E-Mail-VerschlüsselungEmail encryption

In diesem Artikel werden die Verschlüsselungsoptionen in Microsoft 365, einschließlich Office-Nachrichtenverschlüsselung (Office Message Encryption, OME), S/MIME und Information Rights Management (IRM) verglichen und Transport Layer Security (TLS) eingeführt.This article compares encryption options in Microsoft 365 including Office Message Encryption (OME), S/MIME, Information Rights Management (IRM), and introduces Transport Layer Security (TLS).

Microsoft 365 bietet mehrere Verschlüsselungsoptionen, die Sie bei der Erfüllung Ihrer geschäftlichen Anforderungen hinsichtlich E-Mail-Sicherheit unterstützen.Microsoft 365 delivers multiple encryption options to help you meet your business needs for email security. In diesem Artikel werden drei Methoden zum Verschlüsseln von E-Mail in Office 365 präsentiert.This article presents three ways to encrypt email in Office 365. Weitere Informationen zu allen Sicherheitsfeatures in Office 365 erhalten Sie im Office 365 Trust Center.If you want to learn more about all security features in Office 365, visit the Office 365 Trust Center. In diesem Artikel werden die drei Verschlüsselungstypen vorgestellt, die Office 365-Administratoren zum Sichern von E-Mails in Microsoft 365 zur Verfügung stehen:This article introduces the three types of encryption available for Microsoft 365 administrators to help secure email in Office 365:

  • Office-Nachrichtenverschlüsselung (Office Message Encryption, OME)Office Message Encryption (OME).

  • Secure/Multipurpose Internet Mail Extensions (S/MIME)Secure/Multipurpose Internet Mail Extensions (S/MIME).

  • Information Rights Management (IRM).Information Rights Management (IRM).

Was ist E-Mail-Verschlüsselung, und wie wird sie in Microsoft 365 verwendet?What is email encryption and how does Microsoft 365 use it?

Verschlüsselung ist der Prozess, mit dem Informationen codiert werden, sodass nur autorisierte Empfänger sie decodieren und die Informationen nutzen können.Encryption is the process by which information is encoded so that only an authorized recipient can decode and consume the information. Microsoft 365 verwendet Verschlüsselung auf zwei Arten: im Dienst und als Kundensteuerelement.Microsoft 365 uses encryption in two ways: in the service, and as a customer control. Im Dienst wird Verschlüsselung in Microsoft 365 standardmäßig verwendet. Sie müssen keine Konfiguration vornehmen.In the service, encryption is used in Microsoft 365 by default; you don't have to configure anything. Microsoft 365 verwendet z. B. Transport Layer Security (TLS), um die Verbindung bzw. die Sitzung zwischen zwei Servern zu verschlüsseln.For example, Microsoft 365 uses Transport Layer Security (TLS) to encrypt the connection, or session, between two servers.

So funktioniert die E-Mail-Verschlüsselung in der Regel:Here's how email encryption typically works:

  • Eine Nachricht wird entweder lokal auf dem Computer des Absenders oder durch einen zentralen Server während der Nachrichtenübertragung verschlüsselt, d. h. aus Nur-Text in nicht lesbaren Chiffretext umgewandelt.A message is encrypted, or transformed from plain text into unreadable ciphertext, either on the sender's machine, or by a central server while the message is in transit.

  • Die Nachricht verbleibt während der gesamten Übertragung im Chiffretextformat, um zu verhindern, dass sie gelesen werden kann, falls sie abgefangen werden sollte.The message remains in ciphertext while it's in transit in order to protect it from being read in case the message is intercepted.

  • Nachdem die Nachricht vom Empfänger empfangen wurde, wird sie mit einer der folgenden zwei Methoden wieder in lesbaren Nur-Text umgewandelt:Once the message is received by the recipient, the message is transformed back into readable plain text in one of two ways:

    • Der Computer des Empfängers entschlüsselt die Nachricht mithilfe eines Schlüssels.The recipient's machine uses a key to decrypt the message, or

    • Ein zentraler Server entschlüsselt die Nachricht im Auftrag des Empfängers, nachdem er die Identität des Empfängers überprüft hat.A central server decrypts the message on behalf of the recipient, after validating the recipient's identity.

Weitere Informationen zur Sicherung der Kommunikation zwischen Servern in Microsoft 365, z. B. zwischen Organisationen innerhalb von Microsoft 365 oder zwischen Microsoft 365 und einem vertrauenswürdigen Geschäftspartner außerhalb von Microsoft 365, finden Sie unter Verwenden von TLS durch Exchange Online zum Absichern von E-Mail-Verbindungen in Microsoft 365.For more information on how Microsoft 365 secures communication between servers, such as between organizations within Microsoft 365 or between Microsoft 365 and a trusted business partner outside of Microsoft 365, see How Exchange Online uses TLS to secure email connections in Office 365.

