Upload
others
View
0
Download
0
Embed Size (px)
Citation preview
Cryptshare kommt in der zumTestzeitpunkt aktuellen Version4.4 als Server, der als Softwareonsite oder beim ausgewähltenHostingAnbieter als virtuelle beziehungsweise HardwareAppliance betrieben werden kann.Alternativ ist Cryptshare auch alsSoftware as a Service (beim Hersteller selbst) oder in der PrivateCloud (im Microsoft Azure Marketplace) erhältlich. Diese Serverlösung speichert die zu versendenden Daten lokal verschlüsselt (dabei wird für jede Kommunikation ein anderer Schlüsselverwendet) und schickt EMailBenachrichtigungen an die Empfänger, die einen Link enthalten,über den sich die Informationendann über gesicherte Verbindungen herunterladen lassen. Um fürSicherheit zu sorgen, können dieMitarbeiter die einzelnen Dateiübertragungen mit Passwörternschützen, neben den MailInhalten und den Anhängen auch denBetreff der Nachrichten verschlüsseln und die Gültigkeit derDownloadLinks, sowie die Aufbewahrungsdauer der Dateienzeitlich beschränken.
Umfassende Nachvollziehbarkeitsfunktionen sorgen für Compliance, die Behandlung der einzelnen Übertragungen wird überPolicies geregelt und APIs und
Automatisierungsfunktionen sorgen im Betrieb für die nahtloseIntegration des Produkts ins Unternehmensumfeld. Auch dasLook and Feel der Lösung lässtsich umfassend anpassen. EinMS OutlookAddIn, mit dem dieAnwender Cryptshare direkt ausdem MailClient von Microsoftheraus bedienen, schließt zusammen mit einer HCL NotesIntegration und der QUICK Technology (Quick Use Integrated Cryptshare Key) den Leistungsumfang von Cryptshare 4.4ab.
Die genannte QUICKTechnologie lässt sich nutzen, um diePasswörter, die zur Verschlüsselung der Datenübertragungenzwischen Kommunikationspartnern zum Einsatz kommen, zuverwalten und die Datentransfersabzusichern. Das bedeutet, mitaktivierter QUICKFunktionsorgt Cryptshare für die automatische Erzeugung aller Passwör
ter für die Dateiübertragungenund die Anwender müssen sichmit der Passwortverwaltung –und dem Handling nicht weiterauseinandersetzen, sondern können die Files einfach ganz normal, wie bei bekannten S/MIMELösungen, permanent sicher austauschen, ohne dabei jedes Malein neues Passwort zu vergeben.
Der TestIm Test setzten wir bei uns imTestlabor einen CryptshareServer auf Basis einer virtuellenMaschine auf. Dieser verwendetedann im Betrieb unseren Exchange 2016MailServer als Relay, um Mails mit unseren TestKonten auszutauschen. Nach derErstkonfiguration und Inbetriebnahme des Systems versendetenwir zunächst einmal diverse Dateien an unterschiedliche Kontenund prüften, wie die normale Arbeit mit dem Produkt abläuft.Danach setzten wir uns dann mitdem OutlookAddIn, derQUICKTechnologie, den Optionen zum Anpassen der Benutzeroberfläche und der Nutzung desSystems von mobilen Endgerätenaus auseinander.
Installation als virtuelle MaschineFür den Test stellte uns Cryptshare zunächst einmal eine Li
Im Test: Cryptshare 4.4
Datentransfer ohne GrenzenDr. Götz Güttich
Mit seiner gleichnamigen Lösung hat der deutsche Anbieter Cryptshare ein Produktzum verschlüsselten Dateiversand im Angebot. Dieses kommt ohne Beschränkungen bei
der Dateigröße aus, sorgt für Nachvollziehbarkeit, lässt sich mit beliebigenKommunikationspartnern ad hoc nutzen und bietet eine Vielzahl weiterer Funktionen.
Wir haben uns im Testlabor angeschaut, wie die Arbeit damit abläuft und was dieLösung im praktischen Alltag leisten kann.
