Blauer Ordner. Dokumentenverzeichnis

Dokumentenverzeichnis Nr. 1.0 Version 4 Seite 1 von 2 Stand: 07.08.2014 Dokumentennummer Titel / Thema Version Dokumentation Stand Verantwortlichkeiten DSB-Team IT-SiBe-Team Art und Ort der Aufbewahrung Blauer Ordner Online 1 Organisatorisches 1.0 Dokumentenverzeichnis 4 07.08.14 X X X X 1.1 Stammdaten der Schule und Ansprechpartner X X X 1.2 Lenkung der Dokumente 1 08.05.12 X X 1.3 Sicherheitsmanagement-Team für IT und Datenschutz 3 21.07.14 X X X 2 Datenschutz 2.1 Gesetze und Regelungen 2.1.10 Aufgaben der Schul-DSB 1 23.03.12 X X X 2.1.20 SchulG 64, 64a, SchulDatenVO 1 23.03.12 X X X 2.2 Zustimmungserklärungen Verarbeiten von personenbezogenen 2.2.10 Daten auf privaten Datenträgern 1 08.05.12 X X X 2.2.20 Verpflichtung auf das Dienstgeheimnis X X X Einwilligung zur Veröffentlichung von 2.2.30 personenbezogenen Daten 1 08.05.12 X X X Nutzerordnung der Computeranlagen an 2.2.40 der Schule 1 04.06.12 X X X 2.3 Informationen 2.3.10 Umgang mit Datenträgern X X X 2.3.20 Richtlinien zur Erstellung von Webseiten X X X 2.3.30 Vertretungspläne 1 08.05.12 X X X 2.3.40 Aushänge in der Schule/Schwarzes Brett X X X 2.3.50 Auskunftsrechte der Eltern X X X 2.3.60 Videoüberwachung an Schulen X X X 2.3.70 Schulfotograf X X X 2.4 Info-Briefe Regionale Datenschutzbeauftragte und IT-Sicherheitsbeauftragte für Berliner Schulen

Dokumentenverzeichnis Nr. 1.0 Version 4 Seite 2 von 2 Stand: 07.08.2014 Dokumentennummer Titel / Thema Dokumentation Version Stand Verantwortlichkeiten DSB-Team IT-SiBe-Team Art und Ort der Aufbewahrung Blauer Ordner Online 3 IT-Sicherheit 3.1 Konzepte und Regelungen 3.1.10 Informationen und Ankündigungen X X X 3.1.20 Grundlagen zur IT-Sicherheit 3 20.08.13 X X X 3.1.30 IT-Sicherheitskonzept und Netzplan X X 3.2 Inventar Server, Arbeitsplatz-PC, 3.2.10 Switches/Router, USV, Drucker X X 3.2.20 Lieferscheine X X 3.2.30 Software-Lizenzen X X 3.3 Handbücher 3.3.10 DataCenterBox 3.3.20 Arbeitsplatz-PC 3.3.30 Switches/Router 3.3.40 Drucker 3.3.50 USV 3.4 Anleitungen 3.4.10 Zertifikate und E-Mail 5 07.08.14 X X X 3.4.20 Software des Berliner Schulmanagements (Magellan, GPUntis, HERA, PTSW) 3.4.30 sichere Datenträger 5 07.08.14 X X X 3.4.40 sicheres Löschen 3 22.07.14 X X X 3.5 Protokolle 3.5.10 Audits X X 3.5.20 Vorort-Termin X X 3.5.30 Beratungsprotokolle X X Adresse für die Online-Dokumente: https://www.egovschool-berlin.de/ und dann bei Datenschutz bzw. IT-Sicherheit unter Dokumente Regionale Datenschutzbeauftragte und IT-Sicherheitsbeauftragte für Berliner Schulen

Gliederung 2.2.40 Nr. 2.2.40.0 Version 1 Seite 1 Stand: 04.06.2012 Dokumentennummer Titel / Thema Dokumentation Version Stand Verantwortlichkeiten DSB-Team IT-SiBe-Team Art und Ort der Aufbewahrung Blauer Ordner Online 2.2.40 Nutzerordnung 2.2.40.1 Computer-Nutzerordnung 1 04.06.2012 X X X 2.2.40.2 Nutzerordnung Anschreiben 1 04.06.2012 X X 2.2.40.3 Nutzerordnung mit Fussnoten 1 04.06.2012 X X 2.2.40.4 Nutzerordnung ohne Fussnoten 1 04.06.2012 X X Adresse für die Online-Dokumente: https://www.egovschool-berlin.de/ Datenschutz Dokumente Regionale Datenschutzbeauftragte und IT-Sicherheitsbeauftragte für Berliner Schulen

Gliederung 3.1.20 Nr. 3.1.20.0 Version 3 Seite 1 von 1 Stand: 20.08.2013 Dokumentation Verantwortlichkeiten Art und Ort der Aufbewahrung Nummer Titel / Thema Version Stand DSB-Team IT-SiBe-Team Blauer Ordner Online 3.1.20 Grundlagen zur IT-Sicherheit 3.1.20.1 Merkblatt zur IT-Sicherheit 1 10.05.12 X X X IT-Sicherheitshandbuch von 3.1.20.2 egovernment@school 1 20.08.13 X X Merkblatt für lokale 3.1.20.3 IT-Sicherheitsbeauftragte 1 10.05.12 X X X Adresse für die Online-Dokumente: https://www.egovschool-berlin.de/ IT-Sicherheit Dokumente Merkblätter Regionale IT-Sicherheitsbeauftragte für Berliner Schulen

Gliederung 3.4.10 Nr. 3.4.10.0 Version 5 Seite 1 von 1 Stand: 07.08.2014 Dokumentation Verantwortlichkeiten Art und Ort der Aufbewahrung Nummer Titel / Thema Version Stand DSB-Team IT-SiBe-Team Blauer Ordner Online 3.4.10 Anleitungen Zertifikate und E-Mail 3.4.10.1 Outlook sichere E-Mail Kurzanleitung 2 20.05.14 X X X 3.4.10.2 Outlook Konto einrichten 2 20.05.14 X X X 3.4.10.3 Outlook Zertifikate einbinden 3 05.08.14 X X X 3.4.10.4 Thunderbird sichere E-Mail Kurzanleitung 2 21.07.14 X X X 3.4.10.5 Thunderbird Konto einrichten 2 20.05.14 X X X 3.4.10.6 Thunderbird Zertifikate einbinden 2 20.05.14 X X X 3.4.10.7 Thunderbird mehrere Mailkonten 2 20.05.14 X X X 3.4.10.8 Outlook Kontrolle Zertifikate 1 06.08.14 X X 3.4.10.9 Thunderbird Kontrolle Zertifikate 1 06.08.14 X X X 3.4.10.10 Outlook E-Mail sicherer machen 1 04.08.14 X X X 3.4.10.11 Thunderbird E-Mail sicherer machen 1 04.08.14 X X X Adresse für die Online-Dokumente: https://www.egovschool-berlin.de/ IT-Sicherheit Dokumente Schul-E-Mail einrichten Regionale IT-Sicherheitsbeauftragte für Berliner Schulen

