Die elektronische Mail-Signatur: Wozu sie dient & wer sie braucht
Phishing-Mails werden ständig ausgereifter: Als Nichtfachmann sind die Mails, die da vorgeblich von PayPal, der Sparkasse & Co. im Posteingang landen, von echten Mails oft kaum mehr zu differenzieren. Gleichzeitig landen im Postausgang jeder Firma jeden Tag vertrauliche Unterlagen und Auskünfte, die per E-Mail versendet werden – was soll schon schiefgehen? Im Arbeitsalltag denkt man nicht viel darüber nach, dass all diese Informationen nach dem Absenden ebenfalls in unsachgemäße Hände geraten können.
Mit anderen Worten: Unsere elektronischen Nachrichten sind nicht (mehr) behütet. Denn neben dem Phishing gibt es natürlich auch noch etliche andere Methoden von Hackern, an vertrauliche Daten wie Passwörter, Kreditkarten-Daten oder Zugänge zu firmeninternen Cloud-Speichersystemen zu kommen.
Eine Option zur Lösung jenes Problems ist die elektronische E-Mail-Signatur. Hierbei dreht es sich um so etwas wie einen Briefsiegel: Die elektronische Signatur sorgt dafür, dass der Rezipient klar feststellen kann, wer der Versender der Mail ist und ob der Gehalt auch gleichermaßen so ankommt, wie er verschickt wurde. Die elektronische Signatur ist somit nicht zu verwechseln mit der herkömmlichen E-Mail-Signatur, die für gewöhnlich unter dem geschriebenen Text in der geschäftlichen Mail-Kommunikation zu sehen ist und dort die Kontaktdaten des Absenders auflistet.
Die elektronische Signatur: Der Briefsiegel der E-Mail
Ist der Absender wirklich der, der er sagt zu sein? Kann ausgeschlossen werden, dass die Inhalte der E-Mail-Nachricht auf der Strecke vom Absender zu Ihnen als Empfänger aufgehalten und manipuliert wurden? Mithilfe einer elektronischen Signatur sollen nur noch E-Mails im Posteingang landen, bei welchen die Antwort auf all diese Unklarheiten „Ja“ lautet.
Technisch betrachtet geht es bei der elektronischen Signatur, die auch digitale Signatur genannt wird, um ein Zertifikat, das zusammen mit der normalen E-Mail verschickt wird. Mithilfe des Zertifikats kann zum einen die Identifikation des Absenders zweifelsfrei geprüft werden und zum anderen kann der Empfänger sicher sein, dass der Inhalt auf dem Weg unberührt geblieben ist.
Elektronische Signierung von E-Mail: So funktioniert es
Will man eine E-Mail elektronisch unterzeichnen, gibt es zwei Standards, die sich etabliert haben: S/MIME und OpenPGP. Die Verfahrensweisen agieren beide nach demselben Konzept – nämlich auf Basis von Hashwerten gepaart mit einem Public-Private-Key-Verfahren – verwenden aber verschiedene Datenformate. Entscheidend für die Auswahl einer Methode ist die Unterstützung durch den eigenen Mail-Client, weil viele Softwarelösungen fördern entweder das eine oder das andere Verfahren, aber nicht alle beide zeitgleich.
Bei einer digitalen Unterschrift dreht es sich um eine Form der asymmetrischen Verschlüsselung. Das bedeutet: Der Versender einer Mail verschickt zwei Schlüssel mit – einen privaten sowie einen öffentlichen. Entscheidend dabei: Das Schlüsselpaar muss von einer förmlichen Zertifizierungsstelle verifiziert werden. Wird dann eine E-Mail verschickt, passiert Folgendes: Mittels Hashfunktion wird der Text mit einer Prüfsumme versehen, welche wiederum mit dem nicht-öffentlichen Schlüssel gesichert wird und der E-Mail-Nachricht angehangen wird. Trifft die Mail nun beim Empfänger ein, wird mithilfe des Schlüssels die Prüfsumme entschlüsselt und obendrein nochmals errechnet. Entspricht die neu errechnete Prüfsumme der verschlüsselt mitgesendeten Prüfsumme, sei garantiert, dass der Text unberührt geblieben ist. Und der öffentliche Schlüssel? Der darf beispielsweise auch mit der Mail mitgesendet werden oder muss alternativ vom Rezipienten über ein öffentlich zugängliches Verzeichnis bezogen werden.
