S/MIME

S/MIME (Secure/Multipurpose Internet Mail Extensions) stellt eine bekannte und weit verbreitete Verschlüsselungs-Technologie für den E-Mail-Verkehr dar. Damit lassen sich E-Mails vor unerlaubtem Zugriff schützen, signieren und der Absender einer Nachricht verifizieren. S/MIME trägt damit zur Abwehr von Cyber-Angriffen (beispielsweise Phishing-Mails) bei und erhöht die Sicherheit der Kommunikation.

Verschlüsselung des E-Mail-Verkehrs: Überblick und Hintergrund

Ein erster Schritt besteht in der Verschlüsselung der E-Mail-Server mittels digitaler Zertifikate. Diese Form von Verschlüsselung unterbindet es, dass Dritte sich zwischen Mail und Mail-Server schalten. Angreifer haben es oft auf das Abfangen sensibler Daten und Informationen in E-Mails abgesehen. Die Verschlüsselung des Servers ist jedoch nur auf dessen Schutz begrenzt und schützt nicht den Inhalt der Mail selbst. Das bedeutet, dass Mails zwar bei der Übertragung von beziehungsweise an einen verschlüsselten Server sicher sind. Jedoch können Angreifer grundsätzlich auf Nachrichten zugreifen, während sie etwa andere (nicht verschlüsselte) Server durchlaufen. Ebenso können Hacker in ein E-Mail-System gelangen, wo sich die Nachrichten öffnen lassen. An dieser Stelle setzt die Verschlüsselung der einzelnen E-Mails an. Ein Verschlüsselungsstandard wie S/MIME macht die eigentlichen, sensiblen Inhalte der E-Mail weitgehend unzugänglich.

Funktionsweise der S/MIME-Verschlüsselung

Der Standard S/MIME bedient sich des Prinzips der asymmetrischen Verschlüsselung und nutzt zu diesem Zwecke ein Schlüsselpaar. Dieses besteht aus einem öffentlichen Schlüssel (Public Key) und einem privaten Schlüssel (Private Key). Diese beiden Schlüssel sind mittels mathematischer Algorithmen miteinander verknüpft. Von einem öffentlichen Schlüssel ausgehend, ist es mathematisch nicht umsetzbar, einen privaten Schlüssel ausfindig zu machen. Die Verschlüsselung einer E-Mail erfolgt über den öffentlichen Schlüssel. Eine auf diese Weise kodierte Mail lässt sich nur mittels eines privaten Schlüssels wieder entschlüsseln. Der private Schlüssel befindet sich in der Regel im alleinigen Besitz des Empfängers. Sofern der private Schlüssel nicht entdeckt oder manipuliert wird, kann somit nur der Empfänger auf die Mail und die in ihr enthaltenen sensiblen Informationen zugreifen.

Signieren von E-Mails als Identitätsnachweis

Über die Verschlüsselung hinaus ermöglicht der S/MIME-Standard auch das Signieren von E-Mails. Über eine Signatur weist der Absender seine Identität nach. Unternehmen können sich über eine Signatur legitimieren. Bei jeder Erstellung einer neuen E-Mail fügt der private Schlüssel des Absenders der E-Mail eine einzigartige digitale Signatur hinzu.

Sobald die Mail beim Empfänger ankommt und dieser sie öffnet, wird die Signatur durch den jeweiligen öffentlichen Schlüssel verifiziert. Damit hat der Empfänger Gewissheit darüber, dass die E-Mail von einem legitimen Absender stammt. Auf diese Weise lassen sich insbesondere Phishing-Mails, die mit fingierten Absendern arbeiten, identifizieren.

Digitale Signaturen sind für jede Art von E-Mail-Verkehr empfehlenswert. Nicht nur wenn es um externe Kommunikation mit Unternehmen, Kunden oder Geschäftspartnern geht, ist das Signieren nützlich. Auch bei interner Kommunikation mit Mitarbeitern oder auch Freunden empfiehlt sich die digitale Signatur. Damit erhalten E-Mail-Nutzer Schutz vor Angreifern, die beispielsweise E-Mails von Kollegen oder Vorgesetzten imitieren.

Zertifikate und ihre Funktionsweise

Ein wesentlicher Bestandteil der Verschlüsselungstechnik mit S/MIME ist das Zertifikat. Dieses entspricht dem ITU-Standard X.509v3, einer Public-Key-Infrastructure zur Erstellung digitaler Zertifikate. Das Zertifikat beinhaltet sowohl den öffentlichen Schlüssel als auch die Daten des Besitzers, darunter Name und E-Mail-Adresse.

Das Zertifikat selbst wird vom Herausgeber digital signiert. Aussteller digitaler Zertifikate sind Zertifizierungsstellen beziehungsweise eine Certification Authority. Die digitale Verschlüsselung und Signatur von E-Mails mittels S/MIME bedarf der Registrierung bei einer Zertifizierungsstelle und der Beantragung eines Zertifikats. Hierbei existieren unterschiedliche Arten und Ausführungen der Zertifikate. Sie werden je nach Sicherheitsstufe in Klassen eingeteilt und unterscheiden sich hinsichtlich ihrer Kosten. Ein Zertifikat der Klasse 3 bietet eine rechtssichere Signatur, ist jedoch mit jährlichen Kosten verbunden. Zertifikate der Klasse 1 sind kostenlos erhältlich, bedürfen jedoch einer neuen Prüfung, die einmal jährlich erfolgt.

Zertifizierungsstellen und Zertifizierungsklassen

Es gibt verschiedene Ansätze zur Kontrolle der Identität durch die Zertifizierungsstellen. Bei Zertifikaten der Klasse 1 wird lediglich überprüft, ob der Antragsteller die Kontrolle über den E-Mail-Account hat. Prinzipiell kann es sich hierbei um einen Hacker handeln, der Zugriff auf die Zugangsdaten zu einem Mail-Account erhalten hat. Daher sind Mails, die mit Zertifikaten der Klasse 1 verschlüsselt wurden, nicht rechtssicher und nur für die private E-Mail-Kommunikation zu empfehlen.

Zertifizierungen der Klasse 2 enthalten zusätzlich zur E-Mail-Adresse den Namen der Organisation oder des Antragstellers. Hierbei erfolgt zudem eine schriftliche Bestätigung über die Korrektheit der gemachten Angaben. Klasse 3 bedarf weiterhin der Überprüfung des Personalausweises (etwa via Post-Ident-Verfahren) oder des Handelsregistereintrags. Die Klasse 4 erfordert ein persönliches Erscheinen bei der Zertifizierungsstelle. Die Zertifizierung erfolgt in diesem Fall anhand der originalen Dokumente.

Die meisten kostenlosen Anbieter reduzieren ihr Angebot auf Zertifikate der Klasse 1. Die Verschlüsselungstechnik ist in sämtlichen Klassen die gleiche. Die Klasse bezieht sich lediglich auf die Identität des Absenders und dessen Vertrauenswürdigkeit.

Die Certification Authority übernimmt sowohl die Ausstellung als auch die Kontrolle der Zertifikate und Schlüssel. Jeder öffentliche Schlüssel bedarf eines Zertifikats. Da die Überprüfung der Zertifikate der Zertifizierungsstelle obliegt, verfügt diese über ein eigenes Stammzertifikat. Meist sind hierbei noch mehrere Intermediate Certification Authoritys als Zwischen-Instanzen beteiligt. Die Überprüfung der Zertifikate läuft ohne Wissen des Nutzers im Hintergrund ab.