 Ich begrüße Sie zum Vortrag CypherMail, Email Encryption, die Anzahl der Teilnehmer entspricht so ungefähr dem, was wir an Resonanz auch bei mittelständischen Unternehmen erleben, so traurig es ist. Mein Name ist Lee Dortsch, der von Michael Günther. Ich bin Geschäftsführer eines IT-Dienstleisters hier aus Pforzheim, sind bereits seit 20 Jahren im Geschäft. Schwerpunkt, wie man sieht, Linux. Natürlich haben wir es auch mit Kunden zu tun, die andere Betriebssysteme einsetzen. Das lässt sich nun mal nicht vermeiden. Wie gesagt, sitzt in Pforzheim und unsere Kunden befinden sich im gesamten Deutschsprachigen Raum, teilweise auch in Frankreich. Wie schon gesagt habe Resonanz auf E-Mail-Verschlüsselung ist auch bei denen nicht besonders groß. Eine der Gründe hier E-Mail-Verschlüsselung ist der Spruch immer brauchen wir nicht. Also selbst solche Sachen wie NSA-Skandal und so haben nicht dazu geführt, dass sich die Kunden in irgendeiner Art und Weise dem Bewusstsein genähert haben, sie hätten schützenswerte Daten. Das übliche Problem ist hier Hennerei-Problem. Wenn man dann Kunden herantritt und sagt, wie schaut es aus, Firmengeheimnisse, Verschlüsselung oder so etwas, dann heißt es immer, warum sollen wir das machen? Die anderen machen es auch nicht. Mit wem soll ich denn bitte schön verschlüsseln? Und ich muss zugeben, wenn ich mir da unsere IT-Leiter bei den Kunden anschaue, E-Mail-Verschlüsselung? Nö. Teilweise auch mit der Argumentation hier Hennerei-Problemen, warum sollen wir das machen? Manche lassen sich dann so auf Experimente mit uns ein. Aber der Hauptgrund ist in der Tat, dass sie sagen, lohnt sich einfach nicht. Dann ein weiterer Punkt. Von IT-Leiter hören wir das natürlich nicht zu kompliziert in der Bedienung. Aber sobald es darum geht, dass der normale Anwender sich mit E-Mail-Verschlüsselung befassen soll, wird es schon kritisch. Wobei man auch sagen muss, mancher IT-Dienstleister ist auf diesem Gebiet auch relativ unbelegt. Sie kommen dann so auf die Idee von mir, den privaren Schlüssel zu verlangen, damit sie mir verschlüsselt E-Mails schicken können. Öffentlicher privater Schlüssel ist da gar nicht so vertreten. Unterschied zwischen S-Mail und PGP kommt da auch nicht wirklich vor. Also man kann den normalen Anwender nicht viele Vorwürfe machen. Selbst die Leute, die von der Technik Ahnung haben sollten, sind dann nicht wirklich präsent. Mangelndes Sicherheitsbewusstsein. Es ist leider immer noch so, dass in vielen Unternehmen der Spruch dann kommt Sicherheit, naja, wir haben eine Firewall, wir haben Viren-Scanner. Was sollen wir da noch mehr machen? Die E-Mail-Verschlüsselung kommt in der Tat weniger aus Unternehmen heraus, sondern wir haben es häufiger so, dass das aus dem Medizinbereich kommt, dort, wo es um personenbezogene Daten geht. Wir haben als Kunden Kliniken, die sagen, es kann nicht sein, dass wir hier wichtige Medizindaten verschicken, die im Klartext übertragen werden. Wir haben einen Kunden, der für die Arbeitsagenturschulung durchführt, so im Rahmen vom Sozialgesetzbuch. Und da hat die Bundesagentur auch gesagt, das, was wir hier verschicken in den E-Mails, das sind personenbezogene Daten, die können wir nicht im Klartext verschicken. Und da war dann auch die Forderung, wir müssen verschlüsseln. Das Verfahren könnt ihr euch aussuchen, aber es muss in Zukunft verschüsselt werden. Wenn man ähnliches Problem gehabt bei einer Polizeidirektion in Norddeutschland, denkt man jetzt ja, Polizei im Ministerium, da wäre vielleicht so das Empfinden, was Verschlüsselung angeht, ein bisschen größer. Weit gefehlt, da war es auch so, dass die Dienstleister der Polizei gesagt haben, die Dinge, die wir mit euch austauschen, das sind so gefährliche Daten, so empfindliche Daten, das müssen wir verschlüsseln. Also, es ist ganz unterschiedliche Beweggeründe, aber leider immer noch der Punkt, der sicherheitsbewusst sein. Der Spruch, der da kommt, so, was wir per E-Mail verschicken, muss nicht geschützt werden. Kein geheimen Dienst interessiert sich für uns. Und ja, so traurig es ist. Wie gesagt, mangelnder technisches Verständnis, selbst IT-Dienstleister fallen da negativ auf oder die IT-Leiter halt. Na, und dann immer der häufige entscheidende Punkt. Wenn dann der IT-Leiter mal sagt, wir machen Verschlüsselung, dann kommt da der Controller oder die Geschäftsleitung und die fragen dann, ja, welchen Vorteil haben wir denn jetzt davon, dass wir verschlüsseln, machen wir da durch mehr Gewinn zum Beispiel. Welche Kosten kommen auf uns zu? Wenn man Zahlvermails einsetzt als Open Source Software, hat man zumindest mal kein Lizenzkosten. Nicht dass du trotz ist natürlich so, dass entweder irgendjemand aus der IT sich mit dem Tier beschäftigen muss oder dass die den IT-Dienstleister dafür beschäftigen müssen. Irgendwann muss die Hardware dafür zur Verfügung stellen, auch wenn es eine virtuelle Maschine ist, also Kosten fallen auf jeden Fall an. Weitere Punkte, der bei Kosten häufig übersehen wird. Spätestens, wenn ich mir Gedanken mache über Essen, mal im Zertifikate, kann ich mir überlegen, setze ich mal eine eigene CA auf, erzeuge mir dort meine Zertifikate oder holen mir Zertifikate von einer der offiziellen CAs, die natürlich dann wieder Geld kosten. Und wenn ich, wie bei dem Beispiel des Dienstleisters für die Arbeitsagentur, 400 Mitarbeiter habe, dann geht das schon ein bisschen ins Geld. Wobei die Arbeitsagentur da so cool langdessen sagt, wenn ihr eine eigene CA aufsetzt, dann schickt uns die Zertifikate der CA-Kurzach an zu, wir importieren die, wir vertrauen euch und dann ist das kein Problem. Bei grundsätzlichen Sachen zur Cypher-Mail, die Software wird in Niederlanden entwickelt, weil dann ein hollische Entwicklerteam unter der AGBL veröffentlicht, basiert auf Java. Das führt jetzt bei manchen wieder zu leicht allergischen Reaktionen. Nach dem Motto Unsicher, Performance-Schleuder und so weiter und so fort. Man muss aber sagen, die haben ganze Arbeit geleistet. Einmal zurück wieder. Selbst die kleine virtuelle Maschine, die zur Verfügung stellen, ist sehr schlank gehalten. Die kommt, glaube ich, mit einem Gigramm aus. Und dort kann man auch sehr große Anzahl von E-Mails on the fly entschlüsseln. Das funktioniert sehr gut. Ursprünglich gab es nur die Open Source Variante. Dann ist dem Team aufgefallen, es wird immer Zeit, dass sie Geld verdienen. Und daraufhin haben sie jetzt eine Edition rausgebracht für Small Medium Enterprises und eine große Variante. Wir lassen uns überraschen, wie da die Resonanz ist. Bei den kostenpflichtigen Varianten haben die so als Benefits dazu gepackt, dass man sein eigenes Firmenlogo auf das Webinterface packen