E-Mail-Verschlüsselung

Dieser Artikel vergleicht Verschlüsselungsoptionen in Microsoft 365 einschließlich Microsoft Purview Message Encryption, S/MIME, Information Rights Management (IRM) und führt Transport Layer Security (TLS) ein.

Microsoft 365 bietet mehrere Verschlüsselungsoptionen, die Sie bei der Erfüllung Ihrer geschäftlichen Anforderungen hinsichtlich E-Mail-Sicherheit unterstützen. In diesem Artikel werden drei Methoden zum Verschlüsseln von E-Mail in Office 365 präsentiert. Weitere Informationen zu allen Sicherheitsfeatures in Office 365 erhalten Sie im Office 365 Trust Center. In diesem Artikel werden die drei Verschlüsselungstypen vorgestellt, die Office 365-Administratoren zum Sichern von E-Mails in Microsoft 365 zur Verfügung stehen:

  • Microsoft Purview-Nachrichtenverschlüsselung.

  • Secure/Multipurpose Internet Mail Extensions (S/MIME)

  • Information Rights Management (IRM).

Verwendung der E-Mail-Verschlüsselung durch Microsoft 365

Verschlüsselung ist der Prozess, mit dem Informationen codiert werden, sodass nur autorisierte Empfänger sie decodieren und die Informationen nutzen können. Microsoft 365 verwendet Verschlüsselung auf zwei Arten: im Dienst und als Kundensteuerelement. Bei der Methode „im Dienst“ erfolgt die Verschlüsselung standardmäßig in Microsoft 365. Sie müssen nichts konfigurieren. Microsoft 365 verwendet z. B. Transport Layer Security (TLS), um die Verbindung bzw. die Sitzung zwischen zwei Servern zu verschlüsseln.

So funktioniert die E-Mail-Verschlüsselung in der Regel:

  • Eine Nachricht wird entweder lokal auf dem Computer des Absenders oder durch einen zentralen Server während der Nachrichtenübertragung verschlüsselt, d. h. aus Nur-Text in nicht lesbaren Chiffretext umgewandelt.

  • Die Nachricht verbleibt während der gesamten Übertragung im Chiffretextformat, um zu verhindern, dass sie gelesen werden kann, falls sie abgefangen werden sollte.

  • Nachdem die Nachricht vom Empfänger empfangen wurde, wird sie mit einer der folgenden zwei Methoden wieder in lesbaren Nur-Text umgewandelt:

    • Der Computer des Empfängers entschlüsselt die Nachricht mithilfe eines Schlüssels.

    • Ein zentraler Server entschlüsselt die Nachricht im Auftrag des Empfängers, nachdem er die Identität des Empfängers überprüft hat.

Weitere Informationen zur Sicherung der Kommunikation zwischen Servern in Microsoft 365, z. B. zwischen Organisationen innerhalb von Microsoft 365 oder zwischen Microsoft 365 und einem vertrauenswürdigen Geschäftspartner außerhalb von Microsoft 365, finden Sie unter Verwenden von TLS durch Exchange Online zum Absichern von E-Mail-Verbindungen in Microsoft 365.

