Wozu dient die elektronische Signierung einer Mail?

Phishing-Mails werden immer besser: Als Laie sind die Mails, die da angeblich von PayPal, der Sparkasse & Co. im Posteingang landen, von echten Mails meist schwerlich zu unterscheiden. Im gleichen Atemzug landen im Postausgang jedes Unternehmens tagtäglich vertrauliche Unterlagen und Informationen, die via E-Mail verschickt werden – was soll schon schieflaufen? Im Arbeitsalltag denkt man nicht weiter darüber nach, dass all diese Informationen nach dem Absenden ebenso in unsachgemäße Hände kommen können.

Anders gesagt: Unsere elektronischen Nachrichten sind nicht (mehr) behütet. Denn außer dem Phishing gibt es natürlich auch noch zig weitere Techniken von Hackern, an vertrauliche Daten wie Passwörter, Kreditkarten-Daten oder Logins zu firmeninternen Cloud-Speichersystemen zu kommen.

Eine Option zur Lösung jenes Problems ist die elektronische E-Mail-Signatur. Hierbei dreht es sich um so etwas wie einen Briefsiegel: Die elektronische Signatur sorgt dafür, dass der Rezipient klar erkennen kann, wer der Versender der E-Mail ist und ob der Gehalt auch gleichermaßen so ankommt, wie er verschickt wurde. Die elektronische Signatur ist also nicht zu verwechseln mit der herkömmlichen E-Mail-Signatur, die normalerweise unter dem verfassten Text in der beruflichen Mail-Kommunikation zu finden ist und die Kontaktdaten des Absenders auflistet.

Was ist eine elektronische Signatur?

Ist der Absender tatsächlich der, der er sagt zu sein? Kann es sein, dass die Inhalte der E-Mail-Nachricht auf dem Weg vom Absender zu mir als Empfänger abgefangen und manipuliert wurden? Mithilfe einer elektronischen Signatur sollen nur noch Mails im E-Mail-Fach landen, bei welchen die Antwort auf all diese Fragen „Ja“ lautet.

Technisch gesehen geht es bei der elektronischen Signatur, die ebenso digitale Signatur genannt wird, um eine Testat, das zusammen mit der normalen E-Mail verschickt wird. Mithilfe des Zertifikats kann zum einen die Identifizierung des Absenders unstreitig kontrolliert werden und zusätzlich kann der Empfänger gewiss sein, dass der Inhalt auf dem Weg unberührt blieb.

Mails elektronisch signieren: So geht’s

Will man eine Mail elektronisch signieren, hat man zwei Standards, welche sich etabliert haben: S/MIME und OpenPGP. Die Verfahren agieren beide nach dem gleichen Prinzip – nämlich auf Basis von Hashwerten gepaart mit einem Public-Private-Key-Verfahren – benützen aber unterschiedliche Datenformate. Bedeutsam für die Auswahl einer Methode ist die Unterstützung durch den zutreffenden Mail-Client, denn viele Softwarelösungen fördern entweder das eine oder das andere Verfahren, aber nicht beide zeitgleich.

Bei einer digitalen Signatur handelt es sich um eine Art der asymmetrischen Verschlüsselung. Das heißt: Der Absender einer Mail versendet zwei Schlüssel mit – einen privaten sowie einen öffentlichen. Wichtig hierbei: Das Schlüsselpaar muss von einer förmlichen Zertifizierungsstelle beglaubigt werden. Wird nun eine E-Mail versendet, geschieht Jenes: Durch Hashfunktion wird der Text mit einer Prüfsumme ausgestattet, welche nochmals mit dem privaten Schlüssel verschlüsselt wird und der E-Mail-Nachricht angehangen wird. Trifft die Mail nun beim Empfänger ein, wird anhand des Schlüssels die Prüfsumme entschlüsselt und obendrein erneut errechnet. Gleicht die frisch errechnete Prüfsumme der verschlüsselt mitgesendeten Prüfsumme, ist sichergestellt, dass der Text unberührt geblieben ist. Und der öffentliche Schlüssel? Der kann beispielsweise auch mit der Mail mitgesendet werden oder muss ansonsten vom Empfänger über ein öffentlich zugängliches Register eingeholt werden.

