Ihre persönliche Unterschrift ist Gold wert: Mit ihr unterzeichnen Sie verschiedenste Dokumente, Formulare und Briefe, erteilen Ihre Zustimmung, sichern Ihre Rechte und weisen sich aus. Ihre Unterschrift lässt viele Dokumente erst gültig werden – die Angabe des Namens oder Absenders reicht nicht aus, um wichtige Geschäfte abzuschließen.
Ähnlich verhält es sich bei der E-Mail, denn: Die Absenderadresse allein ist kein Beweis dafür, dass das Geschriebene auch tatsächlich vom Absender stammt. Internetbetrüger versenden gerne E-Mails mit gefälschten Adressen, wie es beim gefürchteten Phishing der Fall ist. Derartige Risiken lassen sich durch die Verwendung einer digitalen Signatur vermeiden.
Wie das funktioniert, klären wir in diesem Beitrag.
Wofür ist die digitale Signatur gut?
Wer eine elektronisch signierte Nachricht erhält, kann davon ausgehen, dass die Inhalte nicht manipuliert wurden und der Absender auch tatsächlich der ist, der er vorgibt zu sein. Mit der digitalen Signatur wird die Herkunft gesendeter Informationen authentifiziert, indem die Echtheit des Absenders (Person oder Unternehmen) deutlich gemacht wird. E-Mails mit einer digitalen Signatur kommen stets unverfälscht beim Empfänger an.
Sie sollten die digitale Signatur aber nicht mit der üblichen E-Mail-Signatur verwechseln, die hin und wieder an das Ende elektronischer Nachrichten angehängt wird. Eine E-Mail-Signatur enthält die Kontaktinformationen des Absenders und kommt vor allem beim geschäftlichen E-Mail-Verkehr zum Einsatz, bietet aber keinerlei Sicherheit.
So erstellen Sie eine digitale Signatur
E-Mails lassen sich entweder mit S/MIME oder mit OpenPGP signieren. Hierbei handelt es sich um zwei konkurrierende Systeme, die unterschiedliche Datenformate verwenden. Das Grundprinzip ist jedoch bei beiden gleich.
Die digitale Signatur ist eng mit der asymmetrischen Verschlüsselung bzw. dem Public-Private-Key-Verfahren verbunden. Verschlüsselte E-Mails werden häufig auch elektronisch signiert und andersherum, da beide Methoden mit demselben Schlüsselpaar arbeiten.
| Was ist der Unterschied zwischen “signieren” und “verschlüsseln”?
Obwohl die digitale Signatur und die E-Mail-Verschlüsselung häufig miteinander kombiniert werden, um ein möglichst hohes Sicherheitsniveau zu erzielen, können beide Verfahren unabhängig voneinander eingesetzt werden. Durch das elektronische Unterzeichnen einer Mail wird einerseits der Urheber verifiziert und andererseits die Authentizität der E-Mail verdeutlicht. Die Inhalte können bei der Übermittlung nach wie vor von Dritten mitgelesen, aber nicht verändert werden. Stellen Sie sich hierzu eine Postkarte vor, die in eine Klarsichtfolie eingeschweißt wurde – sie ist lesbar, aber nicht überschreibbar. |
Beim Signieren einer E-Mail erzeugt das Mailprogramm des Absenders automatisch eine Prüfsumme des E-Mail-Inhalts – hierbei handelt es sich um einen aus den Ausgangsdaten berechneten Wert, der es möglich macht, die Integrität der Daten zu überprüfen. Die Prüfsumme wird mit dem Private Key verschlüsselt und an die E-Mail angehängt.