1
Die Funktionsweise von
Cryptshare
zenzdatei zur Verfügung, die denCryptshareDienst für die vonuns verwendeten Domänen freischaltete. Nachdem wir diese Datei erhalten hatten, wechselten
wir auf die Webseite https://www.cryptshare.com/de/support/vmbuildservice und machten uns daran, die für uns angepasste virtuelle Appliance erstellen zu lassen. Dazu fragte uns derBuildService zunächst nach demTyp der virtuellen Maschine(VM). Dabei bietet das SystemVmware und HyperVMaschinen an. Beim Einsatz von HyperV muss man sich allerdings überein Kontaktformular an den Hersteller wenden, nur die Erstellungvon VmwareVMs läuft automatisch ab. Dementsprechend entschieden wir uns zu diesem Zeitpunkt für eine VM für VmwareUmgebungen.
Anschließend fragte uns der Assistent nach Namen, Telefonnummer und EMailAdresse undwollte, dass wir unsere Lizenzdatei ins WebInterface hochluden,damit sie direkt in die VM integriert werden konnte. Hat ein Interessent zu diesem Zeitpunktnoch keine Lizenz, so kann er die
VM übrigens trotzdem erstellenund die Lizenz später selbst überdas Konfigurationswerkzeug desServers einspielen.
Im nächsten Schritt wollte derWizard wissen, wie die Absenderadresse für den MailVersandvon EMailNachrichten und dieAdministratoradresse für denEmpfang der Systemmeldungenlauten. Zum Schluss ging es andie Netzwerkkonfiguration mitIPAdresse, Subnetz, Gateway,Hostname, den zu verwendendenDNSServern, der Domänensuchliste und dem EMailGateway.Sobald diese Angaben gemachtwurden, erstellt der Wizard dieVM mit den gewünschten Parametern (die sich bei Bedarf imlaufenden Betrieb jederzeit ändern lassen) und schickt denKunden nach wenigen Minuteneine EMail mit einem CryptshareLink zu, über den sie die fertige VM herunterladen können.
Die VM kommt in Form einerOVFDatei mit einer knapp zweiGByte großen virtuellen Festplatte im VMDKFormat. Diese beiden Files ließen sich im Anschluss problemlos in einen unserer ESXiHypervisoren mit derVersion 6.7 Update 3 importieren.
Erstkonfiguration und InbetriebnahmeNachdem wir den Import der VMabgeschlossen hatten, machtenwir uns daran, das System entsprechend der Dokumentationvon Cryptshare in Betrieb zunehmen. Um die DownloadGröße der VM in Grenzen zu haltenund da jedes Unternehmen unterschiedliche Anforderungen anden Speicherbedarf des Verzeichnisses für die zu übertragenenDateien hat, enthält die VM nach
dem Import keinen Speicherplatzfür DateiUploads, Backups undso weiter. In der Dokumentationwird darauf hingewiesen, dass eszunächst erforderlich ist, einensolchen Speicher einzurichten.Sie gibt auch Ratschläge, wievielSpeicher für welche Umgebungen erforderlich sein dürfte.
Dementsprechend fügten wir dervirtuellen Appliance zu diesemZeitpunkt zunächst einmal mitVmwareBordmitteln eine virtuelle Festplatte hinzu, die genugSpeicher für unsere Testumgebung bereitstellte. Die virtuelleVM kommt mit einer als SCSI(0:0)konfigurierten Festplattean, wir definierten unsere neueHDD als SCSI (0:1) am gleichenController.
Danach fuhren wir die VM, dieunter OpenSuse 15.0 lief, hochund loggten uns als "root" ein.
Die Passwörter für den Zugriffauf die VM und das Konfigurationsinterface fanden sich in derDownloadZIPDatei der VM,genau wie ein Link zur Dokumentation.
Nach dem Login stellten wir fest,dass Linux die ursprünglicheFestplatte als "/dev/sda" eingebunden hatte und dass unsereneue HDD als "/dev/sdb" er
2
So empfängt das CryptshareWebIn
terface die Benutzer
Der Upload der zu übertragenen Dateien auf den Server
reichbar war. Im nächsten Schrittriefen wir nun das Skript"/opt/csappliance/attachHDD.sh"auf, das die neue Festplatte partitionierte, formatierte, mit den benötigten Zugriffsrechten versahund ins System einband.
