Für mehr Sicherheit im Mail-Verkehr: Die digitale Signatur
Phishing-Mails werden immer besser: Als Nichtfachmann sind die Mails, die da vorgeblich von PayPal, der Sparkasse & Co. im Posteingang landen, von richtigen Mails meist kaum mehr zu unterscheiden. Im gleichen Atemzug landen im Postausgang jedes Unternehmens jeden Tag sensible Dokumente und Informationen, die per E-Mail versendet werden – was soll denn schiefgehen? Im Arbeitsalltag denkt man nicht viel darüber nach, dass all die Informationen nach dem Absenden ebenfalls in unsachgemäße Hände kommen könnten.
Mit anderen Worten: Ihre elektronischen Nachrichten sind nicht (mehr) sicher. Denn außer dem Phishing gibt es selbstverständlich auch noch zig andere Techniken von Hackern, an sensible Daten wie Passwörter, Kreditkarten-Daten und Zugänge zu firmeninternen Cloud-Speichersystemen zu kommen.
Eine Möglichkeit zur Lösung jenes Problems ist die elektronische E-Mail-Signatur. Hierbei dreht es sich um so etwas wie einen Briefsiegel: Die elektronische Signatur steht dafür, dass der Rezipient klar feststellen kann, wer der Versender der E-Mail ist und in wie weit der Inhalt auch gleichermaßen so ankommt, wie diese versendet wurde. Die elektronische Signatur ist also nicht zu vertauschen mit der herkömmlichen E-Mail-Signatur, die für gewöhnlich unter dem verfassten Text in der geschäftlichen Mail-Kommunikation zu sehen ist und die Kontaktinformationen des Absenders enthält.
Die digitale Signatur: Was ist das?
Ist der Absender tatsächlich der, welcher er vorgibt zu sein? Kann ausgeschlossen werden, dass die Texte der E-Mail-Nachricht auf dem Weg vom Absender zu mir als Rezipient abgefangen und manipuliert wurden? Mit einer elektronischen Signatur sollen nur mehr E-Mails im E-Mail-Fach landen, bei denen die Auskunft auf all diese Unklarheiten „Ja“ ist.
Technisch gesehen handelt es sich bei der elektronischen Signatur, die auch digitale Signatur genannt wird, um eine Testat, das gemeinsam mit der normalen E-Mail verschickt wird. Mithilfe des Zertifikats kann zum einen die Identifikation des Absenders zweifelsfrei geprüft werden und zum anderen kann der Empfänger sicher sein, dass der Text auf dem Weg unberührt geblieben ist.
Elektronische Signierung von E-Mail: So funktioniert es
Möchte man eine E-Mail elektronisch unterzeichnen, gibt es zwei Standards, die sich etabliert haben: S/MIME und OpenPGP. Die Verfahrensweisen agieren beide nach demselben Prinzip – nämlich auf der Grundlage von Hashwerten verbunden mit einem Public-Private-Key-Verfahren – verwenden aber verschiedene Datenformate. Bedeutsam für die Wahl einer Methode ist die Unterstützung durch den eigenen Mail-Client, weil viele Softwarelösungen fördern entweder das eine oder das andere Verfahren, aber nicht beide zeitgleich.
Bei einer digitalen Signatur dreht es sich um eine Form der asymmetrischen Verschlüsselung.
Das heißt: Der Versender einer E-Mail verschickt zwei Schlüssel mit – einen privaten sowie einen öffentlichen. Wichtig hierbei: Das Schlüsselpaar muss von einer offiziellen Zertifizierungsstelle verifiziert werden. Wird dann eine E-Mail versendet, geschieht Jenes: Mittels Hashfunktion wird der Inhalt mit einer Prüfsumme ausgestattet, welche nochmals mit dem nicht-öffentlichen Schlüssel gesichert wird und der E-Mail-Nachricht angehangen wird. Trifft die E-Mail dann beim Empfänger ein, wird anhand des Schlüssels die Prüfsumme entschlüsselt und obendrein nochmals errechnet. Entspricht die frisch errechnete Prüfsumme der verschlüsselt mitgesendeten Prüfsumme, sei sichergestellt, dass der Inhalt unberührt geblieben ist. Und der öffentliche Schlüssel? Der kann beispielsweise auch mit der Mail mitgeschickt werden oder muss alternativ vom Rezipienten über ein öffentlich zugängliches Verzeichnis bezogen werden.
