E-Mail-Sicherheit

Workshop: E-Mails unter Outlook 2010 richtig verschlüsseln

Sichere E-Mails unter Outlook 2010

Outlook 2010 gehört immer noch zu den häufig genutzten E-Mail-Programmen in Unternehmen. Entsprechende Sicherheitseinstellungen sind deshalb Pflicht. Um die Hashing- und Verschlüsselungsalgorithmen in Outlook 2010 zu überprüfen, suchen Sie die Sicherheitseinstellungen in Outlook über Datei -> Optionen-> Sicherheitscenter -> Einstellungen für das Sicherheitscenter -> Registerkarte E-Mail-Sicherheit-> Einstellungen. Im Idealfall sollten der Hashalgorithmus auf SHA-1 und der Verschlüsselungsalgorithmus auf AES (256-Bit) eingestellt werden.

Richtiges Setup: Sicherheitsrelevante Einstellungen unter Outlook 2010 lassen sich in dieser Registerkarte durchführen.
Richtiges Setup: Sicherheitsrelevante Einstellungen unter Outlook 2010 lassen sich in dieser Registerkarte durchführen.
Foto: Ben Lightowler

Fehler vermeiden

Um einen "Flagging Error" beim Verschlüsseln zu vermeiden, sollte 'Nachrichten als Klartext senden' markiert sein. Diese Option finden Sie in Outlook über Datei -> Optionen-> Sicherheitscenter -> Einstellungen für das Sicherheitscenter -> Registerkarte E-Mail-Sicherheit:

Achtung: Mit dieser Einstellung lässt sich ein "Flagging Error" vermeiden.
Achtung: Mit dieser Einstellung lässt sich ein "Flagging Error" vermeiden.
Foto: Ben Lightowler

Fehler beheben

Outlook-2010-Nutzer werden unter Umständen feststellen, dass die Empfänger ihrer verschlüsselten E-Mails diese nicht entschlüsseln können. Microsoft hat dazu folgenden Fix veröffentlicht:

  1. Starten Sie den Registrierungseditor: Start -> Ausführen -> regedit.

  2. Suchen Sie den folgenden Registry-Unterschlüssel: HKEY_CURRENT_USER\Software\Microsoft\Office\14.0\Outlook\Security und klicken Sie ihn an.

  3. Hinweis: Erstellen Sie den Registry-Unterschlüssel \ Security, wenn er nicht vorhanden ist.

  4. Führen Sie folgenden Rechtsklick aus: -> Neu -> DWORD-Wert (32 Bit).

  5. Fügen Sie zum Schlüssel die folgenden Registry-Daten hinzu: Value Name: UseIssuerSerialNumber Value Data: 1 (0x00000001 (1)).

  6. Schließen Sie regedit und starten Sie Outlook neu.

Dieser schnelle Fix ändert die Methode, mit der die E-Mails verschlüsselt werden.

E-Mails lesbar machen: Mit einem Microsoft-Fix kann der Empfänger von verschlüsselten E-Mails unter Outlook 2010 diese wieder entschlüsseln.
E-Mails lesbar machen: Mit einem Microsoft-Fix kann der Empfänger von verschlüsselten E-Mails unter Outlook 2010 diese wieder entschlüsseln.
Foto: Ben Lightowler

Anstatt der neueren Subject Key Identifier (SKI)-Methode verwendet Outlook die Seriennummer (S/N) des Zertifikats. SKI hat den Vorteil, dass mehrere "neu ausgestellte" Zertifikate alle den gleichen SKI haben können (SKI ist ein SHA-1-Hash des öffentlichen Schlüssels), statt an eine einzige Seriennummer gebunden zu sein.

Klassisch: Anstatt der neueren Subject-Key-Identifier (SKI)-Methode, verwendet Outlook die Seriennummer (S/N) des Zertifikats.
Klassisch: Anstatt der neueren Subject-Key-Identifier (SKI)-Methode, verwendet Outlook die Seriennummer (S/N) des Zertifikats.
Foto: Ben Lightowler

Allerdings ist SKI bei anderen Mail-Clients und Betriebssystemen nicht besonders weit verbreitet (beschrieben in RFC 5652 und in der Cryptographic Message Syntax (CMS) umgesetzt).

