Information Rights Management (IRM)
Information Rights Management = Dokumentensicherheit
9. Mai 2022
DDoS-Attacke
DDoS-Attacke: Was tun, wenn das Horrorszenario Realität wird?
23. Mai 2022
Show all

Die elektronische Mail-Signatur: Wozu sie dient & wer sie braucht

Elektronische Mail-Signatur

elektronische Mail-Signatur

Die elektronische Mail-Signatur: Wozu sie dient & wer sie braucht

Phishing-Mails werden ständig besser: Als Laie sind diese Mails, die da vorgeblich von PayPal, der Sparkasse & Co. im Posteingang landen, von richtigen Nachrichten oft kaum mehr zu differenzieren. Gleichzeitig landen im Postausgang jedes Unternehmens tagtäglich sensible Unterlagen und Informationen, die via E-Mail verschickt werden – was soll schon schieflaufen? Im Businessalltag denkt man nicht viel darüber nach, dass all die Informationen nach dem Absenden ebenso in falsche Hände geraten können.

Mit anderen Worten: Ihre E-Mails sind nicht (mehr) sicher. Denn außer dem Phishing gibt es selbstverstandlich auch noch etliche andere Techniken von Hackern, an sensible Daten wie Passwörter, Kreditkarten-Daten und Logins zu firmeninternen Cloud-Speichersystemen zu gelangen.

Eine Möglichkeit zur Beseitigung dieses Problems ist die elektronische E-Mail-Signatur. Hierbei handelt es sich um so etwas wie einen Briefsiegel: Die elektronische Signatur steht dafür, dass der Rezipient eindeutig feststellen kann, wer der Absender der E-Mail ist und in wie weit der Gehalt auch gleichermaßen so ankommt, wie er versendet wurde. Die elektronische Signatur ist also nicht zu vertauschen mit der üblichen E-Mail-Signatur, die für gewöhnlich unter dem verfassten Text in der geschäftlichen Mail-Kommunikation zu finden ist und die Kontaktinformationen des Absenders enthält.

Die elektronische Signatur: Der Briefsiegel der E-Mail

Ist der Versender wirklich der, der er sagt zu sein? Kann es sein, dass die Texte der E-Mail-Nachricht auf der Strecke vom Absender zu Ihnen als Empfänger aufgehalten und manipuliert wurden? Mithilfe einer elektronischen Signatur sollen nur mehr Mails im Posteingang landen, bei denen die Auskunft auf all diese Unklarheiten „Ja“ lautet.

Technisch betrachtet geht es bei der elektronischen Signatur, die auch digitale Signatur genannt wird, um ein Zertifikat, das gemeinsam mit der normalen E-Mail verschickt wird. Anhand des Zertifikats kann zum einen die Identifikation des Absenders zweifelsfrei kontrolliert werden und zusätzlich kann der Empfänger sicher sein, dass der Text auf dem Weg unberührt geblieben ist.

Digitale Signaturen für Mails erstellen

Will man eine E-Mail elektronisch signieren, hat man zwei Standards, welche sich etabliert haben: S/MIME und OpenPGP. Die Verfahrensweisen funktionieren beide nach demselben Prinzip – nämlich auf Basis von Hashwerten verbunden mit einem Public-Private-Key-Verfahren – benützen aber unterschiedliche Datenformate. Entscheidend für die Wahl einer Methode ist die Unterstützung durch den eigenen Mail-Client, denn etliche Softwarelösungen fördern entweder das eine oder das andere Verfahren, aber nicht alle beide gleichzeitig.

Bei einer digitalen Signatur dreht es sich um eine Form der asymmetrischen Verschlüsselung. Das heißt: Der Absender einer Mail verschickt zwei Schlüssel mit – einen privaten und einen öffentlichen. Wichtig dabei: Das Schlüsselpaar muss von einer förmlichen Zertifizierungsstelle beglaubigt werden. Wird nun eine E-Mail versendet, geschieht Jenes: Durch Hashfunktion wird der Inhalt mit einer Prüfsumme ausgestattet, die wiederum mit dem nicht-öffentlichen Schlüssel verschlüsselt wird und der E-Mail angehangen wird. Trifft die Mail nun beim Empfänger ein, wird anhand des Schlüssels die Prüfsumme entschlüsselt und erneut errechnet. Gleicht die frisch errechnete Prüfsumme der verschlüsselt mitgesendeten Prüfsumme, ist sichergestellt, dass der Inhalt unverändert geblieben ist. Und der öffentliche Schlüssel? Der kann beispielsweise auch mit der Mail mitgeschickt werden oder muss alternativ vom Empfänger über ein öffentlich zugängliches Register bezogen werden.

