E-Mail-Verschlüsselung
Dieser Artikel vergleicht Verschlüsselungsoptionen in Microsoft 365 einschließlich Microsoft Purview Message Encryption, S/MIME, Information Rights Management (IRM) und führt Transport Layer Security (TLS) ein.
Microsoft 365 bietet mehrere Verschlüsselungsoptionen, die Sie bei der Erfüllung Ihrer geschäftlichen Anforderungen hinsichtlich E-Mail-Sicherheit unterstützen. In diesem Artikel werden drei Methoden zum Verschlüsseln von E-Mail in Office 365 präsentiert. Weitere Informationen zu allen Sicherheitsfeatures in Office 365 erhalten Sie im Office 365 Trust Center. In diesem Artikel werden die drei Verschlüsselungstypen vorgestellt, die Office 365-Administratoren zum Sichern von E-Mails in Microsoft 365 zur Verfügung stehen:
Microsoft Purview-Nachrichtenverschlüsselung.
Secure/Multipurpose Internet Mail Extensions (S/MIME)
Information Rights Management (IRM).
Tipp
Wenn Sie kein E5-Kunde sind, verwenden Sie die 90-tägige Testversion von Microsoft Purview-Lösungen, um zu erfahren, wie zusätzliche Purview-Funktionen Ihre Organisation bei der Verwaltung von Datensicherheits- und Complianceanforderungen unterstützen können. Beginnen Sie jetzt im Microsoft Purview-Testversionshub. Erfahren Sie mehr über Anmelde- und Testbedingungen.
Verschlüsselung ist der Prozess, mit dem Informationen codiert werden, sodass nur autorisierte Empfänger sie decodieren und die Informationen nutzen können. Microsoft 365 verwendet Verschlüsselung auf zwei Arten: im Dienst und als Kundensteuerelement. Im Dienst wird Verschlüsselung in Microsoft 365 standardmäßig verwendet. Sie müssen keine Konfiguration vornehmen. Microsoft 365 verwendet z. B. Transport Layer Security (TLS), um die Verbindung bzw. die Sitzung zwischen zwei Servern zu verschlüsseln.
So funktioniert die E-Mail-Verschlüsselung in der Regel:
Eine Nachricht wird entweder lokal auf dem Computer des Absenders oder durch einen zentralen Server während der Nachrichtenübertragung verschlüsselt, d. h. aus Nur-Text in nicht lesbaren Chiffretext umgewandelt.
Die Nachricht verbleibt während der gesamten Übertragung im Chiffretextformat, um zu verhindern, dass sie gelesen werden kann, falls sie abgefangen werden sollte.
Nachdem die Nachricht vom Empfänger empfangen wurde, wird sie mit einer der folgenden zwei Methoden wieder in lesbaren Nur-Text umgewandelt:
Der Computer des Empfängers entschlüsselt die Nachricht mithilfe eines Schlüssels.
Ein zentraler Server entschlüsselt die Nachricht im Auftrag des Empfängers, nachdem er die Identität des Empfängers überprüft hat.
Weitere Informationen zur Sicherung der Kommunikation zwischen Servern in Microsoft 365, z. B. zwischen Organisationen innerhalb von Microsoft 365 oder zwischen Microsoft 365 und einem vertrauenswürdigen Geschäftspartner außerhalb von Microsoft 365, finden Sie unter Verwenden von TLS durch Exchange Online zum Absichern von E-Mail-Verbindungen in Microsoft 365.
