Wozu dient die Elektronische E-Mail Signatur?
Phishing-Mails werden ständig besser: Als Nichtfachmann sind diese Mails, die da angeblich von PayPal, der Sparkasse & Co. im Posteingang eintreffen, von richtigen Nachrichten oft schwerlich zu differenzieren. Gleichzeitig landen im Postausgang jedes Unternehmens jeden Tag sensible Unterlagen und Auskünfte, die per E-Mail versendet werden – was soll denn schiefgehen? Im Arbeitsalltag denkt man nicht viel darüber nach, dass all die Informationen nach dem Absenden ebenso in falsche Hände kommen könnten.
Mit anderen Worten: Unsere E-Mails sind nicht (mehr) sicher. Denn außer dem Phishing gibt es selbstverständlich auch noch etliche weitere Techniken von Hackern, an vertrauliche Daten wie Passwörter, Kreditkarten-Daten und Logins zu firmeninternen Cloud-Speichersystemen zu kommen.
Eine Option zur Beseitigung dieses Problems ist die elektronische E-Mail-Signatur. Hierbei dreht es sich um eine Art Briefsiegel: Die elektronische Signatur steht dafür, dass der Empfänger eindeutig feststellen kann, wer der Absender der E-Mail ist und in wie weit der Gehalt auch genauso ankommt, wie er verschickt wurde. Die elektronische Signatur ist somit nicht zu vertauschen mit der üblichen E-Mail-Signatur, die normalerweise unter dem geschriebenen Text in der beruflichen Mail-Kommunikation zu sehen ist und die Kontaktinformationen des Absenders auflistet.
Was ist eine elektronische Signatur?
Ist der Absender tatsächlich der, welcher er vorgibt zu sein? Kann ausgeschlossen werden, dass die Inhalte der E-Mail-Nachricht auf dem Weg vom Absender zu mir als Rezipient abgefangen und manipuliert wurden? Mit einer elektronischen Unterschrift sollen nur noch Mails im E-Mail-Fach landen, bei welchen die Auskunft auf all diese Fragen „Ja“ lautet.
Technisch gesehen geht es bei der elektronischen Signatur, die ebenso digitale Signatur genannt wird, um eine Testat, das gemeinsam mit der normalen E-Mail versendet wird. Anhand des Zertifikats kann zum einen die Identifizierung des Absenders unstreitig kontrolliert werden und zum anderen kann der Rezipient sicher sein, dass der Inhalt auf dem Weg unberührt blieb.
So erstellt man eine digitale Signatur
Will man eine E-Mail elektronisch unterzeichnen, hat man zwei Optionen, welche sich bewährt haben: S/MIME und OpenPGP. Die Verfahren funktionieren beide nach dem gleichen Konzept – nämlich auf der Grundlage von Hashwerten verbunden mit einem Public-Private-Key-Verfahren – verwenden aber unterschiedliche Datenformate. Entscheidend für die Auswahl eines Verfahrens ist die Unterstützung durch den eigenen Mail-Client, weil etliche Softwarelösungen fördern entweder das eine oder das andere Verfahren, aber nicht alle beide zeitgleich.
Bei einer digitalen Signatur handelt es sich um eine Form der asymmetrischen Verschlüsselung. Das bedeutet: Der Absender einer E-Mail versendet zwei Schlüssel mit – einen privaten sowie einen öffentlichen. Wichtig hierbei: Das Schlüsselpaar muss von einer offiziellen Zertifizierungsstelle beglaubigt werden. Wird dann eine E-Mail versendet, passiert Jenes: Mittels Hashfunktion wird der Inhalt mit einer Prüfsumme versehen, welche wiederum mit dem nicht-öffentlichen Schlüssel verschlüsselt wird und der E-Mail angehangen wird. Trifft die Mail nun beim Empfänger ein, wird mithilfe des Schlüssels die Prüfsumme entschlüsselt und nochmals errechnet. Entspricht die frisch errechnete Prüfsumme der verschlüsselt mitgesendeten Prüfsumme, ist garantiert, dass der Inhalt unverändert geblieben ist. Und der öffentliche Schlüssel? Der kann beispielsweise auch mit der E-Mail-Nachricht mitgeschickt werden oder muss ansonsten vom Rezipienten über ein öffentlich zugängliches Register bezogen werden.
