• Startseite
  • Schlüssel und Zertifikate
  • S/MIME und PGP
  • S/MIME Einrichtung
  • IKB PDFMail

IKB SecureMail

Die IKB SecureMail Dienste ermöglichen den sicheren Austausch von Informationen zwischen Mitarbeitern des IKB Konzerns und externen Kommunikationspartnern.

Wir unterstützen die Standards

  • S/MIME
  • PGP (OpenPGP)

Wir bevorzugen den Einsatz von S/MIME, denn PGP war ursprünglich nicht für die Verarbeitung von Anhängen oder formatieren HTML-Nachrichten vorgesehen und daher kommt es heute immer noch zu Problemen in der Feinabstimmung zwischen Produkten unterschiedlicher Hersteller.

Für externe Kommunikationspartner, die keinen dieser beiden Standards nutzen können, bieten wir PDFMail an.

Zur Absicherung des Kommunikationsweges per E-Mail kann auch die TLS-Verschlüsselung (Transport Layer Security) für den Übertragungsweg genutzt werden. Die Mail-Server der IKB verwenden dann automatisch TLS, wenn das von Ihrem System unterstützt wird.

Auf Wunsch können wir auch eine technisch erzwungene TLS-Verschlüsselung zwischen Ihrem System und unseren Mail-Servern einrichten. Wenden Sie sich in diesem Fall bitte an security@ikb.de

Bitte beachten Sie, dass wir nur als sicher anerkannte TLS-Versionen ab Version 1.2 unterstützen.

Alle wichtigen Daten auf einen Blick:

Root Keyserver
S/MIME CA-Zertifikat für S/MIME ldap://keyserver.ikb.de/cn=SafeGuard%20MailGateway%20CA,cn=S/MIME%20Certificates,cn=Public%20Keyserver
PGP CA-Schlüssel für PGP ldap://keyserver.ikb.de/cn=OpenPGP%20Keys,cn=Public%20Keyserver

Zertifikate und Widerrufsinformationen

Abruf von Zertifikaten und PGP-Schlüsseln

Unsere Zertifikate und PGP-Schlüssel können Sie über das LDAP-Protokoll von unserem Keyserver abfragen.

S/MIME

ldap://keyserver.ikb.de/cn=S/MIME%20Certificates,cn=Public%20Keyserver

PGP

ldap://keyserver.ikb.de/cn=OpenPGP%20Keys,cn=Public%20Keyserver

Stammzertifikate

Stammzertifikate verwenden Sie, wenn Sie das Vertrauen nicht für jedes Zertifikat unserer Anwender explizit setzen möchten.

S/MIME

SMIME-CA.CER

PGP

OPENPGP-CA.ASC

Widerrufsinformationen

Unsere Widerrufsinformationen für S/MIME veröffentlichen wir als CRL (über LDAP) und OCSP.

CRL

ldap://keyserver.ikb.de/cn=SafeGuard MailGateway CA,cn=S/MIME Certificates,cn=Public Keyserver

OCSP

https://ocsp.ikb.de

Vorgehen bei Verwendung von S/MIME oder PGP

Sie haben bereits eine eigene Verschlüsselungsinfrastruktur

Bitten Sie Ihren Verantwortlichen Ihr CA-Zertifikat und Informationen über Ihren Keyserver zusammen mit Kontaktdaten für Rückfragen an security@ikb.de zu senden.
Wir werden das Zertifikat und den Keyserver dann nach Prüfung bei uns einrichten.

Unsere Zertifikate und Informationen zu unserem Keyserver finden Sie hier.

Sie haben keine eigene Verschlüsselungsinfrastruktur

Wir vertrauen bereits einigen Zertifizierungsinstanzen und empfehlen Ihnen die Verwendung von S/MIME in Verbindung mit einem Zertifikat von einem der Anbieter, dem wir bereits vertrauen. Bitte beachten Sie, dass wir den Demo-Zertifikaten (Class 0) der Anbieter nicht vertrauen.

Die Einrichtung lässt sich in vier wesentliche Schritte unterteilen: 4 Schritte zur E-Mail Verschlüsselung

Kontakt für Rückfragen

Sollten Sie noch Rückfragen haben, wenden Sie sich bitte an security@ikb.de.

Wir werden uns dann mit Ihnen in Verbindung setzen.

Bitte haben Sie Verständnis dafür, dass wir keine Hilfestellung bei der Konfiguration Ihrer eigenen Systeme anbieten können.

Folgenden Zertifizierungsinstanzen vertrauen wir bereits

X.509, S/MIME

Thawte (Freemail, PersonalBasic, PersonalPremium)

CaCert (Class 1)

VeriSign (Primary CA Class 1-4)

Telekom (Root CA)

Commerzbank (Inhouse Root CA)

WEB.DE

 

Einrichtung S/MIME

Schritte zur Einrichtung von S/MIME

1. Einrichtung eines Zertifikates für Sie selbst

Beantragen Sie ein Zertifikat bei einer entsprechenden Instanz (TrustCenter oder andere).
Sollten Sie Probleme bei der Einrichtung Ihres Zertifikates haben, so stehen Ihnen die jeweiligen Anbieter gerne zur Seite.