In diesem Video sehen Sie eine Einführung in die Verschlüsselung in Office 365.Watch this video for an introduction to Encryption in Office 365.

Vergleichen der in Office 365 verfügbaren E-Mail-VerschlüsselungsoptionenComparing email encryption options available in Office 365

Konzeptionelle Grafik, die OME beschreibt. Konzeptionelle Grafik, die IRM beschreibt. Konzeptionelle Grafik, die SMIME beschreibt.
Was ist das?What is it? Office 365-Nachrichtenverschlüsselung (Office Message Encryption, OME) ist ein Dienst, der auf Azure Rights Management (Azure RMS) aufbaut und mit dem Sie verschlüsselte E-Mails an Personen innerhalb oder außerhalb Ihrer Organisation senden können, unabhängig von der E-Mail-Zieladresse (Gmail, Yahoo! Mail, Outlook.com usw.).Office 365 Message Encryption (OME) is a service built on Azure Rights Management (Azure RMS) that lets you send encrypted email to people inside or outside your organization, regardless of the destination email address (Gmail, Yahoo! Mail, Outlook.com, etc.).
Als Administrator können Sie Transportregeln einrichten, die die Bedingungen für die Verschlüsselung definieren. Wenn ein Benutzer eine Nachricht sendet, die mit einer Regel übereinstimmt, wird die Verschlüsselung automatisch angewendet.As an admin, you can set up transport rules that define the conditions for encryption. When a user sends a message that matches a rule, encryption is applied automatically.
Zum Anzeigen verschlüsselter Nachrichten können Empfänger eine einmalige Kennung abrufen, sich mit einem Microsoft-Konto anmelden oder sich mit einem Geschäfts-, Schul- oder Unikonto, das Office 365 zugeordnet ist, anmelden.To view encrypted messages, recipients can either get a one-time passcode, sign in with a Microsoft account, or sign in with a work or school account associated with Office 365. Empfänger können auch verschlüsselte Antworten senden.Recipients can also send encrypted replies. Sie benötigen kein Microsoft 365-Abonnement, um verschlüsselte Nachrichten anzuzeigen oder verschlüsselte Antworten zu senden.They don't need a Microsoft 365 subscription to view encrypted messages or send encrypted replies.
IRM ist eine Verschlüsselungslösung, die auch Nutzungseinschränkungen auf E-Mail-Nachrichten anwendet. Mit dieser Lösung können Sie verhindern, dass vertrauliche Informationen von nicht autorisierten Personen gedruckt, weitergeleitet oder kopiert werden.IRM is an encryption solution that also applies usage restrictions to email messages. It helps prevent sensitive information from being printed, forwarded, or copied by unauthorized people.
IRM-Funktionen in Microsoft 365 verwenden Azure Rights Management (Azure RMS).IRM capabilities in Microsoft 365 use Azure Rights Management (Azure RMS).
S/MIME ist eine zertifikatbasierte Verschlüsselungslösung, die es Ihnen gestattet, eine Nachricht sowohl zu verschlüsseln als auch digital zu signieren.S/MIME is a certificate-based encryption solution that allows you to both encrypt and digitally sign a message. Die Nachrichtenverschlüsselung hilft Ihnen bei der Sicherstellung, dass nur der beabsichtigte Empfänger die Nachricht öffnen und lesen kann.The message encryption helps ensure that only the intended recipient can open and read the message. Eine digitale Signatur hilft dem Empfänger, die Identität des Absenders zu überprüfen.A digital signature helps the recipient validate the identity of the sender.
Sowohl digitale Signaturen als auch Nachrichtenverschlüsselung werden durch die Verwendung eindeutiger digitale Zertifikate ermöglicht, die die Schlüssel für die Überprüfung digitaler Signaturen und die Verschlüsselung bzw. Entschlüsselung von Nachrichten enthalten.Both digital signatures and message encryption are made possible through the use of unique digital certificates that contain the keys for verifying digital signatures and encrypting or decrypting messages.
Um S/MIME zu verwenden, müssen Sie für jeden Empfänger öffentliche Schlüssel besitzen.To use S/MIME, you must have public keys on file for each recipient. Empfänger müssen ihre eigenen privaten Schlüssel verwalten, die dauerhaft gesichert sein müssen.Recipients have to maintain their own private keys, which must remain secure. Wenn der private Schlüssel eines Empfängers gefährdet ist, muss der Empfänger einen neuen privaten Schlüssel abrufen und neue öffentliche Schlüssel an alle potenziellen Absender verteilen.If a recipient's private keys are compromised, the recipient needs to get a new private key and redistribute public keys to all potential senders.
Vorhandene FunktionenWhat does it do? OME:OME:
Verschlüsselt Nachrichten, die an interne oder externe Empfänger gesendet werden.Encrypts messages sent to internal or external recipients.
Ermöglicht Benutzern das Senden verschlüsselter Nachrichten an beliebige E-Mail-Adressen, einschließlich Outlook.com, Yahoo! Mail und Gmail.Allows users to send encrypted messages to any email address, including Outlook.com, Yahoo! Mail, and Gmail.
