Wieso eine elektronische E-Mail-Signatur sinnvoll ist
Phishing-Mails werden immer ausgereifter: Als Laie sind die Mails, die da vorgeblich von PayPal, der Sparkasse & Co. im Posteingang eintreffen, von richtigen Nachrichten meist schwerlich zu differenzieren. Gleichzeitig landen im Postausgang jeder Firma tagtäglich sensible Unterlagen und Auskünfte, die per E-Mail verschickt werden – was soll denn schieflaufen? Im Arbeitsalltag denkt man nicht viel darüber nach, dass all die Informationen nach dem Absenden ebenfalls in falsche Hände geraten könnten.
Anders gesagt: Unsere elektronischen Nachrichten sind nicht (mehr) sicher. Denn außer dem Phishing gibt es selbstverstandlich auch noch etliche weitere Methoden von Hackern, an vertrauliche Daten wie Passwörter, Kreditkarten-Daten oder Logins zu firmeninternen Cloud-Speichersystemen zu gelangen.
Eine Möglichkeit zur Lösung dieses Problems ist die elektronische E-Mail-Signatur. Dabei dreht es sich um so etwas wie einen Briefsiegel: Die elektronische Signatur sorgt dafür, dass der Empfänger eindeutig erkennen kann, wer der Absender der Mail ist und ob der Gehalt auch gleichermaßen so ankommt, wie diese versendet wurde. Die elektronische Signatur ist also nicht zu verwechseln mit der üblichen E-Mail-Signatur, die für gewöhnlich unter dem geschriebenen Inhalt in der beruflichen Mail-Kommunikation zu finden ist und die Kontaktdaten des Absenders auflistet.
Der Sicherheitscheck für Mails: Die elektronische Signatur
Ist der Versender tatsächlich der, welcher er vorgibt zu sein? Kann es sein, dass die Inhalte der Mail auf der Strecke vom Absender zu Ihnen als Rezipient aufgehalten und manipuliert wurden? Mithilfe einer elektronischen Unterschrift sollen nur noch E-Mails im E-Mail-Fach landen, bei denen die Auskunft auf all diese Unklarheiten „Ja“ lautet.
Technisch betrachtet geht es bei der elektronischen Signatur, die auch digitale Signatur genannt wird, um eine Testat, das zusammen mit der eigentlichen E-Mail versendet wird. Mithilfe des Zertifikats kann zum einen die Identifikation des Absenders unstreitig geprüft werden und zusätzlich kann der Rezipient sicher sein, dass der Text auf dem Weg unverändert geblieben ist.
So erstellt man eine digitale Signatur
Möchte man eine Mail elektronisch unterzeichnen, hat man zwei Standards, welche sich bewährt haben: S/MIME und OpenPGP. Die Verfahren agieren beide nach dem gleichen Konzept – nämlich auf Basis von Hashwerten gepaart mit einem Public-Private-Key-Verfahren – benützen aber verschiedene Datenformate. Entscheidend für die Wahl eines Verfahrens ist die Unterstützung durch den zutreffenden Mail-Client, denn etliche Softwarelösungen unterstützen entweder das eine oder das andere Verfahren, aber nicht alle beide zeitgleich.
Bei einer digitalen Signatur handelt es sich um eine Form der asymmetrischen Verschlüsselung. Das bedeutet: Der Absender einer E-Mail versendet zwei Schlüssel mit – einen privaten sowie einen öffentlichen. Wichtig dabei: Das Schlüsselpaar muss von einer offiziellen Zertifizierungsstelle verifiziert werden. Wird dann eine E-Mail verschickt, passiert Folgendes: Mittels Hashfunktion wird der Inhalt mit einer Prüfsumme ausgestattet, welche nochmals mit dem nicht-öffentlichen Schlüssel verschlüsselt wird und der E-Mail-Nachricht angehangen wird. Trifft die E-Mail dann beim Rezipienten ein, wird mithilfe des Schlüssels die Prüfsumme entschlüsselt und erneut errechnet. Entspricht die neu errechnete Prüfsumme der verschlüsselt mitgesendeten Prüfsumme, sei garantiert, dass der Text unverändert geblieben ist. Und der öffentliche Schlüssel? Der kann beispielsweise auch mit der E-Mail-Nachricht mitgesendet werden oder muss ansonsten vom Rezipienten über ein öffentlich zugängliches Register bezogen werden.
