Was ist S/MIME? Alles Wichtige zu der Verschlüsselung

E-Mails sind privat sowie geschäftlich ein nach wie vor verbreitetes Kommunikationsmittel. Sie werden gerade für den Austausch von Dokumenten oder anderen wichtigen Informationen genutzt. Doch wie sicher sind Informationen, die per E-Mail übermittelt werden, eigentlich vor neugierigen Blicken? Fakt ist: Eine normale, unverschlüsselte E-Mail ist alles andere als abhörsicher. Sie durchläuft auf dem Versand verschiedene Server und Knotenpunkte, an welchen die in der Mail enthaltenen Informationen theoretisch abgefangen werden können. Um dies zu verhindern, werden E-Mails heutzutage in der Regel verschlüsselt verschickt. Ein weniger verbreitetes Verfahren dafür ist S/MIME. Doch was ist S/MIME eigentlich? Erfahren Sie es jetzt in unserem Blogbeitrag.

Was ist S/MIME überhaupt?

Was ist S/MIME? S/MIME (Secure/Multipurpose Internet Mail Extensions) ist ein Verfahren, um E-Mails digital zu verschlüsseln und digital zu signieren. Durch das Verfahren werden die drei IT-Schutzziele: Authentifizierung, Vertraulichkeit und Integrität umgesetzt. Aktuell wird das Verfahren von den meisten E-Mail-Programmen unterstützt.

Wie funktioniert S/MIME?

Um die E-Mail-Kommunikation abzusichern, verwendet S/MIME eine asymmetrische Verschlüsselung und benötigt ein S/MIME-Zertifikat. Die Teilnehmer, die das Verfahren verwenden, besitzen über das ausgestellte S/MIME-Zertifikat hinaus auch einen öffentlichen und einen privaten Schlüssel. Der öffentliche Schlüssel wird dabei, wie es der Name schon impliziert, an die Kommunikationspartner veröffentlicht. Der private Schlüssel bleibt jedoch privat und nur im Besitz des Teilnehmers.

Verschlüsselung

Um eine E-Mail zu verschlüsseln, wird der öffentliche Schlüssel verwendet. Der private Schlüssel ist das Gegenstück und kann die E-Mail entschlüsseln. Somit kann keiner, außer der tatsächliche Empfänger die E-Mail lesen. Der Verschlüsselungsprozess läuft folgendermaßen ab:

1. Möchte ein Absender Ihnen per S/MIME entschlüsselte E-Mail zukommen lassen, benötigt dieser zuerst Ihren öffentlichen Schlüssel. Diesen können Sie dem Absender beispielsweise per Mail zukommen lassen oder auf einem Server hinterlegen.

2. Der Absender verschlüsselt die E-Mail mittels Ihres öffentlichen Schlüssels. Der Klartext der Nachricht wird dabei in eine Zeichenfolge umgewandelt, die für Unbefugte nicht nachvollziehbar ist.

3. Die E-Mail wird versendet. Selbst dann, wenn diese abgefangen werden sollte, bleiben die Inhalte dank des Chiffretexts verborgen.

4. In Ihrem Postfach angekommen benötigen Sie Ihren privaten Schlüssel, um die Nachricht zu entschlüsseln. Dabei wird die Zeichenfolge wieder in den lesbaren Klartext umgewandelt. Der private Schlüssel ist das einzige „Gegenstück“, das zu Ihrem öffentlichen Schlüssel passt.

Signierung

Neben der Verschlüsselung bietet S/MIME außerdem die Möglichkeit, E-Mails digital zu signieren. Die Verschlüsselung wird dem vorher schon postulierten Ziel der Vertraulichkeit gerecht, während die Signierung die Authentizität und Integrität einer E-Mail gewährleistet. Die digitale Signatur bestätigt, dass eine E-Mail tatsächlich angegebenen Absender stammt und auf dem Übertragungsweg nicht verändert wurde. Sie wird in einer separaten p7s-Datei (smime.p7s) gespeichert, die der signierten E-Mail angehängt wird. Doch was ist eine S/MIME p7s-Datei? Eine p7s-Datei enthält Informationen zum verwendeten digitalen Zertifikat und ermöglicht es dem Empfänger, die Signatur zu überprüfen.

Technisch basiert die digitale Signatur auf demselben Prinzip wie die Verschlüsselung. Wenn eine E-Mail signiert werden soll, verwendet der Absender den privaten Schlüssel. Dadurch, dass dieser automatisch das Gegenstück zum öffentlichen Schlüssel ist, können alle Kommunikationspartner, die den öffentlichen Schlüssel besitzen, die Signatur mit diesem verifizieren. Konkret sieht der Ablauf folgendermaßen aus:

1. Möchten Sie eine digital signierte E-Mail versenden, erstellen Sie zunächst einen sogenannten Hash-Wert. Dieser fungiert als digitaler Fingerabdruck.