Sichere eure E-Mails mithilfe von digitalen Signaturen
Viele Mail-Clients bieten entsprechende Konfigurationen für elektronische Signaturen an, die – einmal eingerichtet – alles im Hintergrund automatisch erledigen. Wer jedoch über einen unternehmensweiten Gebrauch einer digitalen Signatur spekuliert, sollte diese Signierung auch durch Gateway in Erwägung ziehen, welches alle abgehenden Mails zentral signiert. Andernfalls ist der Arbeitsaufwand äußerst hoch, da man für jeden einzelnen Angestellten ein dediziertes Testat benötigt und im Mail-Programm eingetragen werden muss. Neben der vereinfachten Konfiguration sowie der zentralen Administration ist der Vorteil eines Gateways zudem, dass die Signaturprüfung eingehender Mails erfolgt, noch ehe sie sogar auf dem Mail-Server landen und hier womöglich Schaden anrichten können.
Aber Vorsicht: Obzwar Gateway-Zertifikate, die in der Regel für alle E-Mail-Adressen unterhalb einer Webadresse gelten, international standardisiert sind, könnten manche Mail-Clients sie (noch?) nicht korrekt konvertieren und lösen daher beim Rezipient Fehlermeldungen aus. Da kann es stattdessen ratsamer sein, lediglich einzelne Team-Postfächer wie buchhaltung@ oder etwa bewerbung@ zu zertifizieren – vor allem eben jene Postfächer, die mit sensiblen Informationen tätig sind.
Sind Mail-Verschlüsselung und elektronische Signatur das gleiche?
E-Mail-Verschlüsselung und die digitale Unterschrift sind zwei unterschiedliche Paar Schuhe – aber beide wichtig. Die Signierung kommt nämlich wie erwähnt einem Briefsiegel gleich – es ist deshalb sichergestellt, dass keiner auf dem Weg den Inhalt abgewandelt hat. Gleichzeitig ist über die elektronische Signatur gewährleistet, dass der Absender auch jener ist, der er sagt zu sein.
Dennoch ist der Inhalt, der im Brief steht, in der Theorie auf dem Weg von anderen lesbar – beispielsweise indem man den verschlossenen Schrieb gegen eine Lampe hält. Mit dem Ziel dies zu unterbinden, ist eine erweiterte Verschlüsselung sinnvoll. Diese sorgt dafür, dass der Brief gewissermaßen in einen blickdichten Briefumschlag gesteckt wird und niemand mehr außer dem Versender und dem Rezipient den Text lesen kann.
Wo wird die elektronische Signatur genutzt?
Am Anfang wurde die elektronische Signatur vor allem in öffentlichen Verwaltungen eingesetzt und eigentlich weniger in der Privatwirtschaft. Dank einer wachsenden Verbreitung im E-Commerce wird die Angelegenheit aber immer stärker für eine breite Masse verfügbar und gewinnt an Präsenz und Popularität. Immer mehr Unternehmen verwenden die elektronische Unterschrift auch schon für einzelne Use-Cases, etwa wenn Policen elektronisch unterschrieben und verschickt werden.
Ausgangspunkt für den gegenwärtigen Status der Technik bei der elektronischen Mail-Signatur ist übrigens die sogenannte „Signaturrichtlinie“ der Europäischen Union. Jene bestimmt, welche Bedingungen eingehalten sein müssen, dass eine digitale Signatur vor Gericht als rechtswirksame Signatur anerkannt wird. Kurzform: Es muss garantiert werden können, dass der Unterzeichner auch tatsächlich der ist, der er sagt zu sein – es muss also ein Urhebernachweis realisierbar sein. Außerdem muss gewährleistet werden können, dass das Schreiben nach dem Unterschreiben nicht verändert wurde – es muss also ein Manipulationsnachweis gemacht werden können.
Für höchste Sicherheitsansprüche: Die qualifizierte digitale Signatur
Abschließend sei noch erwähnt, dass es nicht bloß eine, sondern sogar drei Formen elektronischer Mail-Signaturen gibt: 1) Die allgemeine (AES), 2) die fortgeschrittene (FES) und 3) die qualifizierte elektronische Signatur (QES). Am hochwertigsten ist die letztgenannte, die qualifizierte elektronische Signatur. Jene ist dann notwendig und sinnvoll, wenn höchste Sicherheitsstandards gefordert sind. Selbige ist dem Gesetz (§ 2 Nr. 3 SigG) entsprechend ebenbürtig mit einer handschriftlich getätigten Unterschrift auf Papier. Sie wird demnach für Dokumente und Verträge zur Unterzeichnung angewendet – für den normalen E-Mail-Verkehr hingegen ist diese Form der Unterschrift zu viel, da sie den Einsatz spezieller Hardware, beispielsweise Chipkarten sowie dazugehörigen Lesegeräten, voraussetzt.