Zum Schluss unserer Vorbereitungen erzeugten wir auf unserer
neuen Festplatte noch ein zusätzliches Verzeichnis für temporäreDateien, fügten den Pfad zu diesem Verzeichnis wie in der Dokumentation beschrieben zu derKonfigurationsdatei "/opt/cryptshare3/launcher.ini" hinzu undstarteten den CryptshareDienstmit der Befehlssequenz "rccrytshare stop" und "rccryptsharestart" neu. Damit war die Arbeitan der Konsole abgeschlossenund wir konnten uns dem Konfigurationsinterface der Lösungzuwenden.
Die Einrichtung über dasBrowserInterfaceLaut Handbuch ergibt es jetztSinn, das SSLZertifikat für dieVerschlüsselung des Zugriffs aufden Server einzuspielen. Da es
sich bei unserer Installation umeine Testumgebung handelte, verzichteten wir auf diesen Schrittund verwendeten das mitgelieferte, selbstsignierte Zertifikat. Außerdem sollten die Administratoren laut Dokumentation zu diesem Zeitpunkt ihre Lizenzdateieinspielen. Auch diesen Schrittkonnten wir überspringen, da wirihn ja bereits beim Anlegen derVM durchgeführt hatten.
Der Login beim KonfigurationsInterface erfolgt über die URLhttps://{Name des CryptshareServers}:8080. Nach dem erstenLogin muss der Administratorzunächst einmal das vorgegebeneStandardpasswort ändern, sonsterhält er keinen Zugriff auf dieVerwaltungsoberfläche. Wir finden das gut, da auf diese Weisevermieden wird, dass irgendwelche CryptshareServer mit Standardpasswörtern in Netz arbeiten.
Für die nun folgende Erstkonfiguration des Systems gibt es keinen Wizard im klassischen Sinn,stattdessen weist die Dokumentation darauf hin, in welchen Bereichen unter den "System Einstellungen" manuelle Anpassungenerforderlich sind. In diesem Zusammenhang spielen zunächsteinmal die "Verbindungseinstellungen" eine Rolle, die zur Definition der BasisURL für dieDownloadLinks dienen, die später per EMail verschickt werden.Außerdem lassen sich an dieserStelle auch sichere Verbindungen(via HTTPS) erzwingen und dieiFrameSicherheit konfigurieren,die festlegt, ob die Möglichkeitbesteht, das CryptshareBenutzerinterface in andere Webseiteneinzubetten.
Unter "Systembenachrichtigungen" legen die Administratoren
im Gegensatz dazu fest, welcheSchwellenwerte für das DiskSpace Monitoring gelten sollenund unter welchen EMailAdressen Administratoren Benachrichtigungen über Warnungen, Fehler und anstehende Updates erhalten. Die "Verifizierung" sorgt dafür, dass das System überprüft, ob die EMailAdresse, die ein Absender beimAnstoßen einer Datenübertragungangibt, auch wirklich zu ihm gehört. Nachdem der Anwenderseine EMailAdresse angegebenhat, sendet ihm der CryptshareServer einen VerifizierungsCodezu, den er dann in der Benutzeroberfläche eintragen muss, umseine MailAdresse zu bestätigen.
Das KonfigurationsInterfacebietet in diesem Zusammenhangdie Option, die Gültigkeitsdauerdieser VerifizierungsCodes festzulegen, die Zahl der Eingabenbeziehungsweise Anforderungenfür Codes zu beschränken undbestehende Codes zu löschen.
Über die Transfereinstellungensind die zuständigen Mitarbeiterdazu in der Lage, das Verzeichnisfestzulegen, in dem der Server
3
Im Rahmen des Dateiversands legendie Nutzer auch fest, ob und wie siedarüber informiert werden sollen,wenn eine Datei vom Empfänger heruntergeladen wird
Der Abschluss eines CryptshareTransfers
die zu übertragenden Dateien ablegt. Außerdem lässt sich an gleicher Stelle eine Funktion aktivieren, die Prüfsummen für die Dateien der Transfers erzeugt. Zudem ist es möglich, den Aufbewahrungszeitraum für die Filesund – falls gewünscht – ein maximales Transfervolumen festlegen.
