Warum E-Mails verschlüsseln?

Eine unverschlüsselte E-Mail entspricht in der digitalen Welt einer Postkarte. Der Inhalt ist potenziell, während der Zustellung vom Sender/in zum Empfänger/in, für JEDEN lesbar. Daher ist die Entscheidung, einen geschlossenen Brief zu verschicken, statt des Versendens einer Postkarte, ein guter Grund. Die in der Mitteilung enthaltenen Daten könnten sensible, persönliche und vertrauliche Daten enthalten.

Eine Möglichkeit, um auch eine E-Mail-Kommunikation zu verschlüsseln, ist die Implementierung von S/MIME Zertifikaten. Gerade im Bereich von E-Mail-Clients, wie Outlook, lässt sich dies recht einfach implementieren. So können unbefugte Dritte deren Inhalt nicht mehr einfach lesen.

Was ist S/MIME?

S/MIME steht für Secure / Multipurpose Internet-Mail Extensions und es handelt sich um den weltweit etablierten Standard für die Verschlüsselung von E-Mails basierend auf einem hybriden Krypto System. Für die Verschlüsselung (Absender) und notwendige Entschlüsselung (Empfänger), werden entsprechende Zertifikate (private und öffentliche Schlüssel) benötigt. Eine spezielle Software wird hierzu NICHT benötigt und funktioniert daher u.a. auch mit Windows oder Mac.

Für wen empfiehlt sich die Verwendung eines E-Mail-Zertifikats?

Grundsätzlich ist die E-Mail-Verschlüsselung für alle Personen sinnvoll, die vertrauliche Informationen per E-Mail versenden möchten. Bei verschlüsselten E-Mails können Sie sich sicher sein, dass ausschließlich der von Ihnen bestimmte Empfänger die gesendeten Informationen einsehen kann. Die Signatur bestätigt, dass gesendete Nachrichten wirklich von Ihnen ausgehen. Durch das geänderte Datenschutzgesetz sind Berufsgeheimnisträger wie Ärzte oder Steuerberater sogar gesetzlich zur Verschlüsselung Ihrer E-Mail-Kommunikation verpflichtet

Woher kann ich S/MIME Zertifikate beziehen?

Es gibt mehrere Anbieter, über die man im Internet solche Zertifikate kaufen kann. Bei der Auswahl sollte man auf jeden Fall darauf achten, dass dies auch seriöse Anbieter sind, welche eine große Verbreitung haben. Wir als 3e Solutions GmbH, verwenden sogenannte Class 2 bzw. Class 3 Zertifikate unserers Partners SECTIGO. Natürlich können Sie auch bei 3e Solutions GmbH den Auftrags-Service in Anspruch nehmen. Bedenken Sie aber, dass der Validierungsprozess immer persönlich bzw. über die zu validierende Firma stattfinden muss.

Wie kann ich mein öffentliches Zertifikat dem Empfänger zur Verfügung stellen?

Dies funktioniert in der Regel ganz einfach, indem Sie dem Empfänger eine signierte E-Mail senden. Der Empfänger kann das Zertifikat dann auf seinem Rechner abspeichern bzw. bei Outlook in den Kontaktdaten ablegen.

Symbole bei Outlook:

= Symbol für Signaturschlüssel (öffentliches Zertifikat)

= Symbol für eine verschlüsselte E-Mail

Wie kann ich eine E-Mail verschlüsselt versenden?

Sobald das Zertifikat auf Ihrem System installiert ist, können Sie E-Mails verschlüsselt versenden. Aber Achtung, nur weil Sie das Zertifikat jetzt installiert haben, wird NICHT automatisch verschlüsselt. Sie müssen vor dem Senden der E-Mail auch sicherstellen, dass Sie die Verschlüsselungs-Option aktiviert haben. Bei Outlook gibt es hierfür eine extra Option, welche sich „Verschlüsseln“ nennt.

Damit der Empfänger Ihre verschlüsselte E-Mail auch lesen kann, benötigt er auf jeden Fall auch Ihren Signaturschlüssel (öffentliches Zertifikat).

Hat ein S/MIME Zertifikat eine unbegrenzte Gültigkeit?