Outlook_Kurzanleitung Nr. 3.4.10.1 Version 2 Seite 1 von 1 Stand: 20.05.2014 Einrichten des sicheren E-Mail-Kontos für Microsoft-Outlook 2010 Kurzanleitung Diese Anleitung richtet sich an Nutzer, die bereits ein sicheres E-Mail-Konto für die Schule mit Installation der Zertifikate eingerichtet haben und an sehr versierte Computernutzer. Beim Einrichten muss unterschieden werden, ob sich der PC bereits im sicheren Berliner Schulintranet befindet (interner APC) oder nicht (externer APC). 1. E-Mail-Konto einrichten In Outlook: Datei Informationen Optionsfeld + Konto hinzufügen Servereinstellungen oder zusätzliche Servertypen manuell konfigurieren Internet-E-Mail aktivieren. Dann folgende Einstellungen vornehmen: Feld Servertyp Ihr Name E-Mail-Adresse Benutzername Kennwort Eingabe externer APC interner APC IMAP Diesen legen Sie fest, sieht der Empfänger. IhreBSN@IhreBSN.schule.berlin.de IhreBSN@schule.berlin.local IhrPasswort Posteingangsserver (IMAP) mail.schule.berlin.de dczen-04.schule.berlin.local Postausgangsserver (SMTP) mail.schule.berlin.de dczen-04.schule.berlin.local Kennwort speichern aktivieren Weitere Einstellungen Registerkarte Erweitert: Posteingangsserver (IMAP): Verbindungstyp: SSL Wert 993 Postausgangsserver (SMTP): Verbindungstyp: SSL Wert 465 Registerkarte Postausgangsserver: Der Postausgangsserver (SMTP) erfordert eine Authentifizierung aktivieren Gleiche Einstellungen wie für Posteingangsserver verwenden aktivieren 2. Zertifikate einrichten Datei Optionen Sicherheitscenter.. Einstellungen für Sicherheitscenter E-Mail- Sicherheit / Haken bei Ausgehende Nachrichten digitale Signatur hinzufügen und signierte Mail als Klartext senden. Importieren/Exportieren wählen und vom USB-Datenträger das Zertifikat für die Signatur importieren. Kennwort und Namen für die digitale ID (Signatur) eingeben. Für das Verschlüsselungszertifikat wiederholen. 3. Zertifikat prüfen Start Systemsteuerung Netzwerk und Internet Internetoptionen Inhalte Zertifikate. Bei erfolgreichem Import sehen Sie hier die beiden importierten Zertifikate. 4. Verzeichnisdienst LDAP einrichten Feld Eingabe In Outlook: Servername ldap.pca.dfn.de Datei Informationen Kontoeinstellungen Kontoeinstelllungen Adressbücher Suchbasis o=dfn-verein,c=de Neu.. Internetverzeichnisdienst (LDAP) Anschluss 389 Nebenstehende Einstellungen vornehmen. auch weitere Einstellungen und dort Registerkarten Verbindungen und Suche nutzen Erst wenn alle Einstellungen vorgenommen wurden, auf Weiter klicken! Outlook neu starten, über Start Adressbücher im LDAP nach Senat suchen lassen.

Outlook Konto einrichten Nr. 3.4.10.2 Version 2 Seite 1 von 10 Stand: 20.05.2014 Anleitung zum Einrichten der Berliner Schulmail unter Outlook 2010

Outlook Konto einrichten Nr. 3.4.10.2 Version 2 Seite 2 von 10 Stand: 20.05.2014 Inhaltsverzeichnis 1. E-Mail-Konto einrichten... 2 1.1 Vorbereitung... 2 1.2 Erstellen eines den Sicherheitsanforderungen entsprechenden E-Mail-Kontos... 2 2. Verfassen einer neuen E-Mail... 9 Einleitung Dieses Dokument beschreibt die Einrichtung des E-Mail-Programms Microsoft Outlook 2010 für den Zugriff auf die gesicherte E-Mail-Infrastruktur des Berliner Schulverwaltungsnetzes. Zum Einbinden der von der Senatsverwaltung zur Verfügung gestellten Zertifikate und zum Versenden von verschlüsselten und signierten E-Mails müssen Sie nach dem Einrichten der Berliner Schulmail, wie sie in diesem Dokument beschrieben wird, die Zertifikate in das Konto einbinden. Dazu lesen Sie bitte die Anleitung zum Einbinden eines Zertifikates in Outlook 2010 zum Versenden verschlüsselter und signierter E-Mails unter Windows 7. 1. E-Mail-Konto einrichten 1.1 Vorbereitung Bevor Sie mit der Einrichtung des neuen E-Mail-Kontos beginnen, sollten Sie die Zugangsdaten für Ihr sicheres E-Mail-Konto bereithalten. Die Schulen erhalten die Zugangsdaten in einem Brief von der Senatsschulverwaltung. Die Mitarbeiter erhalten die Zugangsdaten mit Benutzername und Start-Kennwort von der Schulleitung bzw. einer von ihr beauftragten Person. 1.2 Erstellen eines den Sicherheitsanforderungen entsprechenden E-Mail-Kontos Öffnen Sie zunächst das Programm Microsoft Outlook 2010 (Start Programme Microsoft Office Microsoft Outlook 2010). Abbildung 1: E-Mail-Konten-Verwaltung öffnen Klicken Sie in der Menüleiste des Programms auf Datei, dann auf Informationen und zum Schluss auf +Konto hinzufügen (Abbildung 1).

Outlook Konto einrichten Nr. 3.4.10.2 Version 2 Seite 3 von 10 Stand: 20.05.2014 Abbildung 2: Konto automatisch einrichten Aktivieren Sie im Dialogfeld Konto automatisch auswählen das Optionsfeld Servereinstellungen oder zusätzliche Servertypen manuell konfigurieren und klicken Sie dann auf Weiter (Abbildung 2). Abbildung 3: Dienst auswählen Wählen Sie im Dialogfeld Dienst auswählen den Dienst Internet-E-Mail und klicken Sie auf Weiter (Abbildung 3).

Outlook Konto einrichten Nr. 3.4.10.2 Version 2 Seite 4 von 10 Stand: 20.05.2014 Abbildung 4: Internet-E-Mail-Einstellungen Im folgenden Dialogfeld Internet-E-Mail-Einstellungen (Abbildung 4) müssen Sie Angaben zum neuen E-Mail-Konto eingeben. Hierbei muss unterschieden werden, ob sich der Arbeitsplatz im sicheren Berliner Schulintranet (interner APC) befindet oder nicht (externer APC). In der folgenden Tabelle sind die entsprechenden Informationen aufgelistet. Dabei muss IhreBSN durch die BSN Ihrer Schule ersetzt werden (z.b. 01G01). Ihr Name Feld E-Mail-Adresse externer APC Eingabe interner APC Diesen legen Sie fest, sieht der Empfänger. IhreBSN@IhreBSN.schule.berlin.de bzw <Vorname>.<Nachname>@IhreBSN.schule.berlin.de Kontotyp IMAP Posteingangsserver (IMAP) mail.schule.berlin.de dczen-04.schule.berlin.local Postausgangsserver (SMTP) mail.schule.berlin.de dczen-04.schule.berlin.local IhreBSN@schule.berlin.local Benutzername bzw. <Benutzername>@schule.berlin.local Kennwort Ihr Passwort Hinweis: Die Schulen erhalten die Zugangsdaten in einem Brief von der Senatsschulverwaltung. Die Mitarbeiter erhalten die Zugangsdaten mit Benutzername und Start-Passwort von der Schulleitung bzw. einer von ihr beauftragten Person. Aktivieren Sie Kennwort speichern und Kontoeinstellungen durch Klicken auf die Schaltfläche Weiter testen. Klicken Sie dann auf Weitere Einstellungen (Abbildung 4).

Outlook Konto einrichten Nr. 3.4.10.2 Version 2 Seite 5 von 10 Stand: 20.05.2014 Abbildung 5: Registerkarte Allgemein Geben Sie in der Registerkarte Allgemein (Abbildung 5) einen Namen für das E-Mail-Konto an (z. B. sichere Schulmail). Wenn Sie mehrere E-Mai-Konten in Outlook 2010 einrichten, können Sie so die Konten leichter unterscheiden. Klicken Sie dann auf die Registerkarte Erweitert. Abbildung 6: Registerkarte Erweitert Stellen Sie in der Registerkarte Erweitert (Abbildung 6) jeweils bei Verwenden Sie den folgenden verschlüsselten Verbindungstyp jeweils SSL ein. Geben Sie in das Feld Posteingangsserver (IMAP) den Wert 993 und in das Feld Postausgangsserver (SMTP) den Wert 465 ein. Klicken Sie dann auf die Registerkarte Postausgangsserver.

Outlook Konto einrichten Nr. 3.4.10.2 Version 2 Seite 6 von 10 Stand: 20.05.2014 Abbildung 7: Registerkarte Postausgangsserver Aktivieren Sie auf der Registerkarte Postausgangsserver (Abbildung 7) das Kontrollkästchen Der Postausgangsserver (SMTP) erfordert eine Authentifizierung und aktivieren Sie die Option Gleiche Einstellungen wie für Posteingangsserver verwenden. Beenden Sie die Eingabe der Internet-E-Mail-Einstellungen mit OK.