2. Im nächsten Schritt verschlüsseln Sie den generierten Hash-Wert mit dem privaten Schlüssel. Damit ist die Signierung der E-Mail abgeschlossen.

3. Ihr Empfänger erhält die signierte E-Mail und Ihren öffentlichen Schlüssel, z. B. über ein Zertifikat.

4. Die E-Mail-Software des Empfängers berechnet einen Hash-Wert für die erhaltene Nachricht. Die digitale Signatur wird über Ihren öffentlichen Schlüssel entschlüsselt. Stimmt der entschlüsselte Hash-Wert mit dem selbst berechneten überein, ist die Signatur gültig. Der Empfänger hat jetzt die Gewissheit, dass Ihre E-Mail auf dem Versandweg nicht verändert wurde.

Wie kann ich das S/MIME-Verfahren für meine E-Mail-Adressen verwenden?

Ein entsprechendes Zertifikat, um das S/MIME-Verfahren einzusetzen, kann bei einer Zertifizierungsstelle beantragt oder erworben werden. An dieser Stelle müssen wir erwähnen: Ein Zertifikat kann theoretisch auch (kostenfrei) von Ihnen selbst generiert werden – da hier jedoch keine Zertifizierungsstelle für Sie bürgt, werden die meisten E-Mail-Programme das selbstgenerierte Zertifikat bemängeln und dem Empfänger der E-Mail eine Warnung ausgeben. Wir empfehlen Ihnen, ein S/MIME-Zertifikat von einer vertrauenswürdigen Zertifizierungsstelle (CA) zu beziehen. Die Vorteile liegen auf der Hand:

• Hohe Vertraulichkeit und Sicherheit: Da die CA die Angaben des Antragsstellers vor Ausgabe des Zertifikats sorgfältig prüft, ist die Identität des Zertifikatinhabers im Falle eines von einer CA signierten Zertifikates garantiert. Kommunikationspartner haben so die Gewissheit, dass die E-Mail tatsächlich von der angegebenen Person oder Organisation stammt.

• Anerkennung: Zertifikate von etablierten CAs werden von E-Mail-Programmen automatisch als vertrauenswürdig eingestuft. Das schafft Glaubwürdigkeit und beugt Warnungen wegen unbekannter Zertifikate vor.

• Haftung und Garantie: CAs bieten in den meisten Fällen einen breit aufgestellten Service, der unter anderem Haftung und Garantie umfasst. Zudem garantieren sie für eine definierte Laufzeit die Gültigkeit der Zertifikate, sodass Sie als Besitzer eines entsprechenden Zertifikats rechtlich abgesichert sind.

Übrigens: Es gibt neben personenbezogenen S/MIME-Zertifikaten auch sogenannte Domainzertifikate. Diese werden übergreifend für ganze Domains ausgestellt. Mithilfe eines solchen Zertifikats lässt sich der gesamte E-Mail-Verkehr eine Domain verschlüsseln. Ein Domainzertifikat ist vor allem für Domains sinnvoll, die über verschiedene E-Mail-Postfächer verfügen. Hier läuft die Verschlüsselung über ein zentrales Gateway, was in der Verwaltung der Zertifikate Zeit und Kosten spart. Problematisch ist unter anderem, dass manche E-Mail-Programme Probleme bei der Validierung der Signatur haben. Wenn Sie auf der Suche nach einer sicheren Lösung für Ihren E-Mail-Verkehr sind, empfehlen wir unser Webhosting. Bei manitu profitieren Sie von bis zu 2.500 Postfächern mit je 150 GB Speicherplatz. Spam- und Virenfilter, regelmäßige Backups und eine verschlüsselte Datenübertragung sorgen für eine sichere E-Mail-Kommunikation. Registrieren Sie beliebte Domains wie die .de-Domain sowie Nischen-Domains wie die .xyz-Domain und erhalten Sie die Welt des Hostings aus einer Hand.

Das PGP-Verfahren – eine Alternative zu S/MIME?

Abschließend möchten wir noch das PGP (Pretty Good Privacy)-Verfahren zur Verschlüsselung und Signierung von E-Mails (und anderen Dateien) erwähnen. Das Verfahren setzt ebenso auf die asymmetrische Public- / Private-Key-Verschlüsselung und funktioniert damit sehr ähnlich zum S/MIME-Verfahren.

Für das PGP-Verfahren muss jedoch kein Zertifikat erworben werden. Sie erzeugen selbst ein Schlüsselpaar. Das Verfahren unterscheidet sich jedoch in der Hinsicht, dass die Empfänger Ihrer E-Mails immer selbst entscheiden müssen, ob Sie Ihrem Schlüssel für die Zukunft vertrauen möchten, da es hier keine Zertifizierungsstelle und damit kein passendes Zertifikat gibt, wofür die Zertifizierungsstelle „bürgt“.