Windows-Betriebssystemsicherheit
Sicherheit und Datenschutz hängen von einem Betriebssystem ab, das Ihr System und Ihre Daten vom ersten Moment an schützt und einen grundlegenden Chip-zu-Cloud-Schutz bietet. Windows 11 ist das sicherste Windows, bietet jedoch außerdem umfangreiche Sicherheitsmaßnahmen, die Ihnen dabei helfen sollen, die Sicherheit zu gewährleisten. Zu diesen Maßnahmen gehören integrierte fortschrittliche Verschlüsselung und Datenschutz, robuste Netzwerk- und Systemsicherheit sowie intelligente Schutzmechanismen gegen sich ständig weiterentwickelnde Bedrohungen.
Sehen Sie sich aktuelle Video Microsoft Mechanics Windows 11-Sicherheit an, das einige der neuesten Windows 11-Sicherheitstechnologien vorstellt.
Verwenden Sie die Links in den folgenden Abschnitten, um mehr über die Sicherheitsfunktionen des Betriebssystems und die Funktionen von Windows zu erfahren.
Systemsicherheit
Featurename | Beschreibung |
---|---|
Sicherer Start und vertrauenswürdiger Start | Sicherer Start und vertrauenswürdiger Start helfen zu verhindern, dass Schadsoftware und beschädigte Komponenten beim Starten eines Geräts geladen werden. Sicherer Start beginnt mit dem ersten Schutzmaßnahmen beim Start, und anschließend wird der Prozess vom vertrauenswürdige Start übernommen. Der sichere Start und der vertrauenswürdige Start tragen zusammen dazu bei, dass das System sicher gestartet und hochgefahren wird. |
Kontrollierter Start | Beim kontrollierten Start werden Kennzahlen zu allen wichtigen Code- und Konfigurationseinstellungen während des Startvorgangs von Windows ermittelt. Dazu gehören: Firmware, Start-Manager, Hypervisor, Kernel, sicherer Kernel und Betriebssystem. Beim kontrollierten Start werden die Messungen im TPM auf dem Computer gespeichert und in einem Protokoll zur Verfügung gestellt, das remote getestet werden kann, um den Startstatus des Clients zu überprüfen. Das Feature "Gemessener Start" bietet Antischadsoftware mit einem vertrauenswürdigen (resistent gegen Spoofing und Manipulation) Protokoll aller Startkomponenten, die vor dem Start gestartet wurden. Die Antischadsoftware kann das Protokoll verwenden, um zu bestimmen, ob Komponenten, die zuvor ausgeführt wurden, vertrauenswürdig sind oder ob sie mit Schadsoftware infiziert sind. Die Antischadsoftware auf dem lokalen Computer kann das Protokoll zur Auswertung an einen Remoteserver senden. Der Remoteserver könnte Korrekturaktionen initiieren, entweder durch Interaktion mit Software auf dem Client oder über Out-of-Band-Mechanismen. |
Dienst für den Nachweis der Geräteintegrität | Der Windows-Prozess zum Nachweis der Geräteintegrität unterstützt ein Zero-Trust-Paradigma, bei dem der Fokus von statischen, netzwerkbasierten Perimetern auf Benutzer, Objekte und Ressourcen verlagert wird. Der Nachweisprozess bestätigt, dass sich das Gerät, die Firmware und der Startvorgang in einem guten Zustand befinden und nicht manipuliert wurden, bevor sie auf Unternehmensressourcen zugreifen können. Die Feststellungen werden anhand von Daten getroffen, die im TPM gespeichert sind, das eine sichere Vertrauensbasis darstellt. Die Informationen werden an einen Zertifizierungsdienst wie Azure Attestation gesendet, um zu überprüfen, ob sich das Gerät in einem vertrauenswürdigen Zustand befindet. Anschließend überprüft ein MDM-Tool wie Microsoft Intune die Geräteintegrität und verbindet diese Informationen mit Microsoft Entra ID für bedingten Zugriff. |
Einstellungen und Überwachung von Windows-Sicherheitsrichtlinien | Microsoft bietet einen robusten Satz von Sicherheitseinstellungsrichtlinien, die IT-Administratoren zum Schutz von Windows-Geräten und anderen Ressourcen in ihrer Organisation verwenden können. |
