Suche einfache "Verschlüsslung" für Mailing mit Kunden

    Hallo,


    vielleicht hat hier noch jemand den ein oder anderen Tipp für mich...


    Also, wir suchen derzeit eine einfache Variante, Mails verschlüsselt an Kunden zu senden.


    Das Problem ist, dass die Kunden meist technisch totale Laien sind und ihre eMails überall haben (eigene Domänen, Freehoster, etc.)...


    Ich habe bisher 3 brauchbare Lösungen gefunden, die alle jedoch gewisse Nachteile haben:


    - Die Mail per PDF-Printer ausdrucken und die PDF mit einem Passwort versehen (Nachteil: Sehr umständlich und wird vermutlich kein Mitarbeiter machen...)
    - Das Programm "CryptShare" (Nachteil: Es ist ein eigener Server, bei dem sich der Mitarbeiter einloggen muss und über diesen läuft dann der Mailverkehr, sprich: Die gesendeten Mails sind nicht mehr in Notes drin...)
    - Das Programm "MailGateway" der Firma Sophos (Das ist eigentlich genau DAS was perfekt wäre, jedoch ist es sehr teuer --> ca. 46.000 Euro einmalig für 650 User)


    Vielleicht hat hier noch jemand eine Idee, was ich mir anschauen könnte...


    Gruß,
    Chris G.

    Mit PGP kenn ich mich zwar nicht sooo gut aus... Aber bei PGP ist das Problem, dass das Gegenüber unseren Schlüssel installieren muss, soweit ich weiss...


    Zum einem haben wir dann das Problem mit den totalen Laien, die nicht wissen wie das geht und es sich auch nach Anleitung nicht zutrauen...


    Zum anderem unterstützen die wenigsten Webmailer (z.B. Freenet, Hotmail, ...) PGP, somit ist die Variante auch hinfällig...


    Leider... ;)

    Naja, den Schlüssel austauschen musst du auf jeden Fall, da kommst du nicht drum herum. Wenn die User trotz DAU-tauglicher Anleitung nicht Willens sind diese auch zu befolgen, dann hast du verloren. Dummheit und fehlender Wille lässt sich durch technische Maßnahmen nicht kompensieren.

    Life is not a journey to the grave with the intention of arriving safely in a pretty and well-preserved body, but rather to skid in broadside, thoroughly used up, totally worn out, and loudly proclaiming "Wow, what a ride!!! :evil:
    Beschleunigung ist, wenn die Tränen der Ergriffenheit waagrecht zum Ohr hin abfliessen - Walter Röhrl

    Da hast du wirklich Recht... ;)


    Wie gesagt ist das Problem, dass wir fast ausschliess Laien als Kunden haben (ländliche Gegend...)...


    Ich habe gehofft, dass vielleicht jemand noch eine Möglichkeit kennt, wo ähnlich wie der MailGateway von Sophos ist...


    Der MailGateway von Sophos geht her und erstellt einfach aus dem Mail eine passwortgeschützte PDF-Datei. In der PDF-Datei befindet sich dann der Text incl. Anhänge.. Das ganze dann sogar noch AES256-Verschlüsselt...


    Wie gesagt, die Lösung ist wirklich perfekt... Aber halt auch ausserordentlich teuer... Das Ding kann aber auch noch viel viel mehr, wo wir garnicht benötigen, jedoch mitzahlen müssten...


    Daher habe ich gehofft, dass hier vielleicht noch jemand eine Alternative kennt, die ähnlich vorgeht...
    Sprich: Aus dem gesendeten Mail wird automatisch z.B. eine passwortgeschützte PDF-Datei oder ZIP-Datei erstellt...


    Dass das Passwort dann trotzdem mitgeteilt werden muss, ist mir klar, das wäre auch kein Problem, das würden wir entweder per Telefon oder per Postweg mitteilen...

    Na dann sollen die Anwender die Mail in ein WORD-Dokument schreiben und dieses dann als Anhang versenden.


    Zuvor das Dokument noch mit WinZip oder auch WinRAR packen und die gepackte Datei verschluesseln und zusaetzlich noch mit einem PW versehen.