Policies als Herzstück des ServersJetzt kommen die PolicyEinstellungen an die Reihe. Diese stellen ein Herzstück des CryptshareSystems dar und definieren,wer das System wie nutzen darf.Jede Regel besteht aus drei Teilen. Das Absendermuster legtfest, welche Absender (wie etwaalle Mitglieder der Domäne "test
domain.online") einen Datentransfer anstoßen dürfen. DasEmpfängermuster definiert imGegensatz dazu, wer Datenübertragungen erhalten darf und weitere Einstellungen dienen dazu,Einschränkungen und Transfermöglichkeiten festzulegen, diebei der dazugehörigen Absender/EmpfängerKombination An
wendung finden. Auf diese weiteren Einstellungen gehen wir später noch genauer ein.
Die einzelnen Regeln lassen sichentweder manuell erstellen undbearbeiten oder aus der auf demServer installierten Lizenz ableiten. Im Test entschieden wir unszu diesem Zeitpunkt für denletztgenannten Weg und das System erzeugte automatisch Policies, mit denen die Benutzer dervon uns lizensierten DomänenDatentransfers an alle InternetUser verschicken konnten undauch dazu in der Lage waren, Daten von allen InternetAnwendernzu erhalten.
Der letzte Punkt der Schnellstartanleitung befasst sich mit denEinstellungen für den MailServer. In diesem Zusammenhangvergeben die Administratoren eine MailAdresse und einen Absendernamen, die für den Versand der MailBenachrichtigungen zum Einsatz kommen unddefinieren den SMTPHost, denSMTPPort und die SMTPAuthentifizierung. Letztes ist nurauf selbstinstallierten Systemenerforderlich, da die Appliancesmit einem eigenen MailServer(Postfix) kommen und deshalbhier die Angabe "localhost" ausreicht. Der PostfixMailServerschickt dann die Nachrichten vonder Appliance aus an ein MailRelay im LAN, in unserem Testlabor kam dazu wie gesagt einExchange Server 2016 zum Einsatz, das die Mails dann weiterleitete. Die Konfiguration diesesMailRelays erfolgt während deroben beschriebenen Erstellungder VM mit dem OnlineWizard.Soll sie nachträglich geändertwerden, so geht das nicht überdas AdministrationsInterface derAppliance, sondern mit SuseLi
nuxBordmitteln über den Befehl"yast mail". Das genaue Vorgehen dazu wurde im Detail in derDokumentation beschrieben.
Darüber hinaus lassen sich unterden MailServerEinstellungendes KonfigurationsInterfacesnoch Settings zum MailFormat(HTML, Klartext, Multipart) undzur Codierung (beispielsweise"Quoted Printable") vornehmen.Außerdem legen die zuständigenMitarbeiter an dieser Stelle auchnoch fest, wie Bilder in die EMails eingebunden werden sollenund ähnliches.
Damit ist die Erstkonfigurationabgeschlossen. Wir überprüftenzu diesem Zeitpunkt noch mit derUpdateFunktion, ob unsererServer auf dem aktuellen Standwar und konnten das System anschließen nutzen. Während desTests aktualisierten wir unsereInstallation übrigens von der unsursprünglich zur Verfügung ge
stellten Version 4.3 auf die neuerschienene Version 4.4, dabeikam es zu keinen Schwierigkeiten. In diesem Zusammenhang istes aber noch wichtig zu wissen,dass die UpdateFunktion des
Der Transferdialog im OutlookAdd
In. Hier lässt sich auch die Verschlüs
selung des Betreffs aktivieren.
4
Die Gültigkeit der DownloadLinkslässt sich beliebig begrenzen
WebInterfaces nur zum Aktualisieren der CryptshareSoftwareselbst zum Einsatz kommt. Daszugrundeliegende SuseLinuxbringt sich über einen CronJobregelmäßig selbst auf den aktuellen Stand. Lediglich größere Upgrades, wie beispielsweise vonOpenSuseVersion 15.0 auf 15.1,muss der Administrator selbst an
stoßen. Das geht auch über dasWebInterface.
