Wozu dient die elektronische Signierung einer Mail?
Phishing-Mails werden ständig ausgereifter: Als Nichtfachmann sind die Mails, die da vorgeblich von PayPal, der Sparkasse & Co. im Posteingang eintreffen, von echten Nachrichten oft kaum mehr zu differenzieren. Gleichzeitig landen im Postausgang jeder Firma jeden Tag vertrauliche Dokumente und Informationen, die via E-Mail verschickt werden – was soll schon schieflaufen? Im Businessalltag denkt man nicht viel darüber nach, dass all diese Informationen nach dem Absenden ebenfalls in falsche Hände kommen können.
Anders gesagt: Unsere elektronischen Nachrichten sind nicht (mehr) behütet. Denn außer dem Phishing gibt es natürlich auch noch etliche weitere Methoden von Hackern, an vertrauliche Daten wie Passwörter, Kreditkarten-Daten und Zugänge zu firmeninternen Cloud-Speichersystemen zu gelangen.
Eine Option zur Lösung jenes Problems ist die elektronische E-Mail-Signatur. Dabei dreht es sich um so etwas wie einen Briefsiegel: Die elektronische Signatur steht dafür, dass der Rezipient eindeutig erkennen kann, wer der Absender der E-Mail ist und ob der Gehalt auch genauso ankommt, wie er verschickt wurde. Die elektronische Signatur ist also nicht zu verwechseln mit der üblichen E-Mail-Signatur, die normalerweise unter dem verfassten Text in der geschäftlichen Mail-Kommunikation zu sehen ist und die Kontaktinformationen des Absenders auflistet.
Die digitale Signatur: Was ist das?
Ist der Versender wirklich der, der er sagt zu sein? Kann ausgeschlossen werden, dass die Inhalte der E-Mail-Nachricht auf der Strecke vom Absender zu mir als Rezipient aufgehalten und manipuliert wurden? Mithilfe einer elektronischen Signatur sollen nur noch E-Mails im Posteingang landen, bei welchen die Antwort auf all diese Fragen „Ja“ ist.
Technisch gesehen geht es bei der elektronischen Signatur, die auch digitale Signatur genannt wird, um eine Testat, das zusammen mit der normalen E-Mail verschickt wird. Mithilfe des Zertifikats kann zum einen die Identifizierung des Absenders unstreitig geprüft werden und zum anderen kann der Rezipient sicher sein, dass der Text auf dem Weg unberührt geblieben ist.
Mails elektronisch signieren: So geht’s
Möchte man eine E-Mail elektronisch signieren, gibt es zwei Optionen, welche sich etabliert haben: S/MIME und OpenPGP. Die Verfahrensweisen agieren beide nach demselben Prinzip – nämlich auf der Grundlage von Hashwerten gepaart mit einem Public-Private-Key-Verfahren – benützen aber unterschiedliche Datenformate. Entscheidend für die Wahl einer Methode ist die Unterstützung durch den eigenen Mail-Client, denn viele Softwarelösungen unterstützen entweder das eine oder das andere Verfahren, aber nicht alle beide zeitgleich.
Bei einer digitalen Signatur dreht es sich um eine Art der asymmetrischen Verschlüsselung. Das heißt: Der Absender einer Mail versendet zwei Schlüssel mit – einen privaten und einen öffentlichen. Entscheidend hierbei: Das Schlüsselpaar muss von einer offiziellen Zertifizierungsstelle beglaubigt werden. Wird nun eine E-Mail verschickt, passiert Jenes: Mittels Hashfunktion wird der Inhalt mit einer Prüfsumme versehen, die nochmals mit dem privaten Schlüssel verschlüsselt wird und der E-Mail angehangen wird. Trifft die Mail nun beim Rezipienten ein, wird anhand des Schlüssels die Prüfsumme entschlüsselt und nochmals errechnet. Gleicht die neu errechnete Prüfsumme der verschlüsselt mitgesendeten Prüfsumme, sei garantiert, dass der Text unberührt geblieben ist. Und der öffentliche Schlüssel? Der kann beispielsweise auch mit der E-Mail-Nachricht mitgeschickt werden oder muss alternativ vom Rezipienten über ein öffentlich zugängliches Verzeichnis eingeholt werden.
