Mit E-Mail-Verschlüsselung mit S/MIME macht Kommunikation mit AMTANGEE noch mehr Spaß – mit Sicherheit. Wir erklären im Rahmen dieses Beitrags, wie einfach die E-Mailverschlüsselung S/MIME funktioniert und weshalb kein Weg an diesem Standard vorbeiführt.
Klartext: Das Problem mit E-Mails
Geburtstagsgrüße, Fotos, Dateien und Dokumente: Wir verschicken einfach alles per E-Mail. Jeden Tag saust eine dreistellige Milliardenzahl von E-Mails durch das Internet. Fast alles unverschlüsselt, also im Klartext. Auf dem Weg durch das Web könnten Fremde an unzähligen Punkten die Mail nebst Anhang auslesen. Wen wundert es da, dass immer wieder Daten in falsche Hände geraten? Doch bis uns das einmal selbst passiert, verdrängen wir die Gefahr nur allzu gerne, denn die E-Mail ist ja so praktisch. Verschlüsselte E-Mails bleiben daher Einzelfälle im weltweiten Datenverkehr. Selbst staatlich geförderte Initiativen wie De-Mail und E-Mail made in Germany erwiesen sich als kurzlebige Strohfeuer, die bei der Nutzerschaft kaum Resonanz fanden.
Dass die Verschlüsselung von E-Mails so zögerlich vorankommt, liegt in erster Linie daran, dass viele Nutzer Verschlüsselungsverfahren für zu kompliziert halten. Aber stimmt diese Annahme? Stolpern wir nicht vielmehr über eine spezifisch menschliche Eigenschaft? Wir handeln doch immer erst dann, wenn es gekracht hat. Und zwar richtig. Mit regelmäßigen Backups beginnt meist nur, wer einen schmerzhaften Datenverlust erlebt hat. Und auf E-Mail-Verschlüsselung setzt nur, wer ... Ja, wer eigentlich? Können Sie mit Sicherheit sagen, dass Ihre Nachrichten tatsächlich nur vom vorgesehenen Empfänger gelesen wurden?
Welcher Standard ist eigentlich Standard?
Zwei verbreitete Verfahren zur E-Mail-Verschlüsselung haben sich durchgesetzt: S/MIME und PGP. S/MIME (Secure/Multipurpose Internet Mail Extensions) existiert seit 1995, PGP (Pretty Good Privacy) bereits seit 1991. Alte Hüte, sozusagen. Beide Verfahren gelten in Expertenkreisen als sicher, denn sie wurden bislang nie geknackt. Und beide Verfahren, S/MIME und PGP, basieren auf demselben Prinzip, dem der sogenannten hybriden Verschlüsselung. Dieses Verfahren erfordert jeweils einen privaten und einen öffentlichen Schlüssel (Zertifikate im Falle von S/MIME). Um jemandem eine verschlüsselte E-Mail zu senden, benötigt man den öffentlichen Schlüssel des Empfängers sowie den eigenen privaten Schlüssel. Obwohl sich S/MIME und PGP im Funktionsprinzip ähneln, sind die beiden Verfahren nicht kompatibel zueinander.
Wir müssen also entweder alle Kommunikationspartner vom verwendeten Standard überzeugen, oder wir müssen zweigleisig fahren. Dann müssen wir S/MIME und PGP variabel einzusetzen. S/MIME bietet gegenüber PGP einige Vorteile:
- S/MIME besitzt zusätzlich zur Verschlüsselung noch eine Signierfunktion. Hierbei bleibt eine Nachricht für alle sichtbar, es wird allerdings eine kryptographische Signatur hinzugefügt, die vom Empfänger verifiziert werden kann. Ist die Signatur in Ordnung, bedeutet dies, dass der Inhalt der E-Mail nicht verändert wurde.
- S/MIME ist bereits fester Bestandteil vieler Mail-Programme, sei es auf dem Desktop oder auf mobilen Endgeräten.
