Die elektronische Mail-Signatur: Wozu sie dient & wer sie braucht
Phishing-Mails werden immer ausgereifter: Als Nichtfachmann sind die Nachrichten, die da vorgeblich von PayPal, der Sparkasse & Co. im Posteingang landen, von echten Mails oft kaum mehr zu differenzieren. Im gleichen Atemzug landen im Postausgang jeder Firma tagtäglich vertrauliche Dokumente und Auskünfte, die per E-Mail verschickt werden – was soll denn schieflaufen? Im Arbeitsalltag denkt man nicht weiter darüber nach, dass all die Informationen nach dem Absenden ebenso in unsachgemäße Hände kommen können.
Anders gesagt: Unsere elektronischen Nachrichten sind nicht (mehr) behütet. Denn außer dem Phishing gibt es selbstverstandlich auch noch zig andere Techniken von Hackern, an vertrauliche Daten wie Passwörter, Kreditkarten-Daten oder Logins zu firmeninternen Cloud-Speichersystemen zu kommen.
Eine Option zur Lösung dieses Problems ist die elektronische E-Mail-Signatur. Hierbei handelt es sich um so etwas wie einen Briefsiegel: Die elektronische Signatur sorgt dafür, dass der Empfänger klar feststellen kann, wer der Absender der Mail ist und ob der Inhalt auch gleichermaßen so ankommt, wie diese versendet wurde. Die elektronische Signatur ist somit nicht zu vertauschen mit der herkömmlichen E-Mail-Signatur, die für gewöhnlich unter dem verfassten Text in der geschäftlichen Mail-Kommunikation zu sehen ist und dort die Kontaktinformationen des Absenders enthält.
Die elektronische Signatur: Der Briefsiegel der E-Mail
Ist der Absender wirklich der, der er sagt zu sein? Kann ausgeschlossen werden, dass die Inhalte der E-Mail-Nachricht auf der Strecke vom Absender zu mir als Rezipient abgefangen und manipuliert wurden? Mithilfe einer elektronischen Signatur sollen nur noch Mails im Posteingang landen, bei denen die Auskunft auf all diese Fragen „Ja“ lautet.
Technisch gesehen geht es bei der elektronischen Signatur, die auch digitale Signatur genannt wird, um ein Zertifikat, das zusammen mit der eigentlichen E-Mail versendet wird. Anhand des Zertifikats kann zum einen die Identifizierung des Absenders zweifelsfrei geprüft werden und zum anderen kann der Empfänger sicher sein, dass der Text auf dem Weg unverändert geblieben ist.
Elektronische Signierung von E-Mail: So funktioniert es
Möchte man eine E-Mail elektronisch unterzeichnen, hat man zwei Standards, die sich bewährt haben: S/MIME und OpenPGP. Die Verfahrensweisen funktionieren beide nach demselben Prinzip – nämlich auf der Grundlage von Hashwerten verbunden mit einem Public-Private-Key-Verfahren – verwenden aber unterschiedliche Datenformate. Bedeutsam für die Wahl eines Verfahrens ist die Unterstützung durch den zutreffenden Mail-Client, weil etliche Softwarelösungen fördern entweder das eine oder das andere Verfahren, aber nicht beide gleichzeitig.
Bei einer digitalen Unterschrift dreht es sich um eine Form der asymmetrischen Verschlüsselung. Das bedeutet: Der Versender einer E-Mail verschickt zwei Schlüssel mit – einen privaten und einen öffentlichen. Wichtig hierbei: Das Schlüsselpaar muss von einer förmlichen Zertifizierungsstelle verifiziert werden. Wird nun eine E-Mail verschickt, geschieht Jenes: Durch Hashfunktion wird der Text mit einer Prüfsumme versehen, die nochmals mit dem nicht-öffentlichen Schlüssel gesichert wird und der E-Mail angehangen wird. Trifft die Mail dann beim Empfänger ein, wird anhand des Schlüssels die Prüfsumme entschlüsselt und obendrein erneut errechnet. Gleicht die neu errechnete Prüfsumme der verschlüsselt mitgesendeten Prüfsumme, ist garantiert, dass der Text unverändert geblieben ist. Und der öffentliche Schlüssel? Der darf beispielsweise auch mit der E-Mail-Nachricht mitgesendet werden oder muss alternativ vom Empfänger über ein öffentlich zugängliches Register bezogen werden.
