E-Mail-Verschlüsselung in Office 365 mit Exchange Online

Datenschutz, Sicherheit und Verschlüsselung – drei Themen, die in den letzten Jahren stark an Bedeutung gewonnen haben. Mit einer immer stärker vernetzten Welt wachsen die Herausforderungen, einen intuitiven und gleichzeitig sicheren Wandel der Welt in das Digitalzeitalter vorzunehmen. Mit der Datenschutzgrundverordnung (DSGVO) hat die Europäische Union bereits einen Rahmenfahrplan festgelegt, der unter anderem die Verschlüsselung personenbezogener Daten vorschreibt. Heute schauen wir uns einen wichtigen Bestandteil davon an – die E-Mail-Verschlüsselung für Microsoft Office 365 mit Office 365 Message Encryption (OME).

Office 365 Message Encryption (OME)

Lösung

Microsoft bietet mit Office 365 Message Encryption (OME) eine vollständig integrierte Lösung zur Ver- und Entschlüsselung (intern und extern) von E-Mails für Office 365-Nutzer an. Die Lösung bietet eine sichere Kommunikation im Einklang mit DSGVO-Vorschriften sowie eine nahtlose Integration in Office 365 und Microsoft-Apps. Je nach Office 365-Plan kann die Lösung bereits inbegriffen und somit kostenlos nutzbar sein. Office 365 Message Encryption ist Bestandteil von Azure Information Protection (AIP) – ein Dienst der Microsoft-Cloud, der es erlaubt, Dokumente und Nachrichten zu klassifizieren und entsprechend individuell definierter Richtlinien zu schützen. Diese werden im Azure Rights Management (RMS) konfiguriert.

Szenarien

Benutzerdefinierte Richtlinien erlauben individuell abgestimmte Szenarien und Rechte für Dokumente und E-Mails, wie beispielsweise Folgende:

[su_list icon=“icon: angle-right“]

• Nur interne Mitarbeiter dürfen eine verschlüsselte E-Mail lesen.
• Jeder Empfänger darf die verschlüsselte E-Mail lesen, diese aber nicht weiterleiten.
• E-Mails an Externe werden automatisch verschlüsselt.
• Eine eingehende Antwort einer initial von uns verschlüsselten E-Mail soll zur internen Verarbeitung entschlüsselt werden.
• Wird eine E-Mail mit Anhang verschickt, soll diese automatisch verschlüsselt werden.
• Anhänge einer E-Mail können den Schutz (Verschlüsselung, Richtlinien) von E-Mails erben.

[/su_list]

Mit dem Einsatz von Office 365 Message Encryption werden schützenswerte Daten effektiv geschützt, wie folgende Szenarien zeigen:

Workflows

Zur Verschlüsselung von E-Mails können folgende Produkte eingesetzt werden:

[su_list icon=“icon: angle-right“]

• Microsoft Outlook 2013/2016/2019 für macOS und Windows
• Microsoft Outlook OWA (Outlook Web Access)

[/su_list]

Die Authentifizierung als Voraussetzung zur Entschlüsselung von E-Mails kann nativ von Microsoft Outlook vorgenommen werden. Unterstützt werden folgende Produkte:

[su_list icon=“icon: angle-right“]

• Microsoft Outlook 2013/2016/2019 für macOS und Windows
• Microsoft Outlook für Android und iOS
• Outlook OWA (Outlook Web Access)

[/su_list]

Wird kein oben aufgelistetes Produkt verwendet, kann die E-Mail nicht dargestellt werden. Stattdessen wird dem Nutzer ein E-Mail-Inhalt dargestellt, der es ihm ermöglichst, eine alternative Authentifizierung durchzuführen. Diese kann wahlweise durch einen der folgenden Provider (sofern die E-Mail-Adresse einem Provider zugeordnet werden kann) und immer durch einen einmaligen Code durchgeführt werden:

[su_list icon=“icon: angle-right“]

• Yahoo-Konto
• Google-Konto
• Microsoft-Konto
• Einmalkennung per E-Mail

[/su_list]

Bei der Authentifizierung über einen Einmalcode wird ein solcher an die E-Mail-Adresse des Empfängers der verschlüsselten E-Mail geschickt. Insofern verifiziert sich der die E-Mail öffnende Benutzer als Derjenige, der sie auch ursprünglich empfangen und dazu berechtigt ist.

