Lösung für Kryptoloch in Outlook/Exchange

Die Gelsenkirchener Kryptofirma CV Cryptovision GmbH hat inzwischen eine Lösung für das Sicherheitsproblem in Exchange/Outlook-Umgebungen entwickelt. Laut Cryptovision hat Microsoft die Funktionalität des Lösungskonzeptes bestätigt. Noch im März will das Unternehmen die Anwendung auch anderen Krypto-Plug-in-Herstellern zur Verfügung stellen. Für Cryptovision-Manager Marco Smeja zeigten erste Nachfragen der Kooperationspartner und Mitanbieter, dass die Angelegenheit als dringlich eingeschätzt wurde. Der Patch von Cryptovision wird auch das bislang nicht publizierte Problem lösen, dass ebenso beim Öffnen von verschlüsselten Nachrichten die gleiche Zwischenspeicherung wie beim Schreiben einer Nachricht auf dem Exchange-Server erfolgt. Auf dieses Problem hatte die Herstellerin des Krypto-Plugins CryptoEx, die Glück & Kanja Technology GmbH, in einem heise online vorliegenden White Paper hingewiesen.

Microsoft teilte heute mit, neben Cryptovision GmbH auch mit der Deutschen Post Signtrust GmbH, Glück & Kanja Technology AG, SECUDE Sicherheitstechnologie Informationssysteme GmbH und T-Systems zusammenzuarbeiten. Microsoft hatte damit gerechnet, dass erst bis Ende März erste nach Microsoft-Vorgaben programmierte Plug-ins zur Verfügung stehen. Nun wird dies nach dem Entwicklungserfolg von Cryptovision wohl schon früher der Fall sein.

Microsoft wies in einer heute veröffentlichten Stellungnahme darauf hin, dass mit Microsofts Implementierung von S/MIME mit Exchange als E-Mail-Server bei aktivierter Verschlüsselung weder E-Mail-Daten unverschlüsselt die Netzwerkverbindung zum Server passieren können noch diese E-Mail-Daten unverschlüsselt im Exchange-Server-Postfach gespeichert werden.

Auch bietet Microsoft als "sehr einfache und schnell einzuführende Alternative" für eine "vollständige End-to-End-Security" die RPC-Kodierung der Daten im Netzwerktransport an. Die RPC-Kodierung wird über das jeweilige Windows-Betriebssystem zur Verfügung gestellt. Windows NT 4.0 beherrscht dabei aufgrund der ehemaligen Exportbeschränkung der USA maximal 40-Bit-Verschlüsselung, Windows 2000 ab Service-Pack 2 und Windows XP beherrschen sowohl Client- als auch Server-seitig 128-Bit-RPC-Kodierung.

Bei RPC handelt es sich jedoch um keinen Verschlüsselungsalgorithmus, sondern um eine einfache Transport-Kodierung. Damit kodierte Daten können deshalb nach Expertenansicht bei Kenntnis ihrer Funktionsweise leicht entziffert werden. Laut Glück & Kanja wird die unverschlüsselte Nachricht trotzdem auf dem Microsoft Exchange-Server gespeichert. Das Gleiche gelte für die Aktivierung einer IPSec-Verschlüsselung zwischen Client und Server. "Wer seinen Firmen-Server nicht hinter zwei Firewalls stellt, begeht Harakiri", kommentiert Marcus Belke, Geschäftsführer der Deutschen Post Signtrust.

Ebenfalls wies Microsoft darauf hin, dass beim Exchange-Server der MAPI-RPC-Zugang ausgeschaltet und er dann als POP3- oder IMAP-Server inklusive SMTP-Transport für ausgehende E-Mail konfiguriert werden kann. Allerdings stehen dann die meisten Workgroup-Funktionalitäten von Exchange nicht mehr zur Verfügung. (Christiane Schulzki-Haddouti) / (pab)