    ;)



    Andreas

    Tja, an sowas haben wir auch schon gedacht... Nur, dass sie einfach über den sowieso auf jedem PC installierten PDF-Printer den Text ausdrucken und ein Passwort vergeben...
    Jedoch bin ich mir sicher, dass dies 95% der User niemals machen werden, weil die normalen User einfach "zu bequem" sind... Daher würden wir eine automatische Verschlüsselung bevorzugen...


    Die Anhänge sind hier auch weniger das Problem, sondern eher die Texte... Was die User dort so alles reinschreiben, da weint das Datenschutz-Herz ;)

    Hi,


    wenn ich mich recht erinnere gibt/gab es von der Groupware AG eine SW namens ePDF für den Domino. Damals war da ein Zip Server bzw. die automatisierte Möglichkeit die PDF's als zip zu verpacken. Ggf. kannst Du da dann ein KW verwenden.


    Zur Verschlüsselung taugt noch von der GROUP Business Software AG die iQ.Suite und hier das Modul Crypt.
    Ist aber eine E-Mail Verschlüsselungslösung mit dem schon angesprochenen Schlüssel- bzw. Zertifikateaustausch.
    Vorteil für Dich: Funktioniert regelbasiert, Schlüssel bzw. Zertifikate nur auf dem Server, keine Clientinstallation und Du brauchst nur soviele Lizenzen, wie das Modul auch verwendet wird.


    Ansonsten kann ich mich dem Zitat "Dummheit und fehlender Wille lässt sich durch technische Maßnahmen nicht kompensieren." nur anschliessen


    Kete

    Hi,


    hast Du dir schon mal die IRonPort C-Serie angesehen? (wurde vor kurzem von Cisco gekauft)


    Hier ist es möglich die E-Mails auf der IronPort zu lassen und dem Empfänger eine E-Mail zu senden in der steht, dass er sich auf der IronPort anmelden kann um das E-Mail von XYZ abzuholen bzw. zu lesen.


    Derzeit kommt diese Lösung allerdings nicht für uns in Frage, da wir eine Server zu Server Verschlüsselung umsetzen wollen.

    Ein Kunde setzt erfolgreich diese Open Source Lösung hier ein:


    http://www.djigzo.com/downloads.html


    http://www.djigzo.com/document…ncryption-setup-guide.pdf


    Die macht PDF Verschlüsselung ... der Anwender der die email bekommt muss dann ein Password eingeben.


    Die Suite könnte auch noch einiges mehr ... und laut dem Kunden war sie auch sehr schnell Installiert ...


    Bei der Implementierung vom Kunden war der Kostenaspekt sehr groß, da es sich um ein KMU handelt.

    Davon, verschlüsselte Files zu mailen, halte ich mal rein gar nichts. Es bringt absolut keinen Sicherheitsgewinn, wenn entweder in der selben Mail oder in einer nachfolgenden das Passwort gemailt wird. Genauso wenig bringt es irgendeine Form von Sicherheit, wenn man einmal ein Passwort vereinbart und es zukünftig für alle Files verwendet. Also bleibt als einzig sichere Variante, das Passwort direkt nach dem Versenden telefonisch zu übermitteln. Und wenn die User schon zu dämlich sind, grundlegende Skills auszubilden und einfachste Regeln für den sicheren Datenaustausch zu beherzigen, dann wird garantiert nicht telefoniert. Womit dann jedwede Sicherheit von vornherein ad acta gelegt werden kann.


    Wie ich oben bereits sagte: Dummheit und bewusster Unwille lassen sich durch technische Maßnahmen nicht kompensieren. In der vom OP geschilderten Konstellation braucht man sich nicht eine Sekunde damit zu beschäftigen, da es einfach nur verlorene Zeit ist.


    Es haben glasklare Regeln ausgegeben zu werden, deren Befolgung penibel und ausnahmslos überprüft wird. Es hat eine vollständige und leicht verständliche Anleitung erstellt zu werden, die ebenso glasklar die Folgen für die Sicherheit schildert, wenn sie umgangen wird. Und schlussendlich haben ausnahmslos Konsequenzen gezogen zu werden im Falle eines Zuwiderhandelns.


