E-Mails mit S/MIME verschlüsseln und signieren

Egal, ob eine E-Mail persönlicher oder beruflicher Natur ist – Sie wollen ganz bestimmt nicht, dass Dritte Ihre Nachricht mitlesen oder gar manipulieren können. Zudem wollen Sie sicher sein, dass der angegebene Absender einer E-Mail auch tatsächlich der Absender ist. Ohne die Verschlüsselung und die elektronische Signatur – Sicherheitsfeatures, die von dem Standardverfahren S/MIME angeboten werden – haben Cyberkriminelle jedoch leichtes Spiel und können Ihnen das Leben schwer machen.

In diesem Artikel möchten wir darauf eingehen, wie S/MIME funktioniert und wie Sie das Verfahren zu Ihrem Vorteil nutzen können.

S/MIME erklärt

S/MIME steht für “Secure / Multipurpose Internet Mail Extensions” – der Standard dient seit 1999 zur Verschlüsselung von E-Mails per “application/pkcs7-mime” sowie zur Signierung derselben per “multipart/signed”. Die Anwender können frei wählen, ob eine E-Mail nur verschlüsselt, nur signiert oder beides sein soll.

S/MIME wird von allen gängigen E-Mail-Clients unterstützt und ist eine Alternative zum 2007 definierten Verfahren OpenPGP, das sich auf das “multipart/signed”- und das “multipart/encrypted”-Format stützt.

Da bei S/MIME ein asymmetrisches Verschlüsselungsverfahren mit einem Schlüsselpaar zum Einsatz kommt, gibt es sowohl einen Private Key – dieser ist nur dem Anwender bekannt – als auch einen Public Key, der mit beliebig vielen E-Mail-Kontakten geteilt werden darf. Um jemandem eine verschlüsselte Nachricht zukommen zu lassen, muss der öffentliche Schlüssel des Empfängers bekannt sein. Andererseits wird der private Schlüssel benötigt, um eine empfangene Nachricht zu entschlüsseln.

Von Schlüsseln und Vorhängeschlössern…

Man kann sich den Public Key wie ein Vorhängeschloss und den Private Key wie den zugehörigen Schlüssel vorstellen: Ihr Gegenüber kann Ihr Schloss in Händen halten und es jederzeit verschließen, um Ihnen eine geheime Nachricht zukommen zu lassen. Wenn Sie diese lesen wollen, brauchen Sie Ihren persönlichen Schlüssel, um das Schloss wieder zu öffnen.


Wenn Sie eine E-Mail per S/MIME signieren, beweisen Sie dem Empfänger, dass die Nachricht tatsächlich von Ihnen stammt – und nicht etwa von einem Cyberkriminellen, der sich als Sie ausgibt. Zudem übermitteln Sie dem Empfänger sogleich Ihren Public Key, damit dieser Ihnen ebenfalls Nachrichten mit verschlüsseltem Inhalt zusenden kann.
Wenn Sie keine digitale Signatur verwenden, können Sie den Public Key auch auf andere Art und Weise an Ihre E-Mail-Kontakte weitergeben – z.B. durch die Veröffentlichung auf einem Key Server bzw. auf der eigenen Webseite oder durch die Weitergabe in Dateiform auf einem externen Speichermedium.

So erhalten Sie ein S/MIME-Zertifikat für den sicheren E-Mail-Verkehr

Voraussetzung für die Nutzung von S/MIME ist ein X.509-basiertes Zertifikat, denn nur mit diesem können E-Mail-Clients die Schlüssel erstellen und die Public Keys austauschen.

Zwar kann das X.509-Zertifikat für die Nutzung von S/MIME selbst erstellt werden, allerdings ist es wesentlich einfacher, ein solches Zertifikat von einer offiziellen Zertifizierungsstelle einzuholen. Hierbei gibt es kostenpflichtige und kostenfreie Angebote.

Die Zertifikate sind in drei Klassen erhältlich:

  • Klasse 1: Das erstellte Zertifikat bezeugt die Echtheit der angegeben E-Mail-Adresse.
  • Klasse 2: Das erstellte Zertifikat bezeugt die Echtheit der angegeben E-Mail-Adresse und des zugehörigen Namens (bzw. Unternehmens). Die Angaben werden über Drittdatenbanken oder mittels Ausweiskopien verifiziert.
  • Klasse 3: Das erstellte Zertifikat bezeugt die Echtheit der angegeben E-Mail-Adresse und des zugehörigen Namens (bzw. Unternehmens). Der Antragsteller muss sich persönlich ausweisen, um die Angaben zu verifizieren.

Eine vertrauenswürdige und seriöse Zertifizierungsstelle, die Zertifikate für den privaten Gebrauch (ab 16,99 USD pro Jahr) oder aber den geschäftlichen Gebrauch (ab 39,99 USD pro Jahr) ausgibt, ist Sectigo. Kostenlose Zertifikate erhalten Sie hingegen von Actalis.