Einzelne Mail-Adressen, Teampostfächer oder Gateway: Unternehmensweite Lösungen

Viele Mail-Clients bieten entsprechende Konfigurationen für elektronische Signaturen an, welche – einmalig eingerichtet – alles im Background automatisiert erledigen. Wer allerdings über einen unternehmensweiten Einsatz einer digitalen Signatur spekuliert, sollte diese Signierung auch durch Gateway in Erwägung ziehen, welches alle ausgehenden E-Mails zentral signiert. Ansonsten ist der Aufwand äußerst hoch, weil man für jeden einzelnen Angestellten ein dediziertes Testat braucht und im Mail-Programm eingetragen werden muss. Außer der vereinfachten Anpassung sowie der zentralen Administration ist der Vorteil eines Gateways zudem, dass die Signaturprüfung ankommender Mails erfolgt, noch ehe sie überhaupt auf dem Mail-Server landen und dort eventuell Schaden anrichten können.

Aber Achtung: Obzwar Gateway-Zertifikate, welche in der Regel für alle E-Mail-Adressen unter einer Domain gelten, international konform sind, könnten einige Mail-Clients diese (noch?) nicht korrekt verarbeiten und lösen entsprechend beim Rezipient Fehlermeldungen aus. Hier könnte es dagegen ratsamer sein, lediglich bestimmte Team-Postfächer wie buchhaltung@ oder bewerbung@ zu zertifizieren – vor allem eben jene Postfächer, die mit vertraulichen Daten tätig sind.

Warum neben der digitalen Signatur eine Mail-Verschlüsselung sinnvoll ist

E-Mail-Verschlüsselung und die digitale Unterschrift sind zwei unterschiedliche Paar Schuhe – doch beide relevant. Die Signierung kommt nämlich wie erwähnt einem Briefsiegel gleich – es ist deshalb garantiert, dass keiner unterwegs den Inhalt verändert hat. Zeitgleich ist durch die elektronische Signatur gewährleistet, dass der Absender auch jener ist, der er sagt zu sein.

Trotzdem ist der Text, der im Brief steht, in der Theorie unterwegs von anderen lesbar – beispielsweise indem man den verschlossenen Brief gegen das Licht hält. Mit dem Ziel dies zu unterbinden, ist eine erweiterte Verschlüsselung sinnvoll. Jene sorgt dafür, dass der Brief quasi in einen blickdichten Umschlag gesteckt wird und niemand mehr mit Ausnahme von dem Absender und dem Empfänger den Text sehen kann.

Für wen sind digitale Signaturen sinnvoll?

Anfangs wurde die elektronische Signatur vor allem in öffentlichen Verwaltungen eingesetzt und eigentlich nicht so in der Privatwirtschaft. Dank einer zunehmenden Verbreitung im E-Commerce wird das Thema aber generell stärker für die große Masse verfügbar und gewinnt an Präsenz und Popularität. Immer mehr Unternehmen nutzen die elektronische Signatur auch schon für einzelne Use-Cases, beispielsweise wenn Verträge elektronisch unterzeichnet und versendet werden.

Ausgangsebene für den aktuellen Stand der Technik bei der elektronischen Mail-Signatur ist übrigens die sogenannte „Signaturrichtlinie“ der Europäischen Union. Jene bestimmt, welche Bedingungen erfüllt sein müssen, damit eine digitale Signatur vor Gericht als rechtswirksame Signatur akzeptiert wird. Kurzform: Es muss sichergestellt werden können, dass der Unterzeichner auch wirklich der ist, der er vorgibt zu sein – es muss deshalb ein Urhebernachweis realisierbar sein. Ebenso muss gewährleistet werden können, dass das Schreiben nach dem Unterzeichnen nicht verändert wurde – es muss also ein Manipulationsnachweis gemacht werden können.

Eine qualifizierte Signatur – wenn’s besonders sicher sein muss

Abschließend sei noch gesagt, dass es nicht nur eine, sondern gleich drei Arten elektronischer Mail-Signaturen gibt:

1) Die allgemeine (AES),

2) die fortgeschrittene (FES) und

3) die qualifizierte elektronische Signatur (QES).

Am sichersten ist die letztgenannte, die qualifizierte elektronische Signatur. Jene ist dann notwendig und sinnvoll, wenn höchste Sicherheitsstandards gefordert sind. Selbige ist dem Gesetz (§ 2 Nr. 3 SigG) zufolge gleichgestellt mit einer handgeschriebenen Unterschrift auf Papierblatt. Sie wird demnach für Dokumente und Verträge zur Unterzeichnung angewendet – für den normalen E-Mail-Verkehr hingegen ist diese Form der Signatur zu viel des Guten, da sie den Gebrauch spezieller Hardware, wie Chipkarten und passenden Lesegeräten, voraussetzt.

Du bist IT-Dienstleister: Du bist an unserem Blogartikel Plus Abo interessiert? Dann freuen wir uns auf Deine Kontaktaufnahme per Mail an ingo.luecker@itleague.de