Nach den Enthuellungen von Edward Snowden gibt es bei vielen Internet-Nutzern ein verstaerktes Sicherheitsbewusstsein, das z.B. durch das Projekt "E-Mail made in Germany" der Deutschen Telekom und United Internet werbewirksam aufgegriffen wurde. Wir moechten in diesem Beitrag darstellen, was das LRZ zur Sicherheit des Mailverkehrs leistet und was Sie als Mailnutzer am LRZ selbst dazu beitragen koennen und sollten. Bei dem o.g. Projekt geht es primaer darum, dass E-Mails auf Servern in Deutschland gespeichert und sowohl zwischen Endgeraet und Mailserver als auch zwischen Mailservern verschluesselt uebertragen werden. Alle diese Punkte sind auch bei Nutzung der LRZ-Maildienste gewaehrleistet vorausgesetzt, dass Sie die Verschluesselung auch in Ihrem Mailprogramm aktiviert haben. Doch der Reihe nach: * Das LRZ hat weder den Versand noch den Empfang von E-Mails in irgendeiner Art und Weise an externe Dienstleister ( Cloud ) ausgelagert. E-Mails werden ausschliesslich auf LRZ-eigenen Systemen im Rechenzentrum in Garching verarbeitet und gespeichert. * Die Datenuebertragung zwischen den LRZ-Mailservern und anderen Mailprovidern erfolgt grundsaetzlich verschluesselt, sofern auch die Gegenstelle Verschluesselung unterstuetzt. Das LRZ unterstuetzt dabei auch das Feature "Perfect Forward Secrecy". Dieses schuetzt davor, dass ein vorsorglich aufgezeichneter, verschluesselter Datenverkehr nachtraeglich entschluesselt werden kann, wenn der private Schluessel bekannt werden sollte. * Beim Abrufen von E-Mails ueber das POP3- oder IMAP-Protokoll ist zu unterscheiden zwischen Exchange und den klassischen Mailservern. Bei Exchange ist die Uebertragung grundsaetzlich verschluesselt, da wir bei diesem relativ neuen Dienst von Anfang an keine unverschluesselten Varianten angeboten haben. Bei den anderen Mailservern (mailin, mytum, studlmu, studext) ist das aus historischen Gruenden anders. Dort koennen E-Mails zurzeit auch noch unverschluesselt heruntergeladen werden und es liegt daher in Ihrer Verantwortung in Ihrem Mailprogramm die Verschluesselung zu aktivieren, sofern das nicht ohnehin bereits geschehen ist. Die entsprechenden Einstellungen fuer POP3 bzw. IMAP finden Sie aufgeteilt nach Mailserver im Artikel "Nutzung von E-Mail am Leibniz-Rechenzentrum". Bitte ueberpruefen Sie Ihre Konfiguration und stellen Sie gegebenenfalls auf die verschluesselten Varianten um. Spaetestens Anfang naechsten Jahres muessen Sie das auf jeden Fall tun, da wir dann die unverschluesselten Varianten deaktivieren werden. Nutzer, die ueber den Webmailer webmail.lrz.de auf ihre Mailbox zugreifen, muessen nichts tun; der Zugang zu diesem Server ist grundsaetzlich verschluesselt. Ebenso sind Verbindungen zu Exchange ueber die Protokolle OutlookAnywhere (Outlook), ActiveSync (mobile Endgeraete) und OWA (Outlook Web App) immer verschluesselt. * Beim Versenden von Mail bestehen wiederum zwei Moeglichkeiten. Zum einen kann der Versand von innerhalb des MWN ueber den Server mailout.lrz.de erfolgen. Hierbei ist Verschluesselung immer optional moeglich und empfohlen. Zum anderen koennen Nutzer der LRZ-Messagestores (Exchange, mailin, mytum, studlmu, studext) auch weltweit ueber den Server postout.lrz.de versenden. Auf diesem ist Verschluesselung Pflicht. Bitte beachten Sie, dass durch die hier beschriebene verschluesselte Datenuebertragung nur der Transport der E-Mails verschluesselt erfolgt (d.h. der Weg ueber die Leitung). Die E-Mails liegen trotzdem weiterhin im Klartext auf unseren Mailservern bzw. den Mailservern Ihrer Kommunikationspartner. Wenn E-Mails verschluesselt abgelegt werden und nur fuer Sie und Ihre Mailpartner lesbar sein sollen, muessen Sie sich fuer ein von Ihrem Mailprogramm (und den Mailprogrammen Ihrer Mailpartner) unterstuetztes Verschluesselungsverfahren entscheiden (z.B. S/MIME oder GnuPG) und benoetigen dafuer ein persoenliches Nutzerzertifikat. Dies geht leider, insbesondere bei der Nutzung mehrerer oder mobiler Endgeraete, oft zu Lasten des Komforts. Diese Information finden Sie im WWW unter http://www.lrz-muenchen.de/services/netzdienste/aktuell/ali4653/ Bernhard Schmidt