Sichere deine E-Mails mit unternehmensweiten Signaturen
Einige Mail-Clients bieten jeweilige Konfigurationen für elektronische Signaturen an, welche – einmalig etabliert – all das im Background automatisiert erledigen. Wer jedoch über einen unternehmensweiten Gebrauch einer digitalen Signatur nachdenkt, sollte diese Signierung auch mittels Gateway in Erwägung ziehen, welches alle ausgehenden Mails zentral signiert. Ansonsten ist der Aufwand äußerst hoch, weil man für jeden einzelnen Angestellten ein dediziertes Zertifikat benötigt und im Mail-Programm eingetragen werden muss. Außer der vereinfachten Anpassung und der zentralen Administration ist der Vorteil eines Gateways ferner, dass die Signaturprüfung ankommender E-Mails geschieht, noch ehe sie überhaupt auf dem Mail-Server landen und dort eventuell Schaden verursachen können.
Aber Vorsicht: Obzwar Gateway-Zertifikate, welche in der Regel für alle E-Mail-Adressen unterhalb einer Domain gelten, weltweit standardisiert sind, könnten manche Mail-Clients sie (noch?) nicht korrekt konvertieren und lösen daher beim Rezipient Fehlermeldungen aus. Hier könnte es stattdessen sinnvoller sein, lediglich bestimmte Team-Postfächer wie buchhaltung@ oder bewerbung@ zu zertifizieren – besonders eben die Postfächer, die mit vertraulichen Daten tätig sind.
Mail-Verschlüsselung vs. Digitale Mail-Signatur
E-Mail-Verschlüsselung und die digitale Unterschrift sind zwei unterschiedliche Paar Schuhe – aber beide wichtig. Die Signierung kommt nämlich wie gesagt einem Briefsiegel gleich – es ist deshalb sichergestellt, dass niemand unterwegs den Inhalt verändert hat. Gleichzeitig ist durch die elektronische Signatur gewährleistet, dass der Versender auch der ist, der dieser vorgibt zu sein.
Dennoch ist der Text, der im Brief steht, in der Theorie unterwegs von mehreren einsichtlich – beispielsweise indem man den versiegelten Schrieb gegen das Licht hält. Mit dem Ziel dies zu verhindern, ist eine zusätzliche Verschlüsselung sinnvoll. Diese sorgt dafür, dass der Brief gewissermaßen in einen blickdichten Briefumschlag gepackt wird und keiner mehr mit Ausnahme von dem Versender und dem Rezipient den Inhalt lesen kann.
Für wen sind digitale Signaturen sinnvoll?
Anfangs wurde die elektronische Signatur vor allem in öffentlichen Verwaltungen eingesetzt und eher weniger in der Privatwirtschaft. Dank einer wachsenden Ausbreitung im E-Commerce wird das Thema aber immer stärker für die große Masse verfügbar und gewinnt an Präsenz und Bekanntheit. Immer mehr Unternehmen verwenden die elektronische Unterschrift auch schon für einzelne Use-Cases, beispielsweise wenn Verträge elektronisch unterschrieben und verschickt werden.
Ausgangspunkt für den gegenwärtigen Status der Technik bei der elektronischen Mail-Signatur ist übrigens die sogenannte „Signaturrichtlinie“ der Europäischen Union. Diese regelt, welche Anforderungen eingehalten sein müssen, dass eine digitale Signatur vor Gericht als rechtswirksame Unterschrift anerkannt wird. Kurzform: Es muss garantiert werden können, dass der Unterzeichner auch wirklich jener ist, der er sagt zu sein – es muss deshalb ein Urhebernachweis möglich sein. Außerdem muss sichergestellt werden können, dass das Dokument nach dem Unterzeichnen nicht verändert wurde – es muss also ein Manipulationsnachweis gemacht werden können.
Supersicher: Die qualifizierte elektronische Signatur
Als letzten Punkt sei noch erwähnt, dass es nicht nur eine, sondern gleich drei Arten elektronischer Mail-Signaturen gibt: 1) Die allgemeine (AES), 2) die fortgeschrittene (FES) und 3) die qualifizierte elektronische Signatur (QES). Am hochwertigsten ist die letztgenannte, die qualifizierte elektronische Signatur. Jene ist dann notwendig und sinnig, wenn allerhöchste Sicherheitsstandards gefordert sind. Sie ist dem Gesetz (§ 2 Nr. 3 SigG) entsprechend gleichgestellt mit einer handschriftlich getätigten Unterschrift auf Papier. Sie wird demnach für Dokumente sowie Verträge zur Unterzeichnung eingesetzt – für den gewöhnlichen E-Mail-Austausch hingegen ist diese Form der Unterschrift zu viel des Guten, zumal sie den Einsatz spezieller Hardware, beispielsweise Chipkarten und passenden Lesegeräten, voraussetzt.
Sie wollen mehr zum Thema E-Mail Security wissen oder suchen nach einer passenden Security Lösung. Sprechen Sie uns gerne an!
Sie erreichen unsere Spezialisten telefonisch unter: +49 221 7880 59-200 oder per Mail unter beratung@coretress.de