Details zu den weiteren Einstellungen der PoliciesBevor wir uns mit unseren Erfahrungen bei der praktischen Arbeitmit der CryptshareLösung auseinandersetzen, ergibt es an dieser Stelle Sinn, noch einmal imDetail auf die weiteren Einstellungen einzugehen, die Teil derPolicies sind. Diese lassen sichnutzen, um für Übertragungen,auf die die jeweilige Regel zutrifft, bestimmte Zeiträume vorzugeben, während denen die zuübertragene Datei auf demCryptshareServer vorgehaltenwird. Außerdem lässt sich aucheine maximale Transfergröße definieren, so dass beispielsweiseMitarbeiter aus der Grafikabtei
lung größere Dateien versendendürfen als Benutzer aus derBuchhaltung. Darüber hinauskann eine Regel auch das Verschlüsseln einer Nachricht erzwingen, bestimmte Signaturenanhängen oder den Download einer Datei nach einer bestimmtenZahl falscher Passworteingabeversuche sperren. Alle diese Poli
cyEinträge überschreiben dieDefaultEinstellungen des Servers, so dass es Sinn ergibt, serverseitig eine bestimmte Grundkonfiguration vorzugeben, diezum Absichern der meisten Übertragungen ausreicht, und dann fürkritische Bereiche Policies zu definieren, die die Sicherheitskonfiguration weiter verfeinern. Abgesehen von den genannten Punkten können die Policies unter anderem auch zum Einsatz kommen, um übertragungsbasiertEinstellungen für den Mailserverzu modifizieren und die Settingsfür das Logging anzupassen.
Die praktische Arbeit mitCryptshareUm nun die praktische Arbeit mitCryptshare unter die Lupe zunehmen, riefen wir zunächst ein
mal das BenutzerInterface(Cryptshare Web Application)unter https://{Hostname desCryptshareServers} über einenBrowser auf. Danach wollte dasSystem wissen, ob wir eine Dateibereitstellen oder abrufen wollten. Nachdem wir auf "Bereitstellen" geklickt hatten, wolltedas System unseren Namen, unsere Telefonnummer und unsereEMailAdresse in Erfahrungbringen. Daraufhin schickte unsder CryptshareServer eine VerifizierungsEMail mit einem Code, den wir anschließend imWebInterface eintragen mussten,um unsere MailAdresse zu bestätigen. Jetzt konnten wir dieEmpfängerMailAdresse eintragen, dabei besteht auch die Option, mehrere Empfänger, mitKommas oder Leerzeichen getrennt, anzugeben.
Im nächsten Schritt war es dannmöglich, der Nachricht die Dateien anzufügen, die übertragenwerden sollten. Außerdem gibt esauch die Option, der BenachrichtigungsEMail mit dem DownloadLink eine vertrauliche (verschlüsselte) Nachricht hinzuzufügen.
Jetzt kommen die Transferoptionen an die Reihe. Dabei legen dieMitarbeiter die Sprache für dieBenachrichtigungsMail fest unddefinieren, wie lang der Download verfügbar sein soll. Darüberhinaus haben die Anwender andieser Stelle unter anderem Gelegenheit, sich Benachrichtigungenschicken zu lassen, wenn die Dateien vom Empfänger heruntergeladen wurden und festzulegen,ob die Dateinamen der heruntergeladenen Files in diesen BenachrichtigungsMails erscheinensollen, oder nicht. Zu guter Letztlässt sich die Übertragung bei
5
Dateiversand mit dem OutlookAddIn
Bedarf auch noch mit einem generierten oder selbst eingegebenen Passwort sichern. Falls gewünscht haben die Anwenderauch die Option, an dieser Stelledie bereits erwähnte QUICKTechnologie zu aktivieren, überDatenübertragungen mit QUICKspäter mehr.