Outlook Konto einrichten Nr. 3.4.10.2 Version 2 Seite 7 von 10 Stand: 20.05.2014 Abbildung 8: Internet-E-Mail-Einstellungen testen Jetzt haben Sie alle Einstellungen für die E-Mail vorgenommen. Überprüfen Sie noch einmal alle Einträge anhand der obigen Tabelle. Korrigieren Sie ggf. Klicken Sie zum Testen der Einstellungen im Dialogfeld Internet-E-Mail-Einstellungen auf Weiter (Abbildung 8). Abbildung 9: Konteneinstellungen testen Nun werden die Konteneinstellungen getestet. Ist der Test erfolgreich, öffnet sich das Fenster oben (Abbildung 9). Sollten Fehler aufgetreten sein, überprüfen Sie bitte noch einmal ganz genau alle Einstellungen und testen Sie danach noch einmal. Klicken Sie auf Schließen um den erfolgreichen Test abzuschließen.

Outlook Konto einrichten Nr. 3.4.10.2 Version 2 Seite 8 von 10 Stand: 20.05.2014 Abbildung 9: Kontoeinrichtung abgeschlossen Jetzt öffnet sich das Dialogfeld Kontoeinrichtung abgeschlossen (Abbildung 9). Klicken Sie hier auf Fertig stellen. Herzlichen Glückwunsch, damit ist Ihr Konto eingerichtet. Hinweis: Damit Sie mit Ihrem sicheren Schulmail-Konto auch signierte und verschlüsselte Mails verschicken können, müssen noch die entsprechenden Zertifikate installiert werden. Falls Sie im Besitz solcher Zertifikate sind, benutzen Sie zur Installation die Anleitung Outlook 2010 - Zertifikate einbinden.

Outlook Konto einrichten Nr. 3.4.10.2 Version 2 Seite 9 von 10 Stand: 20.05.2014 2. Verfassen einer neuen E-Mail Zum Verfassen einer E-Mail müssen Sie zunächst Outlook 2010 öffnen (Start Programme Microsoft Office Microsoft Outlook 2010). Klicken Sie dann im Hauptfenster von Outlook 2010 unten links auf E-Mail (Abbildung 10). Abbildung 10: E-Mail Programm öffnen Abbildung 11: Neue E-Mail schreiben Klicken Sie zuerst auf Start und dann auf Neue E-Mail-Nachricht (Abbildung 11). Abbildung 12: richtiges Konto wählen Klicken Sie auf Von (Abbildung 12) und wählen Sie den Eintrag für die sichere Schulmail aus. Hinweis: Wenn Sie nur eine E-Mail-Adresse eingerichtet haben, wird die Schaltfläche Von nicht angezeigt und Sie können diesen Schritt überspringen.

Outlook Konto einrichten Nr. 3.4.10.2 Version 2 Seite 10 von 10 Stand: 20.05.2014 Abbildung 13: Dateien an E-Mail anhängen Schreiben Sie wie gewohnt ihre E-Mail. Geben Sie also im Feld An die Empfängeradresse ein, fügen Sie der E-Mail Ihren Betreff und einen Text hinzu. Sollten Sie der E-Mail-Nachricht Dateien anfügen wollen, klicken Sie auf Datei anfügen (Symbol Büroklammer) (Abbildung 13). Wechseln Sie im Dialogfeld Datei einfügen in den Ordner, in dem sich die Dateien, die Sie anhängen möchten, befinden. Nun markieren Sie diese Dateien und klicken auf Einfügen. Klicken Sie zum Versenden der Nachricht auf die Schaltfläche Senden.

Outlook Zertifikat einbinden Nr. 3.4.10.3 Version 3 Seite 1 von 14 Stand: 05.08.2014 Anleitung zum Einbinden von Zertifikaten in Outlook 2010 zum Versenden verschlüsselter und signierter E-Mails unter Windows 7

Outlook Zertifikat einbinden Nr. 3.4.10.3 Version 3 Seite 2 von 14 Stand: 05.08.2014 Inhaltsverzeichnis: 1. Einleitung... 2 2. Zertifikat einrichten Vorbereitung... 2 2.1 Vorbedingungen... 3 2.2 Ihre Sicherheit... 3 3. Kurzanleitung und Übersicht... 4 3.1 Import der Zertifikate... 4 3.2 Zertifikate prüfen... 4 3.3 Verzeichnisdienst LDAP einrichten... 4 4. Import der Zertifikate... 5 4.1 Zertifikate importieren... 5 4.2 Erfolgreichen Import überprüfen... 7 5. Verzeichnisdienst LDAP einrichten... 8 6. Verfassen einer signierten und verschlüsselten E-Mail...13 6.1 Verfassen der E-Mail...13 6.2 Verschlüsseln und Signieren festlegen...14 6.3 Senden der E-Mail...14 1. Einleitung Dieses Dokument beschreibt die Integration von Zertifikaten und digitalen Schlüsseln in Ihr Berliner Schulmailkonto unter Outlook 2010. Durch diese Zertifikate sind Sie in der Lage, verschlüsselte und signierte Mails an Personen zu schicken, die ebenfalls für ihr E-Mail- Konto die Zertifikate zum Verschlüsseln und Signieren installiert haben. Signierte Mails, die nicht verschlüsselt werden, können an jedes E-Mail-Konto gesandt werden. Durch das Signieren der E-Mail ist für den Empfänger sichergestellt, dass Ihre Schule wirklich der Absender der E-Mail ist. Durch das Verschlüsseln ist es nur dem Empfänger möglich, die Nachricht zu entschlüsseln und somit zu lesen bzw. den Anhang zu öffnen. So wird die Vertraulichkeit und Integrität der Daten sichergestellt. Wir empfehlen in dieser Anleitung, dass automatisch alle E-Mails signiert versandt werden. Sollten Sie Ihr Berliner Schulmailkonto noch nicht eingerichtet haben, so folgen Sie bitte vorher den Erläuterungen in der Anleitung Outlook 2010 Konto einrichten. 2. Zertifikat einrichten Vorbereitung Von der Registrierungsagentur (RA) erhalten Sie auf einem USB-Datenträger (Karte) zwei Dateien im Format PKCS#12, die je ein Zertifikat und ihren dazugehörigen privaten Schlüssel enthalten: Zum Verschlüsseln: <Benutzername>-Verschluesselung.p12 Bsp.: Schulleitung-01G01-Verschluesselung.p12 Zum Signieren: <Benutzername>-Signatur.p12 Bsp.: Schulleitung-01G01-Signatur.p12 Diese Dateien sind verschlüsselt und können nur nach Eingabe Ihrer PIN ausgelesen werden, die Sie ebenfalls von der Registrierungsagentur erhalten.