kann. Und dass es da dann auf der virtuellen Maschine auch ein Webmail-Interface gibt. Das dieser spricht so ein bisschen dem Konzept von Cypher Mail. Weil wir gleich sehen werden, ist Cypher Mail eine Lösung, die E-Mails einfach durchschickt, entschlüsselt, verschlüsselt, aber keine E-Mails selber speichert. Das ist also nichts anderes als ein Gateway. Deswegen passt das mit dem Webmail-Interface für diese Version nicht so ganz. Und bis zum Juni 2014 hatte diese Software in anderen Namen, nannte sich damals noch Jigsaw. Dann ist dem Team auch aufgefallen, dass Jigsaw... Na ja, hört sich wie ein Hundenname, vielleicht ein oder so. Aber da kommt man nicht sofort darauf, dass das irgendwas mit E-Mails zu tun hat oder mit Verschlüsselung. Und daraufhin haben sie dann im Juni 2014 den Namen geändert, den Cypher Mail. Darunter kann man sich nun einmal erheblich mehr vorstellen. Zu den technischen Features. Cypher Mail bevorzugt und da mögen jetzt auch wieder einige aufstöhnen Postfix als Mailer. Manche mögen es sei Exim oder Q-Mailer oder so. Auf der Mailing-Liste gibt es Anleitungen, wie man das dann auch noch umsetzen kann. Aber wie gesagt, die bevorzugte Variante ist Postfix. Cypher Mail wird dort als Contentfilter eingebunden. Sollte jemand da am Arves oder Ähnliches bereits einsetzen, man kann die hintereinander schalten. Man muss nur ein bisschen rum basteln mit den Ports, aber es funktioniert auch. Verschlüsselung mittels S-Mime, PGP und PDF. Ursprünglich war es nur S-Mime und PDF gewesen. PGP kam 2014 erst dazu. PDF dann ganz einfach mit einem Passwort. Und in dem PDF sind dann auch die Anhänge mitgespeichert. Ich habe es gerade schon erwähnt, Stichwort CA. Man kann natürlich kommerzielle Zertifikate erwerben und die bei Cypher Mail über das Webinterface auch einlesen. Sie können aber auch hingehen. Die Cypher Mail kann als eigene CA konfiguriert werden. Sie können dann selber ihre Zertifikate erzeugen und dann mit den potentiellen Gesprächspartnern entsprechend austauschen. Problem ist, wie gesagt, dort die Gegenseite muss Ihnen ihrer CA entsprechend vertrauen, sonst funktioniert es mit der fehlenden Entschlüsselung nicht. Weiteres Feature, das bisher bei Kunden eigentlich auf relativ wenig Interesse und Gegenliebe gestoßen ist, ist Data-League oder Data-Loss-Prevention, abgekürzt DLP. Also die Möglichkeit hinzugehen und für E-Mails Filter zu definieren mit Hilfe von regulären Ausdrücken, wo ich sagen kann, wenn in einer E-Mail ein solcher Filter zuschlägt, dann kann die E-Mail entweder abgewiesen werden. Das heißt, die verlässt das Unternehmen nicht. Oder ich kann Cypher Mail dazu bewegen, diese E-Mail zu verschlüsseln. Wenn das auch nicht funktioniert, geht entsprechend an den Absender wieder eine Nachricht oder Administrator wird. Benachrichtig-Ziel ist schlichtweg hier dafür zu sorgen, dass keine relevanten, keine wichtigen Unternehmen das Daten-Cris-Unternehmen verlassen auf ungeschützten Weg. Und der größte Vorteil natürlich für unsere DAUS, muss man so sagen, ist, wenn man Cypher Mail einsetzt, dadurch, dass es einfach ein SMTP Gateway ist, es ist keine Änderung an den Clients erforderlich. Also das, was man so als Plug-in-Scanned von Thunderbird oder von Outlook, wo ich halt hingehen muss, irgend ein Stück Extra-Soft beinstallieren muss, wo ich dann irgendwelche Keys auswählen muss oder ähnliches. Das ist hier nicht erforderlich. Damit reduziert sich natürlich auch der ganze Aufwand für den Administrator, muss nicht durch die Gegend laufen und irgendwelche Schlüssel hier verteilen. paar weitere Features, die, das gesamte Software ist komplett über ein Web-Interface administrierbar. Wenn man sich die virtuelle Maschine herunter lädt, kann man da genauso gut auch mit Putty draufgehen beispielsweise. Das wäre auch eine Möglichkeit, erforderlich ist es nicht. Ich werde das nämlich auch vorführen. Ich habe sowohl das, dass das Web-Interface vorbereitet als auch den Zugang per Putty, so dass uns das Ganze mal anschauen können. Aber wie gesagt, komplette Konfiguration von Cypher Mail und Post-Fix, inklusive von mir als Fetch-Mail oder wie man an seine E-Mails kommen möchte, geht komplett über das Web-Interface. Web-Interface momentan noch englischsprachig. Dann wie schnell erwähnt, Downloads der Software komplett als virtuelle Maschine für VMware oder Hyper-V und ansonsten als Paket für die gängigen Distributionen. So dass man es ganz geschmeidig installieren kann. Stichwort Benachrichtigung. Ich habe vorhin gesagt, dass auf den Clients keine Änderungen erforderlich sind. Das begrüßt der normale Benutzer natürlich zunächst einmal, weil er sich denkt, okay, wir haben eine neue Software da installiert, da geht die E-Mail jetzt durch und dann wird sie verschüsselt eigentlich. Kann ich mir da sicher sein, dass ich da den Anforderungen der Agentur oder des Kunden, des Lieferanten auf der Gegenseite entspreche und die E-Mail wirklich verschüsselt wird. Wir werden nachher sehen, im Web-Interface kann man einstellen, dass ein Absender einer E-Mail auch tatsächlich eine Benachrichtigung erhält, dass eine E-Mail erfolgreich verschlüsselt wurde. Erfahrungsgemäß wollen die Leute das so die ersten vier Wochen haben. Danach glauben sie einen zum einen und zum anderen sind sie danach genervt von den ständigen E-Mails, die da kommen, die mitteilen, dass die E-Mail erfolgreich verschlüsselt wurde. Das Feature kann man dann wieder mit einem Mausklick deaktivieren. Genauso kann man dafür sorgen, dass E-Mails, die eingehen und entschlüsselt werden, auch einen Zusatz bekommen in der Betreff-Zeile, dass da eine E-Mail entschlüsselt wurde. Das heißt, auch der normale Benutzer kann in der Stelle sicher sein, dass die Sicherheit auf beiden Wegen ein- und ausgehend gewährleistet ist. Die Benachrichtigungen sind im Standardfall, wenn man jetzt die VM oder die Pakete installiert, englischsprachig. Das sind diese sogenannten Templates, die hier stehen. Das Ganze ist komplett enderbar. Das sind einfach Text-Dateien, die ich übers Web-Interface editieren kann. Das kann ich auch Benutzer bezogen konfigurieren. Das heißt, wenn ich in einem Unternehmen tätig bin mit Mitarbeitern, die verschiedene Muttersprachen haben, kann ich das entsprechend an die Spracherfordernisse anpassen. Das geht sowohl Benutzer bezogen als auch Domänen bezogen. Stichwort Backup. Manche sind immer der Meinung, Backup ist das für Feiglinge. Stimmt nicht so ganz. Backup automatisiert. Der läuft im Hintergrund schlägt weg, ein Cron Job. Ich kann über das Web-Interface einstellen, wohin das Backup geschoben werden soll. Das kann beispielsweise per SIFS auf irgendeinen Nass gehen. Und wie gesagt, läuft da über