Zugewiesener Zugriff | Einige Desktopgeräte in einem Unternehmen dienen einem speziellen Zweck. Beispielsweise ein PC im Wartebereich, auf dem Kunden Ihren Produktkatalog anschauen können. Oder ein PC, der visuelle Inhalte als digitale Beschilderung anzeigt. Der Windows-Client bietet zwei verschiedene gesperrte Umgebungen für öffentliche oder spezielle Verwendung: Einen Kiosk mit einer einzelnen App, auf dem eine einzelne UWP-App im Vollbildmodus über dem Sperrbildschirm ausgeführt wird, oder einen Kiosk, auf dem eine oder mehrere Apps vom Desktop aus ausgeführt werden. Kioskkonfigurationen basieren auf dem zugewiesenen Zugriff, einem Feature in Windows, mit dem ein Administrator die Benutzererfahrung durch Beschränken der für den Benutzer verfügbar gemachten Anwendungseinstiegspunkte verwalten kann. |
Viren- und Bedrohungsschutz
Featurename | Beschreibung |
---|---|
Microsoft Defender Antivirus | Microsoft Defender Antivirus ist eine in allen Versionen von Windows enthaltene Schutzlösung. Sobald Sie Windows starten, überwacht Microsoft Defender Antivirus das System kontinuierlich auf Schadsoftware, Viren und Sicherheitsbedrohungen. Updates werden automatisch heruntergeladen, um die Sicherheit Ihres Geräts zu gewährleisten und es vor Bedrohungen zu schützen. Microsoft Defender Antivirus umfasst echtzeitbasierten, verhaltensbasierten und heuristischen Antivirenschutz. Durch die Kombination aus Always-On-Inhaltsüberprüfung, Datei- und Prozessverhaltensüberwachung sowie anderen Heuristiken wird eine effektive Verhinderung von Sicherheitsbedrohungen erreicht. Microsoft Defender Antivirus sucht kontinuierlich nach Schadsoftware und Bedrohungen und erkennt und blockiert auch potenziell unerwünschte Anwendungen (PUA), bei denen es sich um Anwendungen handelt, die sich negativ auf Ihr Gerät auswirken, aber nicht als Schadsoftware gelten. |
Schutz durch lokale Sicherheitsautorität (LSA) | Windows verfügt über mehrere wichtige Prozesse zur Verifizierung der Identität eines Benutzers. Zu den Überprüfungsprozessen zählen die lokale Sicherheitsautorität (LSA), die für die Authentifizierung von Benutzern und die Überprüfung von Windows-Anmeldungen zuständig ist. LSA verarbeitet Token und Anmeldeinformationen wie Kennwörter, die für einmaliges Anmelden bei einem Microsoft-Konto und Azure-Diensten verwendet werden. Zum Schutz dieser Anmeldeinformationen erlaubt der zusätzliche LSA-Schutz nur das Laden von vertrauenswürdigem, signiertem Code und bietet einen erheblichen Schutz gegen den Diebstahl von Anmeldeinformationen. Der LSA-Schutz wird auf neuen, in das Unternehmen eingebundenen Windows 11-Geräten standardmäßig aktiviert und bietet zusätzliche Unterstützung für Nicht-UEFI-Sperren sowie Richtlinienverwaltungssteuerungen über MDM und Gruppenrichtlinien. |
Verringerung der Angriffsfläche (ASR) | Regeln zur Verringerung der Angriffsfläche (ASR) helfen dabei, Software-Verhaltensweisen zu verhindern, die häufig missbraucht werden, um Ihr Gerät oder Netzwerk zu kompromittieren. Indem Sie die Anzahl der Angriffsflächen reduzieren, können Sie die Sicherheitsrisiken in Ihrer Organisation insgesamt verringern. Administratoren können spezifische ASR-Regeln konfigurieren, um bestimmte Verhaltensweisen zu blockieren, z. B. das Starten von ausführbaren Dateien und Skripts, die versuchen, Dateien herunterzuladen oder auszuführen, das Ausführen von verschleierten oder anderweitig verdächtigen Skripts sowie das Ausführen von Verhaltensweisen, die von Apps im normalen Arbeitsalltag normalerweise nicht initiiert werden. |
