Mails mit Outlook verschlüsseln

Wenn Vertraulichkeit gefragt ist
Kunden von mir sind immer wieder in der Situation, dass sie vertrauliche Informationen per Mail verschicken müssen. Wie wir alle wissen, ist Mail die Postkarte des Internets. Also: Auf dem Weg zum Empfänger können alle den Inhalt fröhlich mitlesen. Theoretisch. Denn praktisch kümmern sich Computer und Server um diese Transportaufgabe, und Administratoren haben beileibe Besseres zu tun als sich mit sensiblen Informationen anderer Leute zu belasten.
Ganz richtig ist die Postkarten-Analogie auch nicht. Immerhin ist Verschlüsselung auf dem Transportweg heutzutage absoluter Standard.
Allerdings ist der Nachrichteninhalt selbst eben nicht verschlüsselt. Die Frage ist also: Wie löst man diese Herausforderung möglichst komfortabel für den Nutzer?
Zum Glück ohne S/MIME und PGP
Vorbei sind die Tage, an denen man umständlich mit S/MIME-Zertifikaten oder PGP-Schlüsseln hantieren musste, wenn man eine verschlüsselte Mail versenden wollte. Was im Grunde eh fast keiner gemacht hat, da sich diese Methoden wegen ihrer Komplexität nie durchsetzten. Und das sagt jemand, der immer schon ein Verfechter dieser Technologien war. Ich muss die Realität aber halt auch anerkennen.
In größeren Unternehmen kommen hier und da schon auch mal Mail-Encryption-Gateways zum Einsatz, die an zentraler Stelle das Ver- und Entschlüsseln den Nutzern abnehmen. Das ist toll, bringt nur nix, wenn die Gegenstelle, also Sie, nicht doch wieder manuell mit S/MIME oder PGP hantiert.
Was ist die Alternative?
Da sehr viele Unternehmen ihre Mails ohnehin Microsoft über Exchange Online im Rahmen ihres Microsoft-365-Abos anvertrauen, ist das hier auch der Anknüpfungspunkt.
Microsoft Purview Message Encryption
Mit Purview Message Encryption kann man Ende-zu-Ende-verschlüsselte Mails an Kolleginnen und Kollegen, an Empfänger in anderen Microsoft-Tenants und auch an externe Mailadressen außerhalb der Microsoft-Cloud verschicken. Der Ablauf zum Lesen beim Empfänger einer solchen verschlüsselten Nachricht unterscheidet sich je nach Art des Empfängers, also ob es sich um einen internen oder externen Empfänger handelt. Dazu später mehr.
In Microsoft 365 Business Premium ist Purview Message Encryption bereits enthalten, und man kann das Feature sofort nutzen. Für Kunden mit kleineren Lizenzen als Microsoft 365 Business Premium, also z. B. Business Basic, gibt es das Add-on Azure Information Protection Plan 1 für wenige Euro im Monat, um das Abo um diese Funktion zu erweitern.
Hat man die passende Lizenz, stehen die Standardfunktionen „Verschlüsseln“ oder „Nicht weiterleiten“ ohne weitere Konfiguration sofort in Outlook (Web und Desktop) zur Verfügung. Also gut möglich, dass Sie direkt loslegen können. In den mobilen Outlook-Apps für iOS und Android kann man zwar mit Purview verschlüsselte Nachrichten lesen, aber nicht versenden.
Eine mit Purview verschlüsselte E-Mail versenden
Zur Illustration sende ich eine Testmail an eine externe Empfangsadresse außerhalb von Microsoft. An meinem Mac nutze ich das „Neue Outlook“ und nicht „Outlook Classic“, wie es jetzt so schön heißt. Ich habe keine Integration irgendeiner Branchensoftware in meinem Outlook, die mich an Outlook Classic bindet.
Nachdem ich meine Mail geschrieben habe, wähle ich in Outlook Entwurf -> Verschlüsseln -> Nur verschlüsseln aus. Am oberen Rand meiner Mail erscheint daraufhin folgender Hinweis:

Nach dem Versand der Nachricht kommt in meiner externen Testmailbox eine Mail mit der Information an, dass mir eine verschlüsselte Nachricht gesendet wurde und ich diese über „Nachricht lesen“ anschauen kann. Über den Link lande ich auf einer Microsoft-Webseite.

Nach dem Klick auf „Mit einer Einmalkennung anmelden“ bekomme ich eine weitere Mail mit einem Einmalkennwort zugeschickt.

Nach Eingabe des Einmalkennworts kann ich mir die Mail im Browser ansehen.

Ich habe hier auch die Möglichkeit zu antworten, eine Datei anzuhängen oder die Mail an andere Empfänger weiterzuleiten, sofern dies nicht in den Verschlüsselungsoptionen beim initialen Versand mit der Option „Nicht weiterleiten“ deaktiviert wurde.

Empfänger innerhalb der Microsoft 365 Cloud
Nutzt Ihr Gesprächspartner ebenfalls Microsoft 365 mit der entsprechenden Lizenz, dann wird die Nachricht direkt in seinem Outlook angezeigt, ohne dass er einen Umweg über die Microsoft-Website gehen muss. Sehr komfortabel.
Empfänger mit einem Konto bei Outlook.com, Google oder Yahoo
In diesem Fall können die Empfänger eine verschlüsselte Nachricht auf der Microsoft-Webseite nach Anmeldung mit ihren Kontodaten ansehen. Ein Einmalkennwort ist hierbei nicht notwendig.
Kritik und Fazit
Verschlüsselungs-Puristen würden argumentieren, dass es sich bei Microsoft Purview Message Encryption nicht um eine „echte“ Ende-zu-Ende-Verschlüsselung handelt, weil Microsoft die Schlüssel verwaltet. Damit haben sie aus technischer Sicht auch recht.
Es gibt zwar für Enterprise-Kunden auch noch weitere Optionen bei der Schlüsselverwaltung, diese richten sich allerdings weniger an kleine und mittelständische Unternehmen.
Aus praktischer Sicht stellt sich für den Kunden halt die Frage, ob er Microsoft vertraut.
Tut er das, so kann er mit Purview Message Encryption mit sehr geringem Aufwand eine leicht zu bedienende Mailverschlüsselung erhalten, deren Vertrauenswürdigkeit vermutlich für die meisten Anwendungsfälle völlig ausreicht. Insbesondere für den alltäglichen Geschäftsbetrieb ohne besondere Compliance-Anforderungen.
Tut er das nicht, so bleibt ihm immer noch die Möglichkeit, mit S/MIME oder PGP die Sache selbst in die Hand zu nehmen oder mit erweiterten Lizenzen das Thema Bring Your Own Key bei Microsoft 365 in Angriff zu nehmen. Es gibt Situationen, wo das gerechtfertigt ist.
Bei Ihnen verschlüsseln sich schon die Gedanken?
Wenn Ihnen das alles viel zu kompliziert erscheint und Sie in der Sache Hilfe benötigen, kontaktieren Sie mich. Ich berate Unternehmen und Selbstständige in diesen und anderen IT-Themen. Was ich u.A. noch so mache, erfahren Sie hier.