Die elektronische Mail-Signatur

Phishing-Mails werden immer besser: Als Nichtfachmann sind diese Mails, die da vorgeblich von PayPal, der Sparkasse & Co. im Posteingang eintreffen, von richtigen Nachrichten meist kaum mehr zu unterscheiden. Gleichzeitig landen im Postausgang jeder Firma jeden Tag sensible Dokumente und Informationen, die via E-Mail verschickt werden – was soll denn schiefgehen? Im Arbeitsalltag denkt man nicht weiter darüber nach, dass all die Informationen nach dem Absenden ebenso in falsche Hände kommen können.

Mit anderen Worten: Ihre E-Mails sind nicht (mehr) sicher. Denn neben dem Phishing gibt es selbstverständlich auch noch etliche weitere Methoden von Hackern, an sensible Daten wie Passwörter, Kreditkarten-Daten und Logins zu firmeninternen Cloud-Speichersystemen zu kommen.

Eine Möglichkeit zur Lösung dieses Problems ist die elektronische E-Mail-Signatur. Hierbei handelt es sich um so etwas wie ein Briefsiegel: Die elektronische Signatur steht dafür, dass der Empfänger klar feststellen kann, wer der Versender der Mail ist und inwieweit der Inhalt genauso ankommt, wie er versendet wurde. Die elektronische Signatur ist also nicht zu verwechseln mit der herkömmlichen E-Mail-Signatur, die für gewöhnlich unter dem verfassten Inhalt in der beruflichen Mail-Kommunikation zu sehen ist und die Kontaktdaten des Absenders auflistet. 

Die elektronische Signatur: Briefsiegel der E-Mail

Ist der Absender tatsächlich der, welcher er vorgibt zu sein? Kann ausgeschlossen werden, dass die Texte der E-Mail-Nachricht auf dem Weg vom Absender zu mir als Rezipient aufgehalten und manipuliert wurden? Mithilfe einer elektronischen Unterschrift sollen nur noch E-Mails im E-Mail-Fach landen, bei denen die Auskunft auf all diese Fragen „Ja“ ist. 

Technisch gesehen geht es bei der elektronischen Signatur, die auch digitale Signatur genannt wird, um ein Zertifikat, das gemeinsam mit der normalen E-Mail verschickt wird. Anhand des Zertifikats kann zum einen die Identifikation des Absenders zweifelsfrei geprüft werden und zusätzlich kann der Rezipient sicher sein, dass der Text auf dem Weg unberührt blieb.

So erstellt man eine digitale Signatur

Möchte man eine Mail elektronisch signieren, gibt es zwei Standards, welche sich etabliert haben: S/MIME und OpenPGP. Die Verfahren agieren beide nach dem gleichen Prinzip – nämlich auf Basis von Hashwerten verbunden mit einem Public-Private-Key-Verfahren – verwenden aber unterschiedliche Datenformate. Bedeutsam für die Auswahl einer Methode ist die Unterstützung durch den eigenen Mail-Client, denn etliche Softwarelösungen unterstützen entweder das eine oder das andere Verfahren, aber nicht alle beide gleichzeitig. 

Bei einer digitalen Unterschrift handelt es sich um eine Form der asymmetrischen Verschlüsselung. Das bedeutet: Der Versender einer Mail versendet zwei Schlüssel mit – einen privaten sowie einen öffentlichen. Entscheidend hierbei: Das Schlüsselpaar muss von einer offiziellen Zertifizierungsstelle verifiziert werden. Wird nun eine E-Mail verschickt, passiert Folgendes: Durch Hashfunktion wird der Inhalt mit einer Prüfsumme ausgestattet, welche wiederum mit dem nicht-öffentlichen Schlüssel gesichert wird und der E-Mail-Nachricht angehangen wird. Trifft die E-Mail dann beim Empfänger ein, wird mithilfe des Schlüssels die Prüfsumme entschlüsselt und obendrein erneut errechnet. Entspricht die neu errechnete Prüfsumme der verschlüsselt mitgesendeten Prüfsumme, ist sichergestellt, dass der Text unverändert geblieben ist. Und der öffentliche Schlüssel? Der kann beispielsweise auch mit der E-Mail-Nachricht mitgesendet werden oder muss ansonsten vom Empfänger über ein öffentlich zugängliches Verzeichnis bezogen werden.