Outlook Zertifikat einbinden Nr. 3.4.10.3 Version 3 Seite 3 von 14 Stand: 05.08.2014 Die Zertifikate für die Schulleitungen sind Rollenzertifikate (auch Gruppenzertifikate genannt). Sie als Eigentümer der Zertifikate können nach eigenem Ermessen weiteren Personen die Nutzung der Zertifikate erlauben, wobei Sie mit Ihrer Unterschrift beim Empfang bestätigt haben, dass Sie die alleinige Verantwortung für den ordnungsgemäßen Einsatz der Zertifikate tragen. Zur Erhöhung der Sicherheit können Sie einer Vertrauensperson nur den Empfang verschlüsselter E-Mails an das Postfach der Schule erlauben, ohne dass diese Person auch E- Mails im Auftrag der Schule digital signieren (unterschreiben) kann. Dazu kann nur das Verschlüsselungszertifikat (Dateiname: Schulleitung-<BSN>-Verschluesselung.p12) in das Mailprogramm der Vertrauensperson integriert werden, wobei die PIN nicht weitergegeben werden darf. Wurden die Zertifikate auf Ihren Namen ausgestellt, gilt dieser Abschnitt natürlich nicht. Nur Sie dürfen Ihre eigenen Zertifikate benutzen. 2.1 Vorbedingungen Zur Integration der Zertifikate und digitalen Schlüssel benötigen Sie den USB-Datenträger mit den zwei Zertifikatdateien und den PIN-Brief bzw. die PIN. Diese Materialien bekommen Sie von der Registrierungssagentur bei der Senatsschulverwaltung gegen Unterschrift ausgehändigt. Für die Integration der Zertifikate benötigen Sie nur Ihre normalen Nutzerrechte auf Ihrem Arbeitsplatzcomputer, also keine Administratorrechte. Die Integration der Zertifikate erfolgt nur durch Konfiguration, also ohne Installation weiterer Software. Die Integration der Zertifikate kann vor oder nach Einrichtung des E-Mail-Kontos erfolgen. Eine Nutzung der Zertifikate ist erst mit dem vollständig eingerichteten E-Mail-Konto möglich. 2.2 Ihre Sicherheit Zur Geheimhaltung Ihrer privaten Schlüssel achten Sie bitte darauf, dass Sie Ihre Passwörter stets unbeobachtet eingeben. Bitte verwenden Sie die Zertifikate und Ihre privaten Schlüssel nur auf Arbeitsplatzcomputern, die sicher administriert werden. Ihre privaten Schlüssel sind nach der Installation auf Ihrem Arbeitsplatzrechner durch ein Passwort geschützt. Bitte verwenden Sie stets ein sicheres Passwort mit einer Länge von mindestens 8 Zeichen, welches neben Groß- und Kleinbuchstaben auch Sonderzeichen und Ziffern verwendet. Bitte verwenden Sie als Passwort niemals Wörter, die in Wörterbüchern gefunden werden können, da solche Passwörter heute leicht durch automatisches Ausprobieren erraten werden können. Bitte lesen Sie die Zertifikatsdateien nur direkt vom USB-Datenträger (USB-Karte) ein. Die Zertifikatsdateien vom USB-Datenträger dürfen nicht auf die Computerfestplatte oder Netzwerklaufwerke kopiert werden, da sie so von anderen Personen missbraucht werden könnten. Insbesondere kann mit entsprechender Spezialsoftware die Verschlüsselung durch unberechtigte Personen gebrochen werden. Bitte schützen Sie den USB-Datenträger gegen unberechtigte Verwendung durch andere Personen durch Lagerung in einem abgeschlossenen Schrank. Der USB-Datenträger darf nur für die Zertifikatsdateien verwendet werden. Halten Sie die von der Registrierungsagentur ausgegebene PIN Ihrer Zertifikate unbedingt geheim. Wenn Sie den PIN-Brief aufbewahren, so schützen Sie ihn gegen unberechtigte Verwendung durch andere Personen, am besten dadurch, dass er getrennt vom USB- Datenträger in einem abgeschlossenen Schrank gelagert wird.

Outlook Zertifikat einbinden Nr. 3.4.10.3 Version 3 Seite 4 von 14 Stand: 05.08.2014 Sollten Sie einen Verdacht auf Missbrauch oder unberechtigte Erlangung ihrer Zertifikate oder digitalen Schlüssel haben informieren Sie schnellstmöglich die Registrierungsagentur bei Senatsschulverwaltung, damit Gegenmaßnahmen wie die Sperrung der Zertifikate getroffen werden können. Bei Beschädigung oder versehentlichem Löschen der Zertifikate oder digitalen Schlüssel kann die Registrierungsagentur eine Ersatzausstellung vornehmen, so dass Ihre verschlüsselten Daten nicht verloren sind. 3. Kurzanleitung und Übersicht 3.1 Import der Zertifikate Das E-Mailprogramm MS Outlook 2010 nutzt den Zertifikatsspeicher des Betriebssystems Windows 7. Den USB-Datenträger mit den Zertifikatsdateien in den USB-Port stecken. Die erste Zertifikatsdatei durch Doppelklick öffnen und im Zertifikatimport-Assistenten die Standardeinstellungen benutzen. Falls gefordert, das Kennwort des PIN-Briefes eingeben. Die obigen beiden Schritte für die zweite Zertifikatsdatei wiederholen. 3.2 Zertifikate prüfen Nach Import beider Zertifikate überprüfen Sie noch einmal in Windows, ob beide Zertifikate erfolgreich importiert wurden. Das geht so: Datei Optionen Sicherheitscenter Einstellungen für Sicherheitscenter.. E-Mail-Sicherheit. Haken bei Ausgehende Nachrichten digitale Signatur hinzufügen und signierte Nachrichten als Klartext senden setzen. Auf Einstellungen klicken. Überprüfen, ob beide Zertifikate unten angegeben sind. 3.3 Verzeichnisdienst LDAP einrichten Menü Datei Informationen Konteneinstellungen Konteneinstellungen.. Registerkarte Adressbücher Befehl Neu... Internetverzeichnisdienst LDAP Folgende Servereinstellungen verwenden: Feld Eingabe Servername ldap.pca.dfn.de Suchbasis o=dfn-verein,c=de Anschluss 389 Um alle Angaben einzugeben auch weitere Einstellungen und dort die Registerkarten Verbindungen und Suche nutzen Erst wenn alle Einstellungen vorgenommen wurden, auf Weiter klicken! Outlook neu starten, zur Kontrolle im LDAP-Verzeichnis nach Senat suchen lassen

Outlook Zertifikat einbinden Nr. 3.4.10.3 Version 3 Seite 5 von 14 Stand: 05.08.2014 4. Import der Zertifikate 4.1 Zertifikate importieren Melden Sie sich an Ihrem Computer an. Schließen Sie den USB-Datenträger mit den Zertifikaten an einem USB-Port an. Öffnen Sie über den Windows-Explorer (Abbildung 1). Abbildung 1: Windows-Explorer starten Abbildung 2: Laufwerk USB Disk wählen Abbildung 3: Signaturdatei wählen Jetzt erscheint der USB-Datenträger (USB Disk) als Wechselmedium (Abbildung 2). Klicken Sie doppelt auf diesen Wechseldatenträger. Nun erscheinen rechts die beiden Zertifikatdateien (Abbildung 3). Öffnen Sie die erste Datei (für die Signatur) durch Doppelklick. Abbildung 4: Zertifikatsimport-Assistent Dadurch öffnet sich der Zertifikatsimport-Assistent. Bestätigen Sie mit Weiter (Abbildung 4).

Outlook Zertifikat einbinden Nr. 3.4.10.3 Version 3 Seite 6 von 14 Stand: 05.08.2014 Abbildung 5: Importdatei wählen Abbildung 6: Kennwort eingeben Der Importdateiname wurde bereits richtig eingetragen. Bestätigen Sie mit Weiter (Abbildung 5). Öffnen Sie den PIN-Brief, den Sie von der Zertifizierungsstelle erhalten haben. Geben Sie nun das darin enthaltene Kennwort für den privaten Schlüssel ein. Klicken Sie auf Weiter (Abbildung 6). Abbildung 7: Zertifikatsspeicher Abbildung 8: Fertigstellen Der Zertifikatsspeicher soll automatisch ausgewählt werden. Bestätigen Sie mit Weiter (Abbildung 7). Klicken Sie dann auf Fertig stellen (Abbildung 8).

Outlook Zertifikat einbinden Nr. 3.4.10.3 Version 3 Seite 7 von 14 Stand: 05.08.2014 Abbildung 9: erfolgreicher Import Abbildung 10: Verschlüsselungsdatei wählen Nach erfolgreichem Import erscheint diese Meldung. Bestätigen Sie mit OK (Abbildung 9). Führen Sie die obigen Schritte (Abbildung 3 bis 9) noch einmal für das Zertifikat für die Verschlüsselung aus. Öffnen Sie dazu die zweite Datei (für die Verschlüsselung) durch Doppelklick (Abbildung 10). 4.2 Erfolgreichen Import überprüfen Nun sind die Zertifikate in Windows installiert. Sie müssen allerdings noch in Outlook überprüfen, ob die Zertifikate richtig zugewiesen wurden. Und das geht so: Starten Sie wie gewohnt Outlook. Wählen Sie das Menü Datei Optionen (Abbildung 11). Abbildung 11: Optionen wählen Abbildung 12: Einstellungen wählen Wählen Sie im Fenster Outlook-Optionen den Menüpunkt Sicherheitscenter. Dort klicken Sie auf Einstellungen für das Sicherheitscenter (Abbildung 12).

