PDF-Verschlüsselung
Die PDF-Verschlüsselung ermöglicht den sicheren Versand vertraulicher Nachrichten als passwortgeschütztes PDF — auch an Empfänger ohne Zertifikate, Schlüssel oder Portal-Zugang.
PDF-Verschlüsselung — Überblick
Die PDF-Verschlüsselung ist die vierte Option für sichere E-Mail-Kommunikation in Conbool — neben S/MIME, PGP und dem Nachrichtenportal. Sie ist speziell für Empfänger konzipiert, die:
- Keine S/MIME-Zertifikate oder PGP-Schlüssel besitzen.
- Keine Links in E-Mails öffnen dürfen (z. B. deutsche Behörden nach BSI-Grundschutz).
- Keinen Portal-Zugang nutzen können oder wollen.
Der Nachrichteninhalt wird als AES-256-verschlüsseltes PDF zugestellt. Anhänge werden direkt in das PDF eingebettet. Der Empfänger benötigt lediglich einen PDF-Reader und das vereinbarte Passwort.
Wie funktioniert die PDF-Verschlüsselung?
- Absender sendet eine E-Mail wie gewohnt über Outlook oder einen anderen Client.
- Conbool erkennt anhand der Routing-Regeln (oder eines Betreffzeilen-Kommandos), dass PDF-Verschlüsselung aktiviert ist.
- Conbool prüft die Fallback-Kette: S/MIME → PGP → PDF-Verschlüsselung → Nachrichtenportal. PDF greift, wenn kein Zertifikat oder Schlüssel verfügbar ist.
- Der E-Mail-Inhalt wird als PDF generiert, inklusive Absender, Empfänger, Betreff, Datum und Nachrichtentext.
- Anhänge werden in das PDF eingebettet und sind über die Anlagen-Funktion des PDF-Readers abrufbar.
- Das PDF wird mit AES-256 verschlüsselt (via qpdf) und als Anhang an eine Benachrichtigungs-E-Mail gehängt.
- Der Empfänger öffnet das PDF mit dem vereinbarten Passwort.
Zwei Modi
Modus A: Pre-shared (Festes Passwort)
Ideal für feste Kommunikationspartner wie Behörden:
- Der Administrator legt ein Passwort in der Routing-Regel fest.
- Das Passwort wird dem Empfänger einmalig telefonisch oder per Brief mitgeteilt.
- Alle E-Mails an diesen Empfänger werden automatisch mit dem gleichen Passwort verschlüsselt.
- Kein Link-Klick erforderlich — der Empfänger braucht nur sein PDF-Passwort.
Modus B: Self-Service
Ideal für Unternehmen und externe Partner:
- Beim Erstversand erhält der Empfänger eine Einladung zum Conbool-Portal.
- Der Empfänger legt dort sein eigenes Passwort fest.
- Ab diesem Zeitpunkt werden alle Nachrichten automatisch mit seinem Passwort verschlüsselt.
- Wartende Nachrichten werden nach der Passwortvergabe nachgeliefert.
- Der Empfänger kann sein Passwort jederzeit im Self-Service-Bereich ändern.
Sicherheitsmerkmale
Verschlüsselung
- AES-256 — der gleiche Algorithmus der von Banken und Regierungen eingesetzt wird.
- Verschlüsselung erfolgt durch qpdf, ein bewährtes Open-Source-Tool.
- Das PDF ist ohne Passwort vollständig unlesbar — weder Inhalt noch Anhänge sind zugänglich.
Anhänge
- Original-Anhänge werden direkt in das verschlüsselte PDF eingebettet.
- Der Empfänger findet sie im PDF-Reader unter dem Büroklammer-Symbol (Anlagen).
- Inline-Bilder (z. B. Signatur-Logos) werden herausgefiltert und nicht eingebettet.
- Ein Dokument, ein Passwort — keine separaten ZIP-Dateien nötig.
