E-Mail Zertifikate - In 4 Schritten zur verschlüsselten Kommunikation

veröffentlicht am 19. September 2016 in Sicherheit  .

Weil das Thema Datensicherheit ein Dauerbrenner ist, möchte ich Ihnen weitere Tipps geben, Ihr Unternehmen digital zu schützen. In vorangegangen Beiträgen habe ich Ihnen erklärt, wie Sie sich vor unsicheren E-Mail-Anhängen schützen und welche Maßnahmen Sie gegen Ransomeware ergreifen können. In diesem Artikel widme ich mich den E-Mail-Zertifikaten und Verschlüsselungen, welche Arten und Möglichkeiten es gibt, sowie den Gründen für Ihren Einsatz.

E-Mail-Verschlüsselung-Header.png

Abbildung: E-Mail Verschlüsselung in 4 Schritten| Design von TecArt & www.flaticon.com is licensed by CC 3.0 BY

Inhaltsverzeichnis

  1. Wozu brauche ich E-Mail Zertifikate und Verschlüsselungen?
  2. Welche E-Mail-Zertifikate gibt es?
  3. Wie funktioniert die Prüfung und Verschlüsselung?
  4. Wo bekomme ich E-Mail-Zertifikate?
  5. Fazit
  6. Zertifikat im TecArt System einrichten (Video Tutorial)
  7. Tipps für Nutzer des TecArt-Mail-Client

Wozu brauche ich E-Mail Zertifikate und Verschlüsselungen?

Als Mitarbeiter eines deutschen Softwareherstellers im Enterprise Cloud- und Serverbereich überrascht mich diese Frage immer wieder. Doch die Häufigkeit zeigt, dass es gar nicht so klar ist wie ich meine. An dieser Stelle komme ich gern mit einer Gegenfrage bevor ich antworte. Wozu braucht es eine Unterschrift , Absender und Briefumschlag bei der Post? Zugegeben ist dieser Vergleich etwas platt. Aber er macht die Problematik sehr anschaulich. Der Absender sowie die Unterschrift auf dem Brief geben dem Empfänger die Gewissheit, dass der Brief und sein Inhalt echt und wirklich für mich bestimmt sind. Gleiches Prinzip gilt beim E-Mail-Zertifikat. Das Zertifikat signiert die E-Mail, damit der Empfänger sich sicher sein kann, dass die Nachricht wirklich von dem Empfänger stammt für den er sich laut E-Mailadresse ausgibt. In Zeiten in denen mehr als 100 Millionen Spam-Mails am Tag versandt werden, hat jeder schoneinmal ein unseriöses Angebot von einem Freund erhalten.

Infografik: Spam & Phishing | Statista

Infografik: Spam & Phishing | Statista

Infografik: Spam-Weltmacht USA | Statista

Infografik: Spam-Weltmacht USA | Statista

Infografik: Jeder Dritte schon Opfer von Identitätsklau | Statista

Infografik: Jeder Dritte schon Opfer von Identitätsklau | Statista

Nach Rückfrage versichert dieser die Mail nicht gesandt zu haben. Im privaten Umfeld mag das vielleicht noch zu einem Schmunzler beitragen. Doch wenn Sie unternehmerisch tätig sind, können Sie davon ausgehen, dass Ihr Gegenüber nicht bei Ihnen nachfragt. Er wird Sie auf die Spam-Liste setzen. Geschieht dies mehrfach, wovon bei Spam-Mails auszugehen ist, landen Sie mit Ihrer E-Mail-Adresse auf einer Spamliste. Ärgerlich, dass von nun an immer weniger Ihrer E-Mails Ihren Empfänger erreichen. Genau davor schützen Zertifikate. Sie weisen die Echtheit des Absenders anhand des Signatur aus und versichern, dass der Inhalt nicht manipuliert wurde. Beim Postversandt schützt der Briefumschlag bzw. ein Briefsiegel, wie es noch im Mittelalter üblich war, den Inhalt vor Fremden.  Den selben Zweck erfüllt ebenfalls das E-Mail-Zertifikat. Sofern Sender und Empfänger gegenseitig Ihre E-Mail-Zertifikate vorher getauscht haben, ist die E-Mail von da an verschlüsselt und kann nur durch den Sender oder Empfänger entschlüsselt werden. Auch wenn ich nichts zu verbergen habe, geht es den Postboten oder meinen Mitbewohner nichts an, welchen Bausparvertrag ich abgeschlossen habe oder wie hoch mein Gehalt ist. Und genau das ermöglichen E-Mail-Zertifikate. Der Inhalt wird digitale geschützt, damit sie nur der Empfänger lesen kann.

