IKB SecureMail
Die IKB SecureMail Dienste ermöglichen den sicheren Austausch von Informationen zwischen Mitarbeitern des IKB Konzerns und externen Kommunikationspartnern.
Wir unterstützen die Standards
- S/MIME
- PGP (OpenPGP)
Wir bevorzugen den Einsatz von S/MIME, denn PGP war ursprünglich nicht für die Verarbeitung von Anhängen oder formatieren HTML-Nachrichten vorgesehen und daher kommt es heute immer noch zu Problemen in der Feinabstimmung zwischen Produkten unterschiedlicher Hersteller.
Für externe Kommunikationspartner, die keinen dieser beiden Standards nutzen können, bieten wir PDFMail an.
Zur Absicherung des Übertragungsweges zwischen Ihrem Mail-System und unseren Mail-Servern setzen wir eine technisch erzwungene TLS-Verschlüsselung (Transport Layer Security) ein. Bitte beachten Sie, dass wir nur als sicher anerkannte TLS-Versionen ab Version 1.2 unterstützen.
Bitte wenden Sie sich bei Fragen zur E-Mail-Verschlüsselung an security@ikb.de.
Alle wichtigen Daten auf einen Blick:
Zertifikate und Widerrufsinformationen
Abruf von Zertifikaten und PGP-Schlüsseln
Unsere Zertifikate und PGP-Schlüssel können Sie über das LDAPS-Protokoll von unserem Keyserver abfragen.
S/MIME |
ldaps://keyserver.ikb.de/cn=S/MIME%20Certificates,cn=Public%20Keyserver |
PGP |
ldaps://keyserver.ikb.de/cn=OpenPGP%20Keys,cn=Public%20Keyserver |
Stammzertifikate
Stammzertifikate verwenden Sie, wenn Sie das Vertrauen nicht für jedes Zertifikat unserer Anwender explizit setzen möchten.
S/MIME |
|
PGP |
Widerrufsinformationen
Unsere Widerrufsinformationen für S/MIME veröffentlichen wir als CRL (über LDAPS) und OCSP.
CRL |
ldaps://keyserver.ikb.de/cn=SafeGuard MailGateway CA,cn=S/MIME Certificates,cn=Public Keyserver |
OCSP |
Vorgehen bei Verwendung von S/MIME oder PGP
Sie haben bereits eine eigene Verschlüsselungsinfrastruktur
Bitten Sie Ihren Verantwortlichen Ihr CA-Zertifikat und Informationen über Ihren Keyserver zusammen mit Kontaktdaten für Rückfragen an security@ikb.de zu senden.
Wir werden das Zertifikat und den Keyserver dann nach Prüfung bei uns einrichten.
Unsere Zertifikate und Informationen zu unserem Keyserver finden Sie hier.
Sie haben keine eigene Verschlüsselungsinfrastruktur
Wir empfehlen die Verwendung von S/MIME in Verbindung mit einem Zertifikat eines Trust Centers oder eines anderen vertrauenswürdigen Anbieters. Bitte beachten Sie, dass wir Demo-Zertifikaten (Class 0) nicht vertrauen.
Die Einrichtung lässt sich in vier wesentliche Schritte unterteilen: 4 Schritte zur E-Mail Verschlüsselung
Kontakt für Rückfragen
Sollten Sie noch Rückfragen haben, wenden Sie sich bitte an security@ikb.de.
Wir werden uns dann mit Ihnen in Verbindung setzen.
Bitte haben Sie Verständnis dafür, dass wir keine Hilfestellung bei der Konfiguration Ihrer eigenen Systeme anbieten können.
Einrichtung S/MIME
Schritte zur Einrichtung von S/MIME
1. Einrichtung eines Zertifikates für Sie selbst
Beantragen Sie ein Zertifikat bei einer entsprechenden Instanz (TrustCenter oder andere).
Sollten Sie Probleme bei der Einrichtung Ihres Zertifikates haben, so stehen Ihnen die jeweiligen Anbieter gerne zur Seite.
2. Teilen Sie uns mit, dass Sie ein Zertifikat haben
Dazu senden Sie eine digital signierte Nachricht an security@ikb.de.
Bitte teilen Sie uns in dieser Nachricht auch mit, von welchem Anbieter das Zertfifikat stammt.
Wichtig: Sobald Ihr Zertifikat in unserem System verfügbar ist, erfolgt jede weitere von uns ausgehende Kommunikation verschlüsselt.