Outlook Zertifikat einbinden Nr. 3.4.10.3 Version 3 Seite 8 von 14 Stand: 05.08.2014 Abbildung 13: E-Mail-Sicherheit Klicken Sie im Fenster Sicherheitscenter auf den Menüpunkt E-Mail-Sicherheit. In Zukunft sollen alle E-Mails signiert werden. Setzen Sie deshalb bei Nachrichten digitale Signatur hinzufügen einen Haken (Abbildung 13). Klicken Sie dann auf Einstellungen. Nun sehen Sie das Fenster Sicherheitseinstellungen. Überprüfen Sie, ob bei Signaturzertifikat ein Eintrag steht bei Verschlüsselungszertifikat ebenfalls ein Eintrag steht (Abbildung 14). Abbildung 14: Einstellungen überprüfen Ist das der Fall, ist die Installation der Zertifikate abgeschlossen. Schließen Sie nun das Fenster mit OK. 5. Verzeichnisdienst LDAP einrichten Für den sicheren Mailverkehr mit anderen Berliner Schulen und der Senatsverwaltung werden die Zertifikate der Kommunikationspartner in einem Verzeichnisdienst über LDAP (Lightweight Directory Access Protocol) bereitgestellt. Um diesen nutzen zu können muss der LDAP-Server im Microsoft Outlook 2010 konfiguriert werden. Zur Nutzung des Verzeichnisdienstes der DFN-PKI (LDAP-Server) sind folgende Einstellungen erforderlich: Hostname: ldap.pca.dfn.de Basis-DN: Port: 389 o=dfn-verein,c=de

Outlook Zertifikat einbinden Nr. 3.4.10.3 Version 3 Seite 9 von 14 Stand: 05.08.2014 Die Konfiguration des LDAP-Servers erfolgt mit einem Assistenten, der in Outlook 2010 unter dem Menüpunkt Datei Informationen Konteneinstellungen Konteneinstellungen.. gestartet wird (Abbildung 18). Abbildung 18: Assistent E-Mail-Konten zum Verzeichnis einrichten Hinweis: Beachten Sie bitte, dass nach der Konfiguration eines LDAP-Servers immer Outlook 2010 beendet und neu gestartet werden muss! Abbildung 19: Registerkarte Adressbücher Wählen Sie in der Registerkarte Adressbücher den Befehl Neu (Abbildung 19).

Outlook Zertifikat einbinden Nr. 3.4.10.3 Version 3 Seite 10 von 14 Stand: 05.08.2014 Abbildung 20: Internetverzeichnisdienst LDAP wählen Klicken Sie auf Internetverzeichnisdienst LDAP und dann auf Weiter (Abbildung 20). Abbildung 21: Servernamen eingeben und Weitere Einstellungen anklicken Geben Sie als Servernamen ldap.pca.dfn.de an und klicken Sie auf Weitere Einstellungen (Abbildung 21).

Outlook Zertifikat einbinden Nr. 3.4.10.3 Version 3 Seite 11 von 14 Stand: 05.08.2014 Abbildung 22: Hinweis auf einen Neustart An dieser Stelle erfolgt von Outlook 2010 der Hinweis, dass nach Fertigstellung der Konfiguration des LDAP-Servers ein Neustart des Programms Outlook 2010 erfolgen muss, ehe eine Nutzung möglich ist (Abbildung 22). Bestätigen Sie mit OK. Abbildung 23: Suchbasis eingeben Im neuen Fenster Microsoft LDAP Verzeichnis muss unter dem Reiter Suche noch die Suchbasis o=dfn-verein, c=de eingegeben werden. Anschließend wird die Eingabe mit OK bestätigt und die Konfiguration fertig gestellt. (Abbildung 23) Abbildung 24 Abbildung 25 Klicken Sie dann auf Weiter (Abbildung 24) und dann auf Fertig stellen (Abbildung 25).

Outlook Zertifikat einbinden Nr. 3.4.10.3 Version 3 Seite 12 von 14 Stand: 05.08.2014 Nach Abschluss der Konfiguration muss Outlook 2010 beendet und neu gestartet werden. Klicken Sie dazu auf Datei Beenden (Abbildung 26). Starten Sie Outlook gleich wieder neu. Abbildung 26: Outlook 2010 beenden Bild 27: Menüband Hauptregisterkarte Start Nun können Sie im Adressbuch den Verzeichnisdienst des DFN nutzen. Klicken Sie dazu auf Start. Sehen Sie das Menüband (Abbildung 27)? Wenn nicht, klicken Sie nochmals auf Start. Dazu rufen Sie dort bitte Adressbuch auf. Abbildung 28: Suchen Zur Probe wählen Sie als Adressbuch in der rechten oberen Auswahlliste den Verzeichnisdienst des DFN. Anschließend geben Sie links im Suchfeld den Begriff senat ein (Abbildung 28). Klicken Sie dann auf OK. Als Ergebnis muss die Senatsverwaltung-Berlin-Schul-CA gefunden werden (Abbildung 28).

Outlook Zertifikat einbinden Nr. 3.4.10.3 Version 3 Seite 13 von 14 Stand: 05.08.2014 6. Verfassen einer signierten und verschlüsselten E-Mail 6.1 Verfassen der E-Mail Zum Verfassen einer E-Mail müssen Sie zunächst Outlook 2010 öffnen (Start Programme Microsoft Office Microsoft Outlook 2010). Klicken Sie dann im Hauptfenster von Outlook 2010 unten links auf E-Mail (Abbildung 29). Gehen Sie beim Verfassen der Nachricht wie immer vor (Start Neue E-Mail-Nachricht). Beachten Sie allerdings, dass Sie auch das richtige E-Mail-Konto gewählt haben. Abbildung 29: E-Mail Programm öffnen Abbildung 30: E-Mail Konto auswählen Klicken Sie im geöffneten Fenster auf Von (Abbildung 30), und wählen Sie den Eintrag für die sichere Schulmail aus. Hinweis: Wenn Sie mit Outlook nur eine E-Mail-Adresse verwalten, wird die Schaltfläche Von nicht angezeigt, und Sie können diesen Schritt überspringen. Abbildung 31: Dateien an E-Mail anhängen Um der neuen E-Mail-Nachricht Dateien anzufügen, klicken Sie in der Menüleiste auf Datei einfügen (Abbildung 31). Markieren Sie im neuen Dialogfenster Datei einfügen die gewünschten Dateien und klicken Sie auf Einfügen.

Outlook Zertifikat einbinden Nr. 3.4.10.3 Version 3 Seite 14 von 14 Stand: 05.08.2014 6.2 Verschlüsseln und Signieren festlegen Abbildung 32: E-Mail-Nachricht vor dem Verschlüsseln und Signieren Öffnen Sie die Registerkarte Optionen durch Klicken. Klicken Sie je einmal auf die markierten Schaltflächen zum Verschlüsseln und Signieren im Menüband der Registerkarte Optionen (Abbildung 32). So ändert sich das Erscheinungsbild der Schaltflächen: Vorher Nachher Hinweis: Sollte die Schaltfläche Signieren bereits markiert sein, klicken Sie nur noch auf Verschlüsseln. 6.3 Senden der E-Mail Überprüfen Sie noch einmal, ob sich die Schaltflächen wirklich wie oben zu sehen verändert haben. Zum Versenden der Nachricht klicken Sie auf die Schaltfläche Senden. Jetzt wird Ihre E-Mail verschlüsselt und signiert gesendet.

