Stuur jij al versleutelde e-mails?

Gepubliceerd op: 21 maart 2019Geschreven door:
Versleutelde e-mails

Verstuur beveiligde e-mails met behulp van end to end encryptie.

end to end incriptie 1

In het kader van de AVG is end to end encryptie een prachtige techniek om veilig te communiceren. Echter is WhatsApp en privacy niet een link die je snel legt. Veel zakelijke communicatie gaat immers via de e-mail en een e-mail sturen voelt veiliger dan een WhatsApp bericht. Maar aan beiden is iets op aan te merken.

WhatsApp is niet een “privacy eerst” App en e-mail versturen naar externen zeker ook niet altijd veilig.

Datalekken veroorzaken we vaak onbewust, bijvoorbeeld door een e-mailadres verkeerd te typen of te selecteren uit eerder gebruikte e-mailadressen. Om medewerkers bewust te maken van onbewuste fouten zoals deze, hebben we onder meer het zakelijk spel ontdek het datalek ontwikkeld. Er zijn echter veel meer risico’s, ook het internet waar een e-mail overheen verzonden wordt is technisch gezien af te luisteren. Weet jij bijvoorbeeld of jouw organisatie berichten verstuurd via beveiligde SSL/TLS protocollen wanneer je een e-mail verstuurd, intern of extern?

De kans is tegenwoordig best wel groot dat je e-mail wordt verzonden over SSL/TLS. Een veel groter risico zit in het berichtenverkeer tussen de mailserver van de afzender en de mailserver van de ontvanger en daarna weer het berichtenverkeer van de e-mailserver van de ontvanger naar de PC/Postvak van de ontvanger. Je hebt immers als medewerker geen invloed op of de ontvanger van jouw bericht de e-mail veiligheid goed op orde heeft. Zelfs niet als IT’er!

Wil je checken hoe veilig jullie e-mail adressen zijn om e-mails naar toe te sturen of bijvoorbeeld het e-mail domein van een partij waar je veel mee e-mailt, check dan op www.internet.nl met bijvoorbeeld een functioneel e-mail adres, zoals info@jouworganisatie.nl wat deze organisatie al heeft gedaan aan e-mail beveiliging. Los van de IPv6 test, moet elke organisatie boven de 50% scoren met als ambitie 100% te gaan scoren.

Minder veilige manieren van e-mail binnenhalen zijn POP3 en IMAP. Deze technieken zijn veel gevoeliger voor een zo genaamde “man in the middle attack”. Kortom een hoofdpijn dossier om AVG compliant te worden met e-mail.

end to end incriptie 2
De “Man in the middle” techniek wordt bijvoorbeeld veel toegepast door hackers die een malafide “free wifi” aanbieden in een openbare ruimte of gewoon verbonden zijn met hetzelfde onversleutelde wifi netwerk. Gebruik dus nooit een onbeveiligd (gratis) wifi netwerk.

Een andere en veiligere oplossing is een e-mail versleuteld verzenden. Daarbij is niet (alleen) de verbinding beveiligd wanneer je gebruik maakt van TLS/SSL, maar is het bericht zelf ook nog eens versleuteld en kan de ontvanger met bijvoorbeeld een code het bericht weer ont-sleutelen. Klinkt fantastisch, maar waarom doen we dat dan niet allemaal al massaal? Het kan immers. Dat komt omdat versleutelde e-mail vaak te ingewikkeld is en/of duur is.

Manieren op versleutelde e-mailberichten te versturen zijn bijvoorbeeld:

En vast nog een hoop meer diensten die ik nu even onterecht niet heb genoemd.

Maar sinds kort is versleuteld e-mailen een stuk laagdrempeliger geworden voor heel veel organisaties. Namelijk via Office 365. Je kan nu gemakkelijk vanuit je Office 365 Outlook een e-mail bericht versleutelen.

E-mail versleutelen in Office 365 Outlook

Maak een nieuwe e-mail, klik op het tabblad “Opties” en klik op de knop versleutelen. Je ziet dan 4 opties verschijnen:

end to end incriptie 3

  1. Alleen versleutelen: voor als je de inhoud incl bijlagen van de e-mail wilt versleutelen. De ontvangers van de e-mail kunnen de versleuteling niet ongedaan maken wanneer ze bijvoorbeeld het bericht doorsturen.
  2. Niet doorsturen: De ontvanger kan het bericht lezen, maar het bericht mag en kan niet worden doorgestuurd. Ook kan de e-mail niet worden afgedrukt, en inhoud kan niet worden gekopieerd.
  3. “Organisatienaam” – vertrouwelijk: Het bericht is alleen bedoeld voor interne gebruikers, het bericht mag worden gewijzigd maar niet gekopieerd of afgedrukt
  4. “Organisatienaam” – vertrouwelijk: Alleen weergeven: Het bericht is alleen bedoeld voor interne gebruikers, het bericht mag niet worden gewijzigd, gekopieerd of afgedrukt

Als je deze opties vertaalt naar werksituaties, heb je de volgende 2 scenario’s:

Scenario 1: je e-mailt aan een externe vertrouwelijke/gevoelige (persoons-)gegevens zoals gegevens die je wilt verzenden aan een accountant of verzekeringsmaatschappij. Kies voor optie 1, zodat de e-mail niet kan worden afgeluisterd en alleen de ontvanger deze kan ontsleutelen.

Scenario 2: je stuurt een e-mail aan een collega en een externe, iets zeer vertrouwelijks en je wilt niet dat het bericht wordt doorgestuurd. Kies voor optie 2.

Wanneer de ontvanger geen Office 365 heeft, zijn er twee manieren waarop je de e-mail kan lezen:

  • Wanneer de ontvanger Office 365, Gmail, Yahoo of Outlook.com mail heeft, kan de ontvanger aanmelden met dat account en de e-mail gewoon lezen in de browser
  • Wanneer de ontvanger een andere e-mail dienst heeft, zoals een oudere versie van Exchange/Outlook of bijvoorbeeld Ziggo/KPN mail, wordt voor elke keer dat de ontvanger de e-mail wil lezen een bevestigingscode naar dat e-mail adres verzonden, voordat je de e-mail kan lezen moet de ontvanger de juiste code intypen. De ontvanger leest de e-mail in de browser. Je zou kunnen zeggen dat technisch gezien de ontvanger dan machtiging heeft gekregen in één item in de verzonden items van de verzender.