob eine Mail verschlüsselt und damit autentifizieert gesendet wurde oder nicht.

Versionsübersicht von SecurePIM.

Versionsübersicht von SecurePIM.

Die Theorie hinter der Email-Verschlüsselung als Grafik aufgearbeitet. (Grafik: SecurePIM)

Die Theorie hinter der Email-Verschlüsselung als Grafik aufgearbeitet. (Grafik: SecurePIM)

Mit der SecurePIM-App tritt die komplexe Theorie in den hintergrund. Der Nutzer erhält mit wenigen Schritten eine funktionierende Lösung für Mobilgeräte. (Grafik: SecurePIM)

Mit der SecurePIM-App tritt die komplexe Theorie in den hintergrund. Der Nutzer erhält mit wenigen Schritten eine funktionierende Lösung für Mobilgeräte. (Grafik: SecurePIM)

München – Die Email-Verschlüsselung für jedermann steht seit Jahren immer wieder im Fokus. Hintergrund ist bei den meisten, die Sorge um die Inhalte ihrer Emails. Zumindest im privaten Umfeld scheitert sie jedoch meist daran, dass ihre Einrichtung viel zu komplex ist. Unverschlüsselte Emails sind im Netzwerk wie eine Postkarte, die nahezu jeder ohne großen Aufwand mitlesen kann. Doch ein weiterer Aspekt ist ebenfalls wichtig: Email-Verschlüsselung stellt gleichzeitig sicher, dass eine Email auch wirklich von dem angezeigt Absender kommt: Der Versand erfolgt erst dann, wenn die Prüfung auf die korrekte Absenderadresse erfolgreich gewesen ist. In Zeiten verbreiteter Phishing-Attacken ist das nicht garantiert. Solche Attacke können systembedingte Lecks von Email-Protokollen ausnutzen, um Emails im Namen eines anderen zu versenden. Gängige Email-Clients machen es dem Nutzer oft sehr schwer, das zu erkennen, da der wahre Absender teilweise im (meist nicht angezeigten) Header der Email zu sehen ist. Beispielsweise zeigen Programme wie Microsoft Outlook dem Nutzer diesen Header lediglich in einer reduzierten Version an, die genau diese Informationen nicht mehr enthält. Wer dann mehr sehen will, muss sich die Schaltfläche "Nachrichtenoptionen" erst wieder in die Menüleiste holen.

Einer der letzten großen Würfe zu dem Thema war die "Volksverschlüsselung" vom Fraunhofer-Institut für Sichere Informationstechnologie (Fraunhofer SIT), über das wir bereits im April letzten Jahres berichtet haben. Das Fraunhofer SIT ist mittlerweile eine Kooperation mit der Deutschen Telekom eingegangen und will mit der Email-Verschlüsselung "im ersten Halbjahr 2016" starten.

Die Prüfung bei SecurePIM beschränkt sich, anders als bei der Fraunhofer-Lösung, bei der sich der Nutzer zuerst über eine elektronische Identität (eID) oder vergleichbare Verfahren authentifizieren muss, auf die Prüfung der Email-Identität. Dazu genügt es, dass sich der Nutzer korrekt gegenüber seinem Email-Provider authentifizieren kann. Der Nutzer lädt sich dazu über den Play-Store von Google oder Apples App-Store die SecurePIM-App auf sein Handy oder Tablet. Bei der App handelt es sich um einen Email-Client, der möglichst nah an den nativen Email-Clients der beiden Betriebssysteme entwickelt wurde. Die weitere Einrichtung ist einfach: Wie bei jedem anderen Email-Client meldet sich der Nutzer per IMAP mit seinem Login-Daten bei seinem Email-Provider an, von dem die App nach erfolgter Authentifizierung per "autodiscover" alle weiteren notwendigen Daten, wie Servername und Ports, erhält. Danach legt SecurePIM Zertifikate mit einer Schlüssellänge von 2048 Bit an, die dem schweizer Unternehmen SwissSign ausgegeben werden. Die zugehörigen Generalschlüssel sind bei schweizer Banken hinterlegt. Die App selbst kann darüber hinaus mit einem Passwort gegen unbefugte Nutzung gesichert werden.

