Ab sofort sind alle meine Emails mit einer digitalen Signatur signiert und nach Möglichkeit verschlüsselt. Als Absicherungsverfahren habe ich mich für S/MIME entschieden. Es gibt auch weitere Verfahren wie PGP [1] oder GnuPG [2] und andere. Vergleiche zwischen den Verfahren finden Sie genügend im Internet [3]. Warum also S/MIME?
Es ist einfach und wird von nahezu jedem Emailprogramm ohne zusätzliche Plugins unterstützt. Und es ist relativ simpel umzusetzen. Ein besseres Verfahren kann seine Wirkung nicht entfalten, wenn es für den täglichen Einsatz zu kompliziert ist. Dabei muss es nicht so sehr für mich einfach sein, bin ja schließlich vom Fach und sollte schon klar kommen. Aber meine Kommunikationspartner sind es meistens nicht. Und denen will ich es nicht unnötig schwer machen. Sonst bringt das alles nichts.
S/MIME
Das Verfahren basiert grob beschrieben darauf, dass es zwei Schlüssel gibt, einen öffentlichen und einen privaten oder geheimen. Alles, was mit dem einen verschlüsselt wird, lässt sich nur mit dem jeweils anderen wieder entschlüsseln. Also sollte man den einen tunlichst geheim halten und den anderen möglichst weit verteilen. Wenn ich eine Email schreibe, verschlüssele ich sie mit meinem geheimen Schlüssel und sende den öffentlichen mit der Mail mit. Da nur ich den privaten Schlüssel besitze, kann nur ich eine Mail auf diese Weise verschlüsselt haben. Sie stammt damit eindeutig und überprüfbar von mir. Wenn das Gegenüber seine Email an mich mit meinem öffentlichen Schlüssel verschlüsselt, kann nur ich sie mit meinem privaten Schlüssel lesen. Die Nachricht bleibt vertraulich. Mehr Infos zum Verfahren hält Wikipedia bereit [4], mehr zum Thema Kommunikationsabsicherung im Unternehmen das Bundesamt für Sicherheit in der Informationstechnik (BSI) [5].
Verschlüsselungslücken geschlossen
Mit den neuen Verfahren habe ich eine ganz wichtige Verschlüsselungslücke geschlossen. Eingaben in das Kontaktformular wurden schon bisher vom Besucher zur Homepage per SSL verschlüsselt übertragen. Danach gingen sie aber als unverschlüsselte Email zum Mailserver weiter, wie es bei Email normalerweise üblich ist. Das Abholen der Mails vom Mailserver geschah auch bisher schon per SSL verschlüsselt. Doch nun werden sie von der Eingabe beim Benutzer, über meine Homepage und den Mailserver bis zu meinem Computer durchgehend verschlüsselt übertragen. Damit gibt es keine Verschlüsselungslücke mehr.
Verschlüsselt mailen
Mein öffentliches Zertifikat kann auf meiner Homepage heruntergeladen werden, z.B. im Impressum [6]. Damit kann mir jeder eine verschlüsselte und damit eine absolut vertrauliche Nachricht senden. Dafür muss man mein öffentliches Zertifikat herunterladen und in das eigene Mailprogramm importieren. Anschließend können alle an mich gerichtete Emails so verschlüsseln, dass nur ich sie wieder öffnen kann. Wie das mit Ihrem Mailprogramm geht entnehmen Sie bitte der Dokumentation oder der Suchmaschine Ihres Vertrauens. Die Gültigkeit der Zertifikate ist aus gutem Grund auf ein Jahr begrenzt. So hat ein potentieller Angreifer nur begrenzt Zeit für einen Angriff. Danach gilt das Zertifikat als abgelaufen und wird im Emailprogramm entsprechend als solches angezeigt. Bei alten Emails ist das kein Grund zur Besorgnis, aber neue Emails mit einer abgelaufenen Signatur sollten nicht mehr ankommen.
Emailverschlüsselung in beide Richtungen?
Das bedeutet nun aber noch nicht, dass auch ich Ihnen einfach so eine verschlüsselte Email senden kann. Dazu müssten auch Sie ein S/MIME-Zertifikat haben, dass ich dazu verwenden kann. Ich helfe aber gerne dabei auch ihre Emailkorrespondenz abzusichern. Fragen Sie mich!
Zukünftig
Alle meine Emails tragen von nun an eine digitale Signatur und sind authentisch und definitiv von mir versendet worden. Ich versende ab sofort keine Emails mehr ohne. Kommt eine Mail ohne Signatur an, ist sie höchstwahrscheinlich gefälscht und jemand gibt sich für mich aus. Meine Datenschutzerklärung habe ich dahingehend schon angepasst [7]. Nun arbeite ich daran mit Hilfe der Verschlüsselung die Informationsverbreitung und Steuerung im Unternehmen umzusetzen, um einen unzulässigen Informationsabfluss verhindern zu können. Zum Beispiel wenn Mitarbeiter gehen oder Informationen entgegen der Betriebsanweisungen miteinander teilen.
Vorläufiges Fazit
Emailverschlüsselung ist sehr sinnvoll, macht bisher aber keiner. Nun achte ich ja verstärkt darauf. Die Statusmails meiner eigenen Systeme sind bisher die einzigen verschlüsselten in meinem Postfach. Die statistischen Daten sprechen von einen Anteil von etwa 16% [8], gefühlt sind es noch viel weniger. Schade, aber ich hoffe noch ein paar meiner Mitmenschen motivieren zu können.
[1] https://de.wikipedia.org/wiki/Pretty_Good_Privacy
[2] https://de.wikipedia.org/wiki/GNU_Privacy_Guard
[3] Vergleich unterschiedlicher Email-Verschlüsselungen
[4] https://de.wikipedia.org/wiki/S/MIME
[5] Kommunikationsabsicherung nach BSI
Privat bleibt privat – verschlüsselte Kommunikation mit E-Mails
G 3.61 Fehlerhafte Konfiguration von Outlook
M 5.100 Absicherung der Kommunikation von Exchange-Systemen
M 5.108 Kryptographische Absicherung von Groupware bzw. E-Mail
M 5.110 Absicherung von E-Mail mit S/MIME
[6] Zertifikate zum Herunterladen im Impressum von Kasdorf-IT, unter Korrespondenz.
[7] Datenschutzerklärung von Kasdorf-IT
[8] Umfrageergebnisse zur Mailverschlüsselung
Verschlüsselung von E-Mails kommt nur langsam voran
Ende-zu-Ende-Verschlüsselung kaum verbreitet
Nur 16 Prozent der Deutschen verschlüsseln ihre E-Mails