Erfolgreiche Nummernsuche: Hier findet der Anwender die Seriennummer (S/N) des Zertifikats.
Erfolgreiche Nummernsuche: Hier findet der Anwender die Seriennummer (S/N) des Zertifikats.
Foto: Ben Lightowler

Mehr Infos dazu finden Sie auch im entsprechenden Artikel der Microsoft Knowledge Base.

Und dann noch der Anhang

Ein weiteres Problem, das Outlook 2010-Nutzern begegnen kann, sind Fehler bei Anhängen. Es kommt vor, dass Mac-OS-X-Nutzer (auch diejenigen, die Outlook für Mac verwenden) winmail.dat-Anhänge empfangen, wie hier gezeigt:

Versandfehler: Wenn ein MAC-OSX-Nutzer eine winmail.dat-Datei als Anhang erhält, liegt der Fehler oft am Outlook-2010-Absender.
Versandfehler: Wenn ein MAC-OSX-Nutzer eine winmail.dat-Datei als Anhang erhält, liegt der Fehler oft am Outlook-2010-Absender.
Foto: Ben Lightowler

Der Absender (ein Outlook-2010-Nutzer) verursacht dieses Problem, wenn er als E-Mail-Format Rich Text verwendet. Um diese Option vorübergehend von Nachricht zu Nachricht zu ändern, ist die Option unter der Registerkarte 'Text formatieren' beim Verfassen einer neuen Nachricht verfügbar.

Problematisch: Das E-Mail-Format "Rich Text" unter Outlook 2010 verursacht beim Empfänger oft Probleme.
Problematisch: Das E-Mail-Format "Rich Text" unter Outlook 2010 verursacht beim Empfänger oft Probleme.
Foto: Ben Lightowler

Will man die Option durchgängig auf diese Einstellung verändern, wählt man unter Datei-> Optionen-> E-Mail-> Nachrichten verfassen-> Nachrichten in diesem Format verfassen.

Es ist durchaus sinnvoll, diese Option generell auf "Nur-Text" oder "HTML" einzustellen.

Und zum Schluss: Sicherungskopie erstellen

Wenn man ein digitales Zertifikat und einen öffentlichen Schlüssel verwendet, sollte man immer eine Sicherungskopie des Zertifikats und des privaten Schlüssels erstellen. Windows-Nutzer können ein Backup in Form einer passwortgeschützten PKCS#12 (.pfx)-Datei erstellen. Dazu öffnen Sie den Internet Explorer im Administratormodus (der bietet die erforderlichen Berechtigungen für den Export von privaten Schlüsseln). Suchen Sie in allen Versionen vor Internet Explorer 9 den Truststore über Extras-> Internetoptionen-> Inhalte-> Zertifikate. Öffnen Sie Internet Explorer 9, wieder im Administratormodus, und suchen den Zertifikatspeicher über das Zahnradsymbol in der oberen rechten Ecke Ihres Browsers. Klicken Sie dann auf -> Internetoptionen-> Inhalte-> Zertifikate.

Pflichtübung: Nutzt der Outlook-Anwender ein digitales Zertifikat und einen öffentlichen Schlüssel, sollte er immer eine Sicherungskopie des Zertifikats und des privaten Schlüssels erstellen.
Pflichtübung: Nutzt der Outlook-Anwender ein digitales Zertifikat und einen öffentlichen Schlüssel, sollte er immer eine Sicherungskopie des Zertifikats und des privaten Schlüssels erstellen.
Foto: Ben Lightowler

Wählen Sie als Nächstes Ihr Zertifikat aus der Registerkarte Eigene Zertifikate aus und klicken auf die Schaltfläche Exportieren. Wählen Sie das Optionsfeld Privaten Schlüssel exportieren und folgen dem Exportassistenten. Sobald Sie das Zertifikat gesichert haben und das ausstellende Zertifikat sowie die PKCS12-Datei zur Verfügung stehen, speichern Sie diese auf einem externen gesicherten Medium.