Im nächsten Schritt zeigt dasSystem den Anwendern dieNachricht an, die der Empfängerzu sehen bekommen wird und ermöglicht es, den Transfer zu starten. Danach lädt die Software diezu übertragenen Files auf denServer hoch und verschlüsseltsie. Parallel dazu stellt das System die EmpfängerMail zu.Über einen Klick auf den darinenthaltenen DownloadLink haben die Empfänger dann Zugriffauf die verschlüsselte Nachrichtund die Dateien. Ist kein QUICKaktiv und wurde ein Passwortvergeben, so müssen sie diesesallerdings zuerst – beispielsweisetelefonisch – in Erfahrung bringen. Im Test ergaben sich bei derArbeit mit dem Cryptshare WebInterface keine Probleme.
Das OutlookAddIn im EinsatzNachdem wir erfolgreich überdas WebInterface die ersten Datenübertragungen vorgenommenhatten, nahmen wir im Test dasOutlookAddIn unter die Lupe.Dieses stellt innerhalb des OutlookMailClients die gleichenCryptshareFunktionen bereit,die auch das WebInterface bietetund ermöglicht es so, dabei zumBeispiel die OutlookNotizbücher mit zu benutzen und allevon Cryptshare versendetenMails im Postfach zu archivieren.Der Leistungsumfang des AddIns geht sogar noch über den desWebInterfaces hinaus, denn das
AddIn ist zusätzlich dazu in derLage, Passwörter per SMS zuverschicken und Mails zu klassifizieren.
Im Test luden wir zunächst dieInstallationsdatei für das AddInvon der Webseite des Herstellersherunter, die dieser im MSIFormat bereitstellt. Die Installationläuft Wizardgesteuert ab undwird niemanden vor unüberwindbare Schwierigkeiten stellen.
Nachdem wir die Software eingespielt und Outlook gestartet hatten, fand sich im RibbonBereich
des MailClients unter "Start" einCryptshareEintrag, der es ermöglicht, den Support zu kontaktieren, QUICK zu aktivieren undden Transfermanager einzublenden, der am rechten Fensterrandüber Benachrichtigungen, verwendete Passwörter und verfügbare Up und Downloads informiert. Außerdem haben die Mitarbeiter an dieser Stelle auch dieOption, Einstellungen vorzunehmen. Dazu gehören die ServerAdresse des CryptshareServers,die Proxykonfiguration sowieDaten wie Name, Vorname undTelefonnummer des Benutzers.Dazu kommen noch diverse AddInEinstellungen, die es beispielsweise möglich machen,
Passwörter zu speichern, eineTransferhistorie anzulegen undähnliches.
Um nun eine Datei mit Hilfe desAddIns via Cryptshare zu versenden, müssen die Anwenderlediglich ganz normal unter Outlook eine neue Mail erstellen undihre Attachments anhängen. Danach gehen sie aber nicht auf denButton "Senden", sondern aufden Button "Mit Cryptshare senden", der nun neu oben links imFenster erscheint.
Danach öffnet sich auf der linkenFensterseite eine Seitenleiste,über die sich bei Bedarf weitereDateien zu der Nachricht hinzufügen lassen, auch große Files,die die Anwender über das BüroklammerSymbol von Outlooknicht anhängen könnten. Anschließend genügt ein Klick auf"Senden", um den Transferdialogzu öffnen, über den die Nutzerdie bekannten Transfereinstellungen wie Passwörter, Ablaufdatumund Empfängersprache vornehmen können. Im OutlookAddInist es zudem auch möglich anzugeben, dass die Nachricht und aufWunsch sogar die Betreffzeilemit verschlüsselt werden. EinKlick auf "Transfer starten" sorgtdann für das Verschicken derNachricht.
Wenn der Empfänger ebenfallsüber das OutlookAddIn verfügt,muss er zum Dateiempfang nichtauf die WebOberfläche vonCryptshare zurückgreifen. Eingehende Transferbenachrichtigungen landen in diesem Fall in derTransferManagerÜbersicht undlassen sich dort direkt anzeigen.Es ist auch möglich, dort denDownload der Dateien zu starten.Im Test gestaltete sich die Arbeitmit dem OutlookAddIn unpro
6
Die Klassifizierungsfunktion des OutlookAddIns
blematisch und die Integration indie OfficeUmgebung ließ keineWünsche offen.
