Tecart BG dunkel

E-Mail Zertifikate - In 4 Schritten zur verschlüsselten Kommunikation

Weil das Thema Datensicherheit ein Dauerbrenner ist, möchte ich Ihnen weitere Tipps geben, Ihr Unternehmen digital zu schützen. In vorangegangen Beiträgen habe ich Ihnen erklärt, wie Sie sich vor unsicheren E-Mail-Anhängen schützen und welche Maßnahmen Sie gegen Ransomeware ergreifen können. In diesem Artikel widme ich mich den E-Mail-Zertifikaten und Verschlüsselungen, welche Arten und Möglichkeiten es gibt, sowie den Gründen für Ihren Einsatz.

E-Mail-Verschlsselung-Header Abbildung: E-Mail Verschlüsselung in 4 Schritten| Design von TecArt & www.flaticon.com is licensed by CC 3.0 BY

Inhaltsverzeichnis

  1. Wozu brauche ich E-Mail Zertifikate und Verschlüsselungen?
  2. Welche E-Mail-Zertifikate gibt es?
  3. Wie funktioniert die Prüfung und Verschlüsselung?
  4. Wo bekomme ich E-Mail-Zertifikate?
  5. Fazit
  6. Zertifikat im TecArt System einrichten (Video Tutorial)
  7. Tipps für Nutzer des TecArt-Mail-Client

Wozu brauche ich E-Mail Zertifikate und Verschlüsselungen?

Als Mitarbeiter eines deutschen Softwareherstellers im Enterprise Cloud- und Serverbereich überrascht mich diese Frage immer wieder. Doch die Häufigkeit zeigt, dass es gar nicht so klar ist wie ich meine. An dieser Stelle komme ich gern mit einer Gegenfrage bevor ich antworte. Wozu braucht es eine Unterschrift , Absender und Briefumschlag bei der Post? Zugegeben ist dieser Vergleich etwas platt. Aber er macht die Problematik sehr anschaulich. Der Absender sowie die Unterschrift auf dem Brief geben dem Empfänger die Gewissheit, dass der Brief und sein Inhalt echt und wirklich für mich bestimmt sind. Gleiches Prinzip gilt beim E-Mail-Zertifikat. Das Zertifikat signiert die E-Mail, damit der Empfänger sich sicher sein kann, dass die Nachricht wirklich von dem Empfänger stammt für den er sich laut E-Mailadresse ausgibt. In Zeiten in denen mehr als 100 Millionen Spam-Mails am Tag versandt werden, hat jeder schoneinmal ein unseriöses Angebot von einem Freund erhalten.

infografik3211datenzumthemaspamundphishingn Infografik: Spam & Phishing | Statista

infografik2553dietop10derspamversendern Infografik: Spam-Weltmacht USA | Statista

infografik7192opfervonidentitaetsdiebstahliminternetn Infografik: Jeder Dritte schon Opfer von Identitätsklau | Statista

Nach Rückfrage versichert dieser die Mail nicht gesandt zu haben. Im privaten Umfeld mag das vielleicht noch zu einem Schmunzler beitragen. Doch wenn Sie unternehmerisch tätig sind, können Sie davon ausgehen, dass Ihr Gegenüber nicht bei Ihnen nachfragt. Er wird Sie auf die Spam-Liste setzen. Geschieht dies mehrfach, wovon bei Spam-Mails auszugehen ist, landen Sie mit Ihrer E-Mail-Adresse auf einer Spamliste. Ärgerlich, dass von nun an immer weniger Ihrer E-Mails Ihren Empfänger erreichen. Genau davor schützen Zertifikate. Sie weisen die Echtheit des Absenders anhand des Signatur aus und versichern, dass der Inhalt nicht manipuliert wurde. Beim Postversandt schützt der Briefumschlag bzw. ein Briefsiegel, wie es noch im Mittelalter üblich war, den Inhalt vor Fremden.  Den selben Zweck erfüllt ebenfalls das E-Mail-Zertifikat. Sofern Sender und Empfänger gegenseitig Ihre E-Mail-Zertifikate vorher getauscht haben, ist die E-Mail von da an verschlüsselt und kann nur durch den Sender oder Empfänger entschlüsselt werden. Auch wenn ich nichts zu verbergen habe, geht es den Postboten oder meinen Mitbewohner nichts an, welchen Bausparvertrag ich abgeschlossen habe oder wie hoch mein Gehalt ist. Und genau das ermöglichen E-Mail-Zertifikate. Der Inhalt wird digitale geschützt, damit sie nur der Empfänger lesen kann.

