30 Mai AMTANGEE 5.6 bringt E-Mail-Verschlüsselung mit S/MIME: Eine Einführung
Die kommende AMTANGEE Version 5.6 bringt nicht nur entscheidende Performance-Verbesserungen unter der Haube, vielmehr dreht sich beim E(ven-better)-Mails-Release alles um einige richtungsweisende E-Mail-Features: Rechtssichere Archivierung einhergehend mit den ersten Schritten in Richtung einer vollumfänglichen DMS-Integration sowie E-Mail-Verschlüsselung mit S/MIME. Wir erklären im Rahmen dieses Beitrags, wie S/MIME funktioniert – und weshalb kein Weg an diesem Verschlüsselungsstandard vorbeiführt.
Klartext: Das Problem mit E-Mails
Wir haben uns in den letzten Jahren daran gewöhnt, einfach alles per E-Mail zu versenden. Weil es praktisch ist. Und kaum jemand scheint sich daran zu stören, dass – laut einer aktuellen Bitkom-Umfrage – mehr als 85 Prozent des E-Mail-Verkehrs im Klartext durchs Internet rauscht. Wen wundert es da, dass immer wieder Daten in falsche Hände geraten? Initiativen wie De-Mail und E-Mail made in Germany mögen zwar das Gewissen beruhigen, das eigentliche Problem lösen sie aber nicht! Dass sich S/MIME, auch dies belegt die Bitkom-Studie, nur zögerlich durchsetzt, liegt in erster Linie daran, dass viele Nutzer das Verfahren für zu kompliziert halten. Aber eben dieses Argument ist absolut haltlos. Vielmehr stolpern wir über eine spezifisch menschliche Eigenschaft, nämlich erst dann tätig zu werden, wenn's gekracht hat. Und zwar richtig. Mit regelmäßigen Backups beginnt meist nur, wer einen schmerzhaften Datenverlust hinnehmen musste. Und auf E-Mail-Verschlüsselung setzt nur, wer... ja, wer eigentlich? Können Sie mit Sicherheit sagen, dass alle Ihre Nachrichten tatsächlich nur vom eigentlichen Empfänger gelesen wurden?
Welcher Standard ist eigentlich Standard?
Es gibt im Wesentlichen zwei verbreitete Verfahren zur E-Mail-Verschlüsselung: S/MIME und PGP. S/MIME (Secure/Multipurpose Internet Mail Extensions) existiert seit 1995, PGP (Pretty Good Privacy) bereits seit 1991. Alte Hüte, sozusagen. Weder S/MIME noch PGP wurden bislang geknackt und gelten in Expertenkreisen als sicher. Sowohl S/MIME als auch PGP basieren auf dem gleichen Prinzip, der sogenannten hybriden Verschlüsselung. Hierbei gibt es jeweils einen privaten und einen öffentlichen Schlüssel (Zertifikate im Falle von S/MIME). Um jemandem eine verschlüsselte E-Mail zu senden, benötigt man den öffentlichen Schlüssel des Empfängers sowie den eigenen privaten Schlüssel. Obwohl das Funktionsprinzip beider Verfahren vergleichbar ist, sind S/MIME und PGP nicht kompatibel zueinander. Man ist daher letztlich gezwungen, entweder alle Kommunikationspartner vom verwendeten Standard zu überzeugen oder zweigleisig zu fahren und S/MIME und PGP variabel einzusetzen. Allerdings: S/MIME bietet zusätzlich zur Verschlüsselung noch eine Signierfunktion. Hierbei bleibt eine Nachricht für alle sichtbar, es wird allerdings eine kryptographische Signatur hinzugefügt, die vom Empfänger verifiziert werden kann. Ist die Signatur in Ordnung, bedeutet dies, dass der Inhalt der E-Mail nicht verändert wurde. Aber für eine E-Mail-Verschlüsselung mit S/MIME spricht noch ein weiterer Vorteil: Das Verfahren ist bereits fester Bestandteil vieler Mail-Programme, sei es auf dem Desktop oder auf mobilen Endgeräten!