Gehen wir an dieser Stelle nochkurz auf die EMailKlassifizierungsfunktion ein, die das Addinbietet. Diese dient dazu, die EMails vor dem Versand vom Absender in eine bestimmte Schutzklasse einordnen zu lassen, wiebeispielsweise "öffentlich", "vertraulich" oder "streng vertraulich". Die Schutzklassen kommen dann wiederum zum Einsatz, um die Zahl der Empfängereinzuschränken und so zu verhindern, dass Nachrichten versehentlich an nicht befugte Adressaten gelangen. Außerdem sinddie ITVerantwortlichen damit inder Lage, bestimmte Voreinstellungen für die oben genanntenTransferoptionen festzulegen.Auf diese Weise stellen sie sicher, dass für bestimmte Inhaltstypen immer gleiche Sicherheitseinstellungen Verwendung finden. Insgesamt lassen sich 25verschiedene Klassifizierungsstufen einrichten, die die zuständigen Mitarbeiter beliebig benennen können.
QUICK: Sichere Datenübertragungen ohne PassworttauschUm die bereits erwähnteQUICKTechnologie, die denmanuellen Austausch der Passwörter zwischen den Kommunikationsteilnehmern überflüssigmacht, zu aktivieren, muss manlediglich eine Datenübertragunganstoßen, die Schaltfläche"QUICK aktivieren" auswählenund ein „erstes“ Passwort vergeben. Wenn der Empfänger anschließend mit dem Passwort aufdie Übertragung zugreift, hat erdie Option, ebenfalls QUICK zuaktivieren. Dann erhält er eine
VerifizierungsEMail vom System. Nachdem diese eingegebenwurde, ist QUICK aktiv undkann genutzt werden.
Konkret bedeutet das, dass dasSystem alle späteren Datenübertragungen zwischen den beidenKommunikationspartnern, die jabeide verifiziert wurden, automatisch mit Einmalpasswörternschützt, ohne dass die Benutzerdazu in irgendeiner Form aktivwerden müssen. Im Test funktionierte das einwandfrei und dieseTechnologie ist wirklich absolutempfehlenswert, da sie den Anwendern viel Arbeit spart unddarüber hinaus eine große Zahlan Fehlerquellen ausschließt. Vor
allem auf mobilen Geräten, aufdenen keine richtige Tastatur zurVerfügung steht, ist QUICK einechter Pluspunkt.
Geht die QUICKVerbindungverloren, lässt sie sich mit Hilfeeines zweiten für QUICK aktivierten Clients oder mit Hilfe eines Administrators aktivieren.Dieser erhält dann eine Nachrichtund kann dem betroffenen Useranschließend einen Code generieren und zur Verfügung stellen,mit dem dieser dann in die Lageversetzt wird, QUICK auf seinem
Endgerät zu nutzen. Dieses Vorgehen ergibt beispielsweise Sinn,wenn es darum geht, weitereEndpoints (wie etwa mobile Geräte) zu einer bestehendenQUICKVerbindung hinzuzufügen oder wenn eine QUICKVerbindung wiederbelebt werdensoll, für die keine Endgerätemehr existieren, da alle diesbezüglichen Token gelöscht wurden.
Hintergründe zu QUICKGehen wir an dieser Stelle nochkurz etwas konkreter auf dieFunktionsweise von QUICK ein.Sobald die Benutzer ihren Verifizierungscode in ihrem Clienteingeben, erzeugt das System ein
VerifizierungsToken und speichert dieses in dem selben Client.Stößt ein Anwender nun die ersteDateiübertragung mit QUICK an,so generiert das System einengeteilten Schlüssel für die Kommunikation zwischen Absenderund Empfänger. Dieser geteilteSchlüssel wird für den Absenderverschlüsselt auf dem Server abgelegt. Zum Schutz dient ein automatisch erzeugter persönlicherSchlüssel, der ebenfalls verschlüsselt auf dem Server abgelegt wird. Auf diesen wiederumwird der Zugriff nur über das lo
Eine Transferbenachrichtigung in Qutlook mit aktivem AddIn
7
kal gespeicherte Verifizierungstoken gewährt.
