weitere Beiträge
Phishing-Mails werden immer besser: Als Nichtfachmann sind diese Nachrichten, die da vorgeblich von PayPal, der Sparkasse & Co. im Posteingang eintreffen, von richtigen Nachrichten meist schwer zu unterscheiden. Gleichzeitig landen im Postausgang jeder Firma tagtäglich sensible Unterlagen und Informationen, die via E-Mail versendet werden – was soll schon schieflaufen? Im Arbeitsalltag denkt man nicht viel darüber nach, dass all diese Informationen nach dem Absenden ebenso in unsachgemäße Hände kommen könnten.
Anders gesagt: Ihre elektronischen Nachrichten sind nicht (mehr) behütet. Denn außer dem Phishing gibt es selbstverständlich auch noch zig weitere Techniken von Hackern, an sensible Daten wie Passwörter, Kreditkarten-Daten und Zugänge zu firmeninternen Cloud-Speichersystemen zu gelangen.
Eine Möglichkeit zur Lösung dieses Problems ist die elektronische E-Mail-Signatur. Hierbei handelt es sich um so etwas wie ein Briefsiegel: Die elektronische Signatur sorgt dafür, dass der Empfänger klar feststellen kann, wer der Versender der E-Mail ist und ob der Inhalt auch gleichermaßen so ankommt, wie er versendet wurde. Die elektronische Signatur ist also nicht zu verwechseln mit der herkömmlichen E-Mail-Signatur, die für gewöhnlich unter dem geschriebenen Text in der beruflichen Mail-Kommunikation zu sehen ist und dort die Kontaktdaten des Absenders auflistet.
Das versteht man unter einer elektronischen Mail-Signatur
Ist der Absender tatsächlich der, welcher er sagt zu sein? Kann es sein, dass die Inhalte der Mail auf dem Weg vom Absender zu Ihnen als Empfänger abgefangen und manipuliert wurden? Mit einer elektronischen Signatur sollen nur mehr Mails im Posteingang landen, bei denen die Auskunft auf all diese Unklarheiten „Ja“ ist.
Technisch gesehen handelt es sich bei der elektronischen Signatur, die ebenso digitale Signatur genannt wird, um ein Testat, das zusammen mit der normalen E-Mail versendet wird. Mithilfe des Zertifikats kann zum einen die Identifikation des Absenders unstreitig kontrolliert werden und zum anderen kann der Empfänger gewiss sein, dass der Inhalt auf dem Weg unverändert blieb.
So erstellt man eine digitale Signatur
Möchte man eine E-Mail elektronisch signieren, hat man zwei Optionen, welche sich bewährt haben: S/MIME und OpenPGP. Die Verfahren agieren beide nach dem gleichen Konzept – nämlich auf Basis von Hashwerten verbunden mit einem Public-Private-Key-Verfahren – benützen aber verschiedene Datenformate. Entscheidend für die Wahl eines Verfahrens ist die Unterstützung durch den zutreffenden Mail-Client, weil viele Softwarelösungen unterstützen entweder das eine oder das andere Verfahren, aber nicht beide gleichzeitig.
Bei einer digitalen Signatur handelt es sich um eine Art der asymmetrischen Verschlüsselung. Das bedeutet: Der Versender einer E-Mail verschickt zwei Schlüssel mit – einen privaten sowie einen öffentlichen. Wichtig hierbei: Das Schlüsselpaar muss von einer offiziellen Zertifizierungsstelle verifiziert werden. Wird nun eine E-Mail versendet, geschieht jenes: Durch Hashfunktion wird der Inhalt mit einer Prüfsumme ausgestattet, welche wiederum mit dem nicht-öffentlichen Schlüssel gesichert wird und der E-Mail angehangen wird. Trifft die Mail dann beim Empfänger ein, wird mithilfe des Schlüssels die Prüfsumme entschlüsselt und obendrein erneut errechnet. Gleicht die neu errechnete Prüfsumme der verschlüsselt mitgesendeten Prüfsumme, ist garantiert, dass der Text unverändert geblieben ist. Und der öffentliche Schlüssel? Der kann beispielsweise auch mit der Mail mitgeschickt werden oder muss alternativ vom Rezipienten über ein öffentlich zugängliches Verzeichnis bezogen werden.