Passwort-Verwaltung
| Aspekt | Pre-shared | Self-Service |
|---|---|---|
| Passwort-Wahl | Admin setzt/generiert | Empfänger wählt selbst |
| Zustellung | Telefonisch/Brief | Über Portal-Registrierung |
| Änderung | Admin in Routing-Einstellungen | Empfänger im Self-Service |
| Vergessen | Admin teilt erneut mit | Empfänger setzt im Portal neu |
| Sicherheit | Gleich für alle Mails | Pro Empfänger individuell |
Fallback-Kette
Die PDF-Verschlüsselung ist Teil der automatischen Fallback-Kette:
| Priorität | Methode | Bedingung |
|---|---|---|
| 1 | S/MIME | Empfänger hat ein S/MIME-Zertifikat |
| 2 | PGP | Empfänger hat einen PGP-Schlüssel |
| 3 | PDF-Verschlüsselung | Kein Zertifikat/Schlüssel, PDF-Verschlüsselung in Route aktiviert |
| 4 | Nachrichtenportal | Letzte Fallback-Option |
Der Administrator kann pro Route beliebig viele Methoden aktivieren. Conbool wählt automatisch die beste verfügbare Methode.
Portal-Compose Override
Interne Absender können beim Verfassen einer Nachricht im Portal die Zustellmethode manuell überschreiben:
- Im Compose-Bereich erscheint ein Dropdown: „Über Nachrichtenportal" oder „Als verschlüsseltes PDF".
- Bei Auswahl von „Als verschlüsseltes PDF" wird S/MIME und PGP übersprungen.
- Wenn der Empfänger ein Self-Service-Passwort hat, wird das PDF sofort verschlüsselt.
- Wenn nicht, wird die Mail in die Warteschlange gestellt und eine Einladung versendet.
Hinweis: Der Override ist nur für interne Absender verfügbar (Absender-Domain = verwaltete Domain).
Antwort-Funktion
Die Antwortmöglichkeit hängt vom Modus ab:
| Modus | Antwort |
|---|---|
| Pre-shared | Empfänger antwortet per normaler E-Mail (TLS). Dies ist branchenüblich — kein Anbieter löst verschlüsselte Antworten ohne Link-Klick. |
| Self-Service | Empfänger hat Portal-Zugang und kann über das Nachrichtenportal verschlüsselt antworten. |
Konfiguration
Voraussetzungen
- SecureMail-Modul muss aktiv sein.
- PDF-Verschlüsselung muss in den Portal-Einstellungen aktiviert werden.
Aktivierung
- Navigieren Sie zu Einstellungen → Portal-Einstellungen.
- Aktivieren Sie den Schalter „PDF-Passwortverschlüsselung aktivieren".
- Die PDF-Option erscheint nun in den Routing- und Kommando-Konfigurationen.
Routing-Regel erstellen
- Navigieren Sie zu SecureMail → Routing.
- Erstellen Sie eine neue Route oder bearbeiten Sie eine bestehende.
- Im Schritt Protokoll aktivieren Sie „PDF-Passwort".
- Im Konfigurationsschritt wählen Sie den Modus:
- Pre-shared: Geben Sie ein Passwort ein oder klicken Sie „Generieren".
- Self-Service: Keine weitere Konfiguration nötig.
- Speichern Sie die Route.
Betreffzeilen-Kommando
Alternativ kann die PDF-Verschlüsselung über ein Betreffzeilen-Kommando ausgelöst werden:
- Navigieren Sie zu SecureMail → Kommandos.
- Erstellen Sie ein neues Kommando mit dem gewünschten Schlüsselwort.
- Aktivieren Sie „PDF-Passwort" als Protokoll.
- Konfigurieren Sie den Modus wie bei der Routing-Regel.
Self-Service für Empfänger
Empfänger mit Self-Service-Zugang verwalten ihr PDF-Passwort unter Einstellungen → PDF-Passwort:
- Passwort festlegen: Beim ersten Besuch (nach Einladungsannahme).
- Passwort anzeigen: Bestehendes Passwort einsehen (Reveal-Button).
- Passwort ändern: Neues Passwort setzen (altes wird nicht benötigt).
- Passwortstärke: Mindestens 8 Zeichen mit 3 von 4 Kategorien (Großbuchstaben, Kleinbuchstaben, Ziffern, Sonderzeichen).
Hinweis: Bereits zugestellte PDFs behalten ihr bisheriges Passwort. Nur zukünftige Nachrichten werden mit dem neuen Passwort verschlüsselt.
Warteschlange
Wenn ein Self-Service-Empfänger noch kein Passwort festgelegt hat:
- Die Nachricht wird in einer sicheren Warteschlange gespeichert (eigener Storage-Bucket).
- Der Empfänger erhält eine Einladungs-E-Mail zur Passwort-Registrierung.
- Nach der Passwortvergabe werden alle wartenden Nachrichten automatisch als PDF zugestellt.
- Warteschlangen-Einträge verfallen nach 30 Tagen.