Thunderbird_Kurzanleitung Nr. 3.4.10.4 Version 2 Seite 1 von 1 Stand: 21.07.2014 Einrichten des sicheren E-Mail-Kontos für Mozilla Thunderbird Kurzanleitung Diese Anleitung richtet sich an Nutzer, die bereits ein sicheres E-Mail-Konto für die Schule mit Installation der Zertifikate eingerichtet haben und an sehr versierte Computernutzer. Beim Einrichten muss unterschieden werden, ob sich der PC bereits im sicheren Berliner Schulintranet befindet (interner APC) oder nicht (externer APC). 1. E-Mail-Konto einrichten Thunderbird starten Extras Konto-Einstellungen... Konten-Aktionen E-Mail-Konto hinzufügen Feld Ihr Name E-Mail-Adresse Passwort Benutzername Posteingangsserver (IMAP) Postausgangsserver (SMTP) Verbindungssicherheit Authentifizierung Eingabe externer APC interner APC Diesen legen Sie fest, sieht der Empfänger. IhreBSN@IhreBSN.schule.berlin.de IhrPasswort IhreBSN@schule.berlin.local mail.schule.berlin.de / Port 993 mail.schule.berlin.de / Port 465 Passwort speichern aktivieren Konto erstellen 2. Zertifikate einrichten dczen-04.schule.berlin.local / Port 993 dczen-04.schule.berlin.local / Port 465 SSL / TLS Passwort, normal Extras Einstellungen Thema Erweitert" Reiter Zertifikate Feld Zertifikate Reiter Ihre Zertifikate Importieren. Vom USB-Datenträger nacheinander die beiden Dateien mit der Endung "p12" importieren. Passworte wie gefordert eingeben. Feld Eingabe 3. Verzeichnisdienst LDAP einrichten Thunderbird starten. Name DFN Serveradresse ldap.pca.dfn.de Extras Adressbuch Datei Neu LDAP-Verzeichnis... Basis-DN o=dfn-verein,c=de Port-Nummer 389 Nebenstehende Einstellungen vornehmen zur Kontrolle im Adressbuch Verzeichnisdienst DFN nach Senat suchen lassen Über Extras Einstellungen Verfassen Reiter Adressieren: sowohl LDAP-Verzeichnisserver DFN als auch Lokale Adressbücher wählen 4. Zertifikate auswählen Thunderbird starten Extras Konten-Einstellungen... neues E-Mailkonto wählen S/Mime-Sicherheit dort unter Digitale Unterschrift auf Auswählen klicken Im Dialogfeld Zertifikate wählen das Zertifikat zum Signieren wählen. Haken bei Nachricht digital unterschreiben (als Standard) setzen. Die folgende Frage muss verneint werden. Unter Verschlüsselung auf Auswählen klicken. Im Dialogfeld Zertifikate wählen das Zertifikat zum Verschlüsseln wählen. Mit OK abschließen.

Thunderbird Konto einrichten Nr. 3.4.10.5 Version 2 Seite 1 von 13 Stand: 20.05.2014 Anleitung zum Einrichten der Berliner Schulmail unter Mozilla Thunderbird

Thunderbird Konto einrichten Nr. 3.4.10.5 Version 2 Seite 2 von 13 Stand: 20.05.2014 Inhaltsverzeichnis 1. Einleitung... 2 2. Installation... 2 2.1 Herunterladen der Installationsdatei... 2 2.2 Programminstallation... 4 3. Einrichten des E-Mail-Kontos... 5 3.1 Vorbereitung... 5 3.2 Menüleiste einblenden... 5 3.3 Konto einrichten... 6 4. Verzeichnisdienst LDAP einrichten (externer APC)... 11 5. LDAP-Server zur automatischen Adresssuche einrichten (externer APC)... 13 1. Einleitung Dieses Dokument beschreibt die Einrichtung des E-Mail-Programms Mozilla Thunderbird für den Zugriff auf die E-Mail-Infrastruktur des Berliner Schulverwaltungsnetzes. Wenn Sie im Anschluss an die Konto-Einrichtung Zertifikate einbinden wollen, verwenden Sie bitte das Dokument Einbinden von Zertifikaten in Mozilla Thunderbird. 2. Installation 2.1 Herunterladen der Installationsdatei Öffnen Sie in Ihrem Browser die Seite http://www.thunderbird-mail.de. Abbildung 1: Herunterladen der Installationsdaten Klicken Sie auf der Seite http://www.thunderbird-mail.de (Abbildung 1) auf den Hyperlink Jetzt herunterladen, um die aktuelle Version von Mozilla Thunderbird herunterzuladen.

Thunderbird Konto einrichten Nr. 3.4.10.5 Version 2 Seite 3 von 13 Stand: 20.05.2014 Abbildung 2: Auswahl der Programmversion Auf der nun angezeigten Webseite (Abbildung 2) klicken Sie auf die aktuelle Programmversion (hier: Thunderbird 24.1.0). Abbildung 3: Dateidownload Im Dialogfeld Öffnen... (Abbildung 3) klicken Sie auf Datei speichern. Abbildung 4: Speichern der Installationsdatei In Abhängigkeit von der Einstellung Ihres Browsers wird die Datei automatisch in Ihrem Download-Ordner gespeichert oder Sie werden zur Angabe des Speicherortes aufgefordert (Abbildung 4). Suchen Sie sich in diesem Fall einen Speicherort und klicken Sie dann auf Speichern.

Thunderbird Konto einrichten Nr. 3.4.10.5 Version 2 Seite 4 von 13 Stand: 20.05.2014 2.2 Programminstallation Abbildung 5: Installationsdatei starten Nach erfolgreichem Download können Sie mit der Installation beginnen. Gehen Sie in Ihren Downloadordner und starten Sie dort die Datei Thunderbird Setup ***.exe (*** steht für die derzeitige Programmversion). Abbildung 6: Installationsdatei ausführen Abbildung 7: Installations-Assistent Starten Sie die Installationsdatei, indem Sie auf Ausführen klicken (Abbildung 6). Klicken Sie im Dialogfeld Mozilla Thunderbird-Installation (Abbildung 7) auf Weiter. Abbildung 8: Installationsart Abbildung 9: Installation starten Aktivieren Sie im Dialogfeld Installationsart (Abbildung 8) das Optionsfeld Standard. Das Kontrollkästchen Thunderbird als Standard-E-Mail-Programm einrichten ist automatisch aktiviert. Deaktivieren Sie es nur, falls Sie Mozilla Thunderbird nicht als Standard-E-Mail- Programm verwenden möchten. (Hinweis: Sollte auf Ihrem Computer kein anderes E-Mail- Programm installiert sein, lassen Sie das Kontrollkästchen aktiviert.) Klicken Sie auf Weiter, um den Installationsvorgang zu beginnen und klicken Sie in der anschließend angezeigten Zusammenfassung auf Installieren (Abbildung 9).

Thunderbird Konto einrichten Nr. 3.4.10.5 Version 2 Seite 5 von 13 Stand: 20.05.2014 Nach Abschluss der Installation wird eine Meldung über die erfolgreiche Installation von Mozilla Thunderbird angezeigt (Abbildung 10). Klicken Sie auf Fertigstellen. 3. Einrichten des E-Mail-Kontos 3.1 Vorbereitung Abbildung 10: Fertigstellung der Installation Bevor Sie mit dem Einrichten des E-Mail-Kontos für den sicheren E-Mail-Verkehr zwischen der Senatsverwaltung für Bildung, Jugend und Wissenschaft und Ihrer Schule beginnen, legen Sie sich bitte folgendes Dokument bereit: Brief von der Senatsverwaltung mit den Zugangsdaten für die neue E-Mail-Adresse. 3.2 Menüleiste einblenden Falls Sie Thunderbird noch nicht geöffnet haben, starten Sie jetzt das Programm. Dazu wählen Sie Start Alle Programme Mozilla Thunderbird. Abbildung 11: Menüleiste überprüfen Überprüfen Sie, ob die Menüleiste (Abbildung 11) sichtbar ist. Wenn nicht, führen Sie folgende Schritte aus (Abbildung 12 bis 14). Ansonsten machen Sie gleich mit Abbildung 15 weiter. Abbildung 12: 3 Striche anklicken

Thunderbird Konto einrichten Nr. 3.4.10.5 Version 2 Seite 6 von 13 Stand: 20.05.2014 Klicken Sie auf die 3 Striche rechts oben (siehe Pfeil in Abbildung 12). Abbildung 13: Einstellungen... wählen Abbildung 14: Menüleiste einschalten Fahren Sie mit der Maus über Einstellungen... (Abbildung 13). Schalten Sie die Menüleiste ein, indem Sie auf Menüleiste klicken (Abbildung 14). 3.3 Konto einrichten Abbildung 15: Aufruf der Konten-Einstellungen Klicken Sie im Menü Extras auf Konten-Einstellungen (Abbildung 15). Abbildung 16: E-Mail-Konto hinzufügen Klicken Sie im Dialogfeld Konten-Einstellungen (Abbildung 16) unten links auf Konten- Aktionen und dann auf E-Mail-Konto hinzufügen.