ein Cron Job ab. Was dort gesichert wird, ist nichts anderes als die Postgres-Datenbank, die momentan dahinter liegt. In der Postgres-Datenbank ist die gesamte Konfiguration von Cypher Mail gespeichert, aber auch alle Zertifikate und Keys. Hat den Vorteil, dass wenn ich ein Update durchführe, installiere ich mir die neueste Version auch wieder als VM. Und das Einzige, was ich da machen muss, ist dieses Backup, diese Datei in den neuen VM einlesen. Und ich habe die neue Variante laufen mit all den Daten, die ich in den Backup hatte. Da mag es natürlich sein, dass vielleicht doch mal irgendwas schiefgeht. E-Mail wurde nicht verschlüsselt, E-Mail wurde nicht entschlüsselt. Die Erfahrung zeigt, dass die Ursache dafür in den meisten Fällen vor dem Rechner sitzt. Das Thema kennen wir bereits. Man kann dann über das Web-Interface auch auf die Lock-Dateien zugreifen, und zwar sowohl auf die Lock-Dateien von Postfix, also das, was unter Warlock, Maillock zum Beispiel liegt. Das wird im Web-Interface abgebildet. Allerdings hat auch Cypher-Mail eigene Lock-Möglichkeiten. Die kann man sehr fein einstellen. Also das, was man vom normalen Systemlocker kennt, von Debug bis irgendwo Critical, kann ich bei Cypher-Mail auch auswählen. Ich kann für die verschiedenen Stadien dieser Software, für die einzelne Schritte, wo eine E-Mail bearbeitet wird, durchläuft in dem Prozess von der Entschlüsselung oder bei der Verschlüsselung, kann ich das Debugging aktivieren. Und die Meldungen, die dann erscheinen, sind so aussagekräftig, dass man, wenn man von der Technik Halbwegsahnung hat, auch sofort sieht, woran es harpert. In den meisten Fällen, wie gesagt, Profil falsch angelegt, Zertifikat passt nicht zu E-Mail-Adressern. In dem Profil PGP deaktiviert oder ähnliche Geschichten, aber in den meisten Fällen, wie gesagt, sitzt das Problem vor dem Rechner und ist es nicht ein Fehler in der Software selber. Wir setzen jetzt diese Software, glaub ich, seit sechs Jahren ein, in unterschiedlichen Fällen. Unser erster Kunde ist ein Energieversorger gewesen, mit dessen Messinstrument an den Heizungen, die Messdaten verschüsselt verschickt haben. Wir haben seitdem keine gravierenden Fehler in der Software gehabt. Die funktioniert einfach. Wenn es Probleme gab, wie gesagt, vor dem Rechner, hat Zertifikat abgelaufen oder ähnliche Dinge. Also muss man sagen, das ist eine Software, die man wirklich empfehlen kann, die absolut stabil läuft und auch sonst keine Ausfälle oder ähnliches hat. Als Administrator möchte man nicht die ganze Arbeit alleine machen, deswegen letzter Punkt hier. Es gibt eine Benutzung in Rechteverwaltung. Das heißt, ich kann hier einzelne Aufgaben auch delegieren, sei es die Bearbeitung der Templates oder sei es die Import von irgendwelchen Zertifikaten, der ähnliches. Rechteverwaltung kann ich auch über das Webinterface einrichten und entsprechend melden sich dann meine Subadmins auch über das Webinterface an. Wenn Sie zwischendurch Fragen haben, Sie dürfen mich gerne unterbrechen. Es wundert mich schon, dass ich jetzt schon mehrere Folien durchgezogen habe und bisher noch keiner was gesagt hat, keine Fragen gehabt hat, bemerkenswert. So, ich habe mich wohl schon ein bisschen beschwert oder mehrfach, dass ja die Resonanz hinsichtlich E-Mail-Verschlüsse nicht so wirklich präglend ist. Wenn wir mal ein bisschen zurückdenken an das Thema NSA-Skandal und so, da war es ja so gewesen, dass unsere lieben Volksvertreter, auch Politiker genannt, sich ja ganz enorm beschwert haben, dass es ja wohl nicht sein kann, dass unsere eigenen Freunde uns ausspionieren und dass man das vom Feind zwar gewohnt ist. Aber ich habe mir damals so Gedanken gemacht im Rückblick, haben die uns eigentlich irgendwas empfohlen, was wir jetzt tun sollten? Hat irgend einer von dem aber sowas gesagt zum Thema liebe Leute, liebe Unternehmen, schützt euch, schützt eure Firmengeheimnisse, schützt eure privaten Daten, indem er beispielsweise eine Technik einsetzt, die jetzt seit vielen Jahren schon im Einsatz ist, wie E-Mail-Verschlüsselung. Wenn man übrigens nachschaut auf den PGP-Servern, mein erster PGP-Key stammt aus dem Jahr 2005. Ich habe damals auch ganz euphorot gedacht, jetzt. Jetzt ist Sicherheit, jetzt verschlüsseln wir. Ja, ich war auch wieder einzig gewesen, wenn das gemacht hat, also der Key liegt immer noch rum. Eines davon habe ich einen neuen. Ich habe mir dann mal den Spaß gemacht, haben mir so gedacht, na ja gut, wenn die Politiker uns nicht sagen, was wir tun sollen, woran könnte das wohl liegen? Gut, es gibt die Verschwörungstheoretiker, die sagen, na ja, ganz einfach, wir wollen hier den unseren guten Freund, sei es der Nachbar oder der auf der Anseite des Ozeans, den wollen wir nicht verkrrollen oder so. Und es könnte natürlich auch sein, dass die einfach keine Ahnung haben. Und da habe ich mir gedacht, wie kann ich überprüfen, ob unsere Volksvertreter eigentlich von der Thematik, über die wir da reden, Ahnung haben. Und wer sich mit dem Thema PGP mal beschäftigt hat, der weiß, dass es da öffentlich zugängliche Server gibt, auf denen man die entsprechenden PGP-Key herunterladen kann. Und ich habe mir dann mal gedacht, jetzt suchen wir doch mal, was man so findet unter der Domain des Bundestages, beziehungsweise der so allgemein bekannten Parteien. Denn wenn die sich für dieses Thema in irgendeiner Art und Weise interessieren sollten, dann sollten wir vielleicht auch mal so den einen oder anderen Key da registriert haben. Also der Bundestag hat, glaube ich, 630 Abgeordnete, plus ein bisschen Verwaltung dazu. Da findet man auf den Server 29 Keys. Ich bin ja nicht mehr hingegangen und habe noch sortiert, welche von den Abgelaufen waren. Sondern ich habe einfach mal zur Kenntnis genommen, dass da irgendwas passiert ist und dass sie sich für das Thema interessiert haben. Also Bundestag 29. Alphabetische Reihenfolge, keine politische Bevorzung oder sonst was. Okay, die sind noch relativ jung, 16 Keys in meinem Besser als nix. Die habe ich zusammengefasst, damit es nicht ganz so wenig aussieht. Ich glaube, es war in der Tat 50-50 gewesen. Die haben was zu verbergen. Deswegen haben die schon mal deutlich mehr. Das ist Zufall, also die Zahlen sind nicht getürbt. Das ist tatsächlich beides mal 52. Das ist schon interessant. Da scheint sich jemand für dieses Thema deutlich mehr zu interessieren. Das war das Beste. Also der Service nicht in der Lage uns mitzuteilen, wie viele Keys für die Piraten überhaupt registriert sind. Das schafft er einfach nicht. Gut, das haben wir jetzt auch erwartet, dass bei denen vermutlich ein paar Keys mehr vorhanden sind. Aber egal, wie oft man das wiederholt, diese