Nein, S-MIME Zertifikate werden in der Regel nur für 1-3 Jahre Gültigkeit ausgestellt. Die Laufzeit hängt von der jeweiligen Bestellung ab. Ist ein Zertifikat abgelaufen, kann es nicht mehr verwendet werden und man benötigt für eine Verschlüsselung ein neues Zertifikat. Aber Achtung, das „alte“ Zertifikat nicht vom System löschen! Es wird noch zum Lesen der damit verschlüsselten Nachrichten benötigt. Das gilt auch für die Zertifikate Ihrer Kontakte.

Was bedeuten die unterschiedlichen S/MIME-Klassifizierungen?

Die meisten Hersteller bieten Zertifikate der Class 1-3 auf deren Homepage an. Das Class 1+2 Zertifikat eignet sich sehr gut für den privaten Gebrauch. Die Class 3 Zertifikate eignen sich hauptsächlich für Unternehmen, da hier neben der persönlichen Mitarbeiteradresse auch die Unternehmensinformationen im Zertifikat eingetragen sind.

Class 1:
Hierunter fällt die E-Mail-Adressen-bezogene Validierung von S/MIME-Zertifikaten. Die Zertifikate bescheinigen demnach die Echtheit der E-Mail-Adresse des jeweiligen Empfängers.

Class 2:
Der Zertifikatsausstellung geht lediglich eine sehr eingeschränkte Identitätsprüfung voraus. Der Antragsteller muss lediglich schriftlich bestätigen, dass die von ihm getätigten Angaben zu seiner Identität der Wahrheit entsprechen. Geprüft werden diese von der Zertifizierungsstelle jedoch nicht.

Class 3:
Diese Validierung geht deutlich weiter als die Class 1-Validierung. S/MIME-Zertifikate, die nach Class 3 zertifiziert wurden, sind so genannte Identitätszertifikate. Das bedeutet, dass die Identität des Zertifikatsinhabers im Rahmen der Zertifizierung geprüft wurde – anhand offizieller Dokumente und Verzeichnisse. Bei im Handelsregister eingetragenen Unternehmen beispielsweise durch die Überprüfung der Daten des Handelsregisterauszugs.

Class 4:
Bei S/MIME-Zertifikaten, die aufwendig nach Class 4 zertifiziert wurden, handelt es sich um erweiterte Identitätszertifikate. Hierbei wird die Identität des Zertifikatsinhabers Face-to-Face – also von Angesicht zu Angesicht – anhand der offiziellen Original-Dokumente validiert.

Welche Angaben stehen in einem E-Mail-Zertifikat und wie erfolgt die Validierung?

Das hängt u.a. von der Klassifizierung des Zertifikates ab. Hier eine allgemeine Auflistung, welche Informationen in einem Zertifikat aufgeführt werden und was für eine Validierung benötigt wird:

Class 1 – E-Mail-Validierte Zertifikate:

Hier stehen außer der existierenden/zertifizierten E-Mail-Adresse keine weiteren Informationen im Zertifikat. Die Bestätigung des Zertifikats erfolgt über die E-Mail-Adresse. Es werden also keine weiteren Nachweise oder Dokumente verlangt.

Class 2 – Identitätsvalidierte Zertifikate:

Hier muss der Inhaber des Zertifikats zusätzlich mit einem Personalausweis oder Reisepass seine Identität nachweisen. Neben der E-Mail-Adresse steht auch der Vor- und Nachname im Zertifikat und ist für den Empfänger einer Email sichtbar.

Class 3 – Organisationsvalidierte Zertifikate:

Hier wird zusätzlich zum Nachweis (via Personalausweis/Reisepass) der Identität des Inhabers ein Nachweis der Organisation / Firma benötigt (Bsp.: Handelsregisterauszug bei einer GmbH). Zusätzlich wir oft verlangt, dass eine zentrale Telefonnummer der Firma nachgewiesen werden muss. Im Zertifikat stehen sowohl der Name des Zertifikatsinhabers, Firmensitz als auch der Organisationsname.

Class 3 – Organisationsvalidierte Abteilungs-Zertifikate:

Da dieses Zertifikat nicht auf eine einzelne Person ausgestellt wird, sondern auf eine Abteilung, muss eine telefonische Bestätigung der Existenz dieser Abteilung durchgeführt werden. Eine Organisations­validierung ist auch notwendig (Bsp.: Handelsregisterauszug bei einer GmbH). Die Telefonnummer der Firma kann durch eine akzeptierte Telefondatenbank (Bsp.: www.gelbeseiten.de) nachgewiesen werden. Im Zertifikat steht neben dem Organisationsnamen, der Name der Abteilung.