Thunderbird Konto einrichten Nr. 3.4.10.5 Version 2 Seite 7 von 13 Stand: 20.05.2014 Abbildung 17: Konto einrichten Zugangsdaten Geben Sie im Dialogfeld Konto einrichten (Abbildung 17) die Informationen zum neuen E-Mail- Konto ein. In der folgenden Tabelle sind die entsprechenden Informationen aufgelistet. Dabei muss IhreBSN durch die BSN Ihrer Schule ersetzt werden (z.b. 01G01). Ihr Name Feld E-Mail-Adresse Kennwort Eingabe Diesen legen Sie fest, sieht der Empfänger. IhreBSN@IhreBSN.schule.berlin.de bzw <Vorname>.<Nachname>@IhreBSN.schule.berlin.de Ihr Passwort Hinweis: Die Schulen erhalten die Zugangsdaten in einem Brief von der Senatsschulverwaltung. Die Mitarbeiter erhalten die Zugangsdaten mit Benutzername und Start-Passwort von der Schulleitung bzw. einer von ihr beauftragten Person. Wenn Sie alle Informationen eingegeben haben, klicken Sie bitte auf Weiter. Abbildung 18: Thunderbird sucht die Servereinstellungen Nun sucht Thunderbird nach bekannten Servereinstellungen. Das dauert einige Sekunden. Dann hat Thunderbird etwas gefunden, das von Ihnen nachgebessert werden muss (Abbildung 18).

Thunderbird Konto einrichten Nr. 3.4.10.5 Version 2 Seite 8 von 13 Stand: 20.05.2014 Abbildung 19: Konto einrichten Posteingangs- und Postausgangsserver Im folgenden Dialogfeld Konto einrichten (Abbildung 19) müssen Sie Angaben zum Postausgangs- und zum Posteingangsserver vornehmen. Hierbei muss unterschieden werden, ob sich der Arbeitsplatz im sicheren Berliner Schulintranet (interner APC) befindet oder nicht (externer APC). In der folgenden Tabelle sind die entsprechenden Informationen aufgelistet. Dabei muss IhreBSN durch die BSN Ihrer Schule ersetzt werden (z.b. 01G01). Feld Eingabe externer APC interner APC Posteingangsserver IMAP Posteingangsserver (IMAP) mail.schule.berlin.de dczen-04.schule.berlin.local Postausgangsserver (SMTP) mail.schule.berlin.de dczen-04.schule.berlin.local Authentifizierung Benutzername Passwort, normal IhreBSN@schule.berlin.local bzw. <Benutzername>@schule.berlin.local Hinweis: Die Schulen erhalten die Zugangsdaten in einem Brief von der Senatsschulverwaltung. Die Mitarbeiter erhalten die Zugangsdaten mit Benutzername und Start-Passwort von der Schulleitung bzw. einer von ihr beauftragten Person.

Thunderbird Konto einrichten Nr. 3.4.10.5 Version 2 Seite 9 von 13 Stand: 20.05.2014 Zum Abschließen Ihrer Konfiguration klicken Sie auf Fertig (Abbildung 20). Abbildung 20: Konfiguration abschließen Sollten Sie fehlerhafte Eingaben gemacht haben, erscheint eine Fehlermeldung. Kontrollieren Sie dann noch einmal genau Ihre Eingaben und korrigieren Sie die Fehler. Klicken Sie dann wieder auf Fertig. Abbildung 21: Einstellen des Kontos beenden Klicken Sie auf OK, um das Einstellen des Kontos zu beenden (Abbildung 21).

Thunderbird Konto einrichten Nr. 3.4.10.5 Version 2 Seite 10 von 13 Stand: 20.05.2014 ACHTUNG!!! Wenn beim Einrichten des E-Mail-Kontos in Thunderbird Probleme bestehen den Mailserver zu erreichen (Es ist Ihnen also nicht möglich eine E-Mail zu versenden.), wurden u. U. die Einstellungen für den Postausgangsserver (SMTP-Server) nicht vollständig in Thunderbird abgelegt. Um dies zu beheben, muss manuell nachgearbeitet werden. Abbildung 22: Dialogfeld Konto-Einstellungen Markieren Sie im Dialogfeld Konten-Einstellungen (Abbildung 22) im linken Fensterbereich den Eintrag Postausgangs-Server (SMTP), klicken Sie anschließend im Feld Postausgangs- Server (SMTP) auf den Server mail.schule.berlin.de. Klicken Sie dann rechts auf Bearbeiten. Nun muss überprüft werden, ob der Benutzername tatsächlich richtig übernommen wurde (IhreBSN@schule.berlin.local bzw. <Benutzername>@schule.berlin.local). HINWEIS: Der Eintrag im Feld Postausgangs-Server (SMTP) kann sich bei Ihnen von dem hier in Abbildung 14 gezeigten unterscheiden, da die Anzeige von der Konfiguration des Servers abhängig ist und diese möchten Sie ja gerade überprüfen und ggf. korrigieren.

Thunderbird Konto einrichten Nr. 3.4.10.5 Version 2 Seite 11 von 13 Stand: 20.05.2014 4. Verzeichnisdienst LDAP einrichten (externer APC) Für den sicheren Mailverkehr mit anderen Berliner Schulen und der Senatsverwaltung werden alle Kommunikationspartner in einem Verzeichnisdienst über LDAP (Lightweight Directory Access Protocol) geführt. Um diesen nutzen zu können, muss der LDAP-Server im Mozilla Thunderbird konfiguriert werden. Achtung: Der LDAP-Verzeichnisdienst kann z. Z. nicht im sbsi eingerichtet werden. Zur Nutzung des Verzeichnisdienstes der DFN-PKI (LDAP-Server) sind folgende Einstellungen erforderlich: Server-Adresse: ldap.pca.dfn.de Basis-DN: Port: 389 o=dfn-verein,c=de Wenn Sie das Programm Mozilla Thunderbird noch nicht geöffnet haben, starten Sie es jetzt. Abbildung 23: Adressbuch aufrufen Die Konfiguration des LDAP-Servers erfolgt im Adressbuch, das unter dem Menüpunkt Extras gestartet wird (Abbildung 23). Klicken Sie dazu auf Extras Adressbuch. Abbildung 24: Aufruf zur Einrichtung des LDAP-Servers Um den LDAP-Server des Verzeichnisdienstes des DFN einzurichten, klicken Sie im Dialogfeld Adressbuch im Menü Datei auf Neu und dann auf LDAP-Verzeichnis (Abbildung 24).

Thunderbird Konto einrichten Nr. 3.4.10.5 Version 2 Seite 12 von 13 Stand: 20.05.2014 Abbildung 25: LDAP-Server der DFN-PKI eintragen Im folgenden Dialogfeld LDAP-Verzeichnisserver bearbeiten (Abbildung 25), tragen Sie die Konfigurationsdaten ein. Den Namen für dieses Adressverzeichnis können Sie selbst festlegen. Die anderen Daten müssen ohne Änderung eingegeben und mit OK bestätigt werden. Abbildung 26: Suchergebnis nach senat im Verzeichnisdienst des DFN Nach Abschluss der Konfiguration können Sie im Adressbuch den Verzeichnisdienst nutzen. Zur Probe muss in der linken Spalte der Verzeichnisdienst, hier DFN genannt, angeklickt werden. Anschließend kann im Suchfeld rechts oben der Begriff senat eingegeben werden. Als Ergebnis muss die Senatsverwaltung-Berlin-Schule-CA gefunden werden, deren Details nach Klick auf den Namen im oberen Teil des Fensters angezeigt werden (Abbildung 26).

