Eine E-Mail mit ge­fälsch­tem Absender versenden? Mitt­ler­wei­le kein Problem für In­ter­net­be­trü­ger. Denn viele Un­ter­neh­men ver­zich­ten selbst dann auf eine zu­sätz­li­che Si­cher­heits­in­stanz, wenn sie ihren Kunden Rech­nun­gen oder andere sensible Dokumente zusenden. Das öffnet Kri­mi­nel­len Tür und Tor. Besonders ge­fähr­lich ist das so­ge­nann­te Phishing, das sich in den letzten Jahren stark ver­brei­tet hat. Dabei versenden Betrüger E-Mails im Namen von Un­ter­neh­men oder anderen ver­meint­lich ver­trau­ens­wür­di­gen Absendern, um an Zu­gangs­da­ten oder Zah­lungs­in­for­ma­tio­nen der Empfänger zu gelangen.

Die bewährte Si­cher­heits­lö­sung ist die Ver­wen­dung von digitalen Si­gna­tu­ren. Bei elek­tro­nisch si­gnier­ten Mails kann der Empfänger sicher sein, dass alle Inhalte ohne Ma­ni­pu­la­ti­on bei ihm an­ge­kom­men sind und der Sender tat­säch­lich der ist, der er vorgibt zu sein.

Was ist der Zweck einer digitalen Signatur?

Eine elek­tro­ni­sche Signatur stellt die In­te­gri­tät von Daten und Absender einer E-Mail sicher. Man verwendet sie in der Regel, um die Herkunft von digitalen In­for­ma­tio­nen – nicht nur E-Mails, sondern auch Do­ku­men­ten oder Macros – zu au­then­ti­fi­zie­ren. Damit erfüllt die digitale Signatur einen ver­gleich­ba­ren Zweck wie die Un­ter­schrift auf Pa­pier­do­ku­men­ten: Sie ver­si­chert die Echtheit der Person bzw. des Un­ter­neh­mens, die oder das als Absender angegeben ist.

Durch eine digitale Signatur stellt man außerdem die In­te­gri­tät der über­mit­tel­ten Daten sicher. Der Empfänger schließt aus, dass jemand den Inhalt seit dem digitalen Signieren geändert oder ma­ni­pu­liert hat. Im Streit­fall gibt die digitale Un­ter­schrift zwei­fels­frei Auf­schluss über die Herkunft einer Mail. Der Si­gnie­ren­de und die Inhalte stehen in nach­weis­ba­rem Zu­sam­men­hang.

Digitale Signatur vs. E-Mail-Signatur

Die digitale Signatur ist nicht zu ver­wech­seln mit der Signatur, die man in E-Mail-Pro­gram­men festlegen kann. Dort ist der Teil gemeint, der unterhalb des E-Mail-Textes angefügt wird – meistens die Kon­takt­in­for­ma­tio­nen des Absenders, ent­spre­chend den Angaben auf Ge­schäfts­brie­fen. Laut den Be­griffs­de­fi­ni­tio­nen des deutschen Si­gna­tur­ge­set­zes (SigG) handelt es sich dabei um eine all­ge­mei­ne elek­tro­ni­sche Signatur. Das Gesetz un­ter­schei­det grund­sätz­lich zwischen drei Formen von elek­tro­ni­schen Si­gna­tu­ren:

  • all­ge­mei­ne elek­tro­ni­sche Signatur
  • fort­ge­schrit­te­ne elek­tro­ni­sche Signatur
  • qua­li­fi­zier­te elek­tro­ni­sche Signatur

Die Signatur-Formen un­ter­schei­den sich hin­sicht­lich der An­for­de­run­gen an die tech­ni­sche und ge­setz­li­che Umsetzung. Die höchste An­for­de­rung und damit den höchsten Si­cher­heits­stan­dard erfüllt die qua­li­fi­zier­te elek­tro­ni­sche Signatur. Nur diese kann gemäß § 2 Nr. 3 SigG „als elek­tro­ni­sche Form eine per Gesetz ge­for­der­te Schrift­form auf Papier ersetzen“. Anbieter von qua­li­fi­zier­ten elek­tro­ni­schen Si­gna­tu­ren werden in Deutsch­land durch die Bun­des­netz­agen­tur überwacht.