Ich fasse nochmal die Gründe für E-Mail-Zertifikat und Verschlüsselung zusammen:

  • Der Mail-Inhalt wird nicht unbemerkt verändert.
  • Der Mail-Absender ist eindeutig identifizierbar und real existent.
  • Fremde (nicht Bestimmte) können den Mail-Inhalt nicht lesen.
  • Die Nachrichtenintegrität ist gewahrt, weil der Inhalt nicht geleugnet werden kann.

Welche E-Mail-Zertifikate gibt es?

Für die Zertifizierung und Verschlüsselung haben sich zwei Methoden international durchgesetzt. Zur Auswahl stehen Secure / Multipurpose Internet Mail Extensions - S/MIME - und Pretty Good Privacy" - PGP -. Aktuell versucht zwar das Fraunhofer Institut zusammen mit der Telekom für Deutschland die "Volksverschlüsselung" zu etablieren. Doch ist diese Methode aktuell zu jung, um Sie an dieser Stelle zu empfehlen. Grundsätzlich basiert die Volksverschlüsselung auf dem S/MIME Standard. Vor der Einrichtung eines E-Mail-Zertifikates steht die Wahl der Methode bzw. des Standard. Für welche Sie sich entscheiden, obliegt Ihnen bzw. Ihrem Nutzungsverhalten und Anwendungsszenario. Grundsätzlich erfüllen beide Methoden (S/MIME und PGP) die gleiche Aufgabe - Signieren und Verschlüsseln von E-Mails.

Secure / Multipurpose Internet Mail Extensions (S/MIME)

S/MIME sind in der Regel X.509 Zertifikate, die durch eine öffentliche CA-Zertifizierungsstelle ausgestellt werden. Die CA-Zertifizierungsstelle beglaubigt die Identität des Besitzers und bindet diese an seinen öffentlichen Schlüssel. Grundsätzlich lässt sich das Zertifikat leichter einrichten als PGP Zertifikate. Das liegt daran, dass nahezu alle gängigen E-Mail-Clients auf Windows, Mac und Linux diese Methode im Standard unterstützen. Auch für die mobile Nutzung in Android und iOS-Geräten kann S/MIME mit wenigen Klicks eingerichtet werden.

S/MIME Zertifikate werden in 3 verschiedene Klassen eingestuft.

  • Klasse 1: Die Zertifizierungsstelle sichert die Echtheit der E-Mail-Adresse. Diese Zertifikate sind zumeist kostenfrei erhältlich.
  • Klasse 2: Zur Echtheit der E-Mail-Adresse wird der zugehörige Name, Firma bzw. Organisation gesichert. Mithilfe von Drittanbietern und/oder Ausweiskopien werden die Angaben verifiziert.
  • Klasse 3: Der Besitzer von S/MIME Klasse 3 muss sich persönlich mit Ausweiskopie bei der Zertifikatsstelle registrieren lassen.

Pretty Good Privacy (PGP)

Das Prinzip der PGP Zertifikate ist ursprünglich von Phil Zimmermann in seiner Studentenzeit entwickelt worden. Dabei wird mit Hilfe einer separaten Software das Zertifikat selbst erstellt. Dieses wird dann durch andere Nutzer als vertrauenswürdig eingestuft und signiert. Hierbei spricht man vom "Netz des Vertrauens". Damit E-Mails mit PGP Zertifikaten entschlüsselt werden können, muss die separate Software ebenfalls auf dem Rechner des Empfängers installiert sein. Das Zertifikat erlaubt aber im Gegensatz zu S/MIME eine getrennte Verschlüsselung von E-Mail und Dateianhängen.

Wie funktioniert die Prüfung und Verschlüsselung?

S/MIME und PGP verschlüsseln und signieren nach dem Public-Key/Private-Key-Prinzip - hybriden Verschlüsselung. Für das Signieren von E-Mails müssen für S/MIME und PGP je Nutzer und E-Mailadresse ein Schlüsselpaar, bestehend aus öffentlichen und privaten Schlüssel vorliegen. Der öffentliche Schlüssel wird zusammen mit der E-Mail versandt, bzw. online vom Empfänger abgerufen, während der private Schlüssel beim Absender verbleibt.

So funktioniert die Identitätsprüfung!

Der Mail-Client des Absenders erzeugt anhand des Inhaltes eine Prüfsumme. Die Summe wird mit Hilfe des privaten Schlüssels verschlüsselt und als Ergebnis an die E-Mail gehangen. Wenn der Empfänger die E-Mail abruft wird der öffentliche Schlüssel aus dem öffentlichen Verzeichnis geladen oder ist in der E-Mail enthalten. Der öffentliche Schlüssel entschlüsselt nun die Prüfsumme. Dies gelingt aber nur wenn der öffentliche Schlüssel zum privaten Schlüssel passt. So wird die Identität des Absenders geprüft.