Ermöglicht es Ihnen als Administrator, das E-Mail-Anzeigeportal entsprechend der Marke Ihrer Organisation anzupassen.Allows you, as an admin, to customize the email viewing portal to reflect your organization's brand.
Die Schlüssel werden von Microsoft sicher verwaltet und gespeichert, Sie müssen sich nicht darum kümmern.Microsoft securely manages and stores the keys, so you don't have to.
Es ist keine spezielle clientseitige Software erforderlich, sofern die verschlüsselte Nachricht (als HTML-Anlage gesendet) in einem Browser geöffnet werden kann.No special client side software is needed as long as the encrypted message (sent as an HTML attachment) can be opened in a browser.
IRM:IRM:
Verwendet Verschlüsselung und Verwendungseinschränkungen, um Online- und Offlineschutz für E-Mails und Anlagen bereitzustellen.Uses encryption and usage restrictions to provide online and offline protection for email messages and attachments.
Gibt Ihnen als Administrator die Möglichkeit, Transportregeln oder Outlook-Schutzregeln einzurichten, um IRM automatisch auf ausgewählte Nachrichten anzuwenden.Gives you, as an admin, the ability to set up transport rules or Outlook protection rules to automatically apply IRM to select messages.
Ermöglicht Benutzern das manuelle Anwenden von Vorlagen in Outlook im Web (früher Outlook Web App).Lets users manually apply templates in Outlook or Outlook on the web (formerly known as Outlook Web App).
In S/MIME erfolgt die Absenderauthentifizierung durch digitale Signaturen, und die Vertraulichkeit von Nachrichten wird durch Verschlüsselung sichergestellt.S/MIME addresses sender authentication with digital signatures, and message confidentiality with encryption.
Nicht vorhandene FunktionenWhat does it not do? Mit OME können keine Nutzungseinschränkungen auf Nachrichten angewendet werden.OME doesn't let you apply usage restrictions to messages. Sie können damit z. B. nicht verhindern, dass Empfänger eine verschlüsselte Nachricht weiterleiten oder drucken.For example, you can't use it to stop a recipient from forwarding or printing an encrypted message. Einige Anwendungen unterstützen IRM-E-Mails möglicherweise nicht auf allen Geräten.Some applications may not support IRM emails on all devices. Weitere Informationen zu diesen und anderen Produkten, die IRM-E-Mail unterstützen, finden Sie unter Client-Gerätefunktionen.For more information about these and other products that support IRM email, see Client device capabilities. Mit S/MIME können verschlüsselte Nachrichten nicht auf Schadsoftware, Spam oder Richtlinien überprüft werden.S/MIME doesn't allow encrypted messages to be scanned for malware, spam, or policies.
Empfehlungen und BeispielszenarienRecommendations and example scenarios Die Verwendung von OME wird empfohlen, wenn Sie vertrauliche Geschäftsinformationen an Personen außerhalb Ihrer Organisation senden möchten, unabhängig davon, ob es sich um Verbraucher oder andere Unternehmen handelt.We recommend using OME when you want to send sensitive business information to people outside your organization, whether they're consumers or other businesses. Beispiel:For example:
Ein Bankangestellter sendet Kreditkartenabrechnungen an KundenA bank employee sending credit card statements to customers
Eine Arztpraxis sendet eine Krankenakte an einen Patienten.A doctor's office sending medical records to a patient
Ein Anwalt sendet vertrauliche Rechtsinformationen an einen anderen Anwalt.An attorney sending confidential legal information to another attorney
Die Verwendung von IRM wird empfohlen, wenn Sie Nutzungseinschränkungen und Verschlüsselung anwenden möchten. Beispiel:We recommend using IRM when you want to apply usage restrictions as well as encryption. For example:
Ein Vorgesetzter, der vertrauliche Details über ein neues Produkt an sein Team sendet, wendet die Option "Nicht weiterleiten" an.A manager sending confidential details to her team about a new product applies the "Do Not Forward" option.
Eine Führungskraft muss ein Angebot für ein anderes Unternehmen freigeben, das eine Anlage von einem Partner enthält, der Office 365 verwendet, und sowohl die E-Mail als auch die Anlage müssen geschützt werden.An executive needs to share a bid proposal with another company, which includes an attachment from a partner who is using Office 365, and require both the email and the attachment to be protected.
Die Verwendung von S/MIME wird empfohlen, wenn Ihre Organisation oder die Organisation des Empfängers in eine echte Peer-zu-Peer-Verschlüsselung benötigt.We recommend using S/MIME when either your organization or the recipient's organization requires true peer-to-peer encryption.
S/MIME wird am häufigsten in den folgenden Szenarien verwendet:S/MIME is most commonly used in the following scenarios:
Kommunikation zwischen BehördenGovernment agencies communicating with other government agencies
Kommunikation zwischen einem Unternehmen und einer BehördeA business communicating with a government agency

