Versenden von verschlüsselten E-Mails (Microsoft Purview Message Encryption)

Owned by Sal
Last updated: Aug. 26, 2024
3 min read

Übersicht

Standardmässig wird bei der E-Mail-Kommunikation nur der Transportweg der E-Mail, nicht aber die E-Mail an sich verschlüsselt. Gewisse Kommunikationen wie bspw. E-Mails mit Personendaten können aber einen höheren Sicherheitsstandard benötigen. Über Microsoft 365 bzw. Exchange Online steht unseren Kunden die Funktion Microsoft Purview Message Encryption (PME) zur Verfügung. Dabei wird lediglich eine Benachrichtigung an den Empfänger gesendet, dass dieser eine verschlüsselte Nachricht erhalten hat. Die eigentliche Nachricht kann in einem gesonderten Portal eingesehen werden, nachdem der Empfänger seine Identität verifiziert hat. Dasselbe kann auch für unterstütze E-Mail-Anhänge wie Word- oder Exceldokumente gelten. Nutzt der Empfänger ebenfalls Microsoft 365 geschieht dies transparent über Outlook, sodass keine weitere Verifikation benötigt wird.

Alle unterstützen Dateiformaten finden Sie hier: Message encryption FAQ | Microsoft Learn

In der Praxis

Folgend wird die Standardkonfiguration beschrieben. Je nach Kundenanforderungen können zusätzliche, kundenspezifische Funktionen zur Verfügung stehen.

image-20240215-122427.png

 

Schritt 1: Verfassen der E-Mail

Über Outlook oder Outlook-Web wird eine neue Nachricht verfasst. Über das Menü Optionen -> Schloss kann die Verschlüsselung der Nachricht aktiviert werden. Dabei stehen standardmässig unterschiedliche Profile zur Verfügung:

  • Verschlüsseln: E-Mail und unterstützte Dateiformate werden verschlüsselt. Alle Empfänger müssen sich identifizieren, damit sie die Nachricht lesen können.

  • Nicht weiterleiten: E-Mail und unterstützte Dateiformate werden verschlüsselt. Empfänger können die Nachricht nicht weiterleiten, drucken oder Inhalte kopieren. Alle Empfänger müssen sich identifizieren, damit sie die Nachricht lesen können.

  • Highly Confidential \ All Employees: Siehe Microsoft-Doku

  • Confidential \ All Employees: Siehe Microsoft-Doku

Die Standardprofile können durch Microsoft geändert werden. Die aktuelle Microsoft-Dokumentation dazu finden Sie hier:

Extend sensitivity labeling on Windowsund Configure usage rights for Azure Information Protection (AIP)

image-20240215-123939.png

 

Schritt 2: Öffnen der E-Mail

Der Empfänger erhält eine Benachrichtigung, dass eine verschlüsselte Nachricht empfangen wurde (siehe Screenshot).

Der Empfänger klickt auf Nachricht lesen und ein Webbrowser öffnet sich, bei dem sich der Empfänger authentifizieren muss.

Ist der Empfänger bereits mit seinem Microsoft-Konto in Outlook angemeldet, fällt dieser Schritt weg und alles geschieht on-the-fly.

 

Schritt 3: Authentifizieren

Ist der Empfänger bereits mit seinem Microsoft-Konto in Outlook angemeldet, entfällt dieser Schritt.

Hier kann sich mit seinem Microsoft-Konto oder einem One-Time-Code der per E-Mail zugestellt wird authentifiziert werden. Je nach Einstellung können hier unterschiedliche Methoden zur Verfügung stehen.

 

Schritt 4: Nachricht lesen

Im Webbrowser wird nun die Nachricht angezeigt. Es stehen alle Funktionen zur Verfügung, die der Absender erlaubt hat.

E-Mail Anhänge können heruntergeladen werden. Je nach Einstellung können einzelne Dokumente ebenfalls nur nach Verifizierung der eigenen Identität geöffnet werden.

Verhalten bei automatischer Weiterleitung

Ist die automatische Weiterleitung aktiv, wird die verschlüsselte Nachricht weitergeleitet, jedoch erhält der Empfänger eine E-Mail mit dem Inhalt “Sie besitzen keine ausreichenden Berechtigungen zum Öffnen der E-Mail.”. Die weiterleitende Person muss also unbedingt eine Kopie der weitergeleiteten Nachricht in seinem eigenen Postfach behalten.

Verhalten bei manueller Weiterleitung

Wird eine Nachricht manuell weitergeleitet, wird von einer bewussten Weiterleitung ausgegangen. Der Empfänger an den die Nachricht weitergeleitet wurde, kann die Nachricht also lesen. Ausnahme: Es wurde initial das Profil Nicht weiterleiten gewählt. In diesem Fall kann die Nachricht gar nicht weitergeleitet werden.

SLYNET AG Industriestrasse 20, CH-5242 Lupfig, www.slynet.ch

Sie konnten die gewünschte Information nicht finden? Kontaktieren Sie unseren Support.