Sichere deine E-Mails mit unternehmensweiten Signaturen
Viele Mail-Clients bieten entsprechende Konfigurationen für elektronische Signaturen an, die – einmalig eingerichtet – all das im Hintergrund automatisch durchführen. Wer jedoch über einen unternehmensweiten Einsatz einer digitalen Signatur spekuliert, sollte die Signierung auch mittels Gateway in Erwägung ziehen, welches alle abgehenden Mails zentral signiert. Andernfalls ist der Aufwand äußerst hoch, da man für jeden einzelnen Angestellten ein dediziertes Zertifikat braucht und im Mail-Programm eingetragen werden muss. Außer der vereinfachten Anpassung sowie der zentralen Administration ist der Nutzen eines Gateways ferner, dass die Signaturprüfung eingehender Mails geschieht, noch ehe sie sogar auf dem Mail-Server landen und hier eventuell Schaden verursachen können.
Aber Achtung: Obzwar Gateway-Zertifikate, die meist für alle E-Mail-Adressen unter einer Webadresse sind, international konform sind, könnten einige Mail-Clients diese (noch?) nicht korrekt verarbeiten und lösen entsprechend beim Empfänger Fehlermeldungen aus. Hier kann es dagegen ratsamer sein, nur bestimmte Team-Postfächer wie buchhaltung@ oder etwa bewerbung@ zu zertifizieren – vor allem eben die Postfächer, die mit sensiblen Informationen tätig sind.
Mails verschlüsseln & signieren: Für sicheren E-Mail-Verkehr
E-Mail-Verschlüsselung und die digitale Signierung sind zwei unterschiedliche Paar Schuhe – doch beide wichtig. Die Signierung kommt nämlich wie erwähnt einem Briefsiegel gleich – es ist deshalb sichergestellt, dass niemand auf dem Weg den Inhalt abgewandelt hat. Zeitgleich ist durch die elektronische Signatur gewährleistet, dass der Absender auch der ist, der er vorgibt zu sein.
Dennoch ist der Inhalt, der im Brief steht, theoretisch unterwegs von anderen lesbar – zum Beispiel wenn man den versiegelten Brief gegen eine Lampe hält. Mit dem Ziel dies zu verhindern, ist eine erweiterte Verschlüsselung sinnvoll. Jene sorgt dafür, dass der Brief quasi in einen blickdichten Umschlag gepackt wird und keiner mehr außer dem Absender und dem Rezipient den Inhalt lesen kann.
Wo wird die elektronische Signatur genutzt?
Am Anfang wurde die elektronische Signatur vor allem in öffentlichen Verwaltungen angewandt und eigentlich nicht so in der Privatwirtschaft. Dank einer wachsenden Verbreitung im E-Commerce wird das Thema aber generell mehr für eine breite Masse verfügbar und gewinnt an Sichtbarkeit und Popularität. Immer mehr Firmen verwenden die elektronische Signatur zudem schon für einzelne Use-Cases, etwa wenn Policen elektronisch unterzeichnet und versendet werden.
Ausgangsebene für den gegenwärtigen Stand der Technik bei der elektronischen Mail-Signatur ist im Übrigen die sogenannte „Signaturrichtlinie“ der Europäischen Union. Jene bestimmt, welche Anforderungen erfüllt sein müssen, damit eine digitale Signatur vor Gericht als rechtswirksame Signatur akzeptiert wird. Kurzform: Es muss garantiert werden können, dass der Unterzeichner auch tatsächlich der ist, der er vorgibt zu sein – es muss also ein Urhebernachweis realisierbar sein. Außerdem muss sichergestellt werden können, dass das Dokument nach dem Unterzeichnen nicht verändert wurde – es muss daher ein Manipulationsnachweis gemacht werden können.
Eine qualifizierte Signatur – wenn’s besonders sicher sein muss
Abschließend sei noch gesagt, dass es nicht bloß eine, sondern sogar drei Arten elektronischer Mail-Signaturen gibt: 1) Die allgemeine (AES), 2) die fortgeschrittene (FES) und 3) die qualifizierte elektronische Signatur (QES). Am sichersten ist die letztgenannte, die qualifizierte elektronische Signatur. Jene ist dann nötig und sinnig, wenn allerhöchste Sicherheitsstandards erwünscht sind. Sie ist dem Gesetz (§ 2 Nr. 3 SigG) zufolge gleichgestellt mit einer handschriftlich getätigten Unterschrift auf Papierblatt. Sie wird demnach für Dokumente und Verträge zur Unterzeichnung eingesetzt – für den normalen E-Mail-Verkehr dagegen ist diese Art der Unterschrift zu viel, da sie den Gebrauch spezieller Hardware, beispielsweise Chipkarten sowie passenden Lesegeräten, voraussetzt.