Ich fasse nochmal die Gründe für E-Mail-Zertifikat und Verschlüsselung zusammen:

  • Der Mail-Inhalt wird nicht unbemerkt verändert.
  • Der Mail-Absender ist eindeutig identifizierbar und real existent.
  • Fremde (nicht Bestimmte) können den Mail-Inhalt nicht lesen.
  • Die Nachrichtenintegrität ist gewahrt, weil der Inhalt nicht geleugnet werden kann.

Welche E-Mail-Zertifikate gibt es?

Für die Zertifizierung und Verschlüsselung haben sich zwei Methoden international durchgesetzt. Zur Auswahl stehen Secure / Multipurpose Internet Mail Extensions - S/MIME -  und Pretty Good Privacy" - PGP - . Aktuell versucht zwar das Fraunhofer Institut zusammen mit der Telekom für Deutschland die "Volksverschlüsselung" zu etablieren. Doch ist diese Methode aktuell zu jung, um Sie an dieser Stelle zu empfehlen. Grundsätzlich basiert die Volksverschlüsselung auf dem S/MIME Standard . Vor der Einrichtung eines E-Mail-Zertifikates steht die Wahl der Methode bzw. des Standard. Für welche Sie sich entscheiden, obliegt Ihnen bzw. Ihrem Nutzungsverhalten und Anwendungsszenario. Grundsätzlich erfüllen beide Methoden (S/MIME und PGP) die gleiche Aufgabe - Signieren und Verschlüsseln von E-Mails.

Secure / Multipurpose Internet Mail Extensions (S/MIME)

S/MIME sind in der Regel X.509 Zertifikate, die durch eine öffentliche CA-Zertifizierungsstelle  ausgestellt werden. Die CA-Zertifizierungsstelle beglaubigt die Identität des Besitzers und bindet diese an seinen öffentlichen Schlüssel. Grundsätzlich lässt sich das Zertifikat leichter einrichten als PGP Zertifikate. Das liegt daran, dass nahezu alle gängigen E-Mail-Clients auf Windows, Mac und Linux diese Methode im Standard unterstützen. Auch für die mobile Nutzung in Android und iOS-Geräten kann S/MIME mit wenigen Klicks eingerichtet werden.

S/MIME Zertifikate werden in 3 verschiedene Klassen eingestuft.

  • Klasse 1: Die Zertifizierungsstelle  sichert die Echtheit der E-Mail-Adresse. Diese Zertifikate sind zumeist kostenfrei erhältlich.
  • Klasse 2: Zur Echtheit der E-Mail-Adresse wird der zugehörige Name, Firma bzw. Organisation gesichert. Mithilfe von Drittanbietern und/oder Ausweiskopien werden die Angaben verifiziert.
  • Klasse 3: Der Besitzer von S/MIME Klasse 3 muss sich persönlich mit Ausweiskopie bei der Zertifikatsstelle registrieren lassen.

Pretty Good Privacy (PGP)

Das Prinzip der PGP Zertifikate ist ursprünglich von Phil Zimmermann in seiner Studentenzeit entwickelt worden. Dabei wird mit Hilfe einer separaten Software das Zertifikat selbst erstellt. Dieses wird dann durch andere Nutzer als vertrauenswürdig eingestuft und signiert. Hierbei spricht man vom "Netz des Vertrauens". Damit E-Mails mit PGP Zertifikaten entschlüsselt werden können, muss die separate Software ebenfalls auf dem Rechner des Empfängers installiert sein. Das Zertifikat erlaubt aber im Gegensatz zu S/MIME eine getrennte Verschlüsselung von E-Mail und Dateianhängen.

Wie funktioniert die Prüfung und Verschlüsselung?

S/MIME und PGP verschlüsseln und signieren nach dem Public-Key/Private-Key-Prinzip - hybriden Verschlüsselung.  Für das Signieren von E-Mails müssen für S/MIME und PGP je Nutzer und E-Mailadresse ein Schlüsselpaar, bestehend aus öffentlichen und privaten Schlüssel vorliegen. Der öffentliche Schlüssel wird zusammen mit der E-Mail versandt, bzw. online vom Empfänger abgerufen, während der private Schlüssel beim Absender verbleibt.

So funktioniert die Identitätsprüfung!

Der Mail-Client des Absenders erzeugt anhand des Inhaltes eine Prüfsumme. Die Summe wird mit Hilfe des privaten Schlüssels verschlüsselt und als Ergebnis an die E-Mail gehangen. Wenn der Empfänger die E-Mail abruft wird der öffentliche Schlüssel aus dem öffentlichen Verzeichnis geladen oder ist in der E-Mail enthalten. Der öffentliche Schlüssel entschlüsselt nun die Prüfsumme. Dies gelingt aber nur wenn der öffentliche Schlüssel zum privaten Schlüssel passt. So wird die Identität des Absenders geprüft.

