E-Mails mit Office 365 Message Encryption (OME) verschlüsseln

E-Mail ist wohl das wichtigste digitale Kommu­nikations­mittel für Unter­nehmen. Es fällt daher unter diverse Compliance-Anforderungen. Anwender von Exchange Online können die Verschlüsselung von Nachrichten als Online-Dienst nutzen. Dieser ist in Azure Rights Management (Azure RMS) integriert und schützt neben Nach­richten auch die Anhänge.

Office 365 Message Encryption (OME) ist eines von drei Verschlüsselungs­verfahren, die in Microsoft 365 verfügbar sind. Die anderen beiden sind Secure/Multipurpose Internet Mail Extensions (S/MIME) und Information Rights Management (IRM). Jede hat ihre Vor- und Nachteile. Ein Vergleich der drei Optionen findet  sich auf Microsoft Docs.

Auch externe Empfänger möglich

OME ermöglicht das Senden und Empfangen von verschlüsselten E-Mails an Konten innerhalb und außerhalb eines Unternehmens. Darüber hinaus bietet sie eine granulare Steuerung für Administratoren, um zu entscheiden, welche Nachrichten geschützt werden sollen. OME lässt sich zudem leicht mit Exchange Online-Transportregeln kontrollieren.

Wenn eine E-Mail einer Transportregel entspricht, die für die Verschlüsselung konfiguriert wurde, dann wird die Nachricht automatisch kodiert und erfordert kein Eingreifen des Endbenutzers. Sobald ein Empfänger eine verschlüsselte Mail erhält, kann er die Nachricht mit einem einmaligen Passcode ent­schlüsseln.

Diesen erhält er, indem er sich bei seinem Microsoft-Konto oder einem Arbeits- bzw. Schulkonto anmeldet, das mit Microsoft 365 verbunden ist. Außerdem können User verschlüsselte E-Mails empfangen und verschlüsselte Antworten senden, ohne ein Abonnement für Microsoft 365 zu haben.

Funktionen und Einschränkungen von OME

Office 365 Message Encryption bietet die folgenden Funktionen:

• Verschlüsselung von gesendeten E-Mails und deren Antworten
• Sie funktioniert auch für Empfänger mit Mail-Adressen außerhalb von Microsoft 365, einschließlich Outlook.com, Yahoo, Google Mail und anderen
• Bietet eine granulare Kontrolle darüber, welche E-Mails verschlüsselt werden
• Erfordert keine Installation von Software auf Seiten des Absenders oder Empfängers

Es gibt allerdings auch eine wichtige Einschränkung, die bei OME zu beachten ist. Der Service verhindert nicht, dass Benutzer eine verschlüsselte Nachricht weiterleiten oder ausdrucken. Wenn Unternehmen diese Funktionen für verschlüsselte E-Mails blockieren möchten, dann benötigen sie eine andere Lösung.

Verschlüsselt OME die Daten im Ruhezustand?

Microsoft Office 365 Message Encryption (OME) verschlüsselt E-Mails während des Transports. Microsoft sorgt jedoch bereits standardmäßig für die Verschlüsselung von Daten im Ruhezustand. Der Cloud-Provider verwendet dafür BitLocker Drive Encryption, um die in den Rechenzentren gespeicherten Mail-Daten zu verschlüsseln.

Das bedeutet, dass Sie keine zusätzlichen Dienste nutzen müssen, um die E-Mails im Ruhezustand zu verschlüsseln.

Lizenzierung von OME

Bevor Sie Office 365 Message Encryption nutzen können, brauchen Sie einen Abonnement, das diese Funktion unterstützt. OME ist in Office 365 Enterprise E3 und E5, Microsoft 365 Enterprise E3 und E5, Microsoft 365 Business Premium, Office 365 A1, A3 und A5 sowie Office 365 Government G3 und G5 enthalten.

Wenn Sie einen dieser Pläne nutzen, benötigen Sie keine zusätzliche Lizenzierung. Sie können aber Azure Information Protection Plan 1 auch als eigenständige SKU zu Exchange Online Plan 1, Exchange Online Plan 2, Office 365 F1, Microsoft 365 Business Basic, Microsoft 365 Business Standard oder Office 365 Enterprise E1 hinzufügen.

OME-Voraussetzungen prüfen

Sobald Azure Information Protection aktiviert und verfügbar ist, kann man die Funktionalität von Office 365 Message Encryption mit Exchange Online PowerShell überprüfen.

Verbinden Sie sich dazu folgendermaßen über PowerShell mit Exchange Online:

Install-Module -Name ExchangeOnlineManagement
Import-Module ExchangeOnlineManagement
Connect-ExchangeOnline -ShowProgress $true

Führen Sie nun das Cmdlet Get-IRMConfiguration aus. Es testet, ob die RMS-Vorlagen verfügbar, lizenziert und einsatzbereit sind. Die Eigenschaft AzureRMSLicensingEnabled sollte den Wert True haben.

Nun können wir das Cmdlet Test-IRMConfiguration ausführen, um die RMS-Vorlagen zu testen. In der Ausgabe dieses Cmdlets sollte das Ergebnis

OVERALL RESULT: PASS

angezeigt werden. Die Syntax für den Aufruf lautet:

Test-IRMConfiguration -Sender user@yourorg.onmicrosoft.com `
-Recipient user@yourorg.onmicrosoft.com

Transportregeln für die Verschlüsselung definieren

Nachdem die Prüfung mit Test-IRMConfiguration erfolgreich war, müssen wir Transportregeln hinzufügen, um die OME-Verschlüsselung zu aktivieren.

Navigieren Sie dazu im Exchange Online Admin Center zu Mail flow => Rules => Apply Office 365 Message Encryption and rights protection to messages...

Im Dialogfeld New rule können Sie die Nachrichten­typen definieren, auf die OME und die Richtlinie für Rights Protection angewandt werden sollen. Im Folgenden habe ich dieses Beispiel definiert:

• Apply this rule if - The subject or body includes
• Dort habe ich den Begriff "vertraulich" eingegeben

Gesendete Nachrichten, deren Betreff oder Text das Wort "vertraulich" enthalten, werden künftig automatisch mit OME verschlüsselt.

Fazit

In der Vergangenheit war die Implementierung von E-Mail-Verschlüsselung komplex und schwierig. Mit Office 365 Message Encryption stellt Microsoft jedoch eine mit Exchange Online integrierte Lösung bereit, die nur eine minimale Konfiguration oder technisches Fachwissen erfordert.

Sie setzt ein Microsoft 365-Abonnement voraus, das Azure Information Protection (AIP) enthält. Sie können AIP jedoch auch als eigenständige SKU zu anderen unterstützten Plänen hinzufügen.

Danach ist die Implementierung der E-Mail-Verschlüsselung so einfach wie das Definieren von Mailflow-Regeln. Sie bestimmen, welche E-Mails verschlüsselt werden.