3. Importieren Sie unsere CA-Zertifikate
Dies ist notwendig, weil Sie sonst je nach Programm Fehler- oder Warnmeldungen erhalten, dass Zertifikaten von der IKB nicht vertraut werden kann.
Laden Sie unser Stammzertifikat herunter und importieren Sie es in Ihrem System als Stammzertifikat. Möglicherweise benötigen Sie dazu besondere Administrationsrechte.
4. Importieren Sie unsere Zertifikate
Dazu haben Sie nun zwei Möglichkeiten:
- Bitten Sie Ihren "Gesprächspartner" Ihnen eine signierte Nachricht zu schicken. Ihr Mailprogramm sollte das Zertifikat dann automatisch importieren. Möglichweise müssen Sie dazu den Absender in Ihr Adressbuch hinzufügen oder den vorhandenen Eintrag aktualisieren. Wie dies genau geht, können Sie der Hilfe Ihres Mailprogramms entnehmen.
- Richten Sie unseren Verzeichnisdienst in Ihrem Programm als Adressbuch ein. Dazu fügen Sie in Ihrem Mailprogramm ein LDAP-Verzeichnis als Adressbuch hinzu. Verwenden Sie dabei folgende Einträge:
Keyserver |
keyserver.ikb.de |
Anschluss / Port |
636 (Standardwert) |
Suchbasis |
cn=S/MIME Certificates,cn=Public Keyserver |
maximale Anzahl Suchergebnisse |
2 |
Hinweise zu IKB PDFMail
Was ist PDFMail?
Für den Fall, dass Empfänger vertraulicher Nachrichten die "normalen" Verschlüsselungsverfahren, wie PGP oder S/MIME, nicht unterstützen, setzen wir zur sicheren Übertragung von Informationen ein sogenanntes PDFMail-Verfahren ein.
Dabei wird der ursprüngliche Nachrichtentext in PDF konvertiert und Anhänge werden (sofern vorhanden) in das PDF eingebettet.
Anschließend wird das gesamte PDF mit einem Kennwort geschützt. Dieses Kennwort ist nun zum Öffnen des PDF Dokumentes erforderlich.
Dieser Schutz kann auch nicht mit den in einschlägigen Kreisen bekannten Werkzeugen aufgehoben werden.
Wie werden die Anhänge übertragen?
Anhänge werden wie bei einer E-Mail an das verschlüsselte PDF angehängt (und nicht etwa in PDF konvertiert).
Wie kann ich auf die Anhänge zugreifen?
Das ist je nach eingesetztem Produkt unterschiedlich.
Bei Adobe Reader bzw. Adobe Acrobat sehen Sie links eine Büroklammer. Klicken Sie auf die Büroklammer, um die Anhänge einzublenden.
Wie wird das Kennwort festgelegt?
Ein Kennwort wird immer für einen Empfänger festgelegt.
Der Absender hat die Möglichkeit, das Kennwort in der Betreffzeile vorzugeben. Sollte er dies nicht tun und existiert für diesen Empfänger noch kein Kennwort, so wird automatisch eines erzeugt.
Wie erhält der Empfänger das Kennwort?
Der Absender muss dem Empfänger das Kennwort mitteilen. Dies sollte sinnvollerweise natürlich nicht per E-Mail erfolgen, denn sonst hätte man sich ja die Verschlüsselung auch sparen können.
Telefon, Telefax, SMS oder ein anderes Medium sind geeignet, um das Kennwort zu übermitteln.
Am besten ist das Telefon, denn nur dann sind Sie sicher, dass der richtige Empfänger auch das Kennwort erhält und nicht auch noch jemand anderes.
Kann der Empfänger sein Kennwort ändern?
Ja, das Kennwort kann für zukünftige Mails geändert werden.
Kann der Empfänger auch sicher auf eine solche Nachricht antworten?
Ja. Auf der letzten Seite eines jeden PDF ist eine Antwortfunktion eingebaut, die eine sichere Übertragung der Antwort gewährleistet.
Er kann auch eine Kopie seiner Nachricht anfordern, die dann wiederum als PDFMail geschickt wird.
Warum PDF und nicht WebMail?
Bei der Verwendung von WebMail hat der externe Kommunikationspartner die E-Mails nicht in seinen Unterlagen.
Bei der PDF-basierten Lösung hat der externe Kommunikationspartner die Möglichkeit die gesamte Kommunikation in den eigenen Systemen zu dokumentieren