fbpx

E-Mails digital signieren und verschlüsseln

Sie nutzen End-to-End-Verschlüsselungen für Ihre alltäglichen Nachrichten bei WhatsApp & Co., um Ihre Nachrichten sicher und verschlüsselt zu übertragen. Sie achten auf die Sicherheit Ihrer persönlichen Daten, schützen Ihre Logins mit diversen Authenticator-Apps und verschlüsseln die privaten Foto-Ordner auf Ihrer Festplatte. Schließlich soll ja nicht jeder Ihre persönlichen Informationen, Nachrichten, die Einkaufsliste für das Wochenende oder die Food-Fotos des letzten Abendessens anschauen oder mitlesen können.

Wichtige Unterlagen wie Dokumente mit z.B. Ihrer Sozialversicherungsnummer und Ihrer Unterschrift, Verträge, ein Foto Ihres Reisepasses und andere persönliche Informationen versenden Sie wahrscheinlich, wie die meisten Nutzer, per E-Mail - auch verschlüsselt?

Hier erfahren Sie, wie Sie Ihre E-Mails sowohl digital signieren, als auch verschlüsseln können und worauf Sie dabei achten sollten.

Wenn Sie Ihre E-Mails digital signiert und verschlüsselt übermitteln möchten, erfahren Sie in diesem Beitrag, wie Sie das mit einem kostenlosen Zertifikat von WISeID by WISeKey (S/MIME) bewerkstelligen können.

Damit die Zertifikatskette korrekt funktioniert, benötigen Sie insgesamt 3 Zertifikate:

  • Das WISeKey Global ROOT-Zertifikat (das Stamm- oder Wurzelzertifikat das die jeweiligen Herausgeber verifiziert)
  • Das WISeKey Personal Issuing-Zertifikat (die Issuing CA ist der sog. Herausgeber, der Ihr persönliches Zertifkat ausgestellt hat und dieses auch verifiziert)
  • Ihr kostenloses, privates WISeID-Zertifikat (Ihr persönliches Zertifikat von WISeID)

Die WISeKey-Zertifikate können Sie direkt über WISeKey PKI Hierarchy Website unter wisekey.com/cacertificates herunterladen.

Um Ihnen den Einstieg ins Thema E-Mails verschlüsseln etwas weniger trocken zu gestalten, können Sie auch gerne mit einem kurzen Erklärvideo des BSI (deutsches Bundesamt für Sicherheit in der Informationstechnologie) beginnen. Das Video finden Sie am Ende dieses Beitrags.

Sinn und Zweck sowie Vorteile von E-Mail-Verschlüsselungen und digitalen Signaturen

Im Folgenden handelt es sich nicht um einen wissenschaftlichen Artikel, sondern eine kurze Übersicht rund um das Thema E-Mail-Verschlüsselung und digitale Signatur und wie Sie Ihre E-Mails digital signieren und verschlüsselt an den Empfänger übertragen können.

Machen Sie sich bitte kurz bewusst: Theoretisch werden E-Mails offen (so wie sie versendet/empfangen wurden) abgespeichert. Die Inhalte könnten somit von jedem gelesen werden. Sie entscheiden allerdings darüber, ob: "Hallo, wie geht es dir?" oder "npRtZOyuW1YpR3+CQR51840tdPiotWAmEiy+u/fKspc=" (selber Satz, allerdings mit einem Verschlüsselungsverfahren verschlüsselt) lesbar ist.

  • Mit der digitalen Signatur möchten Sie dem Empfänger zeigen, dass das vorliegende E-Mail tatsächlich von Ihnen stammt und der Inhalt nicht verändert wurde.
  • Mit der Verschlüsselung möchten Sie bezwecken, dass nur der berechtigte Empfänger den verschlüsselten Inhalt der gesendeten E-Mail entschlüsseln und lesen kann.

Durch digitales Signieren und zusätzliches Verschlüsseln möchten Sie demnach für mehr Sicherheit bei der Übertragung Ihrer Daten, Unterlagen und Infromationen sorgen.