Vergleichen der in Office 365 verfügbaren E-Mail-Verschlüsselungsoptionen

E-Mail-Verschlüsselungstechnologien Konzeptionelle Grafik, die OME beschreibt. Konzeptionelle Grafik, die IRM beschreibt. Konzeptionelle Grafik, die SMIME beschreibt.
Was ist das? Die Nachrichtenverschlüsselung ist ein Dienst, der auf Azure Rights Management (Azure RMS) basiert, mit dem Sie verschlüsselte E-Mails an Personen innerhalb oder außerhalb Ihrer Organisation senden können, unabhängig von der Ziel-E-Mail-Adresse (Gmail, Yahoo! Mail, Outlook.com usw.).
Als Administrator können Sie Transportregeln einrichten, die die Bedingungen für die Verschlüsselung definieren. Wenn ein Benutzer eine Nachricht sendet, die mit einer Regel übereinstimmt, wird die Verschlüsselung automatisch angewendet.
Zum Anzeigen verschlüsselter Nachrichten können Empfänger entweder eine einmalige Kennung abrufen, sich mit einem Microsoft-Konto anmelden oder sich mit einem Geschäfts- oder Schulkonto anmelden, das Office 365 zugeordnet ist. Empfänger können auch verschlüsselte Antworten senden. Sie benötigen kein Microsoft 365-Abonnement, um verschlüsselte Nachrichten anzuzeigen oder verschlüsselte Antworten zu senden.
IRM ist eine Verschlüsselungslösung, die auch Nutzungseinschränkungen auf E-Mail-Nachrichten anwendet. Mit dieser Lösung können Sie verhindern, dass vertrauliche Informationen von nicht autorisierten Personen gedruckt, weitergeleitet oder kopiert werden.
IRM-Funktionen in Microsoft 365 verwenden Azure Rights Management (Azure RMS).
S/MIME ist eine zertifikatbasierte Verschlüsselungslösung, mit der Sie Nachrichten sowohl verschlüsseln als auch digital signieren können. Durch die Nachrichtenverschlüsselung kann sichergestellt werden, dass nur der vorgesehene Empfänger die Nachricht öffnen und lesen kann. Mithilfe einer digitalen Signatur kann den Empfänger die Identität des Absenders überprüfen.
Sowohl digitale Signaturen als auch Nachrichtenverschlüsselung werden durch die Verwendung eindeutiger digitale Zertifikate ermöglicht, die die Schlüssel für die Überprüfung digitaler Signaturen und die Verschlüsselung bzw. Entschlüsselung von Nachrichten enthalten.
Um S/MIME verwenden zu können, müssen Sie über gespeicherte öffentliche Schlüssel für jeden Empfänger verfügen. Empfänger müssen ihre eigenen privaten Schlüssel verwalten, die dauerhaft gesichert sein müssen. Wenn der private Schlüssel eines Empfängers gefährdet ist, muss der Empfänger einen neuen privaten Schlüssel abrufen und neue öffentliche Schlüssel an alle potenziellen Absender verteilen.
Vorhandene Funktionen OME:
Verschlüsselt Nachrichten, die an interne oder externe Empfänger gesendet werden.
Ermöglicht Benutzern das Senden verschlüsselter Nachrichten an beliebige E-Mail-Adressen, einschließlich Outlook.com, Yahoo! Mail und Gmail.
Ermöglicht es Ihnen als Administrator, das E-Mail-Anzeigeportal entsprechend der Marke Ihrer Organisation anzupassen.
Die Schlüssel werden von Microsoft sicher verwaltet und gespeichert, Sie müssen sich nicht darum kümmern.
Es ist keine spezielle clientseitige Software erforderlich, sofern die verschlüsselte Nachricht (als HTML-Anlage gesendet) in einem Browser geöffnet werden kann.
IRM:
Verwendet Verschlüsselung und Verwendungseinschränkungen, um Online- und Offlineschutz für E-Mails und Anlagen bereitzustellen.
Gibt Ihnen als Administrator die Möglichkeit, Transportregeln oder Outlook-Schutzregeln einzurichten, um IRM automatisch auf ausgewählte Nachrichten anzuwenden.
Ermöglicht Benutzern das manuelle Anwenden von Vorlagen in Outlook im Web (früher Outlook Web App).
In S/MIME erfolgt die Absenderauthentifizierung durch digitale Signaturen, und die Vertraulichkeit von Nachrichten wird durch Verschlüsselung sichergestellt.
Nicht vorhandene Funktionen Mit OME können keine Nutzungseinschränkungen auf Nachrichten angewendet werden. Sie können damit z. B. nicht verhindern, dass Empfänger eine verschlüsselte Nachricht weiterleiten oder drucken. Einige Anwendungen unterstützen eventuell nicht auf allen Geräten IRM-E-Mails. Weitere Informationen zu diesen und anderen Produkten, die IRM-E-Mail unterstützen, finden Sie unter Client-Gerätefunktionen. Mit S/MIME können verschlüsselte Nachrichten nicht auf Schadsoftware, Spam oder Richtlinien überprüft werden.
Empfehlungen und Beispielszenarien Die Verwendung von OME wird empfohlen, wenn Sie vertrauliche Geschäftsinformationen an Personen außerhalb Ihrer Organisation senden möchten, unabhängig davon, ob es sich um Verbraucher oder andere Unternehmen handelt. Beispiel:
Ein Bankangestellter sendet Kreditkartenabrechnungen an Kunden
Eine Arztpraxis sendet eine Krankenakte an einen Patienten.
Ein Anwalt sendet vertrauliche Rechtsinformationen an einen anderen Anwalt.
Die Verwendung von IRM wird empfohlen, wenn Sie Nutzungseinschränkungen und Verschlüsselung anwenden möchten. Beispiel:
Ein Vorgesetzter, der vertrauliche Details über ein neues Produkt an sein Team sendet, wendet die Option "Nicht weiterleiten" an.
Eine Führungskraft muss ein Angebot für ein anderes Unternehmen freigeben, das eine Anlage von einem Partner enthält, der Office 365 verwendet, und sowohl die E-Mail als auch die Anlage müssen geschützt werden.
Die Verwendung von S/MIME wird empfohlen, wenn Ihre Organisation oder die Organisation des Empfängers in eine echte Peer-zu-Peer-Verschlüsselung benötigt.
S/MIME wird am häufigsten in den folgenden Szenarien verwendet:
Kommunikation zwischen Behörden
Kommunikation zwischen einem Unternehmen und einer Behörde

