Das Mail-System der RUB lässt nur verschlüsselte Verbindungen zwischen Mail-Client bzw. Web-Mail und den zentralen Mailservern zu. Auf den Mailservern liegen E-Mails allerdings im Klartext. Wer Zugriff auf Mailserver hat, kann auch auf die gespeicherten E-Mails zugreifen.
Abhilfe bietet hier die sogenannte Ende-zu-Ende-Verschlüsselung. Sie sorgt dafür, dass eine E-Mail in verschlüsselter Form vom Absender verschickt wird und nur der Empfänger diese wieder entschlüsseln kann. Die gängigen Mail-Programme auf Desktop- und mobilen Geräten unterstützen die Verschlüsselung.
Zum Einsatz kommt dabei die sogenannte asymmetrische Verschlüsselung (Public-Key-Verfahren): Absender und Empfänger besitzen jeweils einen öffentlichen und einen privaten Schlüssel. Der öffentliche Schlüssel kann frei weitergegeben, auf Webseiten oder Schlüsselservern veröffentlicht oder per E-Mail verschickt werden. Mit dem öffentlichen Schlüssel des Empfängers verschlüsselt der Absender die E-Mail. Der Empfänger kann diese E-Mail nur mit seinem zugehörigen privaten Schlüssel entschlüsseln.
Gängig sind die beiden Verfahren S/MIME und PGP. Beide funktionieren nach dem Public-Key-Verfahren, sind aber nicht kompatibel. Die RUB betreibt eine Public-Key-Infrastruktur (PKI) und stellt allen Mitgliedern und Angehörigen der RUB kostenlos Zertifikate zur Verfügung - quasi ein digitaler Ausweis, der den öffentlichen Schlüssel enthält und von einer Zertifizierungsstelle überprüft und unterschrieben wurde. Die Zertifizierungsstelle stellt insbesondere die verlässliche Zuordnung des Schlüssel zu einer Mailadresse sicher. Die an der RUB ausgegebenen Zertifikate ermöglichen die S/MIME-Verschlüsselung.
Das zu verwendende Mail-Programm muss die Verschlüsselung unterstützen. Die gängigen Programme und Apps tun das bereits von Haus aus.
Man muss einen gültigen öffentlichen Schlüssel des Empfängers haben. In der Regel erhält man diesen zuvor per E-Mail, z.B. weil der Empfänger eine digital signierte E-Mail geschickt hat. Diese enthält nämlich den öffentlichen Schlüssel - unter Umständen im Anhang.
Um verschlüsselte E-Mails erhalten zu können, muss man selbst auch ein S/MIME-Zertifikat haben. Das Zertifikat wird über das DFN-PKI-Portal online beantragt und wird anschließend unter Vorlage eines amtlichen Lichtbildausweises im Servicecenter von IT.SERVICES geprüft. Nach der Erzeugung des Zertifikats wird man per E-Mail benachrichtigt und kann unter dem dabei übermittelten Link das eigene Zertifikat speichern und in die erforderlichen Programme importieren. IT.Services haben ein Shortguide zur Beantragung, Ausstellung und Sicherung persönlicher Nutzerzertifikate erstellt.
Beim Online-Antrag wurde bereits der persönliche Schlüssel auf dem eigenen Rechner erzeugt.
Die Verschlüsselung von E-Mails ist in die gängigen Mailprogramme mittlerweile recht gut integriert. Dennoch gilt es immer wieder Hürden zu überwinden:
Da der Empfänger einer verschlüsselten E-Mail stets den privaten Schlüssel benötigt, mit dessen öffentlichem Gegenstück die Mail verschlüsselt wurde, gilt es auf diesen gut aufzupassen. Auch nach Ablauf oder Sperrung eines Zertifikats darf man dieses nicht deinstallieren, wenn man auf alte verschlüsselte Mails zugreifen will. Auch auf neuen IT-Geräten sollte man die alten Zertifikate installieren.
Als alltagstauglich werden die vorgestellten Verfahren häufig nicht wahrgenommen. Mailverschlüsselung mit Web-Mail oder manchen mobilen Apps ist manchmal unmöglich oder zumindest unhandlich. Die komplette Mail-Kommunikation auf Verschlüsselung umzustellen, ist daher kaum zu empfehlen.
Dennoch: Im Kontext personenbezogener oder anderweitig vertraulicher Daten ist die Verschlüsselung der Kommunikation unerlässlich. Mit der Integration von S/MIME-Zertifikaten ist die sichere Kommunikation innerhalb der eigenen Universität gut unterstützt. Auch Kommunikationspartner an anderen Hochschulen verfügen in der Regel über Zertifikate der DFN-PKI.
Bildquellen: pixabay.com | erhui1979
ITSB