Veröffentlicht

Was ist eigentlich eine digitale E-Mail-Signatur?

Authors

Phishing-Mails werden ständig ausgereifter: Als Nichtfachmann sind die Nachrichten, die da vorgeblich von PayPal, der Sparkasse & Co. im Posteingang landen, von echten Nachrichten meist kaum mehr zu unterscheiden. Gleichzeitig landen im Postausgang jeder Firma jeden Tag sensible Unterlagen und Informationen, die via E-Mail verschickt werden – was soll denn schieflaufen? Im Arbeitsalltag denkt man nicht viel darüber nach, dass all die Informationen nach dem Absenden ebenfalls in falsche Hände geraten können.

Mit anderen Worten: Unsere elektronischen Nachrichten sind nicht (mehr) behütet. Denn außer dem Phishing gibt es selbstverstandlich auch noch zig andere Methoden von Hackern, an sensible Daten wie Passwörter, Kreditkarten-Daten oder Zugänge zu firmeninternen Cloud-Speichersystemen zu gelangen.

Eine Möglichkeit zur Beseitigung dieses Problems ist die elektronische E-Mail-Signatur. Hierbei handelt es sich um so etwas wie einen Briefsiegel: Die elektronische Signatur sorgt dafür, dass der Rezipient eindeutig erkennen kann, wer der Versender der E-Mail ist und in wie weit der Inhalt auch gleichermaßen so ankommt, wie er verschickt wurde. Die elektronische Signatur ist somit nicht zu verwechseln mit der üblichen E-Mail-Signatur, die für gewöhnlich unter dem geschriebenen Text in der beruflichen Mail-Kommunikation zu sehen ist und die Kontaktdaten des Absenders auflistet.

Was ist eine elektronische Signatur?

Ist der Versender tatsächlich der, welcher er sagt zu sein? Kann es sein, dass die Inhalte der Mail auf dem Weg vom Absender zu mir als Empfänger aufgehalten und manipuliert wurden? Mit einer elektronischen Unterschrift sollen nur noch E-Mails im E-Mail-Fach landen, bei welchen die Antwort auf all diese Fragen „Ja“ ist.

Technisch betrachtet handelt es sich bei der elektronischen Signatur, die ebenso digitale Signatur genannt wird, um eine Testat, das zusammen mit der eigentlichen E-Mail verschickt wird. Mithilfe des Zertifikats kann zum einen die Identifizierung des Absenders unstreitig kontrolliert werden und zusätzlich kann der Rezipient gewiss sein, dass der Text auf dem Weg unverändert geblieben ist.

Digitale Signaturen für Mails

Möchte man eine Mail elektronisch unterzeichnen, hat man zwei Standards, welche sich bewährt haben: S/MIME und OpenPGP. Die Verfahren agieren beide nach dem gleichen Konzept – nämlich auf der Grundlage von Hashwerten verbunden mit einem Public-Private-Key-Verfahren – verwenden aber unterschiedliche Datenformate. Entscheidend für die Wahl eines Verfahrens ist die Unterstützung durch den eigenen Mail-Client, weil etliche Softwarelösungen unterstützen entweder das eine oder das andere Verfahren, aber nicht alle beide zeitgleich.

Bei einer digitalen Unterschrift dreht es sich um eine Form der asymmetrischen Verschlüsselung. Das heißt: Der Absender einer Mail verschickt zwei Schlüssel mit – einen privaten sowie einen öffentlichen. Entscheidend dabei: Das Schlüsselpaar muss von einer offiziellen Zertifizierungsstelle beglaubigt werden. Wird nun eine E-Mail versendet, passiert Folgendes: Mittels Hashfunktion wird der Text mit einer Prüfsumme versehen, die nochmals mit dem privaten Schlüssel gesichert wird und der E-Mail-Nachricht angehangen wird. Trifft die Mail dann beim Empfänger ein, wird mithilfe des Schlüssels die Prüfsumme entschlüsselt und obendrein erneut errechnet. Entspricht die frisch errechnete Prüfsumme der verschlüsselt mitgesendeten Prüfsumme, ist garantiert, dass der Text unverändert geblieben ist. Und der öffentliche Schlüssel? Der kann beispielsweise auch mit der Mail mitgeschickt werden oder muss ansonsten vom Rezipienten über ein öffentlich zugängliches Register bezogen werden.

