Sehr geehrte Leserinnen und Leser,

wussten Sie, dass sämtliche unserer E-Mails im Grunde von jedem abgefangen und mitgelesen werden können? Um das zu verhindern, gibt es schon seit längerer Zeit die E-Mail-Verschlüsselung, die inzwischen weit verbreitet ist. Aber die Verschlüsselung stellt nicht sicher, dass der Absender auch der ist, der er vorgibt zu sein. So steigt seit geraumer Zeit die Anzahl sogenannter Phishing-Mails immer weiter an, bei denen der Absender vorgibt, zur Sparkasse, zu Dropbox oder anderen großen Anbietern zu gehören, um Vertrauen beim Empfänger zu wecken. In diesen Mails sind Links versteckt, anhand derer die Hacker, die solche Mails in Wahrheit versenden, Daten abgreifen können: Logins zu Banken, Passwörter, Zugänge zu Online-Speichersystemen und vieles mehr. Wie können wir uns davor schützen? Nun, die elektronische E-Mail-Signatur ist eine mögliche Lösung. Wurde sie in der Vergangenheit hauptsächlich von Verwaltungen eingesetzt, findet sie inzwischen immer mehr auch Einzug in die Wirtschaft. Die elektronische Mail-Signatur ist eine Art Briefsiegel: Sie stellt sicher, dass der Absender auch wirklich der Absender ist und dass der Inhalt auf dem Weg nicht manipuliert wurde. Die Technik ist also eine tolle Lösung, um unsere gesamte E-Mail-Kommunikation sicherer zu machen.Sie haben Ihre Mails noch nicht digital signiert? Worauf warten Sie noch!?

Was ist eigentlich eine digitale E-Mail-Signatur?

Phishing-Mails werden immer ausgereifter: Als Nichtfachmann sind diese Nachrichten, die da angeblich von PayPal, der Sparkasse & Co. im Posteingang landen, von echten Nachrichten oft schwerlich zu differenzieren. Gleichzeitig landen im Postausgang jeder Firma jeden Tag vertrauliche Dokumente und Informationen, die via E-Mail versendet werden – was soll schon schieflaufen? Im Businessalltag denkt man nicht viel darüber nach, dass all die Informationen nach dem Absenden ebenfalls in unsachgemäße Hände kommen können.

Anders gesagt: Unsere elektronischen Nachrichten sind nicht (mehr) sicher. Denn neben dem Phishing gibt es natürlich auch noch zig weitere Methoden von Hackern, an sensible Daten wie Passwörter, Kreditkarten-Daten oder Logins zu firmeninternen Cloud-Speichersystemen zu kommen.

Eine Option zur Lösung jenes Problems ist die elektronische E-Mail-Signatur. Dabei handelt es sich um eine Art Briefsiegel: Die elektronische Signatur steht dafür, dass der Rezipient klar feststellen kann, wer der Versender der Mail ist und ob der Gehalt auch genauso ankommt, wie diese versendet wurde. Die elektronische Signatur ist somit nicht zu verwechseln mit der herkömmlichen E-Mail-Signatur, die normalerweise unter dem verfassten Inhalt in der beruflichen Mail-Kommunikation zu finden ist und die Kontaktinformationen des Absenders auflistet.

Die elektronische Signatur: Der Briefsiegel der E-Mail

Ist der Versender wirklich der, welcher er sagt zu sein? Kann ausgeschlossen werden, dass die Texte der E-Mail-Nachricht auf dem Weg vom Absender zu mir als Empfänger aufgehalten und manipuliert wurden? Mit einer elektronischen Signatur sollen nur noch Mails im E-Mail-Fach landen, bei denen die Auskunft auf all diese Fragen „Ja“ lautet.

Technisch gesehen handelt es sich bei der elektronischen Signatur, die ebenso digitale Signatur genannt wird, um ein Zertifikat, das zusammen mit der normalen E-Mail versendet wird. Mithilfe des Zertifikats kann zum einen die Identifizierung des Absenders zweifelsfrei kontrolliert werden und zusätzlich kann der Empfänger sicher sein, dass der Text auf dem Weg unverändert geblieben ist.

Digitale Signaturen für Mails erstellen

Will man eine E-Mail elektronisch signieren, hat man zwei Optionen, die sich bewährt haben: S/MIME und OpenPGP. Die Verfahrensweisen agieren beide nach demselben Konzept – nämlich auf der Grundlage von Hashwerten gepaart mit einem Public-Private-Key-Verfahren – verwenden aber unterschiedliche Datenformate. Bedeutsam für die Wahl einer Methode ist die Unterstützung durch den eigenen Mail-Client, weil etliche Softwarelösungen fördern entweder das eine oder das andere Verfahren, aber nicht alle beide gleichzeitig.

Bei einer digitalen Signatur handelt es sich um eine Form der asymmetrischen Verschlüsselung. Das bedeutet: Der Versender einer Mail verschickt zwei Schlüssel mit – einen privaten und einen öffentlichen. Entscheidend hierbei: Das Schlüsselpaar muss von einer förmlichen Zertifizierungsstelle beglaubigt werden. Wird dann eine E-Mail verschickt, geschieht Folgendes: Mittels Hashfunktion wird der Inhalt mit einer Prüfsumme versehen, die nochmals mit dem nicht-öffentlichen Schlüssel verschlüsselt wird und der E-Mail angehangen wird. Trifft die E-Mail dann beim Rezipienten ein, wird mithilfe des Schlüssels die Prüfsumme entschlüsselt und obendrein nochmals errechnet. Gleicht die neu errechnete Prüfsumme der verschlüsselt mitgesendeten Prüfsumme, sei sichergestellt, dass der Inhalt unverändert geblieben ist. Und der öffentliche Schlüssel? Der kann beispielsweise auch mit der E-Mail-Nachricht mitgesendet werden oder muss alternativ vom Empfänger über ein öffentlich zugängliches Register bezogen werden.

