Blog

Phishing-Mails werden immer ausgereifter: Als Nichtfachmann sind die Mails, die da angeblich von PayPal, der Sparkasse & Co. im Posteingang landen, von echten Mails meist schwerlich zu differenzieren.
Im gleichen Atemzug landen im Postausgang jeder Firma tagtäglich vertrauliche Unterlagen und Auskünfte, die per E-Mail verschickt werden – was soll schon schieflaufen?
Im Businessalltag denkt man nicht viel darüber nach, dass all die Informationen nach dem Absenden ebenfalls in unsachgemäße Hände geraten könnten.

Mit anderen Worten: Ihre E-Mails sind nicht (mehr) behütet.
Denn neben dem Phishing gibt es selbstverstandlich auch noch etliche weitere Techniken von Hackern, an vertrauliche Daten wie Passwörter, Kreditkarten-Daten oder Zugänge zu firmeninternen Cloud-Speichersystemen zu kommen.

Eine Möglichkeit zur Beseitigung jenes Problems ist die elektronische E-Mail-Signatur.

Dabei dreht es sich um so etwas wie einen Briefsiegel: Die elektronische Signatur sorgt dafür, dass der Empfänger eindeutig feststellen kann, wer der Absender der E-Mail ist und ob der Inhalt auch gleichermaßen so ankommt, wie diese verschickt wurde.
Die elektronische Signatur ist somit nicht zu verwechseln mit der herkömmlichen E-Mail-Signatur, die normalerweise unter dem verfassten Text in der beruflichen Mail-Kommunikation zu sehen ist und die Kontaktinformationen des Absenders auflistet.

Die digitale Signatur: Was ist das?

Ist der Versender wirklich der, welcher er sagt zu sein? Kann es sein, dass die Inhalte der Mail auf dem Weg vom Absender zu Ihnen als Empfänger aufgehalten und manipuliert wurden? Mithilfe einer elektronischen Signatur sollen nur noch Mails im Posteingang landen, bei denen die Auskunft auf all diese Fragen „Ja“ ist.

Technisch gesehen handelt es sich bei der elektronischen Signatur, die auch digitale Signatur genannt wird, um eine Testat, das zusammen mit der eigentlichen E-Mail verschickt wird. Anhand des Zertifikats kann zum einen die Identifikation des Absenders zweifelsfrei geprüft werden und zusätzlich kann der Rezipient sicher sein, dass der Text auf dem Weg unberührt geblieben ist.

So erstellt man eine digitale Signatur

Will man eine E-Mail elektronisch unterzeichnen, hat man zwei Standards, welche sich bewährt haben: S/MIME und OpenPGP.
Die Verfahrensweisen funktionieren beide nach demselben Prinzip – nämlich auf Basis von Hashwerten verbunden mit einem Public-Private-Key-Verfahren – benützen aber verschiedene Datenformate. Bedeutsam für die Wahl eines Verfahrens ist die Unterstützung durch den zutreffenden Mail-Client, weil viele Softwarelösungen fördern entweder das eine oder das andere Verfahren, aber nicht alle beide gleichzeitig.

Bei einer digitalen Signatur dreht es sich um eine Form der asymmetrischen Verschlüsselung. Das bedeutet: Der Versender einer Mail verschickt zwei Schlüssel mit – einen privaten und einen öffentlichen. Entscheidend hierbei: Das Schlüsselpaar muss von einer offiziellen Zertifizierungsstelle verifiziert werden. Wird nun eine E-Mail versendet, passiert Jenes: Mittels Hashfunktion wird der Inhalt mit einer Prüfsumme ausgestattet, welche nochmals mit dem privaten Schlüssel verschlüsselt wird und der E-Mail-Nachricht angehangen wird. Trifft die E-Mail dann beim Rezipienten ein, wird anhand des Schlüssels die Prüfsumme entschlüsselt und obendrein erneut errechnet. Gleicht die frisch errechnete Prüfsumme der verschlüsselt mitgesendeten Prüfsumme, ist garantiert, dass der Text unberührt geblieben ist. Und der öffentliche Schlüssel? Der kann beispielsweise auch mit der E-Mail-Nachricht mitgeschickt werden oder muss ansonsten vom Rezipienten über ein öffentlich zugängliches Register eingeholt werden.

Einzelne Mail-Adressen, Teampostfächer oder Gateway: Unternehmensweite Lösungen

Viele Mail-Clients bieten jeweilige Konfigurationen für elektronische Signaturen an, die – einmal eingerichtet – alles im Background automatisiert durchführen. Wer jedoch über einen unternehmensweiten Gebrauch einer digitalen Signatur nachdenkt, sollte diese Signierung auch durch Gateway in Betracht ziehen, welches alle abgehenden E-Mails zentral signiert. Andernfalls ist der Aufwand hoch, da man für jeden einzelnen Angestellten ein dediziertes Zertifikat braucht und im Mail-Programm hinterlegt werden muss. Neben der vereinfachten Konfiguration und der zentralen Administration ist der Nutzen eines Gateways zudem, dass die Signaturprüfung eingehender E-Mails erfolgt, noch ehe sie sogar auf dem Mail-Server landen und dort eventuell Schaden anrichten können.