Mehr Sicherheit im Geschäftsumfeld dank elektronischen Mail-Signaturen

Viele Mail-Clients bieten entsprechende Konfigurationen für elektronische Signaturen an, welche – einmal eingerichtet – all das im Hintergrund automatisch erledigen. Wer jedoch über einen unternehmensweiten Gebrauch einer digitalen Signatur nachdenkt, sollte die Signierung auch mittels Gateway in Erwägung ziehen, das alle ausgehenden Mails zentral signiert. Ansonsten ist der Aufwand hoch, weil man für jeden Mitarbeiter ein dediziertes Testat benötigt und im Mail-Programm hinterlegt werden muss. Neben der vereinfachten Konfiguration und der zentralen Verwaltung ist der Vorteil eines Gateways zudem, dass die Signaturprüfung ankommender E-Mails erfolgt, noch bevor sie sogar auf dem Mail-Server landen und hier eventuell Schaden verursachen können.

Aber Achtung: Obzwar Gateway-Zertifikate, welche in der Regel für alle E-Mail-Adressen unterhalb einer Domain gelten, weltweit standardisiert sind, könnten einige Mail-Clients diese (noch?) nicht fehlerfrei verarbeiten und lösen entsprechend beim Rezipient Fehlermeldungen aus. Hier kann es dagegen ratsamer sein, lediglich einzelne Team-Postfächer wie buchhaltung@ oder etwa bewerbung@ zu zertifizieren – besonders eben die Postfächer, die mit vertraulichen Informationen arbeiten.

Mail-Verschlüsselung vs. Digitale Mail-Signatur

E-Mail-Verschlüsselung sowie die digitale Signierung sind zwei verschiedene Paar Schuhe – aber beide wichtig. Die Signierung kommt ja wie gesagt einem Briefsiegel gleich – es ist deshalb garantiert, dass keiner unterwegs den Inhalt verändert hat. Zeitgleich ist über die elektronische Signatur gewährleistet, dass der Absender auch der ist, der er sagt zu sein.

Trotzdem ist der Inhalt, der im Brief steht, in der Theorie unterwegs von anderen einsichtlich – beispielsweise wenn man den verschlossenen Brief gegen das Licht hält. Um dies zu verhindern, ist eine erweiterte Verschlüsselung sinnig. Diese sorgt hierfür, dass der Brief gewissermaßen in einen blickdichten Umschlag gesteckt wird und keiner mehr außer dem Versender und dem Empfänger den Text sehen kann.

Für wen sind digitale Signaturen sinnvoll?

Anfangs wurde die elektronische Signatur besonders in öffentlichen Verwaltungen angewandt und eigentlich weniger in der Privatwirtschaft. Dank einer wachsenden Verbreitung im E-Commerce wird die Angelegenheit aber generell mehr für die breite Masse verfügbar und gewinnt an Präsenz und Popularität. Immer mehr Firmen verwenden die elektronische Signatur zudem schon für einzelne Use-Cases, etwa wenn Verträge elektronisch unterschrieben und verschickt werden.

Ausgangspunkt für den gegenwärtigen Stand der Technik bei der elektronischen Mail-Signatur ist übrigens die bezeichnete „Signaturrichtlinie“ der Europäischen Union. Diese regelt, welche Anforderungen erfüllt sein müssen, damit eine digitale Signatur vor Gericht als rechtswirksame Unterschrift anerkannt wird. Kurz gesagt: Es muss sichergestellt werden können, dass der Unterzeichner auch wirklich jener ist, der er vorgibt zu sein – es muss also ein Urhebernachweis möglich sein. Außerdem muss gewährleistet werden können, dass das Schreiben nach dem Unterschreiben nicht verändert wurde – es muss daher ein Manipulationsnachweis erbracht werden können.

Für höchste Sicherheitsansprüche: Die qualifizierte digitale Signatur

Abschließend sei noch gesagt, dass es nicht nur eine, sondern sogar drei Formen elektronischer Mail-Signaturen gibt:

1) Die allgemeine (AES),

2) die fortgeschrittene (FES)

3) die qualifizierte elektronische Signatur (QES)

Am sichersten ist die letztgenannte, die qualifizierte elektronische Signatur. Diese ist dann nötig und sinnig, wenn höchste Sicherheitsstandards gefordert sind. Selbige ist dem Gesetz (§ 2 Nr. 3 SigG) entsprechend ebenbürtig mit einer handgeschriebenen Unterschrift auf Papier. Sie wird demnach für Dokumente sowie Verträge zur Unterzeichnung angewendet – für den gewöhnlichen E-Mail-Austausch dagegen ist diese Form der Signatur zu viel, zumal sie den Einsatz spezieller Hardware, wie Chipkarten und dazugehörigen Lesegeräten, voraussetzt.

Sie möchten mehr Informationen zum Thema elektronische Mail-Signatur? Dann kontaktieren Sie uns gerne!

Telefonisch unter 0049 8284 99690-0 oder per E-Mail unter vertrieb@esko-systems.de