Danach erzeugt der Mail-Client des Empfängers ebenfalls eine Prüfsumme aus dem Inhalt. Das Mailprogramm des Empfängers entschlüsselt die Prüfsumme, errechnet diese selbst noch einmal und vergleicht die Ergebnisse. Stimmen sie überein, wurde die Nachricht mit dem geheimen Schlüssel, der zum mitgeschickten öffentlichen gehört, signiert und seither nicht verändert.

So funktioniert die Verschlüsselung!

Funktion von E-Mail Zertifikaten: Schritt 1 von 4

Schritt 1 von 4: Sender und Empfänger tauschen E-Mail Zertifikat inkl. ihrer öffentlichen Schlüssel aus

Funktion von E-Mail Zertifikaten: Schritt 2 von 4

Schritt 2 von 4: Sender verschlüsselt die E-Mail mit seinem und dem öffentlichen Schlüssel des Empfängers

Funktion von E-Mail Zertifikaten: Schritt 3 von 4

Schritt 3 von 4: Empfänger überprüft die E-Mail auf Echtheit mit öffentlichen Schlüssel des Senders

Funktion von E-Mail Zertifikaten: Schritt 4 von 4

Schritt 4 von 4: Empfänger entschlüsselt E-Mail mit seinem privaten Schlüssel

Für das Verschlüsseln von E-Mails müssen zuvor die öffentlichen Schlüssel der Kommunikationspartner ausgetauscht sein. Das bedeutet, E-Mail Absender und Empfänger haben sich jeweils schon eine E-Mail mit dem Zertifikat gesendet. Um E-Mails zu verschlüsseln wird jetzt nicht der private Schlüssel genutzt, sondern der öffentliche Schlüssel des Empfängers. Damit wird ebenfalls die Prüfsumme erstellt, welche nur mit dem privaten Schlüssel des Empfängers entschlüsselt werden kann. Die Identität ist aufgrund des vorangegangen E-Mailaustausches schon gewährleistet.

Wo bekomme ich E-Mail-Zertifikate?

PGP Zertifikate für folgende E-Mail-Clients.

Für PGP Zertifikate muss sich die entsprechende Software herunter geladen werden. Je nach Mail-Client gibt es eine andere Software. Im Netz befinden sich sehr viele gute Anleitungen dafür. Bis auf die Anleitung für Android habe ich alle in deutsch gefunden. Nutzer die Ihre E-Mails über Webmail aufrufen empfehle ich grundsätzlich auf eine Mail-Client zu welchseln. Falls dies nicht möglich ist, gibt es auch hierfür eine Lösung.

  • Thunderbird
  • Apple Mail
  • Android
  • Webmail-Nutzer - Mailvelope
  • WebPG ist meine persönliche Empfehlung für den Zugriff über den Browser. Der größte vorteil ist, dass die sicheren privaten schluessel nicht im unsicheren browser gespeichert werden, sondern in einem separaten PGP Client.
  • Outlook
  • IOS

Beantragen von S/MIME Zertifikaten für folgende E-Mail-Clients.

Für die Methode S/MIME gibt es verschiedene Stellen, um kostenlose und kostenpflichtige Zertifikate anzufordern. Nicht jeder Stelle ist in der Lage alle 3 Klassen auszustellen. Im privaten sowie normalen Unternehmensumfeld reicht aber ein Klasse 1 Zertifikat aus. - Comodo - kostenfrei

E-Mail Verschlüsselung im TecArt System einrichten

Das folgende Video zeigt, wie Sie schnell und einfach Ihr E-Mail Zertifikat im TecArt Business- und -CRM-System einrichten, um sicher und verschlüsselt kommunizieren zu können.

Fazit

E-Mail Zertifikate und Verschlüsselung sind keine Hexenwerk. Besonders der tägliche Umgang mit E-Mails und die überraschende Anzahl an nicht signierten E-Mails haben mich bewogen, mit diesem kurzen Artikel die Hemmungen vor dem Einsatz von E-Mail-Zertifikaten zu nehmen. Zur Ihrer eigenen Sicherheit sollten Sie sich die 10 Minuten Zeit nehmen und Ihr E-Mail-Zertifikat einrichten. Wie schnell ist mal ein Passwort, ein PIN oder eine E-Mail mit dem Link zum Passwort zurück setzen versendet. Ärgerlich wenn diese E-Mail von jemand anderem gelesen oder gar manipuliert würde.

Tipps für Nutzer des TecArt-Mail-Client

Unser E-Mail-Client ist für die Nutzung von S/MIME Zertifikaten vorgesehen. In unserem Handbuch finden Sie eine ausführliche Anleitung, wie Sie Ihr Zertifikat in der CRM- und Business Software integrieren.