Für viele qua­li­fi­zier­te Si­gna­tu­ren ist vielfach zu­sätz­li­che Hardware notwendig. Neben einer ent­spre­chen­den Chipkarte (hierfür kann man in­zwi­schen einen neuen Per­so­nal­aus­weis verwenden) benötigt man auch ein Lesegerät, dass dann wiederum mit dem PC oder Laptop verbunden ist.

fKlmHPKDu80.jpg Zur Anzeige dieses Videos sind Cookies von Drittanbietern erforderlich. Ihre Cookie-Einstellungen können Sie hier aufrufen und ändern.

Funk­ti­ons­wei­se: Eine digitale Signatur erstellen

Wer seine Mails digital signieren möchte, dem stehen zwei Standards zur Verfügung: S/MIME und OpenPGP. Beide arbeiten nach dem gleichen Grund­prin­zip, sie verwenden jedoch un­ter­schied­li­che Da­ten­for­ma­te; nur wenige Software-Lösungen un­ter­stüt­zen beide Formate gleich­zei­tig.

Fakt

Die kon­kur­rie­ren­den Systeme, der zu­sätz­li­che Aufwand und teilweise hohe Kosten werden als Haupt­grund für die geringe Ver­brei­tung von si­gnier­ten E-Mails angesehen.

Das Grund­prin­zip, um eine digitale Signatur zu erstellen, besteht in der so­ge­nann­ten asym­me­tri­schen Ver­schlüs­se­lung. Dabei besitzt der Absender zwei Schlüssel: einen privaten und einen öf­fent­li­chen. Das Mail­pro­gramm des Absenders erzeugt au­to­ma­tisch mit einer Hash­funk­ti­on eine Prüfsumme des Mailin­halts, ver­schlüs­selt die Prüfsumme mit dem geheimen Schlüssel und hängt sie an die E-Mail an.

Der öf­fent­li­che Schlüssel wird entweder mit­ge­schickt oder vom Empfänger über ein öf­fent­li­ches Ver­zeich­nis bezogen. Das Mail­pro­gramm des Emp­fän­gers ent­schlüs­selt nun die Prüfsumme, errechnet sie erneut, und prüft die Er­geb­nis­se. Stimmen die Er­geb­nis­se überein, ist sicher, dass die Mail mit dem geheimen Schlüssel signiert wurde, der zum öf­fent­li­chen Schlüssel passt. Die Au­then­ti­fi­zie­rung ist erfolgt und die Mail demnach nicht ma­ni­pu­liert.

Bild: Funktionsweise einer digitalen Signatur
Digitale Si­gna­tu­ren funk­tio­nie­ren über Hashwerte und einem Public-Private-Key-Verfahren.

Vor­aus­set­zung für die Ver­wen­dung von digitalen Si­gna­tu­ren ist, dass man seinen Mail-Client vorab ent­spre­chend kon­fi­gu­riert hat. Ist das der Fall, laufen die oben be­schrie­be­nen Vorgänge au­to­ma­tisch im Hin­ter­grund ab. Aus­führ­li­che Er­klä­run­gen zur Ein­rich­tung finden Sie z. B. auf den Sup­port­sei­ten von Microsoft Outlook und Mozilla Thun­der­bird.

Wie ordnet man den öf­fent­li­chen Schlüssel eindeutig dem Absender zu?

Sinnvoll ist dieses Prozedere aber nur, wenn der Empfänger den öf­fent­li­chen Schlüssel auch zwei­fels­frei dem Absender zuordnen kann. Eine of­fi­zi­el­le Zer­ti­fi­zie­rungs­stel­le (Cer­ti­fi­ca­ti­on Authority) stellt den Schlüssel deshalb erst nach Iden­ti­fi­ka­ti­on des Absenders aus; erst durch das Zer­ti­fi­kat der CA erhält der Schlüssel Gül­tig­keit. Da das Emp­fän­ger­sys­tem den Schlüssel kennen muss, um die Echtheit des Zer­ti­fi­kats si­cher­zu­stel­len, muss es diesen bei der Zer­ti­fi­zie­rungs­stel­le laden und in­stal­lie­ren. Das Mail­pro­gramm greift später au­to­ma­tisch darauf zu.