Suche, man bekommt einfach kein Ergebnis. Man läuft dann in den Timeout hinein. Und zu guter Letzt auch die SPD nochmal mit 150 vertreten. Ich habe mir die ganze Zeit schon überlegt, dass ich mal in den Vorzeichen mal so die Vertreter der Wahlkreise mal fragen sollte, wie die zu dem Thema stehen, ob sie ein PGP-Key haben, ob man mit denen verschlüsselt kommunizieren kann oder so. Aber die haben bisher Glück gehabt. Ich hatte noch keine Zeit gehabt. Also man sieht hier, wenn man sich mit dem Tier beschäftigen möchte, muss das wohl in der Tat eigeninitiative sein. Unsere Volksvertreter sind auf dem Thema hier relativ blank. Also mal gucken, ob die Innenminister da was haben. Fragen zu dem theoretischen Teil bis hierhin. Danke. Ich hätte so nach jemandem das gehört haben, das ist immer eine gute Idee. Aber ich habe es von EHSD mitgekehren an den Zweifel. Ich betreibe zwar mit einer eigenen Mainz, aber natürlich vertreten ob die auch nicht. Die Frage habe ich vor zwei Wochen bei dem Vortrag auch bekommen. Ich habe es gestutzt. Hat mir dann aber gedacht, eigentlich auch nicht, keine so schlechte Idee. Und in der Tat, das geht. Ich muss aber sagen, das war nicht Absicht der Software. Und ich weiß es auch nur deswegen, weil uns an der Stelle auch schon mal Fehler unterlaufen ist. Dass wir E-Mails, die hereinkamen, dann nochmal verschüsselt haben. Kann man in der Tat im Web-Interface einstellen? Wie ist das technisch kein Problem? Kann man machen? Haben wir wie gesagt nur festgestellt, da ich das aus Versehen war, falsch konfiguriert haben, weil wir E-Mails, die hereinkamen, die schon verschüsselt waren, dann nochmal verschüsselt haben. Aber sie können das Ganze auch machen mit E-Mails, die noch nicht verschüsselt waren. Zu dem Thema auch, weil sie gesagt haben, eigener Mainz-Server. Ich habe vorhin gesagt, Zeit für Medicine Gateway. Das heißt, die E-Mail kommt rein, wird ent oder verschüsselt und geht wieder raus. Es wird nichts gespeichert dort. Wir haben einen Kunden des Rechtsanwalts, Kanzlei. Denen haben wir da drauf auch in den Cyrus installiert. Da drunter läuft ein normales Debian. Das heißt, ich kann per Up-Get installieren, was ich eigentlich möchte. Und wenn ich sage, ich möchte Cypher-Mail nicht nur als Gateway verwenden, sondern ich möchte es auch gleichzeitig als normalem Mail-Server haben. Kein Problem. Einfach drauf installieren, das funktioniert. Thema Schlüsselverwaltung. Woher bezieht die Software ihrer Schlüssel gerade, wenn es jetzt zum Esmime handelt? Und der sucht die eingehende E-Mails nach angehängten öffentlichen Schlüssel? Ja, die werden automatisch importiert. Und ich kann auch hingehen im Webinterface sagen, dass zu diesen Schlüsseln, die erkannt wurden, auch automatisch ein Benutzeprofil angelegt wird. Wir werden gleich sehen, nur aufgrund der Tatsache, dass da ein Schlüssel liegt, verschüsselt die Software noch nicht. Die hat den dann zwar, aber sagt sich dann, okay, jetzt muss der Administrator mir noch genau sagen, soll immer verschüsselt werden, soll gegebenenfalls verschüsselt werden, soll nur verschüsselt werden, wenn in Betreffzeile irgendeine bestimmte Kennzeichnung steht oder ähnlich ist. Aber grundsätzlich ist die Software in der Lage, die Keys auszulesen. Bei Esmime, ich kann auch über das Webinterface direkt von den PGP-Keyservern mir die Keys herunterladen und darüber auch suchen, das funktioniert. Das Einzige, was ich machen muss, ist halt von den CAs, die Routzertifikate, die müssen wir da halt von Hand importieren. Aber alles andere kann durchaus automatisch gehen. Ist aber optional, können Sie einschalten, können Sie auch ausschalten, wenn Sie, ich sage mal, nicht den Zertifikatspeicher, da Sie sich vollhauen wollen mit beliebigen Zertifikaten oder so. Grundsätzlich gibt es natürlich bei dem Stichwort Gateway, bei manchen Administratoren so Vorbehalte, die dann sagen, ich möchte nicht, dass da Private Keys auf einem Gateway liegen, ich möchte, dass die Private Keys bei den Usern sind. Ja, der Meinung kann man natürlich sein. Wir betrachten das Hypermail als Möglichkeit, die Unternehmen grundsätzlich mal an das Thema E-Mail-Verschlüsselung heranzuführen. Und das ist so ein erster Schritt, wenn wir jetzt den Administratoren noch zumuten würden, dass sie bei jedem User vorbeilaufen und dort irgendwelche Keys-Zertifikate installieren würden, wird es die Hemmschwelle, sich mit dem Thema zu beschäftigen, noch deutlich erhöhen. Deswegen nehmen wir momentan mal in Kauf, dass manche Administratoren da Bauchschmerzen bei haben, dass halt Private Keys zentral gelagert werden. Aber wir betrachten das Hypermail, wie gesagt, als ersten Schritt zunächst einmal. Keine weiteren Fragen. Okay, gut, dann machen wir Live-Demo. Davor hat sich der Administrator, der keine garbische Oberfläche haben möchte. Das ist zunächst einmal der Einstieg in diese virtuelle Maschine. Wie gesagt, ich habe ja nichts irgendwie installiert. Das ist nur die virtuelle Maschine. Der Bute mehr automatisch per DRCP und zeigt mir die IP-Adresse an, die ich natürlich benötige, damit ich auf Webinterface überhaupt darauf komme. Erster Punkt Open Shell. Ich habe es vorhin erwähnt. Ich kann ganz normal mit der Kommandozeile arbeiten. Ich bin ja als Benutzer mit dem Namen SA angemeldet. Wenn man zu Ruht werden möchte, ganz klassisch Sudow. Und ich bin da als Ruht auf der Kommandozeile unterwegs. Grundsätzlich Konfiguration, Netzwerk, Zeitzone und ähnliches. Wer die deutsche Tastaturbelegung haben möchte, greift auf den Punkt Configure Keyboard zurück. Ansonsten englische Tastaturbelegungen. Muss man nicht viel zu sagen. Und ansonsten die Klassiker Reboot, Shutdown und Restart. Grundsätzlich gilt einfach das System laufen lassen. Wie gesagt, es läuft super stabil. Es ist wirklich klasse. Nachdem ich dann die IP-Adresse herausgefunden habe, meiner virtualen Maschine, rufe ich dann für HTTPS. Die IP-Adresse auf, wird automatisch weitergeleitet hier auf das unterverzeihendes Login und bekommen dieses Anmeldefence, da hier präsentiert. Nicht modifizierte virtuale Maschine, benutzterne Umpasswort jeweils admin, gleich vorneweg. Das sieht ja noch relativ stylisch aus. Man merkt, dass sich die holländischen Entwickler primär auf dem Punkt Technik konzentriert haben. Also User-Interface-Design ist jetzt nicht eine Ihrer Stärken. Das werden wir gleich sehen. Gut kann man sagen, muss ja nicht jeder, um welche Kacheln durch die Gegend schieben wie unter Windows. Man findet sich hier schnell zurecht. Grundsätzlich, ich habe es vorhin gesagt, aufgrund der Tatsache, dass ein Zertifikator liegt oder ein Schlüssel, macht Zeifermähen noch gar nichts. Ich habe zwar Möglichkeiten, ich