Welche Verschlüsselungsoptionen sind für mein Microsoft 365-Abonnement verfügbar?

Informationen zu den E-Mail-Verschlüsselungsoptionen für Ihr Microsoft 365-Abonnement finden Sie unter Exchange Online-Dienstbeschreibung. Hier finden Sie Informationen zu den folgenden Verschlüsselungsfunktionen:

  • Azure RMS, einschließlich IRM-Funktionen und Microsoft Purview-Nachrichtenverschlüsselung

  • S/MIME

  • TLS

  • Verschlüsselung von Daten im Ruhezustand (über BitLocker)

Sie können auch Verschlüsselungstools von Drittanbietern mit Microsoft 365 verwenden, z. B. PGP (Pretty Good Privacy). Microsoft 365 unterstützt kein PGP/MIME, und Sie können PGP-verschlüsselte E-Mails nur mit PGP/Inline senden und empfangen.

Wissenswertes zur Verschlüsselung von Daten im Ruhezustand

„Ruhende Daten“ bezieht sich auf Daten, die gerade nicht aktiv übertragen werden. In Microsoft 365 werden ruhende E-Mail-Daten mithilfe der BitLocker-Laufwerksverschlüsselung verschlüsselt. BitLocker verschlüsselt die Festplatten in Microsoft-Rechenzentren, um erweiterten Schutz vor unbefugtem Zugriff bereitzustellen. Weitere Informationen finden Sie unter BitLocker-Übersicht.

Weitere Informationen zu E-Mail-Verschlüsselungsoptionen

Weitere Informationen zu den E-Mail-Verschlüsselungsoptionen in diesem Artikel sowie zu TLS finden Sie in diesen Artikeln:

Microsoft Purview-Nachrichtenverschlüsselung

Nachrichtenverschlüsselung

IRM

Verwaltung von Informationsrechten in Exchange Online

Was ist Azure Rights Management?

S/MIME

S/MIME für die Nachrichtensignierung und -verschlüsselung

Grundlegendes zu S/MIME

Grundlegendes zur Verschlüsselung mit öffentlichen Schlüsseln

TLS

Konfigurieren des benutzerdefinierten E-Mail-Flusses mithilfe von Connectors