Und so funktioniert S/MIME:
Diese Infografik steht unter der Creative Commons-Lizenz und darf mithilfe des folgenden Codes geteilt oder auf der eigenen Website eingebunden werden – unabhängig davon, ob es sich dabei um ein privates oder kommerzielles Angebot handelt. Einfach doppelklicken und Code in die Zwischenablage kopieren:
<p><a href="https://www.amtangee.com/blog/crm-e-mail-verschluesselung-smime-einfuehrung/" target="_blank"><img src="https://cdn2.amtangee.com/infographics/crm-smime-verschluesselung-700.png" alt="CRM mit E-Mail-Verschlüsselung (S/MIME)" width="700" border="0" /></a><br><a class="dotted" href="https://www.amtangee.com/" target="_blank">Infografik von AMTANGEE: CRM-Software für Kunden, die Ihre Kunden lieben.</a></p>
E-Mail-Verschlüsselung mit S/MIME: Die Sache mit den Zertifikaten
Wer die einfache E-Mailverschlüsselung mit S/MIME nutzen möchte, benötigt das erwähnte Schlüsselpaar privat/öffentlich in Form von zwei X.509-Zertifikaten. Diese Zertifikate ließen sich zwar prinzipiell am heimischen Rechner selbst erstellen. Aber wer würde diese Zertifikate Marke Eigenbau tatsächlich akzeptieren? Üblicherweise verwendet man daher das Zertifikat einer offiziellen Zertifizierungsstelle (Certificate Authority, CA). Diese Zertifikate werden von den meisten Betriebssystemen als vertrauenswürdig eingestuft und sind daher in aller Regel unproblematisch. Im Umkehrschluss bestimmt sich die Güte des Zertifikats einer bestimmten Vergabestelle primär durch den Grad, in welchem es bereits in installierte Betriebssysteme "eingesickert" ist.
Mit S/MIME bleibt für Nutzer von AMTANGEE die interne CRM-Sicht unverändert. Die Außenkommunikation ist damit aber sicher vor unbefugten Augen. Und zwar ohne die geringste Gefahr, jemals den Zugriff auf bestimmte Nachrichten zu verlieren, z.B. im Fall scheidender Mitarbeiter. Salopp gesagt: AMTANGEE bietet eine Gateway-Lösung, die das beste beider Welten auf einfache Weise miteinander verbindet: eine sichere Kommunikation, die Fremde ausschließt, nicht aber die Mitarbeitenden des eigenen Unternehmens.
S/MIME-Zertifikate: Was Sie sonst noch wissen sollten
Wir kennen vier Klassen von Zertifikaten, die sich in der Form der Überprüfung des Antragstellers voneinander unterscheiden. Bei Klasse 1 wird nur überprüft, ob die hinterlegte E-Mail-Adresse existiert. Und mehr als diese Adresse wird auch nicht ins Zertifikat übernommen. Klasse 2 enthält neben der E-Mail-Adresse auch den Namen sowie das Unternehmen bzw. die Organisation. Hierbei wird schriftlich bestätigt, dass die Angaben auch korrekt sind. Bei Klasse 3 wird zusätzlich der Handelsregisterauszug beziehungsweise der Personalausweis überprüft. Ein Zertifikat der Klasse 4 erfordert darüber hinaus ein persönliches Erscheinen bei der Zertifizierungsstelle zwecks Verifizierung bestimmter Originaldokumente.
Auch wenn diese Variante die sicherste wäre – allein aus Kostengründen würde keine Zertifizierungsstelle ein Zertifikat der Klasse 4 anbieten. Kostenlose Angebote, etwa von Comodo oder StartSSL, bieten in aller Regel Klasse-1-Zertifikate an. Wichtig: Anhand der Klasse lässt sich lediglich eine Aussage darüber treffen, in welchem Maße die Identität einer Person belegt ist. Das Verschlüsselungsverfahren im Hintergrund bleibt stets dasselbe. Ein Hin- und Herschicken von Zertifikaten zwischen den Teilnehmern entfällt glücklicherweise: Es reicht, wenn man eine signierte E-Mail enthält. Um den Rest kümmert sich AMTANGEE.
Über diese Blog-Reihe
Die Reihe "/dev/inside/" stellt in loser Folge Entwickler- und Administratorthemen vor, die für einen performanten Betrieb, die optimale Pflege der IT-Infrastruktur und die Funktionserweiterung von AMTANGEE relevant sind. "/dev/inside/" richtet sich dabei explizit an IT-Profis, die über die erforderlichen Grundkenntnisse zum tieferen Verständnis der Beiträge verfügen. Die Anwendbarkeit bestimmter Inhalte kann der SDK-Vereinbarung unterliegen. Unser Support-Team hilft Ihnen bei diesbezüglichen Fragen gerne weiter.