Sichere eure E-Mails mithilfe von digitalen Signaturen

Viele Mail-Clients bieten jeweilige Konfigurationen für elektronische Signaturen an, welche – einmalig eingerichtet – all das im Hintergrund automatisiert durchführen. Wer allerdings über einen unternehmensweiten Gebrauch einer digitalen Signatur spekuliert, sollte diese Signierung auch mittels Gateway in Erwägung ziehen, welches alle abgehenden E-Mails zentral signiert. Ansonsten ist der Aufwand äußerst hoch, da man für jeden Mitarbeiter ein dediziertes Testat braucht und im Mail-Programm eingetragen werden muss. Neben der vereinfachten Konfiguration sowie der zentralen Administration ist der Nutzen eines Gateways ferner, dass die Signaturprüfung eingehender E-Mails geschieht, noch ehe sie sogar auf dem Mail-Server landen und dort womöglich Schaden verursachen können.

Aber Achtung: Obzwar Gateway-Zertifikate, die meist für alle E-Mail-Adressen unter einer Domain sind, international konform sind, könnten manche Mail-Clients sie (noch?) nicht fehlerfrei konvertieren und lösen daher beim Empfänger Fehlermeldungen aus. Hier kann es dagegen sinnvoller sein, lediglich einzelne Team-Postfächer wie buchhaltung@ oder bewerbung@ zu zertifizieren – besonders eben die Postfächer, die mit sensiblen Daten arbeiten.

Sind Mail-Verschlüsselung und elektronische Signatur das gleiche?

E-Mail-Verschlüsselung sowie die digitale Signierung sind zwei verschiedene Paar Schuhe – doch beide relevant. Die Signierung kommt ja wie erwähnt einem Briefsiegel gleich – es ist also garantiert, dass keiner auf dem Weg den Text abgewandelt hat. Zeitgleich ist über die elektronische Signatur sichergestellt, dass der Versender auch der ist, der dieser sagt zu sein.

Trotzdem ist der Inhalt, der im Brief steht, theoretisch auf dem Weg von mehreren lesbar – zum Beispiel indem man den versiegelten Schrieb gegen eine Lampe hält. Mit dem Ziel dies zu unterbinden, ist eine erweiterte Verschlüsselung sinnvoll. Diese sorgt hierfür, dass der Brief quasi in einen blickdichten Briefumschlag gesteckt wird und keiner mehr außer dem Absender und dem Empfänger den Inhalt sehen kann.

Für wen sind digitale Signaturen sinnvoll?

Anfangs wurde die elektronische Signatur besonders in öffentlichen Verwaltungen eingesetzt und eigentlich nicht so in der Privatwirtschaft. Dank einer zunehmenden Ausbreitung im E-Commerce wird die Angelegenheit aber immer stärker für eine breite Masse zugänglich und gewinnt an Sichtbarkeit und Popularität. Immer mehr Firmen verwenden die elektronische Unterschrift auch schon für einzelne Use-Cases, beispielsweise wenn Verträge elektronisch unterschrieben und versendet werden.

Ausgangsebene für den aktuellen Stand der Technik bei der elektronischen Mail-Signatur ist im Übrigen die bezeichnete „Signaturrichtlinie“ der Europäischen Union. Diese bestimmt, welche Anforderungen erfüllt sein müssen, damit eine digitale Signatur vor Gericht als rechtswirksame Signatur anerkannt wird. Kurz gesagt: Es muss garantiert werden können, dass der Unterzeichner auch wirklich jener ist, der er sagt zu sein – es muss also ein Urhebernachweis realisierbar sein. Ebenso muss gewährleistet werden können, dass das Dokument nach dem Unterzeichnen nicht abgeändert wurde – es muss also ein Manipulationsnachweis erbracht werden können.

Supersicher: Die qualifizierte elektronische Signatur

Abschließend sei noch erwähnt, dass es nicht nur eine, sondern sogar drei Formen elektronischer Mail-Signaturen gibt: 1) Die allgemeine (AES), 2) die fortgeschrittene (FES) und 3) die qualifizierte elektronische Signatur (QES). Am hochwertigsten ist die letztgenannte, die qualifizierte elektronische Signatur. Jene ist dann notwendig und sinnvoll, wenn allerhöchste Sicherheitsstandards erwünscht sind. Selbige ist dem Gesetz (§ 2 Nr. 3 SigG) zufolge ebenbürtig mit einer handschriftlich getätigten Unterschrift auf Papierblatt. Sie wird also für Dokumente und Verträge zur Unterzeichnung eingesetzt – für den normalen E-Mail-Austausch dagegen ist diese Form der Signatur zu viel des Guten, zumal sie den Gebrauch spezieller Hardware, beispielsweise Chipkarten sowie passenden Lesegeräten, voraussetzt.