Thunderbird Konto einrichten Nr. 3.4.10.5 Version 2 Seite 13 von 13 Stand: 20.05.2014 5. LDAP-Server zur automatischen Adresssuche einrichten (externer APC) Da auf dem LDAP-Server die Angaben aller Nutzer gespeichert sind, kann man den Server sehr gut für die automatische Adress-Ergänzung genutzt werden. Diese Funktion kann so eingerichtet werden: Abbildung 27: Einstellungen wählen Öffnen Sie über Extras Einstellungen... das Fenster für das Ändern der Einstellungen (Abbildung 27). Abbildung 28 Wählen Sie den Menüpunkt Verfassen und dann den Reiter Adressieren. Setzen Sie sowohl einen Haken bei Lokale Adressbücher als auch bei LDAP-Verzeichnisserver. Stellen Sie als LDAP-Verzeichnisserver DFN ein. Beenden Sie mit OK (Abbildung 28).

Thunderbird Zertifikate einbinden Nr. 3.4.10.6 Version 2 Seite 1 von 12 Stand: 20.05.2014 Anleitung zum Einbinden eines Zertifikates in Mozilla Thunderbird zum Versenden verschlüsselter und signierter E-Mails

Thunderbird Zertifikate einbinden Nr. 3.4.10.6 Version 2 Seite 2 von 12 Stand: 20.05.2014 Inhaltsverzeichnis 1. Einleitung... 2 2. Einrichten der Zertifikate - Vorbereitung... 2 2.1 Vorbedingungen... 3 2.2 Ihre Sicherheit... 3 3. Kurzanleitung... 4 3.1 Import der Zertifikate... 4 3.2 Zertifikate auswählen... 4 4. Import der Zertifikate... 4 4.1 Zertifikate importieren... 4 4.2 Zertifikate prüfen... 6 5. Zertifikate auswählen... 8 6. E-Mail mit Anhang versenden...11 6.1 Mail erstellen...11 6.2 Verschlüsselung und Signieren festlegen...12 6.3 Senden der E-Mail...12 1. Einleitung Dieses Dokument beschreibt die Integration von Zertifikaten und digitalen Schlüsseln in Ihr Berliner Schulmailkonto unter Mozilla Thunderbird. Durch diese Zertifikate sind Sie in der Lage, verschlüsselte und signierte Mails an Personen zu schicken, die ebenfalls für ihr E- Mail-Konto die Zertifikate zum Verschlüsseln und Signieren installiert haben. Signierte Mails, die nicht verschlüsselt werden, können an jedes E-Mail-Konto gesandt werden. Durch das Signieren der E-Mail ist für den Empfänger sichergestellt, dass Ihre Schule wirklich der Absender der E-Mail ist. Durch das Verschlüsseln ist es nur dem Empfänger möglich, die Nachricht zu entschlüsseln und somit zu lesen bzw. den Anhang zu öffnen. So wird die Vertraulichkeit und Integrität der Daten sichergestellt. Wir empfehlen in dieser Anleitung, dass automatisch alle E-Mails signiert versandt werden. Sollten Sie Ihr Berliner Schulmailkonto noch nicht eingerichtet haben, so folgen Sie bitte vorher den Erläuterungen in der Anleitung "Anleitung zum Einrichten der Berliner Schulmail unter Mozilla Thunderbird". 2. Einrichten der Zertifikate - Vorbereitung Von der Registrierungsagentur (RA) erhalten Sie auf einem USB-Datenträger zwei Dateien im Format PKCS#12, die je ein Zertifikat und Ihren zugehörigen privaten Schlüssel enthalten: Zum Verschlüsseln: Schulleitung-<BSN>-Verschluesselung.p12 Bsp.: Schulleitung-01G01-Verschluesselung.p12 Zum Signieren: Schulleitung-<BSN>-Signatur.p12 Bsp.: Schulleitung-01G01-Signatur.p12 Diese Dateien sind verschlüsselt und können nur nach Eingabe Ihrer PIN ausgelesen werden, die Sie ebenfalls von der Registrierungsagentur erhalten haben. Die Zertifikate sind Rollenzertifikate (auch Gruppenzertifikate genannt). Sie als Eigentümer der Zertifikate können nach eigenem Ermessen weiteren Personen die Nutzung der Zertifikate erlauben, wobei Sie mit Ihrer Unterschrift beim Empfang bestätigt haben, dass Sie die alleinige Verantwortung für den ordnungsgemäßen Einsatz der Zertifikate tragen.

Thunderbird Zertifikate einbinden Nr. 3.4.10.6 Version 2 Seite 3 von 12 Stand: 20.05.2014 Zur Erhöhung der Sicherheit können Sie einer Vertrauensperson nur den Empfang verschlüsselter E-Mails erlauben, ohne dass diese Person auch E-Mails im Auftrag der Schule digital signieren (unterschreiben) kann. Dazu kann nur das Verschlüsselungszertifikat (Dateiname: Schulleitung-<BSN>-Verschluesselung.p12) in das Mailprogramm der Vertrauensperson integriert werden, wobei die PIN nicht weitergegeben werden darf. 2.1 Vorbedingungen Zur Integration der Zertifikate und digitalen Schlüssel benötigen Sie den USB-Datenträger mit den zwei Zertifikatsdateien und den PIN-Brief bzw. die PIN. Diese Unterlagen bekommen Sie von der Registrierungsagentur der Senatsverwaltung für Bildung, Jugend und Wissenschaft gegen Unterschrift ausgehändigt. Für die Integration der Zertifikate benötigen Sie nur Ihre normalen Nutzerrechte auf Ihrem Arbeitsplatzcomputer, also keine Administratorrechte. Die Integration der Zertifikate erfolgt nur durch Konfiguration, also ohne Installation weiterer Software. 2.2 Ihre Sicherheit Zur Geheimhaltung Ihrer privaten Schlüssel achten Sie bitte darauf, dass Sie Ihre Passwörter stets unbeobachtet eingeben. Bitte verwenden Sie die Zertifikate und Ihre privaten Schlüssel nur auf Arbeitsplatzcomputern, die sicher administriert werden. Ihre privaten Schlüssel sind nach der Installation auf Ihrem Arbeitsplatzrechner durch ein Passwort geschützt. Bitte verwenden Sie stets ein sicheres Passwort mit einer Länge von mindestens 8 Zeichen, welches nebst Klein- und Großbuchstaben auch Sonderzeichen und Ziffern enthält. Bitte verwenden Sie als Passwort niemals Wörter, die in Wörterbüchern gefunden werden können, da solche Passwörter heute leicht durch automatisches Ausprobieren erraten werden können. Bitte lesen Sie die Zertifikatsdateien nur direkt vom USB-Datenträger ein. Die Zertifikatsdateien vom USB-Datenträger dürfen nicht auf die Computerfestplatte oder Netzwerklaufwerke kopiert werden, da sie so von anderen Personen missbraucht werden könnten. Insbesondere kann mit entsprechender Spezialsoftware die Verschlüsselung durch unberechtigte Personen gebrochen werden. Bitte schützen Sie den USB-Datenträger gegen unberechtigte Verwendung durch andere Personen durch Lagerung in einem abgeschlossenen Schrank. Der USB-Datenträger darf nur für die Zertifikatsdateien verwendet werden. Halten Sie die von der Registrierungsagentur ausgegebene PIN Ihrer Zertifikate bitte unbedingt geheim. Wenn Sie den PIN-Brief aufbewahren, so schützen Sie ihn gegen unberechtigte Verwendung durch andere Personen, am besten dadurch, dass er getrennt vom USB- Datenträger in einem abgeschlossenen Schrank gelagert wird. Sollten Sie einen Verdacht auf Missbrauch oder unberechtigte Erlangung ihrer Zertifikate oder digitalen Schlüssel haben, informieren Sie schnellstmöglich die Registrierungsagentur bei der Senatsschulverwaltung, damit Gegenmaßnahmen wie die Sperrung der Zertifikate eingeleitet werden können. Bei Beschädigung oder versehentlichem Löschen der Zertifikate oder digitalen Schlüssel kann die Registrierungsagentur eine Ersatzausstellung vornehmen, so dass Ihre verschlüsselten Daten nicht verloren sind.