News & Events S/MIME

Warum Automatisierung für Unternehmen wichtig ist, die S/MIME-E-Mail-Zertifikate verwenden möchten

Verschlüsselung und digitale Signatur sind der beste Weg, um die Integrität und den Datenschutz der E-Mail-Kommunikation zu gewährleisten. Die Vorteile sind:

  • Das Wissen um die E-Mail stammte wirklich vom Absender, einschließlich der Identifizierung der vertretenen Organisation
  • Aktivieren der Überprüfung, dass der E-Mail-Inhalt und die Anhänge nach dem Senden nicht geändert wurden
  • Zu wissen, dass niemand sonst die E-Mail auf dem Mailserver oder während des Versands lesen konnte, da sie nur für den Absender und den Empfänger verschlüsselt wurde

Diese Fähigkeiten Kampf Spear – Phishing – Attacken wie Business-E-Mail-Kompromiss (BEC) und Hilfe Einhaltung einer Reihe von wichtigen globalen Anforderungen einschließlich BIPR, HIPAA, das US Department of Defense DFARS und andere.

Durch die Verwendung von S/MIME für die Verschlüsselung können sowohl Absender als auch Empfänger ihre vorhandenen S/MIME-fähigen E-Mail-Anwendungen mit ihren bekannten Funktionen verwenden. Alternative Ansätze erfordern separate E-Mail-Anwendungen oder Webportale mit unterschiedlichen Benutzererfahrungen.

Für das Unternehmen ist es verlockend, S / MIME ohne automatisierte Zertifikatsverwaltung zu verwenden, um Geld zu sparen, indem die Mitarbeiter die Last der Zertifikatsverwaltung teilen müssen. Beispielsweise erhielt Sectigo dieses Angebot von einem Kunden, der versuchte, die für S/MIME-E-Mail-Zertifikate typische manuelle Verwaltung zu verwenden :

Wir haben die sicheren E-Mail-Zertifikate vor vier Monaten für unsere Endbenutzer bereitgestellt und hatten Schwierigkeiten bei der Bereitstellung. Obwohl wir eine schrittweise Anleitung für Endbenutzer zum Herunterladen und Installieren ihrer eigenen Zertifikate erstellt haben, gingen zahlreiche Supportanfragen ein, um die Einrichtung durchzuführen. Ist es möglich, zu Zero Touch zu wechseln, um die Zertifikatsverwaltung und den Installationsprozess zu vereinfachen? JA!

Der Preis für die Automatisierung ist eine gute Investition, die geringer ist als die erwarteten Kosten für Supportanrufe oder der Produktivitätsverlust für Mitarbeiter, die ihre eigenen S/MIME-Zertifikate manuell verwalten. Oder das Schlimmste ist, dass die Mitarbeiter keine Zertifikate verwenden und die damit verbundenen Compliance-Probleme auftreten.

Häufige Gründe für Supportanrufe sind:

  • Wenn das neue Zertifikat nicht in der globalen Adressliste des Unternehmens veröffentlicht wird, können Absender von Outlook- und ActiveSync-E-Mail-Anwendungen das für die Verschlüsselung für den Empfänger erforderliche Zertifikat nicht finden. Der Mitarbeiter verbringt entweder viel Zeit damit, herauszufinden, wie das Zertifikat veröffentlicht werden soll, oder die Absender verwenden keine Verschlüsselung.
  • Wenn die globale Adressliste nicht verwendet wird, müssen die Mitarbeiter untereinander signierte E-Mails senden, sodass die Absender die Zertifikate der Empfänger aus der signierten E-Mail extrahieren können. Dies verringert die Effektivität, da Sie eine verschlüsselte E-Mail erst senden können, wenn der Empfänger Ihnen zuerst eine E-Mail sendet. Sobald ein Empfänger ein Zertifikat erneuert, verfügt der Absender über ein älteres, abgelaufenes Zertifikat. Wenn die Beteiligten überhaupt bemerken, dass sie Informationen im Klartext per E-Mail versenden, müssen neue Zertifikatsinhaber erneut signierte E-Mails an alle senden, die sie in der Lage sein möchten, ihnen verschlüsselte Nachrichten zu senden.
  • Ohne Automatisierung muss jeder Mitarbeiter, der ein S / MIME-Zertifikat benötigt, ein Self-Service-Webportal besuchen, in dem er sich anhand eines gemeinsamen Geheimnisses identifiziert, durch 5-10 Bildschirme klickt, den privaten Schlüssel und das Zertifikat in einer PKCS # 12-Datei herunterlädt. und öffnen Sie die Datei, um das Zertifikat auf ihren Desktop zu importieren. Outlook-Benutzer müssen das Programm dann so konfigurieren, dass das neu installierte Zertifikat verwendet wird.
  • Jeder Mitarbeiter muss den privaten Verschlüsselungsschlüssel manuell sichern, damit er bei versehentlicher Zerstörung wiederhergestellt werden kann. Andernfalls können E-Mails und Anhänge, die mit diesem Schlüssel verschlüsselt wurden, nicht entschlüsselt werden. Dieses Supportproblem hat zwei spezifische Formen:
    • Der Mitarbeiter vergisst, den Schlüssel zu sichern, und wenn der private Schlüssel zerstört wird, sind vergangene E-Mails für den Zugriff nicht verfügbar.
    • Der Mitarbeiter sichert den privaten Schlüssel zusammen mit anderen Datendateien auf einem USB-Laufwerk. Dieser private Schlüssel ist dann potenziell einem Angreifer ausgesetzt, der die Verschlüsselung erzwingen kann, die den privaten Schlüssel vor Diebstahl schützt.
  • Um ein Mobilgerät einzurichten, muss der Mitarbeiter Schwierigkeiten haben, den privaten Schlüssel und das Zertifikat aus Outlook zu exportieren und dann die Datei mit dem privaten Schlüssel und dem Zertifikat auf das Mobilgerät zu übertragen. Dort muss der Mitarbeiter den privaten Schlüssel und das Zertifikat in die E-Mail-Anwendung importieren, was aufgrund der vielen, komplizierten und je nach E-Mail-Anwendung unterschiedlichen Methoden zu Helpdesk-Anrufen führt.
  • Sobald der private Schlüssel und das Zertifikat auf dem mobilen Gerät installiert sind, muss der Mitarbeiter herausfinden, wie die E-Mail-Anwendung für die Verwendung des neu installierten Zertifikats konfiguriert wird. Dies führt häufig zu einem Helpdesk-Anruf.
  • Wenn das Zertifikat in 1-3 Jahren abläuft, muss der Mitarbeiter vor dem Ablauf des Zertifikats über ausreichende Kenntnisse verfügen, um das Zertifikat auf mehreren Geräten zu erneuern. Andernfalls erhalten alle Empfänger eine Benachrichtigung, dass die digitale Signatur ungültig ist.
  • Nach der Erneuerung von Zertifikaten verwenden E-Mails dieses Absenders auf dem E-Mail-Server andere Schlüssel. Ohne Automatisierung muss der Mitarbeiter manuell sicherstellen, dass der gesamte Schlüsselverlauf verfügbar ist, oder einige E-Mails können nicht entschlüsselt werden.