Mit diesen einfachen Schritten ist die Arbeit getan und der Nutzer kann ab sofort verschlüsselt Emails versenden. Mit der Email empfangene Dokumente werden auf dem Mobilgerät in einem speziellen Container abgelegt, der bei den Apple-Geräten zudem von der Synchronisation per iCloud ausgenommen ist. Unter Android liegt der Container noch auf dem internen Speicher des Geräts. Eine künftige Version soll auch Speicher auf einer SD-Karte verwenden können.

Als Email-Protokoll kommt bei verschlüsselten Emails S/MIME zum Einsatz. Öffnet man eine solche Email, sieht man im Klartext lediglich Absender und Empfänger sowie den Betreff der Email. Alles andere ist verschlüsselt und stellt für einen unberechtigten Leser nichts anderes als Zeichensalat dar.

Ganz ohne Nachteile geht es nicht
Auch wenn die App zum Beispiel bei Exchange-Konten die Kontakte ebenfalls mit ausliest, sind diese wegen der von der App im Arbeitsspeicher durchgeführten die Verschlüsselung für andere Anwendungen nicht verfügbar. Das hat jedoch zur Folge, dass bei eingehenden Anrufen nicht mehr, wie gewohnt, der zugehörige Kontakt angezeigt wird. Um diese Funktion trotz Verschlüsselung zu bewahren, müssen Anwender ihre Kontakte in einem anderen Tool, beispielsweise dem nativen Email-Client des Mobilgeräts, laden. Verschlüsselte Emails werden in diesem Email-Client dann natürlich nicht lesbar dargestellt. Außerdem werden (derzeit) Kalendereinträge nicht mit ausgelesen.

Das Produkt SecurePIM ist derzeit noch ausschließlich für Android (ab 4.2) und iOS (ab Version 8) verfügbar. Eine Version für Windows- und Mac-PCs soll noch im Frühjahr folgen. Dieses Tool soll dann den Import der Schlüssel vom Smartphone oder Tablet auf den PC und in den dort eingesetzten Mail-Client übernehmen. Unterstützt werden sollen die Email-Clients Apple-Mail, Thunderbird und MS Outlook ab Version 2007. Der Transfer des Zertifikats erfolgt dabei über einen gesicherten Tunnel. Dazu scannt der Nutzer mit seinem Smartphone einen QR-Code ab, der auf dem PC angezeigt wird und die entsprechenden Zielinformationen enthält. Alles weitere erfolgt auch hier wieder ohne weitere Interaktion des Nutzers.

Eine Nutzung in Browser-basierten Email-Clients wie Outlook Web Access ist prinzipiell nicht möglich, da beim Zwischenspeichern des Schlüssels ein Sicherheitsleck entstehen würde.

Im Client – unabhängig davon, ob es sich um den SecurePIM-Client auf dem Mobilgerät oder den Mail-Client auf dem PC handelt – sieht der Nutzer sofort nach der Einrichting anhand zweier kleiner Symbole in der geöffneten Email beziehungsweise einem Symbol in der Email-Übersicht, ob eine Email verschlüsselt gesendet oder empfangen wurde und kann beim Versenden für jede Email-Adresse festlegen, ob immer verschlüsselt oder unverschlüsselt kommuniziert werden soll. Er kann aber auch für jede Email einzeln entscheiden, ob er sie verschlüsseln will oder nicht.

"Wir sind stolz auf die erste deutsche Sicherheitslösung für Apple iPhone und iPad, doch jetzt kann SecurePIM noch mehr", erklärt Dr. Raoul Herborg, CEO der Virtual Solution AG. "Dies ist die erste und somit einzige App, die verschlüsselte Emails wirklich leicht und intuitiv nutzbar macht. Es gibt ja schon lange die Möglichkeit, verschlüsselt und sicher zu mailen. Jedoch ist bislang der Installationsaufwand und die Pflege für den Privatanwender zu hoch. SecurePIM erledigt dies jetzt automatisch für den Anwender."

Herborg fügt hinzu: "SecurePIM bringt mehr Sicherheit für jeden Anwender, eröffnet aber auch neue Perspektiven für ganze Branchen wie Banken, Versicherer, Gesundheitsanbieter oder Mobilfunkanbieter. Hier steht jetzt der Weg der E-Mail für den Versand von vertraulichen Daten an die Konsumenten offen. SecurePIM ist die disruptive App für vertraulichen Datenaustausch!"

