Sichere E-Mail-Kommunikation mit S/MIME und X.509-Zertifikaten

Eine solche E-Mail-Signatur ermöglicht es, eindeutig zu überprüfen, ob die E-Mail tatsächlich von genau dem angegebenen Absender stammt, und ob der Inhalt der E-Mail unverändert geblieben ist und nicht manipuliert wurde.

Damit ist zwar die Integrität und Authentizität der Nachricht gewährleistet, aber eine E-Mail, welche nur digital signiert wurde, kann weiterhin mitgelesen werden. Um dies zu verhindern muss die E-Mail zusätzlich verschlüsselt werden. Auch das lässt sich mit Zertifikaten realisieren. Weit verbreitet ist hierfür S/MIME (Secure/Multipurpose Internet Mail Extensions), was zum Beispiel auch in Microsoft Outlook zum Einsatz kommt. S/MIME basiert dabei auf einer Public Key Infrastructure (PKI) mit X.509-Zertifikaten. Die damit versendeten Nachrichten sind außerdem Ende-zu-Ende verschlüsselt, sodass die E-Mail auf dem ganzen Weg verschlüsselt bleibt und nur der Sender und Empfänger die E-Mail in Klartext lesen können.

Die Voraussetzungen für das Versenden einer S/MIME-verschlüsselten E-Mail entsprechen im Grunde denen für eine E-Mail-Signatur. Der Unterschied besteht darin, dass bei einer Verschlüsselung der Sender das öffentliche Zertifikat des Empfängers benötigt, während bei einer digitalen Signatur der Empfänger das öffentliche Zertifikat des Senders benötigt. Da in der Praxis meist in beide Richtungen verschlüsselt und idealerweise zusätzlich signiert wird, sollten auf beiden Seiten die jeweiligen öffentlichen Zertifikate des anderen vorliegen.

Diese müssen weiterhin auf der Gegenseite als vertrauenswürdig eingestuft sein. Das bedeutet, dass entweder aktiv dem einzelnen Zertifikat direkt vertraut wird oder der Zertifizierungsstelle (Certificate Authority, CA), welche das jeweilige Zertifikat ausgestellt hat, beziehungsweise einer übergeordneten CA in der Zertifikatskette. Je nach Art des Zertifikats und der vorliegenden Infrastruktur kann diese Vertrauensstellung automatisch bestehen oder muss manuell eingerichtet werden.

Sind die oben genannten Voraussetzungen erfüllt, können explizit an diesen Empfänger E-Mails verschlüsselt und versendet werden. Dazu muss dann lediglich beim Schreiben der E-Mail unter den Optionen die Verschlüsselung aktiviert werden.

Wichtig ist dabei zu beachten, dass auch ein sicherer Verschlüsselungsalgorithmus ausgewählt ist, da je nach Standardeinstellung noch ein alter Algorithmus hinterlegt sein kann. Dies lässt sich in dem Fenster verifizieren, das im Bild zu sehen ist.

Der Empfänger kann dann diese verschlüsselte E-Mail entschlüsseln und lesen. Die Entschlüsselung erfolgt dabei automatisch durch das E-Mail-Programm, sodass der Empfänger davon meist gar nichts bemerkt.

Lediglich an dem Schloss-Symbol bei der Nachricht (siehe Bild) kann der Empfänger erkennen, dass diese verschlüsselt wurde.

Mit einem Klick auf dieses Symbol können nähere Details abgerufen werden. So lassen sich die Angaben und das Zertifikat zusätzlich auch manuell überprüfen.

Fazit

S/MIME bietet eine etablierte Möglichkeit, um eine sichere E-Mail-Kommunikation zu gewährleisten, und sollte daher möglichst häufig eingesetzt werden. Die größten Hürden liegen meist in der initialen Einrichtung und im Verständnis der zugrunde liegenden Zertifikate. Sind diese Grundlagen jedoch einmal geschaffen und verstanden, lässt sich verschlüsselte E-Mail-Kommunikation komfortabel und weitgehend automatisch direkt im E-Mail-Programm nutzen und sollte dann auch (immer) genutzt werden.

Verweise

[1] https://www.comconsult.com/e-mail-sicherheit-durch-digitale-signaturen/