Eigene E-Mail-Adresse erstellen
E-Mail-Kom­plett­pa­ke­te vom deutschen Markt­füh­rer
  • Mit KI schneller zur perfekten E-Mail: schreiben, über­set­zen, um­for­mu­lie­ren
  • Aus Deutsch­land – DSGVO-konform & sicher
  • Nur bei IONOS: Eigene Domain inklusive

Trust Levels von Zer­ti­fi­ka­ten

Das Schlüs­sel­paar, das man verwendet, um Mails digital zu signieren, muss also von einer of­fi­zi­el­len Zer­ti­fi­zie­rungs­stel­le ve­ri­fi­ziert werden. Die Stelle prüft und bestätigt die Identität des An­trag­stel­lers. Dabei gibt es ver­schie­de­ne Qua­li­täts­stu­fen von Zer­ti­fi­ka­ten. Je nachdem, wie streng die Iden­ti­täts­prü­fung ausfällt, erhält man Zer­ti­fi­ka­te in den Klassen 1, 2 und 3.

  • Zer­ti­fi­kat Klasse 1: Bei einem Zer­ti­fi­kat der Klasse 1 erhält der An­trag­stel­ler lediglich eine E-Mail von der Zer­ti­fi­zie­rungs­stel­le, die er be­stä­ti­gen muss.
     
  • Zer­ti­fi­kat Klasse 2: Bei Zer­ti­fi­ka­ten der Klasse 2 muss der An­trag­stel­ler eine Kopie des gültigen Licht­bild­aus­wei­ses an die Zer­ti­fi­zie­rungs­stel­le über­mit­teln.
     
  • Zer­ti­fi­kat Klasse 3: Klasse 3 be­schreibt die strengste Art der Iden­ti­fi­zie­rung. Hierbei muss der An­trag­stel­ler per­sön­lich vor­stel­lig werden. Hier wird oft das so­ge­nann­te POSTIDENT-Verfahren ein­ge­setzt, bei dem der An­trag­stel­ler vor Ort in einer Post­fi­lia­le er­schei­nen muss, um sich mit dem Per­so­nal­aus­weis vor­zu­stel­len. Über die POSTIDENT-App kann man sich auch per Videochat ausweisen.

Besondere Zer­ti­fi­ka­te: Gateway- oder Team-Zer­ti­fi­kat

Die oben be­schrie­be­nen Zer­ti­fi­ka­te werden in der Regel für eine E-Mail-Adresse, sprich für einen Absender aus­ge­stellt. Theo­re­tisch braucht man in einem Un­ter­neh­men für jede Person ein separates Zer­ti­fi­kat.

Eine Be­son­der­heit stellen Gateway-Zer­ti­fi­ka­te bzw. Domain-Zer­ti­fi­ka­te dar. Ein solches Zer­ti­fi­kat ist gültig für alle E-Mail-Adressen unterhalb einer E-Mail-Domäne (@example.org). Das Problem: Obwohl der Einsatz der Gateway-Zer­ti­fi­ka­te in­ter­na­tio­nal stan­dar­di­siert ist, können manche Mail-Clients sie nach wie vor nicht richtig ver­ar­bei­ten. Bei Outlook Express ist z. B. weder Versand noch Empfang von Mails mit Gateway-Zer­ti­fi­ka­ten möglich, bei Microsoft Outlook wird beim Empfang das Zer­ti­fi­kat als ungültig erklärt und eine Feh­ler­mel­dung aus­ge­ge­ben.

Die so­ge­nann­ten Team-Zer­ti­fi­ka­te stellt man für Mail­adres­sen aus, die nicht von einzelnen Personen verwaltet werden, wie z. B. info@example.org oder bewerbung@example.org. Hier gibt es keine Empfangs- oder Ver­sand­pro­ble­me, da technisch gleiche Vor­aus­set­zun­gen gegeben sind. Der Un­ter­schied liegt nur in der Ab­wick­lung über die Zer­ti­fi­zie­rungs­stel­le.