kann sagen, das System soll, wenn eine E-Mail hereinkommt, an der sich ein Zertifikat befindet, soll ein User automatisch angelegt werden. Oder ich gehe halt hierhin und definiere meinen User und der Einstieg dorthin ist immer eine E-Mail-Adresse. Wie gesagt, ganz Oberfläche, komplett auf Englisch. Zugriff auf die verschiedenen Zertifikate bzw. mein PGP-Key. Zeifermail verfügt auch eine Funktion eines Portals. Das wird an der Stelle interessant, wo ich mit Ansprechpartnern nicht mittels S-Mime oder PGP-Verschlüssel, sondern per PDF. Da kann der User auf die Portalsite von Zeifermail zugreifen und dort entsprechend die E-Mail entschlüsseln. Wird relativ wenig benutzt, weil Zeifermähe ja meistens entweder im Lernstitt oder in der DMZ und dann der Admin extra wieder ein Portöffne müsste für das Web-Interface von Zeifermähen. Und das wollen die meist nicht. Wir haben bisher nur einen Kunden, der wirklich PDF-Verschlüsselung einsetzt. Das ist ein Callcenter, da werden die Abrechnungen als Excel-Dateien verschickt. Und da konnte sich unser Kunde mit seinen Kunden im Punkt Sicherheit maximal auf Verschlüsselung per PDF einigen. Was auch wieder daran lag, dass die Gegenseite mit PGP und S-Mime nichts anfangen konnte. Templates, gehen wir mal da drauf. Ich hatte erwähnt für alle möglichen Zwecke. Hier gibt es entsprechende Benachrichtigungen standardmäßig auf Englisch. Das sind hier so die Beispiele, was da möglich ist mit Informationen für User, für Admin. Alles komplett anpassbar. Wobei die Erfahrung zeigt, im Normalfall muss ich genau eine Meldung anpassen. Das ist nämlich die Nachricht an den User, dass die E-Mail erfolgreich verschlüsselt wurde. Der Rest interessiert eigentlich keinen von dir. Data League Prevention hatte ich erzählt. Und wenn man die Möglichkeit hat, Passwörter speziell für die PDF-Verschlüsselung per SMS zu verschicken, kann man hier die entsprechende Funktion nutzen. Gehen wir mal hier ein bisschen runter. Sollte jetzt jemand auf die Idee kommen, sie mit dem Thema Zeifermail ausführlicher zu beschäftigen. Die erste Entscheidung, die ich hier treffen muss, ist Locality. Locality heißt, ist mein User, für den ich hier ein Profil definiere. Ist das ein interner Benutzer oder ein externer Benutzer? Und daran entscheidet Zeifermail auch, ob eine E-Mail verschlüsselt werden soll oder nicht. Seine Möglichkeiten. Verschlüsselungsmodus, ganz klar, nicht verschlüsseln, verschlüsseln oder nur bei Bedarf. Ich kann auch die Verschlüsselung erzwingen, wenn kein Zertifikat zur Verfügung steht, kein Key zur Verfügung ist, dann geht die E-Mail automatisch an den Absender wieder zurück. Und hier die bereits mehrfach erwähnte Funktionen, Encryption Notification. Wie gesagt, spätestens nach vier Wochen sind die Leute es leid, eine Nachricht zu erhalten, dass die E-Mail verschüsselt wurde und glauben es dem Administrator, dass das Ganze funktioniert. Dann habe ich hier jetzt in dem Block die drei Möglichkeiten zur Verschlüsselung. SMS, PGP und PDF. Wenn man sich mit Zeifermail beschäftigt, ist am Anfang meist die Frustration relativ groß. Man hat da was konfiguriert, es sind Keys drin. Und jetzt denk mal, jetzt schicke ich eine E-Mail raus und es wird verschlüsselt und es passiert nichts. Die E-Mail wird im Klartext verschickt. Wichtig ist hier. Ich habe hier gerade einen Profil angelegt oder bin dabei für mich selber. Im zweiten Schritt gehe ich hin, definiere ein Profil für einen potenziellen Empfänger. Damit dort oder in der Kommunikation zwischen den beiden Profilen noch eine Verschlüsselung stattfindet, müssen bei beiden Profilen die gleichen Einstellungen gelten. Es funktioniert nicht, dass ich bei mir PGP auswähle und beim Empfänger SMS. Dann sagt Zeifermail, die beiden Profile passen nicht zueinander. Dann funktioniert das Ganze nicht. Also wenn ich möchte, dass PGP zwischen den beiden läuft, dann muss auch hier entsprechend PGP bei beiden Profilen eingeschaltet sein. Auch wenn ich hier selber kein PGP-Key habe, sondern nur die Gegenseite, die Funktion des Recht quasi für PGP muss auch in meinem Profil aktiv sein. Sonst ärgert man sich am Anfang hier in mich eine Runde rum, wenn das nicht funktioniert, wie erwartet. Ich werde hier nicht alle durchgehen, alle Parameter. Einiges sind selbsterklärend. Max Message Size, bis zu welcher Größe soll eine E-Mail verschüsselt werden. PDF-Verschlüsselung, das gleiche. Bei allen drei kann ich auswählen, wie groß eine E-Mail sein soll oder maximal sein darf. Ich kann unten Passwort einstellen für die Verschlüsselung per PDF. Dann ein häufig gewünschtes Feature, Encryption Subject Trigger. Heißt, es wird nur dann verschlüsselt, wenn in der Subject-Zahle, in der Betreff-Zahle irgendeine festgelegte Zeichenkette steht. Da kann man dann bei Bedarf sich mit regulären Ausdrucken intensiver beschäftigen. Wichtiger ist hier das Feature, das automatisch aktiviert ist, nämlich dass diese Kennzeichen dieser Trigger nach der Verschlüsselung oder vor der Verschlüsselung rausgeworfen wird und dann die E-Mail verschüsselt wird. Wer sich für den Rest dauernd interessiert, die Terminansagen dort kann ich z.B. von der Verschlüsselung ausnehmen. Ich kann Algorithmen auswählen und so weiter und so fort. Auch hier zeigt die Erfahrung, dass bei den Advanced Settings normalerweise keine Änderungen erforderlich sind. Speziell, wenn man damit beginnt mit Zeifermail, sollte man natürlich die Frustration, die ich ganz so hoch zu haben, von denen einstellen und die Finger lassen. So, speichern wir das Ganze. Dann sehe ich jetzt hier meinen ersten Benutzer. Übersichtlich natürlich noch ... Bei einer großen Installation wird es unübersichtlich. Ich kann hier auch mit Filtern arbeiten, indem ich nach bestimmten Domains suche. Das erleichtert die Arbeit natürlich enorm. Neben den Benutzer gibt es ja auch Domänen. Ihnen ist vielleicht von aufgefallen hinter allen Parameter stand das Wort Inherit, also Vererben. Ich habe hier die Möglichkeit, nicht nur Benutzerprofile anzulegen, sondern auch Domänenprofile, wo ich sagen kann, für alle Benutzer in einer bestimmten E-Mail-Domain sollen bestimmte Einstellungen gelten. Nach der Mutter alle PGP, aber ein Benutzer aus welchem Grund auch immer, bei dem nämlich die Vererbungseinstellung heraus, der darf nur S-Mail durchführen. Zertifikate sind momentan ... ... importiert, ja. Da habe ich voreingestellt, vor importiert schon mal die Zertifikate von bekannten CAs, die frei verfügbar sind. Wenn man unten rechts schaut in die Tabelle, da unten gibt es farbige Markierungen für valid, invalid und Zertifikate, die zurückgerufen wurden. Das kann man gleich hier auf Anieb dann auch entsprechend erkennen. Einige