YB - stock.adobe.com
E-Mail-Verschlüsselung: Systeme sicher migrieren
Ein Wechsel des E-Mail-Systems, etwa von Domino/Notes zu Exchange bringt auch Sicherheitsfragen mit sich. Wie lässt sich Verschlüsselung bei der Migration gewährleisten?
Viele Unternehmen entscheiden sich für einen Umzug ihres E-Mail-Systems von IBM Domino zu Microsoft Exchange. Oder aber sie wechseln zu Office 365 in die Cloud. Da E-Mails oft sensible Informationen oder personenbezogene Daten enthalten, sollten sie auch bei der Migration geschützt werden. Nachrichten, die bereits in IBM Notes verschlüsselt waren, sollten auch weiterhin verschlüsselt bleiben – und solche, die bisher im Klartext vorlagen, sollten spätestens beim Umzug in die Cloud verschlüsselt werden.
Kommt es in der Übergangsphase zu einem Parallelbetrieb von zwei verschiedenen Systemen, muss auch dann sichere Kommunikation gewährleistet sein. Spielen wir einmal verschiedene Szenarien durch.
Migration von IBM Notes zu Microsoft Exchange
IBM Notes war lange Zeit ein beliebtes E-Mail-System im Business-Umfeld. Heute entscheiden sich viele Unternehmen aber, ihre traditionellen Strukturen durch Microsoft Exchange abzulösen. Meist nutzen sie ohnehin viele andere Produkte aus dem Microsoft-Kosmos, so dass sich die Interoperabilität durch den Umzug verbessert und die Komplexität der Infrastruktur reduziert. Eine solche Migration will gut geplant sein und braucht Zeit. In der Regel ziehen Unternehmen daher nicht alle Postfächer gleichzeitig um, sondern schrittweise über einen festgelegten Zeitraum hinweg. So kommt es zu einer Übergangsphase, in der beide E-Mail-Systeme parallel betrieben werden.
IBM Notes und Microsoft Exchange haben jedoch unterschiedlichen Funktionsumfang. Notes bietet eine proprietäre, integrierte Verschlüsselung, Outlook dagegen nicht. Alle Notes-Nutzer besitzen über ihre User ID automatisch Schlüsselpaare, so dass sie mit anderen Notes-Nutzern im selben Unternehmen verschlüsselt kommunizieren können. Da Outlook-Nutzer diese E-Mails jedoch nicht lesen könnten, erfolgt die interne Kommunikation im Parallelbetrieb in der Regel unverschlüsselt. Auch E-Mails, die an externe Empfänger gehen, werden auf dem Weg durch das Unternehmensnetzwerk bis zum E-Mail-Gateway dann im Klartext übertragen. Das aber birgt Sicherheitsrisiken, denn auch interne Nachrichten enthalten oft vertrauliche Informationen, die nur für den Empfänger bestimmt sind. In der Kommunikation zwischen Personalabteilung und Mitarbeitern geht es zum Beispiel meist um personenbezogene Daten, die der europäischen Datenschutz-Grundverordnung (DSGVO) unterliegen und deshalb verschlüsselt werden sollten.
Sicherer Parallelbetrieb und Umzug dank Hybrid-Verschlüsselung
Um bei der Migration trotz der parallel betriebenen Systeme sowohl interne als auch externe Kommunikation zu schützen, empfiehlt sich der Einsatz einer Hybrid-Verschlüsselungslösung. Sie wird zwischen die Systeme geschaltet und verschlüsselt E-Mails im S/MIME-Standard. Da sowohl Notes als auch Outlook diesen Standard nativ unterstützen – wie eigentlich alle gängigen E-Mail-Clients – können Nutzer beider Programme die Nachricht lesen, sofern sie über den jeweiligen Schlüssel verfügen. Darum müssen sie sich jedoch selbst nicht kümmern, denn der Austausch der Schlüssel und S/MIME-Zertifikate erfolgt automatisiert im Hintergrund.
Nachrichten, die an externe Empfänger gehen, werden verschlüsselt an ein Encryption Gateway übertragen, dort entschlüsselt, den unternehmenseigenen Sicherheitskontrollen unterworfen und dann wieder neu verschlüsselt – und zwar mit dem Verschlüsselungsstandard, den der Empfänger nutzt. E-Mails, die bereits verschlüsselt im Postfach eines Notes-Nutzers liegen und nun nach Exchange umgezogen werden, müssen zunächst durch Notes entschlüsselt werden, bevor die Hybrid-Verschlüsselungslösung sie anschließend mit dem S/MIME-Standard neu verschlüsseln kann, sodass sie auch im neuen System nach wie vor geschützt sind.
Migration zu Office 365
Ein anderes häufiges Migrations-Szenario ist der Wechsel von Exchange-On-Premises auf Exchange Online. Unternehmen beginnen ihren Weg in die Cloud oft mit einem Umzug des E-Mail-Systems.
„Ein Wechsel der E-Mail-Infrastruktur ist eine Herausforderung, die eine durchdachte Migrationsstrategie erfordert. Dabei sollten IT-Verantwortliche die Sicherheit nicht vergessen.“
Marcel Mock, Totemo
In der Regel müssen dafür bestehende Postfächer verschoben werden. Wenn diese auf den lokalen Servern bisher nicht verschlüsselt waren, birgt dies jedoch ein Sicherheitsproblem. Denn in der Cloud sollten sensible Daten unbedingt geschützt werden. Auch hier kann eine hybride Verschlüsselungslösung helfen. Sie verschlüsselt alle Nachrichten vor der Migration mit dem privaten Schlüssel des Nutzers. Die Schlüssel bleiben dabei im Unternehmen, sodass die E-Mails auch dann sicher sind, wenn der Cloud-Dienst einmal kompromittiert werden sollte.
Fazit
Ein Wechsel der E-Mail-Infrastruktur ist eine Herausforderung, die eine durchdachte Migrationsstrategie erfordert. Dabei sollten IT-Verantwortliche die Sicherheit nicht vergessen. Eine hybride Verschlüsselungslösung ermöglicht es, sensible Daten sowohl in der internen als auch der externen Kommunikation während der Migrationsphase zu schützen und den Umzug von bestehenden Postfächern sicher durchzuführen.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder und entsprechen nicht unbedingt denen von ComputerWeekly.de.