Vermutlich haben Sie im letzten Jahr über die sogenannte Deutschland-Mail gelesen, bzw. einen Werbespot der Post zum E-Post Dienst gesehen. Während die DE-Mail nur als Gesetzentwurf existiert, ist E-Post teuer, unsicher und nicht für die Kommunikation mit Behörden geeignet. Sichere E-Mails gibt es aber schon seit Jahren. Das Stichwort lautet S/Mime.

 

Gundsätzliches

Wenn Sie die verschlüsselte Webseite (https) von Ihrer Bank aufrufen, dann wir Ihnen vielleicht aufgefallen sein, dass in der Adresszeile ein Schloss oder ein Farbsymbol vor der Adresse steht.
Die Webseite hat einen Schlüssel zur Verschlüsselung der Kommunikation zwischen Browser und Server gesendet. Der Browser schaut vor Beginn des Seitenaufbaus über den Schlüssel der zuständigen Zertifizierungsstelle nach, ob der Schlüssel für die Adresse (z.B. www.irgendwas.de) gültig ist. (Schlüssel/Schloss-Prinzip)

smime-https

Die Funktion der externen Zertifizierungsstelle ist nicht unbedingt notwendig, gibt aber zusätzliche Sicherheit. Bei selbst erstellten Zertifikaten, abgelaufenen Zertifikaten oder unbekannten Zertifizierungsstellen erzeugen die Browser deshalb eine Warnung. HTTPs Verbindungen laufen automatisch für den Benutzer unmerklich im Hintergrund ab.

S/Mime basiert auf demselben Prinzip und wird von allen E-Mailprogrammen und Diensten unterstützt.

Bei E-Mails muss man zwischen zwei Anwendungsfällen unterscheiden:

  1. Die E-Mail wird digital unterschrieben (signiert) und garantiert die Echtheit des Absenders, den Zeitpunkt und den unveränderten Inhalt.
  2. Die E-Mail wird mit dem öffentlichen Schlüssel des Empfängers verschlüsselt um dann beim Empfänger entschlüsselt zu werden. Empfänger und Sender benötigen einen eigenen Schlüssel und den öffentlichen Schlüssel des jeweils anderen.

Der erste Fall dürfte häufiger vorkommen. Damit die Echtheit der versendeten E-Mails von allen Empfängern zweifelsfrei bestätigt werden kann, braucht man auch hier einen Schlüssel von einer Zertifizierungsstelle (Trustcenter) wie GeoTrust oder Verisign. Die lassen sich aber ihre Dienste mit 5-12 € pro Monat und Mailadresse sehr gut bezahlen. Das ist auch der Grund weshalb E-Mails kaum verschlüsselt werden.

 

Die Kostenlos-Methode

Es gibt zwar gemeinnützige Authentifizierungsstellen. (z.B. Cacert) Die werden aber nicht überall unterstützt und erzeugen möglicherweise Warnungen bei den Empfängern.

Der Dienst Instantssl von Comodo bietet ein offizielles Zertifikat an, das kostenlos ist und ohne großen Aufwand bestellt werden kann. Dieses Zertifikat ist ein Jahr gültig.

Nach der Eingabe des Namens und der E-Mailadresse erhält man einen Link zum Download des Zertifikat. Mit dem Internet Explorer installiert sich das Zertifikat automatisch und man muss im Mailprogramm nur noch angeben, dass Sie beim Versenden über ein bestimmtes Mailkonto verwendet werden soll.

Bei Windows Mail unter: Extras -> Optionen -> Sicherheit -> Sichere E-Mails -> Digitale IDs
Bei Thunderbird unter: Bearbeiten -> Konten-Einstellungen -> S/Mime-Sicherheit

smime-id

Bei der Benutzung von Outlook oder Thunderbird oder der Verwendung von anderen Webbrowsern ist es etwas umständlicher. Hier muss der private Schlüssel aus der Zertifikatsverwaltung des Webbrowsers exportiert werden, um dann in die Zertifikatsverwaltung des Mailprogramms importiert zu werden.
Auf den Seiten der Uni Köln gibt es eine Anleitung für Outlook und Thunderbird:

http://rrzk.uni-koeln.de/smime-ie-outlook.html

Ab jetzt werden Sie und der Empfänger eine Signatur vorfinden, die die Echtheit der Email mit allen Einzelheiten bestätigt. Nicht nur im Geschäftsverkehr ist das sinnvoll. Auch bei Streitigkeiten mit Kundendiensten kann es praktisch sein einen Nachweis zu haben.

smime-signatur

 

Verschlüsselt E-Mails senden und Empfangen

Mit S/Mime allein ist es aber nicht getan. Das E-Mail-Protokoll ist schon sehr alt und dementsprechend unsicher. Häufig erfolgt die Kommunikation mit dem Mailserver über POP3, IMAP und SMTP unverschlüsselt. Da dabei sogar das Passwort unverschlüsselt übertragen wird, gibt es mittlerweile auch Protokolle die zwischen Mailserver und dem Lokalen Computer verschlüsseln. Es ist SSL/TLS, das ähnlich funktioniert wie die verschlüsselte Kommunikation zwischen Webbrowser und Webseite. Wir empfehlen unbedingt die Verschlüsselung einzuschalten.
Ob sie sicher Daten mit ihrem Mailserver austauschen oder nicht können Sie in den Einstellungen Ihres E-Mailprogramms überprüfen. Wenn Sie in den Einstellungen sehen, das SSL/TLS bzw. STARTTLS verwendet werden oder als Port für den Empfang 993 und für den Versand 465 eingestellt sind, dann werden sichere Protokolle benutzt.

ssl-einstellungen

Je nach Provider können die Einstellungen für SSL/TLS bzw. STARTTLS unterschiedlich sein. Bitte benutzen Sie die Anleitung Ihres Providers um die notwendigen Parameter zu erfahren.

 

Siehe auch