In diesem Artikel zeigen wir, wie Sie den Zugang zu Ihrem Benno-Mailarchiv mit Hilfe von privacyIDEA mit Mehr-Faktor-Authentifzierung absichern können und erklären, wieso Sie ihr Mailarchiv so schützen sollten.
Ordnungsgemäße Buchführung und die DSGVO
Unternehmen müssen Emails, die zu Geschäftsabschlüssen führen mit den entsprechenden Aufbewahrungsfristen archivieren. Grundlage hierfür sind die Abgabenordnung (AO), das Handelsgesetzbuch (HGB) und die Grundsätze ordnungsgemäßer Buchführung (GoBD). Das Benno Mailarchiv bietet hierfür ein übersichtliches Paper, das die Rahmenbedingungen genauer aufzeigt. Kurz gesagt können potentiell alle Emails zu Geschäftsanbahnungen, Verkäufen und Vertragsabschlüssen führen und sind daher zu archivieren. 
Doch die so archivierten Emails werden natürlich auch personenbezogenen Daten enthalten. Unter dem Licht der EU-Datenschutzgrundverordnung ergibt sich ein neuer Aspekt. Denn im Bundesdatenschutzgesetz und natürlich in der EU-Datenschutzgrundverordnung (DSGVO) wird in Paragraph 25 gefordert, dass Unternehmen geeignete Maßnahmen auf dem Stand der Technik treffen sollen, um die Datenschutzgrundsätze zu realisieren. Welche personenbezogenen Daten enthalten Ihre Emails und wie schützenswert sind diese? Dieser Blogbeitrag kann keine Rechtsberatung darstellen. Doch muss man sich klar machen, dass ein Mail-Archiv-System potentielle Risiken in Bezug auf Datenschutz birgt. Die komplette Indexierung der Emails ermöglicht eine Volltextsuche, die in Sekundenbruchteilen wie erwartet die Informationen zu einem Vertragsabschluss liefern kann. Aber eben auch zu dem Krankheitsverlauf der Mitarbeiter oder anderen brisanteren personenbezogenen Daten. Er ist also naheliegend, den Zugang zu einem solchen System entsprechend stark zu schützen.
Ein einfaches Passwort stellt nach dem heutigen Stand der Technik in unseren Augen keinen starken Zugangsschutz mehr dar. Zu schnell sind Passwörter ausgespäht oder von Keyloggern im großen Maßstab abgeerntet. Ein Angreifer hat somit schnell Zugriff auf die persönliche Korrespondenz des einzelnen Mitarbeiters oder schlimmer noch, Zugriff auf das gesamte Mailarchiv, wenn der Angreifer das Administrator-Passwort herausgefunden hat. Schon ist der Datenschutzvorfall groß und Ihr Unternehmen ist in der Meldepflicht. Einen starken Zugangsschutz kann heute nur eine Mehr-Faktor-Authentifizierung mit bspw. privacyIDEA gewährleisten.
Ihr Benno Mailarchiv
Deswegen wollen wir den Zugang zu Ihrem Benno Mailarchiv mit einem zweiten Faktor schützen. Nur wenn der Mitarbeiter oder der Administrator sein Passwort weiß und einen Besitzfaktor – bspw. einen Hardware-Token oder ein Smartphone – mitbringt, kann er Zugriff auf das Mailarchiv bekommen. Die Hürde für den Angreifer ist deutliche höher gelegt.
Um dem Benno Mailarchiv die Zwei-Faktor-Authentifizierung gegen privacyIDEA beizubringen, genügt ein einfaches kleines Skript, das Sie bei github finden.
Laden Sie sich das Skript herunter:
wget https://raw.githubusercontent.com/privacyidea/privacyidea-benno-mailarchive/master/privacyidea_auth
und ebenso die Beispiel-Konfigurationsdatei:
wget https://github.com/privacyidea/privacyidea-benno-mailarchive/blob/master/benno.ini.example
Die Konfigurationsdatei benennen Sie um und legen Sie nach /etc/privacyidea/benno.ini.
In der Datei benno.ini müssen Sie nun ein paar Anpassungen vornehmen, vor allem definieren, unter welcher IP oder Hostname der privacyIDEA-Server erreichbar ist.
Schließlich teilen Sie benno mit, dass das gerade heruntergeladene privacyIDEA-Script für die Authentifizierung der Benutzer verwendet werden soll. Hierzu legen Sie einen symbolischen Link im Verzeichnis /etc/benno-web/auth.d/ an, der auf das Skript zeigt.
Das Skript hat Abhängigkeiten zum Pyhton-Modul ConfigObj. Unter Ubuntu installieren Sie dies bspw. mittels
sudo apt install python-configobj
privacyIDEA Server
Wie bei der Konfiguration des Skriptes schon erwähnt, benötigen Sie einen privacyIDEA Server in Ihrem Netzwerk. Dieser verwaltet alle Authentifizierungsobjekte (Smartphones, Tokens) der Benutzer und nimmt die Authentifizierungsanfragen des Benno Mailarchivs entgegen. Wenn Sie bereits ein privacyIDEA System in Ihrem Netzwerk installiert haben, sind Sie hier fertig.
Ansonsten finden Sie zahlreiche Anleitungen, privacyIDEA auf beliebigen Linuxsystemen zu installieren. Mit der privacyIDEA Enterprise Edition bietet die NetKnights außerdem ein System zur einfachen Installation auf Ubuntu oder Red Hat/CentOS mit entsprechenden Service Level Agreements.
Gerne steht Ihnen die NetKnights für alle Fragen rund um das Thema Mehr-Faktor-Authentifizierung und privacyIDEA zur Verfügung. Fragen Sie uns!