2. Teilen Sie uns mit, dass Sie ein Zertifikat haben

Dazu senden Sie eine digital signierte Nachricht an security@ikb.de.
Bitte teilen Sie uns in dieser Nachricht auch mit, von welchem Anbieter das Zertfifikat stammt.

Wichtig: Sobald Ihr Zertifikat in unserem System verfügbar ist, erfolgt jede weitere von uns ausgehende Kommunikation verschlüsselt.

3. Importieren Sie unser Wurzelzertifikat

Dies ist notwendig, weil Sie sonst je nach Programm Fehler- oder Warnmeldungen erhalten, dass Zertifikaten von der IKB nicht vertraut werden kann.

Laden Sie unser Stammzertifikat herunter und importieren Sie es in Ihrem System als Stammzertifikat. Möglicherweise benötigen Sie dazu besondere Administrationsrechte.

4. Importieren Sie unsere Zertifikate

Dazu haben Sie nun zwei Möglichkeiten:

  1. Bitten Sie Ihren "Gesprächspartner" Ihnen eine signierte Nachricht zu schicken. Ihr Mailprogramm sollte das Zertifikat dann automatisch importieren. Möglichweise müssen Sie dazu den Absender in Ihr Adressbuch hinzufügen oder den vorhandenen Eintrag aktualisieren. Wie dies genau geht, können Sie der Hilfe Ihres Mailprogramms entnehmen.
  2. Richten Sie unseren Verzeichnisdienst in Ihrem Programm als Adressbuch ein. Dazu fügen Sie in Ihrem Mailprogramm ein LDAP-Verzeichnis als Adressbuch hinzu. Verwenden Sie dabei folgende Einträge:

Keyserver

keyserver.ikb.de

Anschluss / Port

389 (Standardwert)

Suchbasis

cn=S/MIME Certificates,cn=Public Keyserver

maximale Anzahl Suchergebnisse

2

Hinweise zu IKB PDFMail

Was ist PDFMail?

Für den Fall, dass Empfänger vertraulicher Nachrichten die "normalen" Verschlüsselungsverfahren, wie PGP oder S/MIME, nicht unterstützen, setzen wir zur sicheren Übertragung von Informationen ein sogenanntes PDFMail-Verfahren ein.

Dabei wird der ursprüngliche Nachrichtentext in PDF konvertiert und Anhänge werden (sofern vorhanden) in das PDF eingebettet.

Anschließend wird das gesamte PDF mit einem Kennwort geschützt. Dieses Kennwort ist nun zum Öffnen des PDF Dokumentes erforderlich.

Dieser Schutz kann auch nicht mit den in einschlägigen Kreisen bekannten Werkzeugen aufgehoben werden.

Wie werden die Anhänge übertragen?

Anhänge werden wie bei einer E-Mail an das verschlüsselte PDF angehängt (und nicht etwa in PDF konvertiert).

Wie kann ich auf die Anhänge zugreifen?

Das ist je nach eingesetztem Produkt unterschiedlich.

Bei Adobe Reader bzw. Adobe Acrobat sehen Sie links eine Büroklammer. Klicken Sie auf die Büroklammer, um die Anhänge einzublenden.

 

Wie wird das Kennwort festgelegt?

Ein Kennwort wird immer für einen Empfänger festgelegt.

Der Absender hat die Möglichkeit, das Kennwort in der Betreffzeile vorzugeben. Sollte er dies nicht tun und existiert für diesen Empfänger noch kein Kennwort, so wird automatisch eines erzeugt.

Wie erhält der Empfänger das Kennwort?

Der Absender muss dem Empfänger das Kennwort mitteilen. Dies sollte sinnvollerweise natürlich nicht per E-Mail erfolgen, denn sonst hätte man sich ja die Verschlüsselung auch sparen können.

Telefon, Telefax, SMS oder ein anderes Medium sind geeignet, um das Kennwort zu übermitteln.

Am besten ist das Telefon, denn nur dann sind Sie sicher, dass der richtige Empfänger auch das Kennwort erhält und nicht auch noch jemand anderes.

Kann der Empfänger sein Kennwort ändern?

Ja, das Kennwort kann für zukünftige Mails geändert werden.

Kann der Empfänger auch sicher auf eine solche Nachricht antworten?

Ja. Auf der letzten Seite eines jeden PDF ist eine Antwortfunktion eingebaut, die eine sichere Übertragung der Antwort gewährleistet.

Er kann auch eine Kopie seiner Nachricht anfordern, die dann wiederum als PDFMail geschickt wird.

Warum PDF und nicht WebMail?

Bei der Verwendung von WebMail hat der externe Kommunikationspartner die E-Mails nicht in seinen Unterlagen.

Bei der PDF-basierten Lösung hat der externe Kommunikationspartner die Möglichkeit die gesamte Kommunikation in den eigenen Systemen zu dokumentieren