Wie gut hat Ihnen mein Artikel gefallen? Geben Sie mir bitte Ihre Sterne!
Vielen Dank, .

Bewerten Sie den Artikel.

Bewertung:
4,7 von 5 Punkten, basierend auf 9 abgegebenen Stimme(n).





Sagen Sie es weiter!





Mehr Erfolg im Vertrieb

TecArt® CRM Software Infopaper

Whitepaper CRM Info Cover
Whitepaper CRM Info Seite 5
Whitepaper CRM Info Seite 7

Unser kostenloses Infopaper zeigt Ihnen:

  1. Erfolgsfaktoren bei der Software-Auswahl für Vertrieb & Marketing:
  2. Tipps & Tricks von TecArt-Kunden (Vertriebsgesellschaften & Dienstleister)?
  3. Preise, Funktionsübersicht und Leistungen von TecArt?
     

     




Kommentare

  •  Stefan Bühner 31.05.2018 11:45

    Sehr geehrter Autor, sind Sie sicher das die Bildunterschrift zu dem Bild https://blog-static.tecart.de/content/1-blog/20160919-e-mail-verschluesselung-in-4-schritten-erklaert/e-mail-zertifikat-schritt-2-4.png passt? Dort steht: Sender verschlüsselt die E-Mail mit seinem privaten und dem öffentlichen Schlüssel des Empfängers. Wenn der Sender mit seinem privaten Schlüssel verschlüsselt, dürfte es dem Empfänger schwer fallen, zu entschlüsseln. Im Text steht es übrigens korrekt. Möglicherweise meinen Sie der Sende "unterschreibt/signiert" mit seinem privaten Schlüssel. Gruß, Stefan Bühner

  •  Frank Panser 04.06.2018 06:45

    Hallo Herr Bühner, Sie haben völlig recht. Der Sender verschlüsselt die E-Mail mit seinem öffentlichen sowie dem öffentlichen Schlüssel des Empfängers. Der private Schlüssel dient zum entschlüsseln. Die Bilderunterschriften habe ich soeben angepasst. Danke schön!

  •  Stefan Bühner 04.06.2018 01:30

    Sehr geehrter Herr Panser, ich meine, dass es auch so wie es jetzt beschrieben ist nicht funktioniert. Wenn der Sender die Email mit seinem öffentlichen Schlüssel verschlüsselt, kann der Empfänger die Mail nicht entschlüsseln, da der Empfänger ja den privaten Schlüssel des Senders nicht hat. Und nur mit dem privaten Schlüssel kann entschlüsselt werden. Das einzige was der Sender tun kann und sollte ist, mit seinem Schlüssel zu unterschreiben. Damit ermöglicht er es dem Empfänger festzustellen, ob die Mail während der Übetragung verändert/kompromitiert wurde. Weiterhin kann der Empfänger den Absender authentifizieren. Gruß, Stefan Bühner

  •  Frank Panser 08.06.2018 01:00

    Sehr geehrter Herr Bühner, ich habe mich eben auch nochmal mit unserem Administrator besprochen. Die Bildunterschriften stimmen soweit. Die Verschlüsselung beim Senden wird mit dem öffentlichen Schlüssel des Senders und dem öffentlichen Schlüssel des Empfängers verschlüsselt. Der öffentliche Schlüssel des Empfängers liegt aufgrund des ersten E-Mail-Austausches vor. Die Entschlüsselung beim Empfänger passiert mit seinem privaten und seinem öffentlichen Schlüssel. Beste Grüße, Frank Panser.

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht.

Autoreninfo

Frank Panser

Als leidenschaftlicher Growth Hacker beschäftige ich mich bei TecArt mit den unzähligen Möglichkeiten die Bedürfnisse unserer Zielgruppe zu identifizieren und für unsere Kunden nutzbar zu machen. Dabei habe ich nur ein Ziel: Die Antwort schon vor der Frage zu kennen.

Nutzen Sie unser Experten-Wissen

Kostenfreie Business Webinare, damit Ihr Unternehmen Wettbewerbsvorteile nutzt und weiter ausbaut.

Laptop mit TecArt Webinar Screen

Die Webinare sind auf spezielle Unternehmensszenarien zugeschnitten und basieren auf erfolgreichen Kundenprojekten. Anhand der TecArt Software zeigen wir Ihnen in einer Live-Präsentation, wie Sie Prozesse, Abläufe und Ihre tägliche Arbeit schneller und kostengünstiger erledigen.

 

CRM für Linux

Technische Daten für Administratoren der TecArt Software

CRM-Infopaper für Admins Cover

 

Screenshot vom TecArt CRM Framework

Developer Webinar

Eigene CRM Module, Automatismen und Funktionen erstellen