Weitere Informationen zum Öffnen verschlüsselter E-Mails erhaltet ihr hier:

Implementierung und Konfiguration

Lizenzen

Sofern euer Office 365-Plan noch kein Office 365 Message Encryption enthält oder ihr weitergehende Funktionen benötigt, müsst ihr zunächst einen Azure Information Protection Premium-Plan kaufen. Dies macht ihr im Microsoft 365 Admin Center. Enthält euer Office 365-Plan bereits die notwendigen Funktionalitäten, überspringt diesen Schritt einfach.

Aktivieren von Azure Information Protection (AIP)

Im Azure-Portal sucht ihr nun nach Azure Information Protection und wählt den Dienst aus. Unter dem Punkt Schutzaktivierung muss der Schutzstatus aktiv lauten.

Aktivieren von Azure Rights Management (RMS)

Stellt nun sicher, dass Azure Rights Management aktiviert ist. Dazu könnt ihr wahlweise im Microsoft 365 Admin Center nach RMS suchen und Azure rights management settings auswählen oder diesem Link folgen.

Anlegen und Modifizieren von Bezeichnungen und Richtlinien

Azure Information Protection bringt bereits vordefinierte Richtlinien mit sich. Diese sind teilweise konfigurierbar und teilweise feststehend, da sie mit anderen Funktionen fest verdrahtet sind. Folgende zwei Bezeichnungen sind vordefiniert und können daher lediglich beim Erstellen von Regeln zur Anwendung des Schutzes eingesehen werden:

[su_list icon=“icon: angle-right“]

• Verschlüsseln (Encrypt Only)
• Nicht weiterleiten (Do Not Forward)

[/su_list]

Unter Azure > Azure Information Protection > Bezeichnungen werden neue Bezeichnungen angelegt oder Bestehende modifiziert oder gelöscht:

Von besonderer Bedeutung ist bei der Erstellung und Konfiguration die Aktion, die mit Anwenden der Bezeichnung durchgeführt wird:

[su_list icon=“icon: angle-right“]

• Nicht konfiguriert (schnelles Deaktivieren einer Richtlinie bei Bedarf; keine Lösung für den Produktivbetrieb)
• Schützen (Verschlüsseln)
• Schutz entfernen (Entschlüsseln)

[/su_list]

Ebenso kann eine intelligente Klassifizierung für die Branchen Finanzwesen, Medizin und Gesundheitswesen und Datenschutz vorgenommen werden: Werden beispielsweise Kreditkarteninformationen in einer E-Mail identifiziert, kann automatisch eine ausgewählte Bezeichnung angewandt werden. Hierzu benötigt es jedoch eine zusätzliche Lizenz (AIP P2).

Nach Abschluss der Konfiguration müssen die eventuell neuen Bezeichnungen in eine Richtlinie übernommen werden, damit sie aktiv benutzt werden können. Unter Azure > Azure Information Protection > Richtlinien kann dies vorgenommen werden.

Ihr benötigt eine umfassende Implementierung und Konfiguration?

Regeln zum Ver- und Entschlüsseln für Exchange Online

Regeln und Bedingungen, um E-Mails mit Bezeichnungen zu versehen und somit zu verschlüsseln, können im Office 365 Exchange Admin Center konfiguriert werden. Hierhin gelangt ihr über Microsoft 365 Admin Center > Admin Centers > Exchange. Unter dem Menüpunkt Nachrichtenfluss werden Regeln ausgeführt und angelegt, mit denen der Einsatz der Verschlüsselung aktiviert und deaktiviert werden kann:

Über das Plus + werden neue Regeln angelegt.

Preise und Verfügbarkeit

In Office 365 E3 und E5, Microsoft E3 und E5, Office 365 A1, A3 und A5 sowie Office 365 G3 und G5 ist Office 365 Message Encryption for Office 365 bereits fester Bestandteil. Es müssen keine neuen Lizenzen erworben werden, um die grundlegenden Möglichkeiten der Verschlüsselung zu verwenden. Besitzt ihr Exchange Online Plan 1, Exchange Online Plan 2, Office 365 F1, Office 365 Business Essentials, Office 365 Business Premium oder Office 365 Enterprise E1, könnt ihr einen Plan für Azure Information Protection erwerben, um den Dienst zu implementieren:

FAQ