Der Unterschied zwischen digitaler Signatur und Verschlüsselung

Mit der digitalen Signatur zeigen Sie dem Empfänger, dass das vorliegende E-Mail von Ihnen stammt und der Inhalt nicht durch Dritte verändert wurde. Der Inhalt ist für alle sichtbar/lesbar, die Identität des Absenders und die Integrität der Nachricht sind aber, durch die Signatur der E-Mail mittels Ihres privaten Schlüssels (Anm.: es werden hierbei sog. HASH-Werte errechnet und verglichen, wobei beide Werte exakt gleich sein müssen), gegeben.

Bei der Verschlüsselung spielt der öffentliche Schlüssel des Empfängers die wesentliche Rolle. Sie verschlüsseln Ihre Nachricht mit dem öffentlichen Schlüssel des Empfängers und sorgen somit dafür, dass nur der Empfänger die Nachricht mit seinem eigenen privaten Schlüssel entschlüsseln kann.

Herausforderungen, Nachteile und warum E-Mail-Verschlüsselung für normale Anwender so kompliziert ist

Es gibt unterschiedliche Standards für das Signieren und Verschlüsseln von E-Mails. Die meist verbreiteten bzw. genutzten Standards sind OpenPGP (freier Ableger von PGP) und S/MIME. Wenn in diesem Beitrag über PGP geschrieben wird, ist damit der OpenPGP-Standard gemeint.

Damit Verschlüsselungen auch tatsächlich so funktionieren wie sie sollen und die Echtheit (die Identität des Absenders) von digitale Signaturen gewährleistet werden kann, müssen Sender und Empfänger sicherstellen, dass der öffentliche Schlüssel (ein Teil des Schlüsselpaares, bestehend aus einem privaten und einem öffentlichen Schlüssel) auch wahrlich der jeweiligen Person gehört (Anm.: WoT, Web of Trust).

Grundsätzlich kann jeder unter jedem Namen für jede E-Mailadresse ein Schlüsselpaar erzeugen und so vorgaukeln, der jeweilige Absender zu sein. Das Web of Trust setzt hierbei darauf, dass sich Sender und Empfänger tatsächlich (physisch) kennen und bestätigen, dass der jeweils andere der ist, für den er sich ausgibt. Dies ist die sog. gegenseitige Zertifizierung.

Am einfachsten können solche gegenseiten Zertifizierungen direkt im Zuge des Geschäftstreffens oder bei einem gemütlichen Kaffee in privater Runde gemacht werden. Alternativ gibt es auch Krypto-Parties (vorwiegend im Umfeld technischer Universitäten) oder ähnliche Veranstaltungen.

Möchten Sie Ihre Nachrichten mit PGP verschlüsseln, müssen sowohl Versender als auch Empfänger PGP verwenden. Allerdings unterstützen nicht alle Systeme, Softwarelösungen und Betriebssysteme PGP. iOS (Anm.: Apple iPhone, Apple iPad...) unterstützt PGP z.B. nicht von sich aus. Hierfür müssen Sie sich einer zusätzlichen App für das Senden und Empfangen von E-Mails bedienen, was die Sache mit der Verschlüsselung etwas aufwändiger bzw. umständlicher macht.

S/MIME (die Verschlüsselung und das Signieren von MIME-Objekten) wird allerdings von den meisten Betriebssystemen bereits von Haus aus unterstützt - ebenso auf iOS-Geräten.

WISeID Account erstellen und persönliches E-Mail-Zertifikat erstellen

Öffnen Sie die WISeID-Website unter account.wiseid.com/signup in Ihrem Browser und erstellen Sie Ihren kostenlosen WISeKey Personal Account. WISeKey/WISeID-Zertifikate werden von allen gängigen Browsern und E-Mail-Clients unterstützt.

Bestätigen und vervollständigen Sie Ihr WISeID-Profil und wählen Sie danach den Punkt Free Digital Certificates aus.

Auf der Seite Free Certificates finden Sie einen Button Request Certificate über den Sie Ihr kostenloses persönliches Zertifikat für Ihre E-Mailadresse erzeugen können.

Füllen Sie bitte alle Felder sorgfälig aus, erzeugen das Zertifikat und laden/sichern Sie dieses nun auf Ihrem Endgerät.