Manipulationsschutzeinstellungen für MDE | Manipulationsschutz ist eine Funktion in Microsoft Defender for Endpoint, die dazu beiträgt, dass bestimmte Sicherheitseinstellungen, z. B. der Schutz vor Viren und Bedrohungen, nicht deaktiviert oder geändert werden können. Bei einigen Arten von Cyberangriffen versuchen die Angreifer, die Sicherheitsfunktionen der Geräte zu deaktivieren. Durch die Deaktivierung von Sicherheitsfunktionen erhalten böswillige Akteure leichteren Zugriff auf Ihre Daten, können Schadsoftware installieren und Ihre Daten, Identität und Geräte ausnutzen. Manipulationsschutz hilft, diese Art von Aktivitäten zu verhindern. |
Kontrollierter Ordnerzugriff | Sie können Ihre wertvollen Daten in bestimmten Ordnern schützen, indem Sie den App-Zugriff auf bestimmte Ordner verwalten. Nur vertrauenswürdige Apps können auf geschützte Ordner zugreifen. Diese werden beim Konfigurieren des kontrollierten Ordnerzugriffs festgelegt. Häufig verwendete Ordner, z. B. für Dokumente, Bilder und Downloads, sind in der Regel in der Liste der kontrollierten Ordner enthalten. Beim kontrollierten Ordnerzugriff wird eine Liste vertrauenswürdiger Apps verwendet. Apps, die in der Liste der vertrauenswürdigen Software enthalten sind, funktionieren wie erwartet. Apps, die nicht in der vertrauenswürdigen Liste enthalten sind, werden daran gehindert, Änderungen an Dateien in geschützten Ordnern vorzunehmen. Der kontrollierter Ordnerzugriff hilft dabei, wertvolle Benutzerdaten vor schädlichen Apps und Bedrohungen wie z. B. Ransomware zu schützen. |
Exploit-Schutz | Beim Exploit-Schutz werden automatisch mehrere Techniken zur Risikominimierung auf Betriebssystemprozesse und Apps angewendet. Der Exploit-Schutz funktioniert am besten mit Microsoft Defender for Endpoint, das Unternehmen detaillierte Berichte über Ereignisse und Blockierungen im Rahmen des Exploit-Schutzes als Teil typischer Szenarien der Benachrichtigungsuntersuchung bietet. Sie können den Exploit-Schutz auf einem einzelnen Gerät aktivieren, und dann MDM oder Gruppenrichtlinien verwenden, um die Konfigurationsdatei an mehrere Gerät zu verteilen. Wenn eine Gegenmaßnahme auf dem Gerät ausgelöst wird, wird im Info-Center eine Benachrichtigung angezeigt. Sie können die Benachrichtigung mit Ihren Firmendetails und Kontaktinformationen anpassen. Sie können die Regeln auch einzeln aktivieren, um anzupassen, welche Techniken das Feature überwacht. |
Microsoft Defender SmartScreen | Microsoft Defender SmartScreen schützt gegen Phishing- oder Schadsoftware-Websites und -Anwendungen und das Herunterladen potenziell schädlicher Dateien. Für einen verbesserten Phishing-Schutz warnt SmartScreen auch Personen, wenn sie ihre Anmeldeinformationen an einem potenziell riskanten Ort eingeben. Die IT kann über MDM oder Gruppenrichtlinien anpassen, welche Benachrichtigungen angezeigt werden. Der Schutz wird standardmäßig im Überwachungsmodus ausgeführt, sodass IT-Administratoren die volle Kontrolle über Entscheidungen zur Erstellung und Durchsetzung von Richtlinien haben. |
Microsoft Defender for Endpoint | Microsoft Defender for Endpoint ist eine Unternehmenslösung für Endpunkterkennung und Reaktion, die Sicherheitsteams dabei unterstützt, hochentwickelte Bedrohungen zu erkennen, zu untersuchen und darauf zu reagieren. Organisationen können die umfangreichen Ereignisdaten und Angriffserkenntnisse von Defender for Endpoint verwenden, um Vorfälle zu untersuchen. Defender for Endpoint vereint die folgenden Elemente, um ein umfassenderes Bild von Sicherheitsvorfällen zu bieten: Endpunktverhaltenssensoren, Cloudsicherheitsanalysen, Threat Intelligence und umfassende Reaktionsfunktionen. |
Netzwerksicherheit
Featurename | Beschreibung |
---|---|