    Als Administrator sind wir zuvorderst der Datensicherheit, -konsistenz und -integrität verpflichtet, erst mit weitem Abstand dem Verlangen der User nach Features. Um das zu erreichen, sind technische Notwendigkeiten zu beachten, dazu gehört auch eine hinreichende Schulung und Verpflichtung der Anwender. Wer diesen Verpflichtungen nicht nachkommen kann oder aufgrund falsch verstandener Benutzerfreundlichkeit nicht nachkommen will, der sollte sich die Frage stellen, ob die Aufgabenbeschreibung vollständig verstanden und (in dieser Reihenfolge) im Sinne geltender Gesetze, technischer Gegebenheiten, sowie Anforderungen des Auftrag-/Arbeitgebers korrekt interpretiert wurde. Denn es steht ohne Zweifel die Frage im Raum (besser jetzt in der Planungsphase als später, wenn das Kind bereits in den Brunnen gefallen ist), wer für Datenverlust oder -verfälschung zahlt, die erst dadurch möglich wurde, dass ein technisch unzulängliches System (und hierzu gehören die User ebenfalls!) etabliert wurde. Sind oben genannte Punkte berücksicht, ist diese Frage in für beide Parteien akzeptabler Form geklärt, ist der Versand verschlüsselter Files sehr schnell vom Tisch.

    Life is not a journey to the grave with the intention of arriving safely in a pretty and well-preserved body, but rather to skid in broadside, thoroughly used up, totally worn out, and loudly proclaiming "Wow, what a ride!!! :evil:
    Beschleunigung ist, wenn die Tränen der Ergriffenheit waagrecht zum Ohr hin abfliessen - Walter Röhrl

    Zum Teil gebe ich dir Recht... Aber nur zum Teil...


    Natürlich bringt es nichts, wenn man verschlüsselte Mails sendet und in ner weiteren Mail dann das Passwort mitteilt...


    Wenn man jedoch pro Kunde ein einmaliges Passwort vereinbart und dieses telefonisch oder per Postweg mitteilt, ist die Sicherheit auf alle Fälle um ein vielfaches gestiegen... Ein einfaches "abfangen" der eMails ist somit nicht mehr möglich...


    Da bei uns in der Firma privates mailen erlaubt ist, können wir auch nicht ohne weiteres die User "überwachen", ob sie auch wirklich verschlüsseln...


    User trainieren, ihnen "Sicherheitsbewusstsein" einprügeln, glasklare Regeln aufbauen, etc. ist zwar schön und gut... Aber jeder Administrator kennt doch die typischen User (Nicht-IT'ler)... Der User geht, wenn möglich, immer den bequemsten und altbewährten Weg.. Selbst 1 Klick mehr macht da "viel" aus... Und dann denken sich viele (meist die älteren) noch dazu "bisher hab ichs immer so gemacht, warum soll ich jetzt was dran ändern?"...


    Aber selbst wenn die User dann mal soweit sind und freiwillig verschlüsseln, so wartet das nächste Problem bei den Kunden... Dort muss es einfach "einfach" sein... Kunden können wir nicht auf "Sicherheit" schulen oder trimmen... Und wie bereits gesagt, sind der Großteil unserer Kunden einfach Leute, die gerade mal wissen, wie sie ihre eMails abrufen können und das wars...
    Genau da ist eine Lösung wie "Passwort eingeben und ich seh den Inhalt" sinnvoll... Allein schon ein kleines Programm zu installieren trauen sich viele nicht zu...


    Du hast jedoch noch eine Verpflichtung des Administraotrs vergessen: Der Datenschutz kommt noch vor den Wünschen der User nach neuen Features...
    Und genau hier setzt die Problematik der Verschlüsselung ein... In einer Bank z.B. wird einem mal schnell per Mail der Kontostand mitgeteilt (Prost...) oder mal kurz mitgeteilt, dass man 1.000 Euro im Minus ist... Und wenn das dann unverschlüsselt ist, Mahlzeit...


    Ich schliesse mal das Thema... Ich habe nun einige Vorschläge bekommen, die ich mir in der nächsten Zeit mal genauer unter die Lupe nehmen werde...


    Vielen Dank für eure Tipps und Anmerkungen :)