Wenn das Mailprogramm des Empfängers die Prüfsumme nun mit dem Public Key entschlüsselt, wird diese neu berechnet, sodass beide Werte miteinander verglichen werden können. Nur, wenn beide Prüfsummen identisch sind, wurde die Nachricht unverfälscht übertragen. Der Empfänger kann sich sicher sein, dass die E-Mail mit dem Private Key signiert wurde, der zu dem ihm bekannten Public Key passt – folglich ist der Absender zu 100% authentisch.
| Zur Info: – Beim Verschlüsseln einer Nachricht wendet der Absender den Public Key des Empfängers an. Der Empfänger entschlüsselt die Nachricht mit seinem eigenen Private Key.– Beim Signieren einer E-Mail wendet der Absender seinen Private Key an, um die Prüfsumme zu verschlüsseln. Der Empfänger verifiziert den Ursprung der Mail mit dem Public Key des Absenders. |
Damit dieser Vorgang automatisch im Hintergrund ablaufen kann, müssen Sie Ihren E-Mail-Client vorab entsprechend konfigurieren. Auf den Supportseiten von Microsoft Outlook und Mozilla Thunderbird ist das Vorgehen ausführlich erklärt.
Zertifikate und ihre Trust Levels
Eine Sache ist bei der digitalen Signatur noch wichtig: Der Empfänger einer signierten E-Mail muss den Public Key zweifelsfrei dem Absender zuordnen können. Hierbei kommen die offiziellen Zertifizierungsstellen ins Spiel.
Die Zertifizierungsstellen prüfen und bestätigen die Identität eines Antragstellers, bevor dieser das gewünschte Schlüsselpaar generiert bekommt. Die seriösen Online Anbieter stellen Zertifikate mit unterschiedlichen Trust Levels aus, welche die Gültigkeit der Schlüssel bezeugen. Das Mailprogramm des Empfängers greift automatisch auf das Zertifikat zu, sobald der Public Key bekannt gemacht wurde, um den Schlüssel eindeutig dem Absender zuzuordnen.
Es gibt drei Klassen von Zertifikaten:
- Zertifikat Klasse 1: Der Antragsteller muss eine E-Mail bestätigen, die von der Zertifizierungsstelle ausgesandt wurde.
- Zertifikat Klasse 2: Der Antragsteller muss eine Kopie seines gültigen Lichtbildausweises an die Zertifizierungsstelle senden.
- Zertifikat Klasse 3: Der Antragsteller muss sich mit dem POSTIDENT-Verfahren persönlich ausweisen, etwa in einer Postfiliale oder über einen Videochat.
Unternehmen greifen in der Regel auf Gateway-Zertifikate zurück – diese sind für sämtliche E-Mail-Adressen mit derselben Domain gültig. Vorteil ist, dass man nicht für jeden Mitarbeiter ein separates Zertifikat benötigt. Allerdings stellen die Gateway-Zertifikate für manche E-Mail-Clients ein Problem dar, da sie nicht richtig verarbeitet werden können und Fehlermeldungen hervorrufen.
Für E-Mail-Adressen, die von mehreren Personen verwaltet werden (z.B. info@beispiel.de oder kontakt@beispiel.com), greifen die sogenannten Team-Zertifikate.
Beim Senden bzw. Empfangen einer unterzeichneten E-Mail prüfen die Mailprogramme automatisch, ob alle Anforderungen an die Integrität der digitalen Signatur erfüllt sind. Zudem überprüfen sie, ob für das Schlüsselpaar ein gültiges Zertifikat von einer offiziellen Zertifizierungsstelle vorliegt.
Die deutschen Stellen, die sich an die Regelungen des Vertrauensdienstgesetzes (VDG) halten, stehen unter Aufsicht der Bundesnetzagentur. Zu den bekanntesten Zertifizierungsdiensten gehören z.B. sign-me von der Bundesdruckerei, POSTIDENT E-Signing von der Deutschen Post sowie BVsign vom Bank-Verlag.
Noch einmal zusammengefasst…
- Mithilfe einer digitalen Signatur kann die Identität des Absenders verifiziert werden.
- E-Mails können signiert und / oder verschlüsselt werden. Am sichersten ist es, beide Methoden gemeinsam anzuwenden.
- Das Signieren geschieht mithilfe von Private Keys und Public Keys. Diese werden von offiziellen Zertifizierungsstellen ausgestellt, welche die Identität des Antragstellers zuvor überprüft haben.
Ist der E-Mail-Client entsprechend konfiguriert, läuft dieser Prozess beim Versenden und Empfangen von E-Mails automatisch ab.