Route-Zertifikate. CL sind leer. Und dann kann ich ja das tun, was ich vorhin schon angekündigt habe. Ich kann meine eigene CA aufsetzen. Also, wenn ich nicht nur PGP verwenden möchte, sondern S-Mail und meine Gegenseite, mit der ich verschlüsselte E-Mails austauschen möchte, mir vertraut, dann installiere ich meine eigene CA und muss dann nur der Gegenseite auch die entsprechenden Zertifikate der CA mitteilen. PGP habe ich mein PGP-Key schon mal importiert gehabt, damit man sieht, wie das aussieht. Auch jede Möglichkeit, PGP-Key, die mir als Datei vorliegen zu importieren, so wie ich meine S-Mail-Zertifikate erzeugen kann, kann ich genauso gut auch hingehen und das Ganze bei PGP durchführen. Und bei entsprechendem Internetzugriff, den ich jetzt hier gerade nicht habe, kann ich natürlich auch auf die entsprechenden Key-Server zugreifen und dort nach PGP-Key suchen. Also nicht nur der Import per Datei ist möglich. Ja, nee, das macht er noch nicht. Die Frage haben wir auch schon gehabt, ob das aus dem ADS möglich ist. Da gab es auf der Median-Liste ein Skript von einem IT-ler von der Lufthansa. Der hat ein Skript geschrieben, dass das in der Tat kann, aber es ist nicht bei S-Mail out of the box vorgesehen. So, das von mir erwähnte Feature Data League Prevention. Gut, in der Gruppe hier führen wahrscheinlich reguläre Ausdrücke nicht zum Aufstöhnen, hoffe ich zumindest mal. Für die meisten anderen, wenn man zum Vortrag hält, ist das hier natürlich das reinste Coder-Welch, was in der zweiten Spalte da steht, bei den regulären Ausdrücken. Also hier kann ich angehen, dass Kreditkartennummer und das Kontodaten nicht unverschlüsselt verschickt werden dürfen. Settings dahinter verbergen sich die allgemeinen Einstellungen. Also all die Dinge, von denen ich weiß, dass ich sie bei den meisten meiner Benutzer benötigen werde, wie beispielsweise vor einem Stichwort Import-Zertifikate automatisieren. Benutzer, das Anlegen von Benutzern automatisieren, kann ich hier unter den allgemeinen Einstellungen direkt vornehmen. Wenn ich grundsätzlich weiß, dass meine meisten Accounts, die ich anlegen möchte, hier nicht als Locality-External haben, sondern Internal, dann macht es Sinn, das Ganze hier vorher auszuwählen. Dann ist es halt eine Vor-Einstellung für alle weiteren Profile, die ich bei den Benutzern anlege. Das bezieht sich dann auch entsprechend auf alle anderen Dinge hier oben, auch bei den Templates. Wenn ich hier bei den allgemeinen Einstellungen als Template für die Encryption Notification schon einen deutschen Text hinterlege, dann habe ich das natürlich für alle weiteren Profile automatisch mit dabei. Dann käme der Spielchen, User sagt, ich habe ein E-Mail verschickt, es ist immer noch nicht angekommen, admin kannst du mal nachschauen. Auch die Möglichkeit haben wir hier, wir müssen nicht auf die Kommandozeile geben und mit Mail queue nachgucken, wo die E-Mail ist. Ich habe schon gesagt, das Web-Interface erlaubt es uns, all die Funktionen, die mit Mail zu tun haben, komplett hier auch abzubilden. Ich kann also hier nachgucken, ob eine E-Mail noch in der Queue hängt, ob sie nicht zugestellt werden konnte, wird mir entsprechend hier alles angezeigt. Dann der Zugriff auf die Log-Dateien, auch da, die schon gesagt, Zugriff auf die Log-Dateien vom Post-Wix. Sieht man hier auch schön. Beziehungsweise der Zugriff auf das Logging von Cypher Mail selber. Da auch gleich die Warnung, wenn ich das Logging hier hoch fahre, man sieht, dass es eine virtuelle Maschine, die nicht benutzt wird. Die habe ich, glaube ich, gestern oder so installiert. Der hat jetzt schon 363 Seiten da angelegt. Wir haben es mal als Verbesserungsvorschlag eingereicht. Es ist im Moment auch noch nicht möglich, hinzugehen und zu sagen, ich habe ein Problem im Bereich PGP. Fahr bitte mal alle Optionen, die mit PGP haben, hoch auf Info oder so etwas. Momentan ist es noch so, dass man das Ganze von Hand machen muss. Also alles, was man als Einstellung findet, die mit PGP mit S-Mail zu tun haben, muss man einzeln auswählen. Wir hoffen, dass die Entwickler da mal unseren Vorschlag umsetzen, sodass man da als Administrator ein bisschen weniger Arbeit hat. Auf der letzten Seite irgendwas. Der Admin-Bereich. Auch hier wiederhole ich mich noch mal. Ich hatte gesagt, es ist nicht notwendig, auf die Kommando-Zeile zu gehen. Das gilt auch für die Konfiguration von Postfix. Die für Cypher Mail wichtigen Parameter aus der Main-Cf kann ich hier komplett über das Web-Interface administrieren. Wer es mit der Main-Cf beschäftigt, kennt solche Sachen wie MyNetworks, Relay Domains und ähnliches. Das tag ich hier ein, speicher es und dann schreibt das Web-Interface diese Einstellungen als Main-Cf. Hier in der Mitte jetzt zwei wichtige Punkte. External Relay Host und Internal Relay Host. Ich hatte auch schon mehrfach gesagt, Cypher Mail ist ein Gateway. Hier wird nichts gespeichert. Das heißt, Cypher Mail muss wissen, was mit E-Mails passieren soll, die nach außen verschickt werden oder nach intern an den entsprechenden Mail-Server weitergeleitet werden sollen. Deswegen habe ich hier die beiden Einstellungen External Relay Host und Internal Relay Host. Es ist auch nicht so, dass Cypher Mail weiß, ob Linux läuft, sich nur mit Linux-Maschinen unterhält. Dem ist es völlig egal, welcher Mail-Server da läuft. Hauptsache, es spricht SMTP. Ob sie ein Exchange hinhängen oder einen Domino-Server oder was auch immer ist dem völlig egal. Ja, nee, haben wir keine Probleme, bis er mitgehabt. Also einfach weiterleiten auf Port 25 und ist für den, den Exchange das Thema auch erledigt. Wir erörgen uns gerade bei einem Kunden, der selber IT-Dienstleister ist, damit herum bei der Hosted Exchange Variante, der kann irgendwie SMTP-Aute oder sowas nicht und da haben wir momentan ein paar kleinere Probleme. Aber wenn sie den Exchange intern betreiben, ist es völlig egal. Wie gesagt, das Cypher Mail ist nichts anderes als ein Gateway. Annehmen, prüfen, durchleiten. Alles auf Port 25 normalerweise und der fest ist ihm egal. Netzwerkeinstellungen haben wir vorhin auf der Kommando-Zeile schon gesehen. Hier das Ganze nochmal in Rot. Können Sie machen, wenn Sie wollen, ja. Dem Punkt müssen Sie allerdings dann der Tat über die Kommando-Zeile einrichten. Backup hatte ich vorhin schon angesprochen bei den Folien. Wer das Ganze konfigurieren möchte, auch da hatte ich erwähnt, Export auf ein NAS oder so ist möglich. Einfach hier oben IP-Adresse oder Namen vom NAS oder vom Server eintragen und die restlichen Daten, die Sie brauchen, um dorthin irgendwas zu schicken. Und wie gesagt, der exportiert Ihnen kurzerhand die gesamte Postgres-Datei. In der