An­for­de­run­gen an eine digitale Signatur

Damit die oben genannten Be­din­gun­gen greifen, muss eine Signatur gewisse Be­din­gun­gen erfüllen. Die meisten Programme, auch Outlook, prüfen diese Vor­aus­set­zun­gen au­to­ma­tisch beim Senden bzw. Empfangen einer Mail mit digitaler Signatur und geben einen Hinweis, sollten nicht alle An­for­de­run­gen erfüllt und die In­te­gri­tät der Signatur somit nicht gesichert sein.

Da eine digitale Signatur immer im Zu­sam­men­hang mit einem Zer­ti­fi­kat steht, gilt es si­cher­zu­stel­len, dass ein aktuelles, gültiges Zer­ti­fi­kat vorliegt. Dieses muss außerdem von einer ver­trau­ens­wür­di­gen Zer­ti­fi­zie­rungs­stel­le aus­ge­stellt worden sein. In Deutsch­land regelt das Si­gna­tur­ge­setz (SigG) die An­for­de­run­gen an die Zer­ti­fi­zie­rungs­stel­len und die Ausgabe von Zer­ti­fi­ka­ten. Die Stellen stehen unter Aufsicht der der Bun­des­netz­agen­tur, um Zu­ver­läs­sig­keit und In­te­gri­tät der Zer­ti­fi­ka­te im Rechts­ver­kehr zu ge­währ­leis­ten.

Zu den be­kann­tes­ten Stellen in Deutsch­land gehören:

  • D-Trust: Zwar liegt das Kern­ge­schäft der Bun­des­dru­cke­rei im Erstellen von Per­so­nal­aus­wei­sen und Rei­se­päs­sen, doch u. a. mit der D-Trust GmbH erweitert die Or­ga­ni­sa­ti­on ihre Leis­tun­gen im digitalen Raum.
  • Deutsche Post: Da die Deutsche Post im Zuge von POSTIDENT ohnehin Iden­ti­tä­ten ve­ri­fi­ziert, kann man auch direkt Zer­ti­fi­ka­te erwerben, mit denen man Mails digital signieren kann.
  • Bank-Verlag: Der Bank-Verlag bietet neben digitalen Si­gna­tu­ren auch PSD2-Zer­ti­fi­ka­te an.

Digitale Signatur vs. E-Mail-Ver­schlüs­se­lung

Digitale Si­gna­tu­ren setzt man oft in Kom­bi­na­ti­on mit E-Mail-Ver­schlüs­se­lung ein, beide sind aber un­ab­hän­gig von­ein­an­der. Eine Mail digital zu signieren bedeutet, die Ur­he­ber­schaft durch eine digitale Un­ter­schrift zu be­glau­bi­gen. Die Mail ist damit vor Ma­ni­pu­la­ti­on geschützt, aber immer noch ähnlich einer Postkarte von Dritten auf dem Weg lesbar. Der Inhalt jedoch ist nicht mehr ver­än­der­bar, die Postkarte ist quasi in Klar­sicht­fo­lie ein­ge­schweißt – lesbar, aber nicht zu über­schrei­ben.

Die Ver­schlüs­se­lung von E-Mails geht einen Schritt weiter. Auf den Vergleich mit der Postkarte an­ge­wen­det, steckt man diese bei der Ver­schlüs­se­lung in einen blick­dich­ten Umschlag. Der Inhalt ist auf dem Weg ver­sie­gelt und nur die Person, die den passenden Schlüssel besitzt, kann den Umschlag öffnen. Die Kom­mu­ni­ka­ti­on ist somit ver­trau­lich und auf dem Weg komplett ab­ge­si­chert. In unserem Artikel E-Mail-Ver­schlüs­se­lung mit PGP finden Sie aus­führ­li­che In­for­ma­tio­nen dazu.

Zum Hauptmenü