Sichere deine E-Mails mit unternehmensweiten Signaturen
Viele Mail-Clients bieten entsprechende Konfigurationen für elektronische Signaturen an, welche – einmal etabliert – alles im Hintergrund automatisiert erledigen. Wer jedoch über einen unternehmensweiten Gebrauch einer digitalen Signatur nachdenkt, sollte die Signierung auch mittels Gateway in Erwägung ziehen, welches alle ausgehenden E-Mails zentral signiert. Andernfalls ist der Arbeitsaufwand äußerst hoch, da man für jeden Mitarbeiter ein dediziertes Testat braucht und im Mail-Programm eingetragen werden muss. Außer der vereinfachten Konfiguration sowie der zentralen Administration ist der Vorteil eines Gateways zudem, dass die Signaturprüfung ankommender Mails geschieht, noch ehe sie sogar auf dem Mail-Server landen und hier womöglich Schaden verursachen können.
Aber Achtung: Obzwar Gateway-Zertifikate, welche meist für alle E-Mail-Adressen unterhalb einer Domain gelten, weltweit standardisiert sind, können einige Mail-Clients diese (noch?) nicht fehlerfrei konvertieren und lösen daher beim Empfänger Fehlermeldungen aus. Da kann es stattdessen ratsamer sein, nur einzelne Team-Postfächer wie buchhaltung@ oder etwa bewerbung@ zu zertifizieren – besonders eben jene Postfächer, die mit sensiblen Daten arbeiten.
Wer Mails verschlüsselt braucht keine digitale Signatur?
E-Mail-Verschlüsselung und die digitale Signierung sind zwei verschiedene Paar Schuhe – aber beide relevant. Die Signierung kommt ja wie erwähnt einem Briefsiegel gleich – es ist deshalb sichergestellt, dass keiner auf dem Weg den Inhalt abgewandelt hat. Gleichzeitig ist durch die elektronische Signatur sichergestellt, dass der Versender auch der ist, der er vorgibt zu sein.
Dennoch ist der Inhalt, der im Brief steht, theoretisch auf dem Weg von einem zum anderen einsehbar – beispielsweise wenn man den verschlossenen Brief gegen das Licht hält. Mit dem Ziel dies zu unterbinden, ist eine zusätzliche Verschlüsselung sinnig. Diese sorgt hierfür, dass der Brief gewissermaßen in einen blickdichten Umschlag gepackt wird und niemand mehr außer dem Versender und dem Empfänger den Inhalt lesen kann.
Für wen sind digitale Signaturen sinnvoll?
Am Anfang wurde die elektronische Signatur besonders in öffentlichen Verwaltungen eingesetzt und eigentlich weniger in der Privatwirtschaft. Dank einer wachsenden Ausbreitung im E-Commerce wird das Thema aber immer stärker für eine breite Masse zugänglich und gewinnt an Präsenz und Popularität. Immer mehr Unternehmen nutzen die elektronische Unterschrift auch schon für bestimmte Use-Cases, beispielsweise wenn Policen elektronisch unterzeichnet und verschickt werden.
Ausgangsebene für den gegenwärtigen Stand der Technik bei der elektronischen Mail-Signatur ist übrigens die bezeichnete „Signaturrichtlinie“ der Europäischen Union. Jene regelt, welche Anforderungen erfüllt sein müssen, damit eine digitale Signatur vor Gericht als rechtswirksame Unterschrift anerkannt wird. Kurzform: Es muss garantiert werden können, dass der Unterzeichner auch tatsächlich der ist, der er vorgibt zu sein – es muss deshalb ein Urhebernachweis möglich sein. Außerdem muss sichergestellt werden können, dass das Dokument nach dem Unterzeichnen nicht verändert wurde – es muss also ein Manipulationsnachweis erbracht werden können.
Supersicher: Die qualifizierte elektronische Signatur
Abschließend sei noch erwähnt, dass es nicht bloß eine, sondern gleich drei Formen elektronischer Mail-Signaturen gibt: 1) Die allgemeine (AES), 2) die fortgeschrittene (FES) und 3) die qualifizierte elektronische Signatur (QES). Am sichersten ist die letztgenannte, die qualifizierte elektronische Signatur. Diese ist dann nötig und sinnvoll, wenn höchste Sicherheitsstandards erwünscht sind. Selbige ist dem Gesetz (§ 2 Nr. 3 SigG) entsprechend gleichgestellt mit einer handgeschriebenen Unterschrift auf Papierblatt. Sie wird also für Dokumente sowie Verträge zur Unterzeichnung angewendet – für den normalen E-Mail-Verkehr hingegen ist diese Form der Signatur zu viel, da sie den Einsatz spezieller Hardware, beispielsweise Chipkarten sowie dazugehörigen Lesegeräten, voraussetzt.