Mach deinen geschäftlichen Mail-Verkehr sicherer

Viele Mail-Clients bieten entsprechende Konfigurationen für elektronische Signaturen an, welche – einmalig eingerichtet – alles im Hintergrund automatisch durchführen. Wer allerdings über einen unternehmensweiten Gebrauch einer digitalen Signatur nachdenkt, sollte diese Signierung auch durch Gateway in Betracht ziehen, das alle abgehenden E-Mails zentral signiert. Andernfalls ist der Arbeitsaufwand hoch, weil man für jeden Angestellten ein dediziertes Zertifikat benötigt und im Mail-Programm hinterlegt werden muss. Außer der vereinfachten Anpassung sowie der zentralen Verwaltung ist der Nutzen eines Gateways ferner, dass die Signaturprüfung ankommender E-Mails geschieht, noch ehe sie sogar auf dem Mail-Server landen und hier eventuell Schaden verursachen können.

Aber Achtung: Obzwar Gateway-Zertifikate, die in der Regel für alle E-Mail-Adressen unterhalb einer Domain gelten, weltweit konform sind, könnten einige Mail-Clients sie (noch?) nicht korrekt verarbeiten und lösen daher beim Empfänger Fehlermeldungen aus. Da könnte es dagegen ratsamer sein, lediglich bestimmte Team-Postfächer wie buchhaltung@ oder etwa bewerbung@ zu zertifizieren – besonders eben jene Postfächer, die mit sensiblen Daten tätig sind.

Warum neben der digitalen Signatur eine Mail-Verschlüsselung sinnvoll ist

E-Mail-Verschlüsselung und die digitale Unterschrift sind zwei verschiedene Paar Schuhe – doch beide relevant. Die Signierung kommt nämlich wie erwähnt einem Briefsiegel gleich – es ist deshalb sichergestellt, dass niemand auf dem Weg den Text verändert hat. Zeitgleich ist durch die elektronische Signatur sichergestellt, dass der Versender auch jener ist, der er vorgibt zu sein.

Dennoch ist der Text, der im Brief steht, theoretisch auf dem Weg von mehreren ersichtlich – zum Beispiel, indem man den verschlossenen Schrieb gegen eine Lampe hält. Um dies zu unterbinden, ist eine erweiterte Verschlüsselung sinnig. Jene sorgt hierfür, dass der Brief gewissermaßen in einen blickdichten Umschlag gepackt wird und niemand mehr außer dem Versender und dem Empfänger den Inhalt sehen kann.

Wo wird die elektronische Signatur genutzt?

Am Anfang wurde die elektronische Signatur besonders in öffentlichen Verwaltungen eingesetzt und eigentlich nicht so in der Privatwirtschaft. Aufgrund einer zunehmenden Ausbreitung im E-Commerce wird die Angelegenheit aber immer mehr für eine breite Masse verfügbar und gewinnt an Sichtbarkeit und Bekanntheit. Immer mehr Firmen verwenden die elektronische Signatur zudem schon für einzelne Use-Cases, beispielsweise wenn Policen elektronisch unterzeichnet und versendet werden.

Ausgangsebene für den aktuellen Status der Technik bei der elektronischen Mail-Signatur ist übrigens die sogenannte „Signaturrichtlinie“ der Europäischen Union. Diese regelt, welche Anforderungen erfüllt sein müssen, damit eine digitale Signatur vor Gericht als rechtswirksame Unterschrift akzeptiert wird. Kurz gesagt: Es muss sichergestellt werden können, dass der Unterzeichner auch wirklich jener ist, der er vorgibt zu sein – es muss deshalb ein Urhebernachweis realisierbar sein. Außerdem muss sichergestellt werden können, dass das Dokument nach dem Unterzeichnen nicht abgeändert wurde – es muss daher ein Manipulationsnachweis erbracht werden können.

Nummer sicher: Die qualifizierte digitale Signatur

Abschließend sei noch erwähnt, dass es nicht bloß eine, sondern gleich drei Arten elektronischer Mail-Signaturen gibt: 1) Die allgemeine (AES), 2) die fortgeschrittene (FES) und 3) die qualifizierte elektronische Signatur (QES). Am hochwertigsten ist die letztgenannte, die qualifizierte elektronische Signatur. Jene ist dann nötig und sinnvoll, wenn allerhöchste Sicherheitsstandards gefordert sind. Sie ist dem Gesetz (§ 2 Nr. 3 SigG) zufolge ebenbürtig mit einer handschriftlich getätigten Unterschrift auf Papier. Sie wird also für Dokumente und Verträge zur Unterzeichnung angewendet – für den gewöhnlichen E-Mail-Verkehr hingegen ist diese Form der Signatur zu viel des Guten, zumal sie den Gebrauch spezieller Hardware, wie Chipkarten sowie dazugehörigen Lesegeräten, voraussetzt.

Möchten auch Sie von einer sicheren E-Mail-Infrastruktur profitieren? Kontaktieren Sie uns gerne!