E-Mail-Verschlüsselungstechnologien | |||
---|---|---|---|
Was ist das? | Die Nachrichtenverschlüsselung ist ein Dienst, der auf Azure Rights Management (Azure RMS) basiert und mit dem Sie verschlüsselte E-Mails an Personen innerhalb oder außerhalb Ihrer organization senden können, unabhängig von der Ziel-E-Mail-Adresse (Gmail, Yahoo! Mail, Outlook.com usw.). Als Administrator können Sie Transportregeln einrichten, die die Bedingungen für die Verschlüsselung definieren. Wenn ein Benutzer eine Nachricht sendet, die mit einer Regel übereinstimmt, wird die Verschlüsselung automatisch angewendet. Zum Anzeigen verschlüsselter Nachrichten können Empfänger eine einmalige Kennung abrufen, sich mit einem Microsoft-Konto anmelden oder sich mit einem Geschäfts-, Schul- oder Unikonto, das Office 365 zugeordnet ist, anmelden. Empfänger können auch verschlüsselte Antworten senden. Sie benötigen kein Microsoft 365-Abonnement, um verschlüsselte Nachrichten anzuzeigen oder verschlüsselte Antworten zu senden. |
IRM ist eine Verschlüsselungslösung, die auch Nutzungseinschränkungen auf E-Mail-Nachrichten anwendet. Mit dieser Lösung können Sie verhindern, dass vertrauliche Informationen von nicht autorisierten Personen gedruckt, weitergeleitet oder kopiert werden. IRM-Funktionen in Microsoft 365 verwenden Azure Rights Management (Azure RMS). |
S/MIME ist eine zertifikatbasierte Verschlüsselungslösung, die es Ihnen gestattet, eine Nachricht sowohl zu verschlüsseln als auch digital zu signieren. Die Nachrichtenverschlüsselung hilft Ihnen bei der Sicherstellung, dass nur der beabsichtigte Empfänger die Nachricht öffnen und lesen kann. Eine digitale Signatur hilft dem Empfänger, die Identität des Absenders zu überprüfen. Sowohl digitale Signaturen als auch Nachrichtenverschlüsselung werden durch die Verwendung eindeutiger digitale Zertifikate ermöglicht, die die Schlüssel für die Überprüfung digitaler Signaturen und die Verschlüsselung bzw. Entschlüsselung von Nachrichten enthalten. Um S/MIME zu verwenden, müssen Sie für jeden Empfänger öffentliche Schlüssel besitzen. Empfänger müssen ihre eigenen privaten Schlüssel verwalten, die dauerhaft gesichert sein müssen. Wenn der private Schlüssel eines Empfängers gefährdet ist, muss der Empfänger einen neuen privaten Schlüssel abrufen und neue öffentliche Schlüssel an alle potenziellen Absender verteilen. |
Vorhandene Funktionen | OME: Verschlüsselt Nachrichten, die an interne oder externe Empfänger gesendet werden. Ermöglicht Benutzern das Senden verschlüsselter Nachrichten an beliebige E-Mail-Adressen, einschließlich Outlook.com, Yahoo! Mail und Gmail. Ermöglicht es Ihnen als Administrator, das E-Mail-Anzeigeportal entsprechend der Marke Ihrer Organisation anzupassen. Die Schlüssel werden von Microsoft sicher verwaltet und gespeichert, Sie müssen sich nicht darum kümmern. Es ist keine spezielle clientseitige Software erforderlich, sofern die verschlüsselte Nachricht (als HTML-Anlage gesendet) in einem Browser geöffnet werden kann. |
IRM: Verwendet Verschlüsselung und Verwendungseinschränkungen, um Online- und Offlineschutz für E-Mails und Anlagen bereitzustellen. Gibt Ihnen als Administrator die Möglichkeit, Transportregeln oder Outlook-Schutzregeln einzurichten, um IRM automatisch auf ausgewählte Nachrichten anzuwenden. Ermöglicht Benutzern das manuelle Anwenden von Vorlagen in Outlook im Web (früher Outlook Web App). |
In S/MIME erfolgt die Absenderauthentifizierung durch digitale Signaturen, und die Vertraulichkeit von Nachrichten wird durch Verschlüsselung sichergestellt. |