Auf Nachfrage erhielt Tom's Networking von Virtual Solution folgendes Statement zur Abgrenzung von SecurePIM von der Fraunhofer-Lösung:

"Die Volksverschlüsselung von Fraunhofer SIT stellt Class-3-Zertifikate aus, die nicht nur eine Email-Adresse beinhalten, sondern auch den vollen Namen des Zertifikatsinhabers. Die Echtheit des Namens muss über ein umständliches Verfahren geprüft werden – zum Beispiel über PostIdent oder die eID-Funktionen des neuen Personalausweises (nPA). Dies stellt eine große Hürde für Nutzer dar und damit auch einen Grund, sich gegen Verschlüsselung zu entscheiden. SecurePIM setzt dagegen auf Usability, bei gleichzeitig hohem Sicherheitsstandard. Die Installation der App erfolgt binnen Minuten. Darüber hinaus hat das Fraunhofer SIT zunächst den Desktop im Auge, eine mobile Lösung ist in Planung. SecurePIM adressiert die mobile Nutzung per App und die stationäre Nutzung mit unterschiedlichen Mailprogrammen. Der Dienst zur Volksverschlüsselung von Fraunhofer SIT umfasst lediglich das Zertifikat und eine Software, um den Desktop-Client und Browser zu konfigurieren. SecurePIM dagegen bietet Zusatzfunktionen wie zum Beispiel einen sicheren Container und den Personal-Information-Manager-Client."

Das Framework hinter SecurePIM ist seit Ende 2015 vom BSI zertifiziert und für die Nutzung im Behördenumfeld freigegeben. Neben der Endanwender-Version gibt es bereits zwei Version für Unternehmen bzw. Behörden, die sich vor allem im Management von der Endanwender-Lösung unterscheiden. So sind Kalenderfunktionen ausschließlich in den Lösungen für Unternehmen und Behörden verfügbar. Außerdem gibt es in diesen Versionen noch Funktionen für sichere Fileshares, wobei die Authentifizierung optional über eine Smartcard erfolgen kann.

Preis und Verfügbarkeit:
Die App ist ab sofort in den App-Stores von Android und iOS verfügbar. Der Download aus dem App-Store ist kostenlos. Nach einer dreimonatigen Testphase muss der Nutzer eine Lizenz erwerben, die pro Jahr 24 Euro kosten soll und den Preis für das Zertifikat von SwissSign bereits enthält. Zahlung der Lizenz soll nach aktuellem Stand per In-App-Kauf erfolgen, in der aktuellen Version der App ist das jedoch noch nicht möglich. Diese Option wird erst über ein Update integriert, das rechtzeitig vor Ablauf der kostenlosen Testphase erscheinen soll.


Leserkommentar

Keine Kommentare

Kommentar hinzufügen

* - Pflichtfeld

*





*
*
Rubriken
Anzeige
Anzeige
Anzeige
Anzeige
News

BPC - The next big thing

Udo Schneider, Security Evangelist von Trend Micro, demonstriert Business Process Compromise auf der CeBIT-Preview 2017. (Foto: Reinhard Bimashofer)

BPC steht für Business Process Compromise und schickt sich an, nach Ransomware die nächste große...

[mehr]

In Erinnerung an Raimund Genes

Raimund Genes

Trend Micro trauert um langjährigen Chief Technology Officer

[mehr]

HR-Manager der Zukunft – ein Berufsbild im Wandel

Ulrich Jänicke, CEO und Mitgründer der Aconso AG

Durch die zunehmende Digitalisierung erfolgt der Informationsaustausch heute schneller und...

[mehr]

FAST LTA entwickelt zur CeBit 2017 Leidenschaft für Datensicherung

Silent Brick Produktfamilie ©FAST LTA

Der Münchner Spezialist für Speichersysteme zeigt in Hannover sein Silent-Brick-System, erweitert...

[mehr]

Acronis True Image 2017: Backup mit Sicherheit und Signaturen

Serguei Beloussov verweist stolz auf den Gold Self Protection Award für die Acronis Active Protection. (Bild: Arno Kral)

Die neue Generation der Acronis-Backup-Lösung verheißt Hilfe gegen Cyber-Bedrohungen mit...

[mehr]

IoT-tauglicher Flash-Speicher von Adesto

Gideon Intrater am Adesto-.Stand auf der electronica 2016 (Bild: Adesto)

Auf der electronica 2016 zeigt Adesto in München Flash-Speicher mit deutlich verbesserten...

[mehr]
Anzeige
Anzeige