Welche Verschlüsselungsoptionen sind für mein Microsoft 365-Abonnement verfügbar?What encryption options are available for my Microsoft 365 subscription?

Informationen zu den E-Mail-Verschlüsselungsoptionen für Ihr Microsoft 365-Abonnement finden Sie unter Exchange Online-Dienstbeschreibung.For information about email encryption options for your Microsoft 365 subscription see the Exchange Online service description. Hier finden Sie Informationen zu den folgenden Verschlüsselungsfeatures:Here, you can find information about the following encryption features:

  • Azure RMS, einschließlich IRM-Funktionen und OMEAzure RMS, including both IRM capabilities and OME

  • S/MIMES/MIME

  • TLSTLS

  • Verschlüsselung von Daten im Ruhezustand (über BitLocker)Encryption of data at rest (through BitLocker)

Sie können auch Verschlüsselungstools von Drittanbietern mit Microsoft 365 verwenden, z. B. PGP (Pretty Good Privacy).You can also use third-party encryption tools with Microsoft 365, for example, PGP (Pretty Good Privacy). Microsoft 365 unterstützt kein PGP/MIME, und Sie können PGP-verschlüsselte E-Mails nur mit PGP/Inline senden und empfangen.Microsoft 365 does not support PGP/MIME and you can only use PGP/Inline to send and receive PGP-encrypted emails.

Wissenswertes zur Verschlüsselung von Daten im RuhezustandWhat about encryption for data at rest?

"Daten im Ruhezustand" bezieht sich auf Daten, für die derzeit keine Übertragung aktiv ist."Data at rest" refers to data that isn't actively in transit. In Microsoft 365 werden E-Mail-Daten im Ruhezustand mit der BitLocker-Laufwerkverschlüsselung verschlüsselt.In Microsoft 365, email data at rest is encrypted using BitLocker Drive Encryption. BitLocker verschlüsselt die Festplatten in Microsoft-Datencentern, um verbesserten Schutz vor nicht autorisiertem Zugriff bereitzustellen.BitLocker encrypts the hard drives in Microsoft datacenters to provide enhanced protection against unauthorized access. Weitere Informationen finden Sie unter BitLocker-Übersicht.To learn more, see BitLocker Overview.

Weitere Informationen zu E-Mail-VerschlüsselungsoptionenMore information about email encryption options

Weitere Informationen zu den E-Mail-Verschlüsselungsoptionen in diesem Artikel sowie zu TLS finden Sie in diesen Artikeln:For more information about the email encryption options in this article as well as TLS, see these articles:

OMEOME

Office 365-Nachrichtenverschlüsselung (OME)Office 365 Message Encryption (OME)

IRMIRM

Verwaltung von Informationsrechten in Exchange OnlineInformation Rights Management in Exchange Online

Was ist Azure Rights Management?What is Azure Rights Management?

S/MIMES/MIME

S/MIME für die Nachrichtensignierung und -verschlüsselungS/MIME for message signing and encryption

Grundlegendes zu S/MIMEUnderstanding S/MIME

Grundlegendes zur Verschlüsselung mit öffentlichen SchlüsselnUnderstanding Public Key Cryptography

TLSTLS

Konfigurieren des benutzerdefinierten E-Mail-Flusses mithilfe von ConnectorsConfigure custom mail flow by using connectors