E-Mails können relativ einfach verfälscht werden: ein bekannter Absender wird vorgetäuscht oder Inhalte einer echten Mail können verändert werden. Auch Profis können nicht immer einfach beurteilen, ob eine E-Mail echt ist und vom "richtigen" Absender stammt.
Auch hier können Zertifikate helfen, mit deren Hilfe sich E-Mails digital signieren lassen. Nicht zu verwechseln sind diese digitalen Signaturen mit Visitenkarten-Anhängen oder Signaturen im E-Mail-Text, die Kontaktinformationen zum Absender enthalten. Bei den hier beschriebenen digitalen Signaturen handelt es sich vielmehr um eine Art Unterschrift, um die Echtheit einer E-Mail zu besiegeln. Die Mail-Programme nutzen daher auch meist ein Siegel-artiges Symbol, um die digitale Signatur darzustellen. Die gängigen Mail-Programme auf Desktop- und mobilen Geräten unterstützen die digitale Signatur.
Zum Einsatz kommt die sogenannte asymmetrische Verschlüsselung (Public-Key-Verfahren): der Absender besitzt ein Schlüsselpaar bestehend aus einem öffentlichen und einem privaten Schlüssel. Für die digitale Signatur wird vom Mail-Programm eine Prüfsumme der zu signierenden Daten erstellt und mit dem privaten Schlüssel des Absenders verschlüsselt. Der Mailtext, die verschlüsselte Prüfsumme und das verwendete Zertifikat werden dann versandt. Das Mailprogramm des Empfängers kann mit dem (im Zertifikat enthaltenen) öffentlichen Schlüssel die Prüfsumme entschlüsseln und so die Unversehrtheit der E-Mail und die Identität des Absenders überprüfen.
Gängig sind die beiden Verfahren S/MIME und PGP. Beide funktionieren nach dem Public-Key-Verfahren, sind aber nicht kompatibel. Die RUB betreibt eine Public-Key-Infrastruktur (PKI) und stellt allen Mitgliedern und Angehörigen der RUB kostenlos Zertifikate zur Verfügung, die die digitale Signatur ermöglichen. Damit wird insbesondere die verlässliche Zuordnung eines Zertifikats zu einer Mailadresse sichergestellt.
Das zu verwendende Mail-Programm muss das digitale Signieren unterstützen. Die gängigen Programme und Apps tun das bereits von Haus aus.
Man muss ein gültigen S/MIME-Zertifikat haben. Das Zertifikat wird über das DFN-PKI-Portal online beantragt und wird anschließend unter Vorlage eines amtlichen Lichtbildausweises im Servicecenter von IT.SERVICES geprüft. Nach der Erzeugung des Zertifikats wird man per E-Mail benachrichtigt und kann unter dem dabei übermittelten Link das eigene Zertifikat speichern und in die erforderlichen Programme importieren. IT.Services hat ein Shortguide zur Beantragung, Ausstellung und Sicherung persönlicher Nutzerzertifikate erstellt.
Beim Online-Antrag wurde bereits der persönliche Schlüssel auf dem eigenen Rechner erzeugt.
Die Programme nutzen in der Regel ein Siegel-Symbol zum Hinweis auf die digitale Signatur.
Das verwendete Mail-Programm erledigt die Überprüfung eigenständig und ohne weiteres Zutun beim Öffnen einer E-Mail. Alle notwendigen Informationen entnimmt es dazu der signierten E-Mail und seinem internen Zertifikatspeicher.
Ein Betriebssystem, Browser oder Mail-Programm vertraut den in seinem Zertifikatspeicher abgelegten, sogenannten Wurzel-Zertifikaten sowie den vom User installierten weiteren Zertifikaten. Auch bei Updates und Aktualisierungen der Systeme werden Zertifikate installiert oder auch gelöscht. Die an der RUB ausgegebenen Zertifikate der DFN-PKI haben ein Wurzel-Zertifikat der T-Systems integriert. Dieses ist in den aktuellen Applikationen anerkannt. Die RUB-Zertifikate "erben" somit den Vertrauensstatus des Wurzel-Zertifikats. Außerdem wird geprüft, ob das Zertifikat noch nicht abgelaufen ist, Absender und Zertifikat-Inhaber übereinstimmen und die Prüfsumme übereinstimmt. Bei falscher Prüfsumme ist eine gefälschte oder fehlerhafte Mailübertragung anzunehmen.
Die manuelle Überprüfung einer E-Mail ist möglich, indem man auf das jeweilige Siegel-Symbol klickt. Neben Detailinformationen zur E-Mail und zum Zertifikat werden hier auch mögliche Probleme mit einem Zertifikat angezeigt.
Die Mailprogramme reagieren bei Unstimmigkeiten unterschiedlich. Meist werden andere Symbole zur Warnung dargestellt. Unter Umständen wird aber auch lediglich gewarnt, dass die digitale Signatur nicht überprüft werden kann.
Es empfiehlt sich, in solchen Fällen die Zertifikatsdetails genauer anzusehen. Häufig sind abgelaufene Zertifikate das Problem - auch diese werden als nicht vertrauenswürdig eingestuft.
Auch Zertifikate fremder PKIs sind unter Umständen noch nicht im Zertifikatspeicher des Betriebssystems oder Mail-Programme vorhanden. Nach Rücksprache mit dem Absender der fraglichen Mail kann man auch einem solchen Zertifikat dauerhaft vertrauen.
Das digitale Signieren von E-Mails ist einfach und verlässlich. Ist ein persönliches Zertifikat einmal auf den verwendeten IT-Geräten installiert und das Mail-Programm mit den richtigen Einstellungen versehen, funktioniert im Alltag in der Regel alles reibungslos. Den eigenen privaten Schlüssel gilt es natürlich zu schützen - wer den hat, kann im Namen des Eigentümers handeln.
Mit einer flächendeckenden Vorsorgung mit Zertifikaten und standardmäßiger Verwendung digitaler Signaturen fällt die jeweilige Beurteilung der Echtheit leichter.
Bildquellen: pixabay.com | erhui1979
ITSB