Transport Layer Security (TLS) | Transport Layer Security (TLS) ist ein kryptografisches Protokoll, das zur Bereitstellung von Kommunikationssicherheit über ein Netzwerk entwickelt wurde. TLS 1.3 ist die neueste Version des Protokolls und in Windows 11 standardmäßig aktiviert. Diese Version macht veraltete Kryptografiealgorithmen überflüssig, erhöht die Sicherheit gegenüber älteren Versionen und zielt darauf ab, einen möglichst großen Teil des TLS-Handshakes zu verschlüsseln. Der Handshake ist leistungsfähiger mit durchschnittlich einem Roundtrip pro Verbindung weniger und unterstützt nur fünf starke Verschlüsselungssammlungen, die Perfect Forward Secrecy und weniger Betriebsrisiken bieten. |
DNS-Sicherheit (Domain Name System) | Ab Windows 11 unterstützt der Windows DNS-Client DNS über HTTPS (DoH), ein verschlüsseltes DNS-Protokoll. Auf diese Weise können Administratoren sicherstellen, dass ihre Geräte DNS-Abfragen vor Pfad-Angreifern schützen, unabhängig davon, ob sie passive Beobachter sind, die das Browserverhalten protokollieren, oder aktive Angreifer, die Versuchen, Clients an schädliche Websites umzuleiten. In einem Zero-Trust-Modell, bei dem keine Vertrauensstellung in einer Netzwerkgrenze vorhanden ist, ist eine sichere Verbindung mit einem vertrauenswürdigen Namenslöser erforderlich. |
Bluetooth-Kopplung und Verbindungsschutz | Die Anzahl der Bluetooth-Geräte, die mit Windows verbunden werden, nimmt weiter zu. Windows unterstützt alle Standardprotokolle der Bluetooth-Kopplung, einschließlich klassischer und LE Secure-Verbindungen, sicherer einfacher Kopplung sowie klassischer und LE-Legacykopplung. Windows implementiert auch hostbasierten LE-Datenschutz. Windows-Updates helfen Benutzern, mit Betriebssystem- und Treibersicherheitsfeatures in Übereinstimmung mit der Bluetooth Special Interest Group (SIG), Standard-Sicherheitsrisikoberichten und Problemen, die über die von den Bluetooth Core-Industriestandards erforderlichen hinausgehen, auf dem laufenden zu bleiben. Microsoft empfiehlt dringend, dass Benutzer sicherstellen, dass die Firmware und/oder Software ihres Bluetooth-Zubehörs auf dem neuesten Stand ist. |
WLAN-Sicherheit | Wi-Fi Protected Access (WPA) ist ein Sicherheitszertifizierungsprogramm, das zum Schutz von Drahtlosnetzwerken entwickelt wurde. WPA3 ist die neueste Version der Zertifizierung und bietet im Vergleich zu WPA2 und älteren Sicherheitsprotokollen eine sicherere und zuverlässigere Verbindungsmethode. Windows unterstützt drei WPA3-Modi: WPA3 Personal mit dem Hash-to-Element-Protokoll (H2E), WPA3 Enterprise und WPA3 Enterprise 192-Bit Suite B. Windows 11 unterstützt auch WFA-definiertes WPA3 Enterprise, das eine erweiterte Serverzertifikatüberprüfung sowie TLS 1.3 für die Authentifizierung mit EAP-TLS-Authentifizierung umfasst. |
Opportunistic Wireless Encryption (OWE) | Opportunistic Wireless Encryption (OWE) ist eine Technologie, die es Drahtlosgeräten ermöglicht, verschlüsselte Verbindungen mit öffentlichen WLAN-Hotspots herzustellen. |
Windows-Firewall | Die Windows-Firewall bietet eine hostbasierte, bidirektionale Filterung von Netzwerkdatenverkehr, die nicht autorisierten Datenverkehr blockiert, der auf dem lokalen Gerät ein- oder aus dem lokalen Gerät fließt, basierend auf den Netzwerktypen, mit denen das Gerät verbunden ist. Die Windows-Firewall reduziert die Angriffsfläche eines Geräts mit Regeln zum Einschränken oder Zulassen des Datenverkehrs anhand vieler Eigenschaften wie IP-Adressen, Ports oder Programmpfade. Die Verringerung der Angriffsfläche eines Geräts erhöht die Verwaltbarkeit und verringert die Wahrscheinlichkeit eines erfolgreichen Angriffs. Mit