Nicht vorhandene Funktionen | Mit OME können keine Nutzungseinschränkungen auf Nachrichten angewendet werden. Sie können damit z. B. nicht verhindern, dass Empfänger eine verschlüsselte Nachricht weiterleiten oder drucken. | Einige Anwendungen unterstützen IRM-E-Mails möglicherweise nicht auf allen Geräten. Weitere Informationen zu diesen und anderen Produkten, die IRM-E-Mail unterstützen, finden Sie unter Client-Gerätefunktionen. | Mit S/MIME können verschlüsselte Nachrichten nicht auf Schadsoftware, Spam oder Richtlinien überprüft werden. |
Empfehlungen und Beispielszenarien | Die Verwendung von OME wird empfohlen, wenn Sie vertrauliche Geschäftsinformationen an Personen außerhalb Ihrer Organisation senden möchten, unabhängig davon, ob es sich um Verbraucher oder andere Unternehmen handelt. Beispiel: Ein Bankangestellter sendet Kreditkartenabrechnungen an Kunden Eine Arztpraxis sendet eine Krankenakte an einen Patienten. Ein Anwalt sendet vertrauliche Rechtsinformationen an einen anderen Anwalt. |
Die Verwendung von IRM wird empfohlen, wenn Sie Nutzungseinschränkungen und Verschlüsselung anwenden möchten. Zum Beispiel: Ein Vorgesetzter, der vertrauliche Details über ein neues Produkt an sein Team sendet, wendet die Option "Nicht weiterleiten" an. Eine Führungskraft muss ein Angebot für ein anderes Unternehmen freigeben, das eine Anlage von einem Partner enthält, der Office 365 verwendet, und sowohl die E-Mail als auch die Anlage müssen geschützt werden. |
Die Verwendung von S/MIME wird empfohlen, wenn Ihre Organisation oder die Organisation des Empfängers in eine echte Peer-zu-Peer-Verschlüsselung benötigt. S/MIME wird am häufigsten in den folgenden Szenarien verwendet: Kommunikation zwischen Behörden Kommunikation zwischen einem Unternehmen und einer Behörde |
Wenden Sie nicht mehrere E-Mail-Verschlüsselungstechnologien auf dieselbe E-Mail-Nachricht an. Einige E-Mail-Clients wie Outlook für Mac, Outlook für iOS und Outlook für Android können keine Nachrichten mit mehreren angewendeten E-Mail-Verschlüsselungstechnologien öffnen.
Informationen zu den E-Mail-Verschlüsselungsoptionen für Ihr Microsoft 365-Abonnement finden Sie unter Exchange Online-Dienstbeschreibung. Hier finden Sie Informationen zu den folgenden Verschlüsselungsfeatures:
Azure RMS, einschließlich IRM-Funktionen und Microsoft Purview-Nachrichtenverschlüsselung
S/MIME
TLS
Verschlüsselung ruhender Daten (über BitLocker, Dienstverschlüsselung und DKM)
Sie können auch Verschlüsselungstools von Drittanbietern mit Microsoft 365 verwenden, z. B. PGP (Pretty Good Privacy). Microsoft 365 unterstützt kein PGP/MIME, und Sie können PGP-verschlüsselte E-Mails nur mit PGP/Inline senden und empfangen.
"Daten im Ruhezustand" bezieht sich auf Daten, für die derzeit keine Übertragung aktiv ist. In Microsoft 365 werden E-Mail-Daten im Ruhezustand mit der BitLocker-Laufwerkverschlüsselung verschlüsselt. BitLocker verschlüsselt die Festplatten in Microsoft-Rechenzentren, um einen verbesserten Schutz vor nicht autorisiertem Zugriff zu bieten. Weitere Informationen finden Sie unter BitLocker-Übersicht.
Weitere Informationen zu den E-Mail-Verschlüsselungsoptionen in diesem Artikel sowie zu TLS finden Sie in diesen Artikeln:
Verwaltung von Informationsrechten in Exchange Online
Was ist Azure Rights Management?
S/MIME für die Nachrichtensignierung und -verschlüsselung
Grundlegendes zur Verschlüsselung mit öffentlichen Schlüsseln
Konfigurieren des benutzerdefinierten E-Mail-Flusses mithilfe von Connectors
Wie Exchange Online mithilfe von TLS E-Mail-Verbindungen schützt