Mehr Sicherheit im Geschäftsumfeld dank elektronischen Mail-Signaturen
Viele Mail-Clients bieten jeweilige Konfigurationen für elektronische Signaturen an, welche – einmalig eingerichtet – all das im Background automatisiert erledigen. Wer jedoch über einen unternehmensweiten Einsatz einer digitalen Signatur nachdenkt, sollte diese Signierung auch mittels Gateway in Erwägung ziehen, welches alle ausgehenden Mails zentral signiert. Andernfalls ist der Aufwand hoch, da man für jeden Mitarbeiter ein dediziertes Testat benötigt und im Mail-Programm hinterlegt werden muss. Außer der vereinfachten Konfiguration sowie der zentralen Verwaltung ist der Nutzen eines Gateways ferner, dass die Signaturprüfung eingehender Mails geschieht, noch bevor sie sogar auf dem Mail-Server landen und dort eventuell Schaden anrichten können.
Aber Vorsicht: Obwohl Gateway-Zertifikate, welche meist für alle E-Mail-Adressen unter einer Webadresse sind, international standardisiert sind, könnten manche Mail-Clients sie (noch?) nicht fehlerfrei konvertieren und lösen daher beim Empfänger Fehlermeldungen aus. Hier könnte es stattdessen ratsamer sein, nur bestimmte Team-Postfächer wie buchhaltung@ oder bewerbung@ zu zertifizieren – besonders eben die Postfächer, die mit sensiblen Daten tätig sind.
Mails verschlüsseln & signieren: Für sicheren E-Mail-Verkehr
E-Mail-Verschlüsselung sowie die digitale Signierung sind zwei verschiedene Paar Schuhe – aber beide wichtig. Die Signierung kommt ja wie gesagt einem Briefsiegel gleich – es ist deshalb garantiert, dass niemand auf dem Weg den Inhalt abgewandelt hat. Zeitgleich ist über die elektronische Signatur sichergestellt, dass der Versender auch der ist, der er sagt zu sein.
Trotzdem ist der Text, der im Brief steht, theoretisch unterwegs von anderen lesbar – zum Beispiel, wenn man den verschlossenen Brief gegen eine Lampe hält. Um das zu verhindern, ist eine zusätzliche Verschlüsselung sinnig. Jene sorgt hierfür, dass der Brief quasi in einen blickdichten Briefumschlag gepackt wird und keiner mehr, mit Ausnahme von dem Versender und dem Empfänger den Inhalt lesen kann.
Wo wird die elektronische Signatur genutzt?
Anfangs wurde die elektronische Signatur besonders in öffentlichen Verwaltungen angewandt und eigentlich weniger in der Privatwirtschaft. Aufgrund einer wachsenden Verbreitung im E-Commerce wird das Thema aber immer mehr für eine große Masse zugänglich und gewinnt an Präsenz und Bekanntheit. Immer mehr Unternehmen nutzen die elektronische Unterschrift zudem schon für einzelne Use-Cases, beispielsweise wenn Policen elektronisch unterzeichnet und verschickt werden.
Ausgangsebene für den aktuellen Status der Technik bei der elektronischen Mail-Signatur ist im Übrigen die sogenannte „Signaturrichtlinie“ der Europäischen Union. Diese regelt, welche Anforderungen erfüllt sein müssen, dass eine digitale Signatur vor Gericht als rechtswirksame Signatur akzeptiert wird. Kurz gesagt: Es muss sichergestellt werden können, dass der Unterzeichner auch tatsächlich jener ist, der er vorgibt zu sein – es muss also ein Urhebernachweis realisierbar sein. Ebenso muss sichergestellt werden können, dass das Schreiben nach dem Unterzeichnen nicht abgeändert wurde – es muss also ein Manipulationsnachweis erbracht werden können.
Eine qualifizierte Signatur – wenn’s besonders sicher sein muss
Abschließend sei noch erwähnt, dass es nicht bloß eine, sondern gleich drei Formen elektronischer Mail-Signaturen gibt: 1) Die allgemeine (AES), 2) die fortgeschrittene (FES) und 3) die qualifizierte elektronische Signatur (QES). Am hochwertigsten ist die letztgenannte, die qualifizierte elektronische Signatur. Jene ist dann nötig und sinnvoll, wenn allerhöchste Sicherheitsstandards erwünscht sind. Selbige ist dem Gesetz (§ 2 Nr. 3 SigG) entsprechend gleichgestellt mit einer handschriftlich getätigten Unterschrift auf Papierblatt. Sie wird demnach für Dokumente und Verträge zur Unterzeichnung angewendet – für den gewöhnlichen E-Mail-Verkehr hingegen ist diese Art der Signatur zu viel, zumal sie den Gebrauch spezieller Hardware, beispielsweise Chipkarten und passenden Lesegeräten, voraussetzt.
Sie haben Fragen zur digitalen E-Mail-Signatar oder E-Mail-Verschlüsselung? Kontaktieren Sie uns gern