der Integration in Internet Protocol Security (IPsec) bietet die Windows-Firewall eine einfache Möglichkeit, authentifizierte End-to-End-Netzwerkkommunikation zu erzwingen. Sie bietet skalierbaren, mehrstufigen Zugriff auf vertrauenswürdige Netzwerkressourcen, hilft dabei, die Integrität der Daten zu erzwingen und optional die Vertraulichkeit der Daten zu schützen. Die Windows-Firewall ist eine hostbasierte Firewall, die im Betriebssystem enthalten ist. Es ist keine zusätzliche Hardware oder Software erforderlich. Die Windows-Firewall wurde auch entwickelt, um vorhandene Nicht-Microsoft-Netzwerksicherheitslösungen durch eine dokumentierte Anwendungsprogrammierschnittstelle (Application Programming Interface, API) zu ergänzen. |
Virtuelles privates Netzwerk (VPN) | Die Windows-VPN-Clientplattform umfasst integrierte VPN-Protokolle, Konfigurationsunterstützung, eine gemeinsame VPN-Benutzeroberfläche und Programmierunterstützung für benutzerdefinierte VPN-Protokolle. VPN-Apps sind im Microsoft Store sowohl für Unternehmens- als auch Heimanwender-VPNs verfügbar, einschließlich Apps für die beliebtesten Unternehmens-VPN-Gateways. In Windows 11 sind die am häufigsten verwendeten VPN-Steuerelemente direkt in den Bereich „Schnelle Aktionen“ integriert. Im Bereich „Schnelle Aktionen“ können Benutzer den Status ihres VPN anzeigen, VPN-Tunnel starten und beenden sowie über die Einstellungen-App auf weitere Steuerelemente zugreifen. |
Always-On-VPN (Gerätetunnel) | Mit Always On VPN können Sie ein dediziertes VPN-Profil für das Gerät erstellen. Im Gegensatz zu User Tunnel, bei dem nur eine Verbindung hergestellt wird, nachdem sich ein Benutzer am Gerät angemeldet hat, ermöglicht Device Tunnel dem VPN, eine Verbindung herzustellen, bevor sich ein Benutzer anmeldet. Sowohl Device Tunnel als auch User Tunnel arbeiten unabhängig mit ihren VPN-Profilen, können gleichzeitig verbunden werden und können je nach Bedarf verschiedene Authentifizierungsmethoden und andere VPN-Konfigurationseinstellungen verwenden. |
DirectAccess | DirectAccess ermöglicht Remotebenutzern die Verbindung zu Organisationsnetzwerkressourcen, ohne dass herkömmliche VPN-Verbindungen (Virtual Private Network) erforderlich sind. Bei DirectAccess-Verbindungen sind Remotegeräte immer mit der Organisation verbunden, und Remotebenutzer müssen Verbindungen nicht starten und beenden. |
Server Message Block (SMB)-Dateidienst | Die SMB-Verschlüsselung bietet eine End-to-End-Verschlüsselung von SMB-Daten und schützt Daten vor Lauschangriffen in internen Netzwerken. In Windows 11 verfügt das SMB-Protokoll über wichtige Sicherheitsaktualisierungen, darunter AES-256-Bit-Verschlüsselung, beschleunigte SMB-Signierung, RDMA-Netzwerkverschlüsselung (Remote Directory Memory Access) und SMB über QUIC für nicht vertrauenswürdige Netzwerke. Windows 11 führt die kryptografischen Suites AES-256-GCM und AES-256-CCM für die SMB 3.1.1-Verschlüsselung ein. Windows-Administratoren können die Verwendung fortschrittlicherer Sicherheitsfunktionen vorschreiben oder weiterhin die kompatiblere aber immer noch sichere AES-128-Verschlüsselung verwenden. |
Server Message Block Direct (SMB Direct) | SMB Direct (SMB über direkten Speicherzugriff) ist ein Speicherprotokoll, das direkte Speicher-zu-Arbeitsspeicher-Datenübertragungen zwischen Gerät und Speicher bei minimaler CPU-Auslastung unter Verwendung RDMA-fähiger Standardnetzwerkadapter ermöglicht. SMB Direct unterstützt Verschlüsselung und bietet jetzt die gleiche Sicherheit wie herkömmliches TCP und die Leistung von RDMA. Zuvor wurde durch Aktivieren der SMB-Verschlüsselung die direkte Datenplatzierung deaktiviert, wodurch RDMA so langsam wie TCP wurde. Daten werden nun vor der Platzierung verschlüsselt, was zu relativ geringen Leistungseinbußen führt, während gleichzeitig AES-128- und AES-256-geschützter Paketdatenschutz hinzugefügt wird. |