Sichere deine E-Mails mit unternehmensweiten Signaturen
Einige Mail-Clients bieten entsprechende Konfigurationen für elektronische Signaturen an, welche – einmalig etabliert – all das im Hintergrund automatisch erledigen. Wer allerdings über einen unternehmensweiten Gebrauch einer digitalen Signatur spekuliert, sollte die Signierung auch mittels Gateway in Betracht ziehen, das alle abgehenden Mails zentral signiert. Ansonsten ist der Aufwand äußerst hoch, da man für jeden Angestellten ein dediziertes Testat braucht und im Mail-Programm eingetragen werden muss. Neben der vereinfachten Konfiguration sowie der zentralen Administration ist der Nutzen eines Gateways ferner, dass die Signaturprüfung eingehender Mails erfolgt, noch bevor sie überhaupt auf dem Mail-Server landen und hier eventuell Schaden verursachen können.
Aber Vorsicht: Obwohl Gateway-Zertifikate, die meist für alle E-Mail-Adressen unterhalb einer Domain sind, weltweit standardisiert sind, könnten einige Mail-Clients diese (noch?) nicht fehlerfrei verarbeiten und lösen entsprechend beim Rezipient Fehlermeldungen aus. Da könnte es dagegen sinnvoller sein, nur bestimmte Team-Postfächer wie buchhaltung@ oder bewerbung@ zu zertifizieren – vor allem eben die Postfächer, die mit vertraulichen Daten arbeiten.
Mails verschlüsseln & signieren: Für sicheren E-Mail-Verkehr
E-Mail-Verschlüsselung sowie die digitale Unterschrift sind zwei verschiedene Paar Schuhe – doch beide wichtig. Die Signierung kommt ja wie gesagt einem Briefsiegel gleich – es ist deshalb garantiert, dass keiner unterwegs den Text abgewandelt hat. Zeitgleich ist durch die elektronische Signatur sichergestellt, dass der Versender auch jener ist, der dieser vorgibt zu sein.
Trotzdem ist der Inhalt, der im Brief steht, in der Theorie auf dem Weg von mehreren einsichtlich – beispielsweise wenn man den versiegelten Schrieb gegen das Licht hält. Mit dem Ziel dies zu unterbinden, ist eine erweiterte Verschlüsselung sinnvoll. Jene sorgt hierfür, dass der Brief gewissermaßen in einen blickdichten Umschlag gesteckt wird und niemand mehr mit Ausnahme von dem Versender und dem Rezipient den Inhalt lesen kann.
Wo werden elektronische Signaturen eingesetzt?
Anfangs wurde die elektronische Signatur vor allem in öffentlichen Verwaltungen eingesetzt und eher weniger in der Privatwirtschaft. Dank einer wachsenden Ausbreitung im E-Commerce wird das Thema aber immer mehr für eine breite Masse zugänglich und gewinnt an Präsenz und Bekanntheit. Immer mehr Firmen verwenden die elektronische Signatur auch schon für einzelne Use-Cases, etwa wenn Verträge elektronisch unterzeichnet und versendet werden.
Ausgangsebene für den gegenwärtigen Stand der Technik bei der elektronischen Mail-Signatur ist übrigens die bezeichnete „Signaturrichtlinie“ der Europäischen Union. Jene regelt, welche Anforderungen eingehalten sein müssen, dass eine digitale Signatur vor Gericht als rechtswirksame Unterschrift anerkannt wird. Kurzform: Es muss sichergestellt werden können, dass der Unterzeichner auch tatsächlich der ist, der er vorgibt zu sein – es muss also ein Urhebernachweis realisierbar sein. Ebenso muss sichergestellt werden können, dass das Schreiben nach dem Unterzeichnen nicht abgeändert wurde – es muss also ein Manipulationsnachweis erbracht werden können.
Was ist eine qualifizierte elektronische Signatur?
Abschließend sei noch erwähnt, dass es nicht nur eine, sondern gleich drei Arten elektronischer Mail-Signaturen gibt: 1) Die allgemeine (AES), 2) die fortgeschrittene (FES) und 3) die qualifizierte elektronische Signatur (QES). Am sichersten ist die letztgenannte, die qualifizierte elektronische Signatur. Diese ist dann notwendig und sinnvoll, wenn höchste Sicherheitsstandards gefordert sind. Sie ist dem Gesetz (§ 2 Nr. 3 SigG) entsprechend gleichgestellt mit einer handgeschriebenen Unterschrift auf Papierblatt. Sie wird demnach für Dokumente und Verträge zur Unterzeichnung angewendet – für den normalen E-Mail-Verkehr hingegen ist diese Form der Unterschrift zu viel, da sie den Einsatz spezieller Hardware, wie Chipkarten und dazugehörigen Lesegeräten, voraussetzt.