Sie haben den ersten Schritt erfolgreich erledigt.

Benötigte Zertifikate (WISeKey-Zertifikatshierarchie) herunterladen und installieren

Damit Sie Ihr kostenloses, persönliches Zertifikat korrekt installieren und anweden können, benötigen Sie das sog. ROOT-Zertifikat und ein ISSUING CA-Zertifikat. Diese Zertifikate können Sie sich direkt von der WISeKey PKI Hierarchy Website unter wisekey.com/cacertificates laden bzw. herunterladen.

Sie benötigen folgende Zertifikate:

  • ROOT CA: OISTE WISeKey Global Root GB
  • ISSUING CA: WISeKey Personal GB CA (Achten Sie hierbei auf die zu Ihrem Zertifikat passende Issuing CA Nummer)
  • PERSONAL CERTIFICATE: Ihr kostenloses, persönliches WISeID Zertifikat

Installieren Sie die Zertifikate bitte in dieser Reihenfolge auf Ihrem Endgerät:

  1. ROOT-Zertifikat
  2. ISSUER-Zertifikat
  3. PERSONAL-Zertifikat

Installation der Zertifikate unter iOS (Apple iPhone, Apple iPad)

Öffnen Sie die WISeKey PKI Hierarchy Website im Browser auf Ihrem Apple iPhone oder Apple iPad. Wenn Sie nun ein Zertifikat direkt im Browser Ihres iOS-Geräts anklicken bzw. öffnen, wird Ihnen eine Aufforderung ähnlich dieser angezeigt: Diese Website versucht, ein Konfigurationsprofil zu laden. Darf sie das? Hier klicken Sie bitte auf Zulassen.

Nun erhalten Sie die Bestätigung, dass ein Profil geladen wurde und installiert werden kann: Profil geladen - Überprüfe das Profil in den Einstellungen, wenn due es installieren möchtest.

Um das Profil (Zertifikat) zu installieren, öffnen Sie Einstellungen > Allgemein > Profile (hierzu müssen Sie etwas weiter nach unten scrollen), öffnen das soeben geladene Zertifikat und klicken im rechten, oberen Bereich auf Installieren.

Wurde das Profil erfolgreich installiert, erscheint Überprüft ✓ in grüner Schrift innerhalb des Zertifikat-Profils.

Wiederholen Sie diese Schritte für jedes der drei Zertifikate.

Anwenden Ihres Zertifikats für die S/MIME-Verschlüsselung und Signatur Ihrer E-Mails in iOS

Um Ihr Zertifikat Ihrem E-Mailkonto in iOS Mail zuzuweisen, öffnen Sie Einstellungen > Accounts & Passwörter und wählen hier Ihr E-Mailkonto mit der E-Mailadresse aus, für welches Sie Ihr kostenloses, persönliches WISeID-Zertifikat erstellt und installiert haben.

Unter dem Punkt Erweiterte Einstellungen können Sie nun unter dem Punkt S/MIME S/MIME und das automatische Signieren aktivieren. Somit werden alle E-Mail, die Sie ab jetzt über dieses E-Mailkonto versenden, automatisch signiert. Findet iOS Mail ein Zertifikat des E-Mailempfängers auf Ihrem Gerät, wird die Nachricht zudem automatisch verschlüsselt.

Den Punkt Standardmäßig verschlüsseln sollten Sie nicht aktivieren. iOS Mail versucht sonst jede E-Mail zu verschlüsseln, wofür Sie allerdings das jeweilige Zertifikat des E-Mailempfängers benötigen würden. Haben Sie kein Zertifkat des E-Mailempfängers können Nachrichten von iOS Mail ggf. überhaupt nicht gesendet werden.

Video: E-Mails verschlüsseln | BSI (Bundesamt für Sicherheit in der Informationstechnik)

Das deutsche Bundesamt für Sicherheit in der Informationstechnik hat im Mai 2019 ein kurzes Erklärvideo zum Thema E-Mails verschlüsseln veröffentlicht. Nehmen Sie sich 3:37 Minuten Zeit, lehnen Sie sich zurück und schauen Sie sich dieses kurze Video an.