Geschäftskommunikation sicherer machen
Viele Mail-Clients bieten jeweilige Konfigurationen für elektronische Signaturen an, die – einmal etabliert – all das im Background automatisiert durchführen. Wer allerdings über einen unternehmensweiten Gebrauch einer digitalen Signatur nachdenkt, sollte diese Signierung auch durch Gateway in Erwägung ziehen, welches alle abgehenden E-Mails zentral signiert. Ansonsten ist der Arbeitsaufwand äußerst hoch, da man für jeden Angestellten ein dediziertes Zertifikat benötigt und im Mail-Programm hinterlegt werden muss. Neben der vereinfachten Anpassung sowie der zentralen Administration ist der Nutzen eines Gateways ferner, dass die Signaturprüfung eingehender E-Mails erfolgt, noch bevor sie überhaupt auf dem Mail-Server landen und hier eventuell Schaden verursachen können.
Aber Vorsicht: Obzwar Gateway-Zertifikate, welche in der Regel für alle E-Mail-Adressen unterhalb einer Webadresse gelten, international konform sind, könnten einige Mail-Clients sie (noch?) nicht korrekt verarbeiten und lösen entsprechend beim Empfänger Fehlermeldungen aus. Hier kann es stattdessen sinnvoller sein, nur bestimmte Team-Postfächer wie buchhaltung@ oder etwa bewerbung@ zu zertifizieren – vor allem eben die Postfächer, die mit sensiblen Daten arbeiten.
Warum neben der digitalen Signatur eine Mail-Verschlüsselung sinnvoll ist
E-Mail-Verschlüsselung sowie die digitale Unterschrift sind zwei unterschiedliche Paar Schuhe – aber beide wichtig. Die Signierung kommt ja wie gesagt einem Briefsiegel gleich – es ist deshalb garantiert, dass keiner auf dem Weg den Text verändert hat. Zeitgleich ist über die elektronische Signatur sichergestellt, dass der Versender auch jener ist, der er vorgibt zu sein.
Dennoch ist der Inhalt, der im Brief steht, theoretisch auf dem Weg von anderen einsichtlich – beispielsweise indem man den versiegelten Schrieb gegen das Licht hält. Um das zu verhindern, ist eine zusätzliche Verschlüsselung sinnvoll. Diese sorgt hierfür, dass der Brief quasi in einen blickdichten Briefumschlag gepackt wird und keiner mehr mit Ausnahme von dem Absender und dem Rezipient den Text lesen kann.
Wo werden elektronische Signaturen eingesetzt?
Am Anfang wurde die elektronische Signatur besonders in öffentlichen Verwaltungen eingesetzt und eigentlich nicht so in der Privatwirtschaft. Aufgrund einer wachsenden Verbreitung im E-Commerce wird das Thema aber generell mehr für eine große Masse zugänglich und gewinnt an Sichtbarkeit und Popularität. Immer mehr Unternehmen nutzen die elektronische Unterschrift auch schon für einzelne Use-Cases, beispielsweise wenn Verträge elektronisch unterschrieben und versendet werden.
Ausgangsebene für den gegenwärtigen Stand der Technik bei der elektronischen Mail-Signatur ist im Übrigen die bezeichnete „Signaturrichtlinie“ der Europäischen Union. Jene bestimmt, welche Bedingungen erfüllt sein müssen, damit eine digitale Signatur vor Gericht als rechtswirksame Signatur akzeptiert wird. Kurzform: Es muss garantiert werden können, dass der Unterzeichner auch wirklich jener ist, der er vorgibt zu sein – es muss deshalb ein Urhebernachweis realisierbar sein. Außerdem muss gewährleistet werden können, dass das Schreiben nach dem Unterschreiben nicht verändert wurde – es muss also ein Manipulationsnachweis gemacht werden können.
Was ist eine qualifizierte elektronische Signatur?
Abschließend sei noch gesagt, dass es nicht bloß eine, sondern gleich drei Formen elektronischer Mail-Signaturen gibt:
1) Die allgemeine (AES),
2) die fortgeschrittene (FES)
3) die qualifizierte elektronische Signatur (QES)
Am sichersten ist die letztgenannte, die qualifizierte elektronische Signatur. Diese ist dann nötig und sinnvoll, wenn allerhöchste Sicherheitsstandards gefordert sind. Selbige ist dem Gesetz (§ 2 Nr. 3 SigG) zufolge gleichgestellt mit einer handgeschriebenen Unterschrift auf Papier. Sie wird demnach für Dokumente sowie Verträge zur Unterzeichnung eingesetzt – für den gewöhnlichen E-Mail-Austausch hingegen ist diese Form der Signatur zu viel, da sie den Einsatz spezieller Hardware, beispielsweise Chipkarten sowie dazugehörigen Lesegeräten, voraussetzt.
Sie möchten noch mehr zum Thema elektronische Signatur erfahren? Dann setzen Sie sich mit uns in Verbindung.