Community-Variante ist als Datenbank nur Postgres möglich. In der Enterprise-Version können Sie auch andere Datenbanken verwenden. Das kann ein Oracle sein oder eine MySQL-Datenbank. Damit haben Sie auch die Möglichkeit hinzugehen, das Ganze als Cluster laufen zu lassen. Also wer MySQL als Cluster aufsetzt mit Galera oder so, das wäre kein Problem. Was wir auch schon gemacht haben, ist zwei Cypher-Mail-Gateways auf eine Datenbank laufen lassen. Das funktioniert auch relativ einfach. Das ist ein Konfigurations-Datei bei Cypher-Mail. Da tragen Sie einfach ein, dass die Datenbank auf einer Maschine läuft und ein System erledigt. So wie ich's Backup auslesen kann, kann ich das Ganze hier mit den Log-Dateien, die wir vorhin gesehen haben, auch machen. Auch hier die Warnung, Sie haben vorhin gesehen, dass diese wütterliche Maschine, obwohl sie noch nicht viel getan hat, im Bereich des Cypher-Mail-Logs schon 363 Seiten hatte. Das wächst relativ schnell an. Um die Log-Dateien künmet sich zwar auch Log-Rotate, aber nichtdestotrotz auf einem normal laufenden System wachsen die Log-Dateien hier relativ zügig an. Jede Punkt SSL, TLS, leider nur für das Web-Interface. Also nicht, weil gerade die Frage kam für den E-Mail-Bereich, sondern allein hierfür die Anmeldung am Web-Interface. So, das ist das, was ich vorhin mal erwähnt hatte. So schön es ist für ein Administrator, der auf der Suche nach einem Problem und der Lösung ist, dass man unter Linux halt gute Logging-Möglichkeiten hat. Sie sehen hier 27 Seiten mit Einstellmöglichkeiten für das Logging. Da entgeht ihn nichts. Also wenn Sie wieder erwarten mit dem System ein Problem haben sollten, Ihr Hauptproblem ist die passende Option herauszusuchen. Wobei, wenn man sich dort orientiert an den Stichworten S-Mail-PGP, denn das sind ja die Hauptbereiche, wo Probleme auftreten, findet man relativ schnell die passende Fehlermeldung und damit auch die Lösung. Und hier wünschen wir uns, wie gesagt, dass es einen Schalter gibt, wo man sagt, schalte alle Funktionen, die was mit S-Mail-PGP zu tun haben, schalte die auf Debugging, damit man da einfacher mitarbeiten kann. Anderenfalls müssen Sie als 27 Seiten nach den passenden Parametern durchsuchen. Noch nicht wirklich user-friendly. Klar, Proxy-Einstellung, wenn man es braucht, keine Texte aus einem S-Mail-Datei herausholen. Ich kann eine Test-E-Mail hier drüber verschicken. Und wenn die E-Mail ist nicht gepusht, werden in das Gateway der Klassiker Fetch-Mail, auch das kann ich hier drüber entsprechend konfigurieren. Das heißt, Cypher-Mail erzeugt mir in ETC entsprechende Fetch-Mail-Konfigurationsdatei, um die E-Mail bei einem oder mehreren Providern abzuholen. Das Gegenstück, den Hosts und Versenden, haben wir vorhin gesehen, in der Konfiguration von Postfix. Dort kann ich auch, was ja der Normalfall ist, die Anmeldung am Mail-Server des Providers entsprechend die Daten hinterlegen, damit sie Cypher-Mail beim Provider anmelden kann, um dort die E-Mails abzuliefern. Fragen zum Web-Interface? Es gibt zwei Möglichkeiten. Es ist entweder schon zu spät. Sind wir Thematik erschlagen? Danke, ja. Wie ist denn der Ablauf, wenn jetzt ein Benutzer, also ein Mitarbeiter der Firma, die Cypher-Mail einsetzt, eine BGP-Verschlüsselte-Mail an einen neuen Empfänger schicken will, der den er vorher noch nie was geschickt hat? Passiert es dann automatisch, dass sich Cypher-Mail von einem Key-Server den Key holt oder muss der Admin noch irgendwie Dinge tun? Da muss der Admin der Tat aktiv werden, dass er hingeht und hier über die Suchfunktionen, also hier bei PGP, Searchkeys, da gebe ich hier die E-Mail-Adresse ein und dann kann ich das Ganze, wird mir der Key hoffentlich angezeigt, wenn er denn veröffentlicht wurde von der Gegenseite und dann kann ich ihn hier importieren. Also muss ein Benutzer immer mit dem Admin interagieren für jeden neuen? Ich habe schon gesagt, ich kann natürlich auch Rechte delegieren. Also ich muss das, ich würde es nicht an jeden Mitarbeiter natürlich vergeben. Ich kann irgendein Subadmin definieren, der sich um den Bereich PGP zum Beispiel kümmern soll und dann kann derjenige das einlesen. Muss nicht ich alles alleine machen, als der Hauptadmin, das nicht. Weil das ist, denke ich, ein Punkt, warum das halt nicht so gut ankommt, weil ich will halt eine Mail schicken, ich will nicht erst zum Admin rennen, um zu sagen, ich will eine Mail schicken und dann muss der den Key irgendwo herholen und... Den Key herholen, die Erfahrung zeigt, dass das ist notwendig. Also selbst bei der Bundesagentur für Arbeit ist es so, dass wenn die sagt, wir machen Verschlüsselung und unser Kunde bekommt einen neuen Ansprechpartner, dann muss der auf die spezielle Seite bei der Agentur gehen, gibt dort die E-Mail-Adresse des Ansprechpartners ein und dann bekommt man die Anzeige, ja, erst mal im Zertifikat vorhanden, dann wird es auch als Datei angeboten oder nein, wurde noch nicht erzeugt. Also da ist in der Tat der Punkt, dass man sich die Sachen holen muss, ja. Aber ich denke, gerade bei PGP ist halt auch einfach das Vertrauensmodell ein bisschen undankbar. Ich meine, bei S-Mime, da hat man einen Zertifikat und dann hat entweder eine Firma halt ihre eigene CA oder es ist eine richtige CA unter der Prämisse, dass dieses System so funktioniert. Also schnell bekannte CA und dann tut das bei PGP. Man kann das auch auf ein CA-ähnliches Modell machen, also dass dann halt die Firma quasi ein Zertifikat hat, dass dann hier alle für diese entsprechende Domänten signieren kann. Aber da ist es sehr ungebeutig und normalerweise hat man halt bei PGP dieses Web of Trust und da, wenn man nicht jetzt dieses Web schon hat irgendwie, dann muss man halt wirklich jedes Mal erst mal, ja, dieses Zertifikat. Ja, ich habe es so geprüft. Ja, nehmen das jetzt ein Verschlüsseln. Ja, ist so, ja. Also wir machen es bei den Kunden, die sich jetzt für das Thema interessieren so, dass sie für die Keys und Zertifikat erzeugen und die sie dann zum Beispiel auf ihrer Homepage stellen, damit es von dort ja runtergeladen werden kann. Aber wir haben es bei uns auf der Internetseite auch, dass wir gesagt haben, für Bewerbungen gibt es unten drunter eine E-Mail-Adresse Personal.input und dazu den passenden PGP-Key und Zertifikate. Auch um zu gucken, ob Leute, die sich bewerben, damit umgehen können. Ich muss nicht weiterrehen, oder? Es nutzt keiner. Selbst Artiller, die sich bewerben, nutzen das nicht, obwohl es da drauf steht. Aber zu der Thematik, einer unserer Kunden aus Karlsruhe, der hat auch gesagt, E-Mail-Verschlüsselung finden wir gut. Wir sind im Bereich B2B tätig. Wir versuchen jetzt unsere Lieferanten und Kunden zu ihm