Und so funktioniert's:
Diese Infografik steht unter der Creative Commons-Lizenz und darf mithilfe des folgenden Codes geteilt oder auf der eigenen Website eingebunden werden – unabhängig davon, ob es sich dabei um ein privates oder kommerzielles Angebot handelt. Einfach doppelklicken und Code in die Zwischenablage kopieren:
<p><a href="https://www.amtangee.com/blog/crm-e-mail-verschluesselung-smime-einfuehrung/" target="_blank"><img src="https://cdn2.amtangee.com/infographics/crm-smime-verschluesselung-700.png" alt="CRM mit E-Mail-Verschlüsselung (S/MIME)" width="700" border="0" /></a><br><a href="https://www.amtangee.com/" target="_blank">Infografik von AMTANGEE: CRM-Software für Kunden, die Ihre Kunden lieben.</a></p>
E-Mail-Verschlüsselung mit S/MIME: Die Sache mit den Zertifikaten
Wer S/MIME nutzen möchte, benötigt das erwähnte Schlüsselpaar privat/öffentlich in Form von zwei X.509-Zertifikaten. Diese Zertifikate lassen sich zwar – ganz prinzipiell – am heimischen Rechner selbst erstellen, allerdings muss der Empfänger dann erheblichen Aufwand betreiben, damit diese Zertifikate auch tatsächlich akzeptiert werden. Sinnvollerweise verwendet man daher am besten das Zertifikat einer offiziellen Zertifizierungsstelle (Certificate Authority, CA). Diese Zertifikate werden von den meisten Betriebssystemen als vertrauenswürdig eingestuft und sind daher in aller Regel unproblematisch. In aller Regel, weil die Güte des Zertifikats einer bestimmten Vergabestelle primär durch den Grad bestimmt wird, in welchem sie bereits in installierte Betriebssysteme „eingesickert“ ist. Und in dieser Hinsicht ist eine Zertifizierungsstelle, die bereits seit den Tagen von Windows 98 existiert, einer jüngeren schlichtweg überlegen. Ein Vorteil für PGP ist daraus jedoch nicht abzuleiten, schon, weil es aus Sicht unserer Kunden nicht erstrebenswert sein kann, wenn jeder Nutzer sein eigenes Schlüsselpaar generieren muss.
Mit S/MIME bleibt für AMTANGEE Nutzer die interne CRM-Sicht unverändert, jedoch ist die Außenkommunikation abgesichert. Und zwar ohne die geringste Gefahr, jemals den Zugriff auf bestimmte Nachrichten zu verlieren, z.B. im Fall scheidender Mitarbeiter. Salopp gesagt: AMTANGEE 5.6 bietet in gewisser Weise eine Gateway-Lösung, die das beste beider Welten miteinander verbindet: eine sichere Kommunikation, die Fremde ausschließt, jedoch niemals Mitarbeiter des eigenen Unternehmens.
S/MIME-Zertifikate: Was Sie sonst noch wissen sollten
Es gibt vier Klassen von Zertifikaten, die sich in der Form der Überprüfung des Antragstellers voneinander unterscheiden. Bei Klasse 1 wird nur überprüft, ob die hinterlegte E-Mail-Adresse existiert. Und mehr als diese Adresse wird auch nicht ins Zertifikat übernommen. Klasse 2 enthält neben der E-Mail-Adresse auch den Namen sowie das Unternehmen bzw. die Organisation. Hierbei wird schriftlich bestätigt, dass die Angaben auch korrekt sind. Bei Klasse 3 wird zusätzlich der Handelsregisterauszug beziehungsweise der Personalausweis überprüft. Ein Zertifikat der Klasse 4 erfordert darüber hinaus ein persönliches Erscheinen bei der Zertifizierungsstelle zwecks Verifizierung bestimmter Originaldokumente. Auch wenn diese Variante die sicherste wäre – allein aus Kostengründen wird sie von keiner Zertifizierungsstelle angeboten. Kostenlose Angebote, z.B. von Comodo oder StartSSL, bieten in aller Regel Klasse-1-Zertifikate an. Wichtig: Anhand der Klasse lässt sich lediglich eine Aussage darüber treffen, in welchem Maße die Identität einer Person belegt ist, das Verschlüsselungsverfahren im Hintergrund bleibt stets dasselbe. Ein Hin- und Herschicken von Zertifikaten zwischen den Teilnehmern entfällt glücklicherweise: Es reicht, wenn man eine signierte E-Mail enthält. Um den Rest wird sich AMTANGEE kümmern.
Über diese Blog-Reihe
Die Reihe „/dev/inside/“ stellt in loser Folge Entwickler- und Administratorthemen vor, die für einen performanten Betrieb, die optimale Pflege der IT-Infrastruktur und die Funktionserweiterung von AMTANGEE relevant sind. „/dev/inside/“ richtet sich dabei explizit an IT-Profis, die über die erforderlichen Grundkenntnisse zum tieferen Verständnis der Beiträge verfügen. Die Anwendbarkeit bestimmter Inhalte kann der SDK-Vereinbarung unterliegen. Unser Support-Team hilft Ihnen bei diesbezüglichen Fragen gerne weiter.