So funktioniert die Einrichtung von S/MIME

Sobald Sie ein S/MIME-Zertifikat von einem ausgewählten Anbieter besitzen, können Sie das Sicherheitsverfahren in Ihr E-Mail-Programm integrieren. Die Vorgehensweise ist hierbei bei allen Anbietern ähnlich: Sie erstellen ein personifiziertes Zertifikat, installieren es und konfigurieren das E-Mail-Programm dahingehend, dass es auf das S/MIME-Zertifikat zurückgreift. Sobald Sie den Einrichtungsprozess abgeschlossen haben, werden die Funktionen zur manuellen oder automatischen Verschlüsselung sowie zur Signierung freigeschaltet.

Im Folgenden finden Sie beispielhafte Anleitungen zur Einrichtung von S/MIME unter Windows und auf Ihrem mobilen Android-Gerät.

S/MIME einrichten – Windows

  1. Suchen Sie die Webseite von Actalis auf und starten Sie über den Link “Free S/MIME certificates” eine Anfrage für die Erstellung eines Zertifikats.
  2. Geben Sie in dem Formular Ihre E-Mail-Adresse ein und klicken Sie auf “Send Verification Email”. Übertragen Sie den Verification Code, der Ihnen im Anschluss zugeschickt wird, in das dafür vorgesehene Feld.
  3. Setzen Sie im Abschnitt “Request Certificate” alle geforderten Häkchen, um den allgemeinen Konditionen, den spezifischen Bedingungen sowie den Datenschutzbestimmungen zuzustimmen. Klicken Sie dann auf “Submit Request”.
  4. Sie erhalten anschließend Ihr persönliches Passwort für die Nutzung des Zertifikats, welches Sie sich notieren sollten.
  5. Laden Sie das an Ihre E-Mail-Adresse gesendete Zertifikat herunter und entpacken Sie die ZIP-Datei.
  6. Starten Sie Ihren E-Mail-Client und gehen Sie in die Kontoeinstellungen. Unter dem Menüpunkt “Sicherheit” finden Sie die Schaltfläche “Zertifikate verwalten”.
  7. Importieren Sie unter dem Reiter “Ihre Zertifikate” das zuvor gespeicherte S/MIME-Zertifikat und geben Sie das Passwort ein.
  8. Unter “Standard-Verschlüsselungseinstellungen beim Senden von Nachrichten” können Sie die digitale Signatur als Standard festlegen und die Verschlüsselung von E-Mails zur Pflicht machen.
  9. Wenn Sie dies nicht wünschen, können Sie das S/MIME-Verfahren beim Verfassen einer E-Mail über den entsprechenden Button in der Werkzeugleiste manuell aktivieren.

S/MIME einrichten – Android-Gerät

Für Android-Systeme können Sie über den Google Play Store verschiedene E-Mail-Anwendungen herunterladen, die das S/MIME-Verfahren unterstützen. Eine solche Anwendung ist MailDroid von Flipdog Solutions. Sobald Sie den Client heruntergeladen haben und ein gültiges Zertifikat besitzen, gehen Sie wie folgt vor:

  1. Laden Sie das Crypto Plugin von Flipdog Solutions herunter, um Ihre E-Mails in MailDroid verschlüsseln und signieren zu können.
  2. Mithilfe des Plugins können Sie nun das erzeugte Zertifikat importieren (Menüpunkt “Import Certificate”).
  3. Gehen Sie im MailDroid Client zu den Einstellungen, um im Menüpunkt “Verschlüsselungs-Plug-in” die gewünschten Konfigurationen vorzunehmen. Hier können Sie beispielsweise festlegen, ob die Verschlüsselung und Signierung von E-Mails standardmäßig ausgeführt werden soll.
  4. Ab sofort können Sie beim Verfassen einer Nachricht die integrierten Schaltflächen zum Verschlüsseln und Signieren nutzen, um die Schutzmechanismen zu aktivieren. Falls das Zertifikat ungültig oder der Schlüssel abgelaufen ist, wird dies gut sichtbar dargestellt.

Noch einmal zusammengefasst…

  • Das Standardverfahren S/MIME sichert Ihre E-Mail-Kommunikation ab, indem es verhindert, dass elektronische Nachrichten abgefangen, mitgelesen und manipuliert werden.
  • Mit S/MIME lassen sich E-Mails sowohl verschlüsseln als auch signieren. Während der Private Key zum Entschlüsseln von E-Mails in Ihrem privaten Besitz verbleibt, sollten Sie den Public Key (zum Verschlüsseln von E-Mails) frei zugänglich machen. Nur Kommunikationspartner, die ihre Public Keys untereinander ausgetauscht haben, können sich gegenseitig verschlüsselte Nachrichten schicken.
  • Um S/MIME zu nutzen, brauchen Sie ein gültiges Zertifikat, das es in Ihr E-Mail-Programm zu integrieren gilt.

Sie können S/MIME standardmäßig für den gesamten E-Mail-Verkehr nutzen oder auch manuell einstellen.