Einzelne Mail-Adressen, Teampostfächer oder Gateway: Unternehmensweite Lösungen

Einige Mail-Clients bieten jeweilige Konfigurationen für elektronische Signaturen an, die – einmalig eingerichtet – all das im Background automatisch erledigen. Wer allerdings über einen unternehmensweiten Gebrauch einer digitalen Signatur spekuliert, sollte die Signierung auch mittels Gateway in Betracht ziehen, welches alle ausgehenden Mails zentral signiert. Andernfalls ist der Arbeitsaufwand äußerst hoch, da man für jeden Angestellten ein dediziertes Zertifikat benötigt und im Mail-Programm hinterlegt werden muss. Neben der vereinfachten Konfiguration sowie der zentralen Administration ist der Vorteil eines Gateways ferner, dass die Signaturprüfung ankommender Mails geschieht, noch ehe sie überhaupt auf dem Mail-Server landen und dort womöglich Schaden verursachen können. 

Aber Achtung: Obzwar Gateway-Zertifikate, die meist für alle E-Mail-Adressen unter einer Webadresse sind, international standardisiert sind, könnten manche Mail-Clients sie (noch?) nicht fehlerfrei verarbeiten und lösen daher beim Rezipient Fehlermeldungen aus. Da könnte es dagegen sinnvoller sein, lediglich bestimmte Teampostfächer wie buchhaltung@ oder bewerbung@ zu zertifizieren – besonders eben die Postfächer, die mit vertraulichen Informationen tätig sind.

Sind Mail-Verschlüsselung und elektronische Signatur das gleiche?

E-Mail-Verschlüsselung und die digitale Unterschrift sind zwei verschiedene Paar Schuhe – aber beide relevant. Die Signierung kommt nämlich, wie zuvor erwähnt, einem Briefsiegel gleich – es ist deshalb sichergestellt, dass niemand auf dem Weg den Inhalt verändert hat. Gleichzeitig ist durch die elektronische Signatur sichergestellt, dass der Absender auch der ist, der er vorgibt zu sein. 

Dennoch ist der Inhalt, der im Brief steht, theoretisch von mehreren einzusehen – zum Beispiel, indem man den versiegelten Schrieb gegen eine Lampe hält. Um das zu unterbinden, ist eine zusätzliche Verschlüsselung sinnig. Diese sorgt hierfür, dass der Brief gewissermaßen in einen blickdichten Briefumschlag gepackt wird und keiner mehr außer dem Absender und dem Rezipient den Text lesen kann. 

Digitale Signaturen sind nur was für die Verwaltung? Von wegen!

Anfangs wurde die elektronische Signatur vorwiegend in öffentlichen Verwaltungen angewandt und eigentlich weniger in der Privatwirtschaft. Dank einer wachsenden Ausbreitung im E-Commerce wird das Thema aber immer mehr für eine große Masse zugänglich und gewinnt an Präsenz und Popularität. Immer mehr Firmen verwenden die elektronische Signatur zudem schon für bestimmte Use-Cases, beispielsweise wenn Verträge elektronisch unterzeichnet und verschickt werden.

Ausgangsebene für den aktuellen Stand der Technik bei der elektronischen Mail-Signatur ist im Übrigen die bezeichnete „Signaturrichtlinie“ der Europäischen Union. Jene bestimmt, welche Bedingungen erfüllt sein müssen, dass eine digitale Signatur vor Gericht als rechtswirksame Unterschrift akzeptiert wird. Kurzform: Es muss garantiert werden können, dass der Unterzeichner auch tatsächlich der ist, der er vorgibt zu sein – es muss deshalb ein Urhebernachweis realisierbar sein. Außerdem muss sichergestellt werden können, dass das Dokument nach dem Unterzeichnen nicht verändert wurde – es muss daher ein Manipulationsnachweis gemacht werden können.

Außerordentlich sicher: Die qualifizierte elektronische Signatur

Als letzten Punkt sei noch gesagt, dass es nicht nur eine, sondern gleich drei Arten elektronischer Mail-Signaturen gibt: 1) Die allgemeine (AES), 2) die fortgeschrittene (FES) und 3) die qualifizierte elektronische Signatur (QES). Am hochwertigsten ist die letztgenannte, die qualifizierte elektronische Signatur. Jene ist dann notwendig und sinnig, wenn allerhöchste Sicherheitsstandards gefordert sind. Selbige ist dem Gesetz (§ 2 Nr. 3 SigG) entsprechend gleichgestellt mit einer handgeschriebenen Unterschrift auf Papier. Sie wird also für Dokumente und Verträge zur Unterzeichnung angewendet – für den normalen E-Mail-Austausch hingegen ist diese Art der Signatur zu viel des Guten, da sie den Gebrauch spezieller Hardware, etwa Chipkarten und passenden Lesegeräten, voraussetzt. 

Ihr Kontakt: André Bruns  +49 (421) 6 99 01-0