Wenn der Empfänger nun auf denTransfer zugreift, so generiert dasSystem auch einen persönlichen
Schlüssel für den Empfänger.Anschließend wird der geteilteSchlüssel mit Hilfe des persönlichen Schlüssels des Empfängersverschlüsselt und auf demCryptshareServer gespeichert.
Damit wurde QUICK eingerichtet. Wenn es nun darum geht, Datenübertragungen über bestehende QUICKVerbindungen abzuwickeln, so verwendet das System beim Erstellen einer Datenübertragung den persönlichenSchlüssel des Absenders, um dengeteilten Schlüssel, der auf demServer liegt, zu entschlüsseln.Anschließend erzeugt die Lösungunter Verwendung des gemeinsamen Schlüssels und eines Zufallsfaktors ein Einmalpasswortmit 64 Zeichen Länge und verschlüsselt damit den Datentransfer.
Wenn der Empfänger nun die Datei herunterlädt, so greift das System mit Hilfe des Verifizierungstokens auf dem Client auf dessen
persönlichen Schlüssel zu. Dieserkommt dann zum Einsatz, umden geteilten Schlüssel auf demServer lesbar zu machen. Der geteilte Schlüssel findet dann Verwendung, um in Kombinationmit dem Zufallsfaktor das Transferpasswort zu ermitteln und damit auf die Daten zuzugreifen.Der Empfänger leitet sich dasVerschlüsselungspasswort alsoselbst her und es ist nicht erforderlich, das Passwort in irgendeiner Form zu verschicken oder zuspeichern. Zudem kommt für jeden Datentransfer automatischein anderes Passwort zum Einsatz.
Die Optionen zum Anpassender BenutzeroberflächeDa Cryptshare üblicherweise engintegriert in die Mail und WebUmgebungen der Kunden zumEinsatz kommt, spielen die Funktionen zum Anpassen des Aussehens des Systems eine besonderswichtige Rolle. Deswegen lassensich über das KonfigurationsInterface der Lösung nicht nur verschiedene Sprachen einrichten,sondern auch Unternehmenslogos in die WebOberfläche einbinden sowie deren Farben undHintergründe ändern. Es bestehtbei Bedarf sogar die Option,CSSCodes einzubinden. Auchdas Layout der EMails lässt sichjederzeit mit Logo und Farbenanpassen und es ist auch möglich, benutzerdefinierte Linkszum Anwendungsmenü hinzuzufügen.
FazitDie CryptshareLösung ist extrem flexibel. Dank der Automatisierung lässt sie sich auch fürdie Machine to Machine undApplication to ApplicationKommunikation nutzen. Auf Seitendes Empfängers müssen keine
besonderen technischen Voraussetzungen erfüllt sein, er mussnur EMails empfangen können.Das hilft dabei, SchattenIT zuverhindern.
Umfassende Protokollierungsfunktionen sorgen dafür, dassstets klar ist, welche Dateienwann von wem wohin verschicktwurden und alle Transfers lassensich optional auf Viren und Malware prüfen. Bei Bedarf könnendie Verantwortlichen auchLöschfristen für die Dateien aufdem Server setzen und das Einhalten der Vorgaben durch dieDSGVO stellt kein Problem dar.
Für den Betrieb der Lösung sindzudem keine Benutzerkonten undspeziellen Zertifikate erforderlichund die Einbindung mobiler Geräte (im Test verwendeten wirSmartphones und Tablets unterAndroid und iOS) gestaltet sichnahtlos. Das gleiche gilt für dieQutlookIntegration, bei der unsbesonders die Funktion zur Klassifizierung von EMails positivauffiel. Cryptshare ist damit aufjeden Fall für alle Administratoren einen Blick wert, die sich mitder sicheren Übertragung großerDateien an beliebige Empfängerauseinandersetzen müssen.
Die Einladung zu QUICK auf demClient des Empfängers
QUICK nach der erfolgreichen Akti
vierung
8