Verschlüsselung zu bewegen. Ich glaube, die Uni Heidelberg, das war die einzige, die sie zu dem Thema gemeldet hat. Und dann gesagt hat, also nee, Verschlüsselung nicht, aber wir können gerne TLS machen zwischen den Mail-Server. Wir haben gesagt, okay, das weiß ich, dass wir das erreichen wollten, aber das ist besser als nix. Aber der gleiche Kunde hat dann auch ein Lohnbüro, das die Lohnunterlagen über den Gmail-Account verschickt. Was wollen Sie denn da erwarten? Dem haben wir einen Vortrag erhalten über Auftragsdatenverarbeitung, worauf der dem Lohnbüro den Kopf gewaschen hat. Das Thema E-Mail-Verschlüsselung kommt mir so vor wie Linux auf dem Desktop. Für jedes Jahr wird angekündigt, jetzt kommt der Durchbruch. Bei beiden Themen passiert nicht wirklich viel. Wobei E-Mail-Verschlüsselung von den Möglichkeiten her ja nun ein bisschen länger schon vertreten ist als Linux auf dem Desktop. Aber trotzdem, das passiert nichts. Ist doch so ein bisschen wie IPv4 und IPv6. Das machen wir gleich. Passiert auch nix. Noch zu wenig, ja. Können wir gleich noch was besseren berichten? Danke. Können wir davon was besseren berichten? Ich hatte zum Beispiel mal einen Arbeitgeber, da gab es halt das Angebot. Ja, du kannst deinen, wie heißt das Ding, Gehaltsabrechnung auf Papier bekommen oder per E-Mail. Per E-Mail musste man dann auf dem Vertrag, gab es ein Feld hier. Kannst du das Passwort eintragen, mit dem wir das verschlüsseln? Der arme Mitarbeiter, der jetzt bei mir irgendwie 40 Zeichen Base64 abgeben durfte. Aber manche Leute können das dann tatsächlich auch und jetzt zum Beispiel die RWTH Aachen, die Hochschule. Da sind alle E-Mails, die man zum Beispiel vom IT-Center bekommt, vom Rechenzentrum, haben eine SMIM-Signatur. Und wenn man dann antwortet mit Verschlüsselung, das verstehen die dann auch. Ich weiß gerade nicht, ob sie auch verschlüsselt wieder antworten. Aber Sie signieren zumindest schon mal, Sie können verschlüsseltes lesen. Okay. Da muss ich Sie leider gegenhalten. Also wir haben von einer unserer Banken vor, sagen wir mal, drei Monaten eine E-Mail bekommen. Sie würden gerne im Rahmen des Umweltschutzes auf den Versand der Kontostüge per E-Mail verzichten und das ganze per E-Mail verschicken dann. Also kein Papier, sondern E-Mail. Wir haben eine super Idee, aber das sind doch relativ prinzipieble Daten. Das machen wir jetzt nur, wenn wir verschlüsseln können. Und haben also der Ansprechpartnerin, die auf dem Schreiben erwähnt war, eine E-Mail geschrieben, haben gesagt, wie schaut es aus, was könnt ihr erst mal im PGP, wie machen wir das? Und dann kommt das jetzt zurück. Wäre zwar eine super Idee, würden Sie aber nicht machen. Grundsätzlich könnten Sie es aber. Die E-Mail-Verschüsselung läuft bei denen über einen externen Dienstleister und die müssen für jede verschlüsselte E-Mail 41 Cent zahlen. Klasse, oder? Nee, die maut ich mehr, aber die mehrere Mailings, so dass es günstiger für die ist. Aber da muss ich den Kopf schütteln, oder? Also eine Bank, die auch im Bereich E-Mail-Verschüsselung dann immer noch nichts hat, sondern sie auf dem Dienstleister verlässt oder so und dafür dann einfach die Cent bezahlen muss. Das ist... Ja. Nein. Jemand, jemand, das geht, wenn wir mit den wichtigen Garten noch weiter nach außen gegeben. Ich habe auch schon mal gesehen, eine Bank, da gab es dann einen Brief an die Kunden zum Online-Banking. Da haben die in diesem Brief dann den Fingerprint des SSL-Zertfikats geschrieben, sodass man nicht nur anhand der CA überprüfen kann, ja, das Online-Banking, das passt so. Also da gibt es irgendwie auch von oben bis unten, glaube ich, alles, was man finden kann. Meistens allerdings eher unten. Ja, aber die meisten Empfänger haben wahrscheinlich gedacht, das wäre ein Tippfehler, oder, dass dann mit dem Programm aber schief gelaufen ist, wenn so komische Sachen unten stehen. Ich glaube, es war nur eine Antwort auf eine Anfrage, aber ich muss hinschließen. So, wer von Ihnen fühlt sich jetzt nach dem Vortrag bemüßigt oder interessiert, sich mit Zeitvermeldung zu beschäftigen? Das macht ja schon mal ein bisschen Hoffnung. Setzen Sie auch bereits Verschlüsselung ein, also im E-Mail-Programm PGP und was okay, das ist ja schon mal nicht so schlecht. Es gibt nachher eine Key-Signing-Party für PGP oder morgen oder sowas. Ah, okay. Steht im Fahrplan. Gut. Sonst noch Fragen. Andere was zum Abschrecken, also eine unserer ersten Versuche mit E-Mail-Verschlüsselung war übrigens mit einer damals noch Astero-Firewall. Die Kunde war eine Rechtserweißkanzlei und Wirtschaftspulver und die haben auch gesagt, ist gut für das Image, wenn wir ein bisschen was für die Sicherheit tun und die haben dann auch glücklich erst mal damit angefangen, ihre E-Mail zu signieren. Kam nicht gut, weil etlich ihre Ansprechpartner so steinalter Outlook-Installationen hatten, dass Outlook, sobald eine von diesen E-Mails reinkam, geöffnet wurde, sich geschlossen hat. Gab es dann auch so Vorwürfe von wegen, sie würden Viren verschicken und Ähnliches und so weiter und so fort. Dann müssen wir das Featuren auch wieder erst mal deaktivieren. Furchtbare Beispiele aus der Praxis leider. Gut, fünf Minuten haben Sie noch Fragen zu stellen. Wenn Sie keine Fragen mehr haben, nochmal der Hinweis, wie gesagt, wenn Sie es einsetzen, denken Sie daran, bei den Profilen müssen Sie dafür sorgen, dass Gleichheit bei den Einstellungen herrscht. Das ist der wichtigste Punkt. Da habe ich mich am Anfang mit herum geärgert. Auf der Medienliste gibt es zu dem Thema auch sehr häufig Fragen. Das ist der Punkt, woran man als Erste scheitert, dass da nicht die Einstellung gleich sind und deswegen nicht verschlüsselt wird. Über das Thema öffentliche und Privatschlüssel muss ich Ihnen nichts erzählen. Und ansonsten achten Sie bitte darauf, dass Sie bei den User-Profilen hier die richtige Einstellung bei Locality wählen, wenn Sie das haben wollen, was am Anfang gefragt wurde, eine eingehende Klartext-E-Mail soll verschlüsselt werden. Da müssen Sie dort für die internen Empfänger external auswählen. Dann verschlüsselt er nämlich. Weil das ist ja nicht der Sinn der Software eigentlich, dass er was internes verschlüsseln soll. Deswegen müssen Sie hier den Spieß umdrehen und sagen, diese internen Adresse ist was externes, dann verschlüsselt er auch und legt es entsprechend dann dort ab. Gut, dann danke ich Ihnen für die Aufmerksamkeit. Wünsche ich viel Spaß mit Zeifermail. Wir wissen, wer verschlüsselt, wird von den Geheimdiensten immer argwönig beäugt. Aber je mehr von uns das machen, umso weniger fallen wir auf. Gut, schönes Wochenende wünsche ich Ihnen und wie gesagt, viel Spaß mit Zeifermail. Danke.