Aber Vorsicht: Obwohl Gateway-Zertifikate, die meist für alle E-Mail-Adressen unterhalb einer Webadresse sind, weltweit standardisiert sind, können einige Mail-Clients sie (noch?) nicht korrekt konvertieren und lösen entsprechend beim Rezipient Fehlermeldungen aus. Hier könnte es dagegen sinnvoller sein, nur einzelne Team-Postfächer wie buchhaltung@ oder etwa bewerbung@ zu zertifizieren – besonders eben jene Postfächer, die mit sensiblen Daten tätig sind.

Mails verschlüsseln & signieren: Für sicheren E-Mail-Verkehr

E-Mail-Verschlüsselung und die digitale Unterschrift sind zwei unterschiedliche Paar Schuhe – doch beide relevant. Die Signierung kommt ja wie gesagt einem Briefsiegel gleich – es ist deshalb garantiert, dass keiner auf dem Weg den Text verändert hat.

Gleichzeitig ist über die elektronische Signatur sichergestellt, dass der Versender auch jener ist, der dieser sagt zu sein. Trotzdem ist der Text, der im Brief steht, theoretisch auf dem Weg von mehreren einsichtlich – beispielsweise wenn man den verschlossenen Brief gegen das Licht hält. Um dies zu unterbinden, ist eine zusätzliche Verschlüsselung sinnig. Jene sorgt hierfür, dass der Brief quasi in einen blickdichten Umschlag gesteckt wird und niemand mehr mit Ausnahme von dem Versender und dem Rezipient den Text lesen kann.

Wo werden elektronische Signaturen eingesetzt?

Anfangs wurde die elektronische Signatur besonders in öffentlichen Verwaltungen angewandt und eher nicht so in der Privatwirtschaft. Aufgrund einer wachsenden Verbreitung im E-Commerce wird die Angelegenheit aber generell mehr für eine große Masse verfügbar und gewinnt an Präsenz und Bekanntheit. Immer mehr Unternehmen nutzen die elektronische Unterschrift zudem schon für bestimmte Use-Cases, etwa wenn Verträge elektronisch unterschrieben und verschickt werden.

Ausgangspunkt für den gegenwärtigen Stand der Technik bei der elektronischen Mail-Signatur ist im Übrigen die bezeichnete „Signaturrichtlinie“ der Europäischen Union. Diese regelt, welche Bedingungen erfüllt sein müssen, damit eine digitale Signatur vor Gericht als rechtswirksame Unterschrift anerkannt wird.

Kurz gesagt: Es muss garantiert werden können, dass der Unterzeichner auch wirklich der ist, der er vorgibt zu sein – es muss deshalb ein Urhebernachweis möglich sein. Außerdem muss gewährleistet werden können, dass das Schreiben nach dem Unterschreiben nicht verändert wurde – es muss daher ein Manipulationsnachweis gemacht werden können.

Nummer sicher: Die qualifizierte digitale Signatur

Abschließend sei noch gesagt, dass es nicht bloß eine, sondern gleich drei Formen elektronischer Mail-Signaturen gibt:

1) Die allgemeine (AES),

2) die fortgeschrittene (FES) und

3) die qualifizierte elektronische Signatur (QES).

Am sichersten ist die letztgenannte, die qualifizierte elektronische Signatur. Jene ist dann nötig und sinnvoll, wenn höchste Sicherheitsstandards gefordert sind. Sie ist dem Gesetz (§ 2 Nr. 3 SigG) zufolge ebenbürtig mit einer handschriftlich getätigten Unterschrift auf Papierblatt. Sie wird also für Dokumente und Verträge zur Unterzeichnung angewendet – für den normalen E-Mail-Austausch hingegen ist diese Art der Unterschrift zu viel des Guten, zumal sie den Einsatz spezieller Hardware, wie Chipkarten sowie dazugehörigen Lesegeräten, voraussetzt.

Sie wollen mehr zum Thema "Sicherheit im Mail-Verkehr" wissen oder benötigen Hilfe bei der Einrichtung? 

Nehmen Sie mit uns Kontakt auf, rufen Sie uns unter 0661 679289-0 an oder schreiben Sie 
KRAFT SYSTEMS unter info@KRAFT-SYSTEMS.de eine Nachricht.

Als IT Systemhaus mit 30 jähriger Erfahrung im Raum Fulda sind wir Ihr Ansprechpartner in Sachen IT.