Verschlüsselung und Datenschutz
Featurename | Beschreibung |
---|---|
BitLocker-Verwaltung | Der BitLocker-CSP ermöglicht es einer MDM-Lösung wie Microsoft Intune, die BitLocker-Verschlüsselungsfeatures auf Windows-Geräten zu verwalten. Dies umfasst Betriebssystemvolumes, Festplattenlaufwerke und entfernbaren Speicher sowie die Verwaltung von Wiederherstellungsschlüsseln in Microsoft Entra ID. |
BitLocker-Aktivierung | Die BitLocker-Laufwerksverschlüsselung ist ein in das Betriebssystem integriertes Feature, das Daten vor Bedrohungen durch Datendiebstahl oder durch Offenlegung verlorener, gestohlener oder nicht ordnungsgemäß außer Betrieb gesetzter Computer schützt. BitLocker verwendet den AES-Algorithmus im XTS- oder CBC-Betriebsmodus mit 128-Bit- oder 256-Bit-Schlüssellänge, um Daten auf dem Volume zu verschlüsseln. Cloudspeicher auf Microsoft OneDrive oder Azure kann zum Speichern von Wiederherstellungsschlüsselinhalten verwendet werden. BitLocker kann von jeder MDM-Lösung wie Microsoft Intune mithilfe eines Konfigurationsdienstanbieters (Configuration Service Provider, CSP) verwaltet werden. BitLocker bietet Verschlüsselung für das Betriebssystem, feste Daten und Wechseldatenträger mithilfe von Technologien wie der Schnittstelle für Hardwaresicherheitstest (HSTI), Modern Standby, UEFI Secure Boot und TPM. |
Verschlüsselte Festplatte | Verschlüsselte Festplatten sind eine Klasse von Festplatten, die auf der Hardwareebene selbstverschlüsselt sind und die Verschlüsselung des gesamten Datenträgers ermöglichen, gleichzeitig aber für den Gerätebenutzer transparent bleiben. Diese Laufwerke kombinieren die Sicherheits- und Verwaltungsvorteile der BitLocker-Laufwerkverschlüsselung mit der Leistung selbstverschlüsselnder Laufwerke. Durch eine Übertragung der Kryptografievorgänge auf die Hardware wird die Leistung von BitLocker mit verschlüsselten Festplatten verbessert, und CPU-Last und Energieverbrauch werden gesenkt. Da verschlüsselte Festplatten Daten schnell verschlüsseln, kann die BitLocker-Bereitstellung auf Unternehmensgeräte erweitert werden, und zwar ohne oder nur mit geringen Auswirkungen auf die Produktivität. |
Verschlüsselung personenbezogener Daten (PDE) | Die Verschlüsselung personenbezogener Daten (PDE) kann mit BitLocker und Windows Hello for Business verwendet werden, um Benutzerdokumente und andere Dateien weiter zu schützen, auch wenn das Gerät eingeschaltet und gesperrt ist. Dateien werden automatisch und nahtlos verschlüsselt, um Benutzern mehr Sicherheit zu bieten, ohne ihren Workflow zu unterbrechen. Windows Hello for Business wird verwendet, um den Container zu schützen, der die von PDE verwendeten Verschlüsselungsschlüssel enthält. Wenn sich der Benutzer anmeldet, wird der Container authentifiziert, um die Schlüssel im Container zum Entschlüsseln von Benutzerinhalten freizugeben. |
E-Mail-Verschlüsselung (S/MIME) | Mit der E-Mail-Verschlüsselung können Benutzer ausgehende E-Mail-Nachrichten und Anhänge verschlüsseln, sodass sie nur von Empfängern mit einer digitalen ID (Zertifikat) gelesen werden können. Benutzer können eine Nachricht digital signieren, wodurch die Identität des Absenders überprüft und bestätigt wird, dass die Nachricht nicht manipuliert wurde. Die verschlüsselten Nachrichten können von einem Benutzer an andere Benutzer innerhalb ihrer Organisation oder an externe Kontakte gesendet werden, wenn diese über geeignete Verschlüsselungszertifikate verfügen. |