Danach erzeugt der Mail-Client des Empfängers ebenfalls eine Prüfsumme aus dem Inhalt. Das Mailprogramm des Empfängers entschlüsselt die Prüfsumme, errechnet diese selbst noch einmal und vergleicht die Ergebnisse. Stimmen sie überein, wurde die Nachricht mit dem geheimen Schlüssel, der zum mitgeschickten öffentlichen gehört, signiert und seither nicht verändert.

So funktioniert die Verschlüsselung!

e-mail-zertifikat-schritt-1-4 Schritt 1 von 4: Sender und Empfänger tauschen E-Mail Zertifikat inkl. ihrer öffentlichen Schlüssel aus

e-mail-zertifikat-schritt-2-4 Schritt 2 von 4: Sender verschlüsselt die E-Mail mit seinem und dem öffentlichen Schlüssel des Empfängers

e-mail-zertifikat-schritt-3-4 Schritt 3 von 4: Empfänger überprüft die E-Mail auf Echtheit mit öffentlichen Schlüssel des Senders

e-mail-zertifikat-schritt-4-4 Schritt 4 von 4: Empfänger entschlüsselt E-Mail mit seinem privaten Schlüssel

Für das Verschlüsseln von E-Mails müssen zuvor die öffentlichen Schlüssel der Kommunikationspartner ausgetauscht sein. Das bedeutet, E-Mail Absender und Empfänger haben sich jeweils schon eine E-Mail mit dem Zertifikat gesendet. Um E-Mails zu verschlüsseln wird jetzt nicht der private Schlüssel genutzt, sondern der öffentliche Schlüssel des Empfängers. Damit wird ebenfalls die Prüfsumme erstellt, welche nur mit dem privaten Schlüssel des Empfängers entschlüsselt werden kann. Die Identität ist aufgrund des vorangegangen E-Mailaustausches schon gewährleistet.

Wo bekomme ich E-Mail-Zertifikate?

PGP Zertifikate für folgende E-Mail-Clients.

Für PGP Zertifikate muss sich die entsprechende Software herunter geladen werden. Je nach Mail-Client gibt es eine andere Software. Im Netz befinden sich sehr viele gute Anleitungen dafür. Bis auf die Anleitung für Android habe ich alle in deutsch gefunden. Nutzer die Ihre E-Mails über Webmail aufrufen empfehle ich grundsätzlich auf eine Mail-Client zu welchseln. Falls dies nicht möglich ist, gibt es auch hierfür eine Lösung.

  • Thunderbird
  • Apple Mail
  • Android
  • Webmail-Nutzer - Mailvelope
  • WebPG ist meine persönliche Empfehlung für den Zugriff über den Browser. Der größte vorteil ist, dass die sicheren privaten schluessel nicht im unsicheren browser gespeichert werden, sondern in einem separaten PGP Client.
  • Outlook
  • IOS

Beantragen von S/MIME Zertifikaten für folgende E-Mail-Clients.

Für die Methode S/MIME gibt es verschiedene Stellen, um kostenlose und kostenpflichtige Zertifikate anzufordern. Nicht jeder Stelle ist in der Lage alle 3 Klassen auszustellen. Im privaten sowie normalen Unternehmensumfeld reicht aber ein Klasse 1 Zertifikat aus. - Comodo - kostenfrei

Fazit

E-Mail Zertifikate und Verschlüsselung sind keine Hexenwerk. Besonders der tägliche Umgang mit E-Mails und die überraschende Anzahl an nicht signierten E-Mails haben mich bewogen, mit diesem kurzen Artikel die Hemmungen vor dem Einsatz von E-Mail-Zertifikaten zu nehmen. Zur Ihrer eigenen Sicherheit sollten Sie sich die 10 Minuten Zeit nehmen und Ihr E-Mail-Zertifikat einrichten. Wie schnell ist mal ein Passwort, ein PIN oder eine E-Mail mit dem Link zum Passwort zurück setzen versendet. Ärgerlich wenn diese E-Mail von jemand anderem gelesen oder gar manipuliert würde.

Tipps für Nutzer des TecArt-Mail-Client

Unser E-Mail-Client ist für die Nutzung von S/MIME Zertifikaten vorgesehen. In unserem Handbuch finden Sie eine ausführliche Anleitung , wie Sie Ihr Zertifikat in der CRM- und Business Software integrieren.