Quelle: Freepik
Wusstet ihr, dass im Juni 2024 mehr als 80% aller eingehenden E-Mails an der RWTH Aachen von den E-Mail-Sicherheitsabwehrsystemen als verdächtigt identifiziert wurden? [1] Eventuell kommen euch nun Begriffe wie Phishing-E-Mails oder Spam-E-Mails in den Sinn.
Jede*r Empfänger*in einer E-Mail stellt sich irgendwann die Frage: Woher weiß ich, ob die Absendeadresse vertrauenswürdig und echt ist? Auf der anderen Seite fragt sich jede*r Absender*in irgendwann: Woher weiß ich, ob meine E-Mail nachweislich unverändert bei den Empfänger*innen angekommen ist? Eine Antwort darauf lautet: E-Mails immer digital signieren! Diesen Prozess möchten wir mit euch im folgenden Blogbeitrag näher beleuchten.
Was sind digital signierte E-Mails?
Eine digital signierte E-Mail enthält einen eindeutigen Wert des E-Mail-Inhaltes. Die digitale Signatur der E-Mail wird durch die Berechnung der Prüfsumme des E-Mail-Inhaltes und der Verschlüsselung dieser mit dem privaten kryptographischen Schlüssel der Absender*innen erzeugt. Mit Prüfsumme ist ein Wert gemeint, mit dem die Integrität von Daten überprüft werden kann. Ihr könnt sie euch wie einen Fingerabdruck der Daten vorstellen.
Um E-Mails digital signieren zu können, wird ein Public-Key-Zertifikat (auch X.509, S/MIME oder Nutzerzertifikat genannt) benötigt. Die E-Mail-Anwendung, die ihr nutzt, zum Beispiel Microsoft Outlook oder Mozilla Thunderbird, hängt mithilfe dieses Public-Key-Zertifikats fortan an jede ausgehende E-Mail eine digitale Signatur an. Wie ihr ein solches Nutzerzertifikat für eure digitale E-Mail-Signatur bei uns beantragen könnt, erklären wir euch im folgenden Abschnitt.
Beantragung von Nutzerzertifikaten an der RWTH
Nutzerzertifikate können Mitarbeitende und Studierende der RWTH Aachen seit Mitte August 2023 über das RA-Portal beantragen. Nach der Beantragung erhält man eine .p12-Datei, welche den privaten Schlüssel, öffentliche Schlüssel und das Zertifikat enthält. Diese kann man dann in die eigene E-Mail-Anwendung einbinden. Die Beantragung ist für Mitarbeitende und Studierende ohne eine gesonderte Identitätsprüfung möglich, da auf die Identitätsprüfung im Rahmen der Einstellung von Mitarbeitenden beziehungsweise Einschreibung von Studierenden vertraut wird. Alle anderen RWTH-Angehörigen müssen eine persönliche Identitätsprüfung mit einem gültigen Ausweisdokument beim Absolvieren.
Nachweislich unveränderte E-Mail: Das rote Siegelsymbol
Die E-Mail-Anwendung der Empfänger*innen prüft im Hintergrund, ob die digitale Signatur intakt ist. Ist das der Fall, wird die E-Mail mit einem (meistens) roten Siegelsymbol (wie eine rote Schleife) in der E-Mail-Navigationsleiste gekennzeichnet. Dadurch wisst ihr, dass eine digital signierte E-Mail nachweislich unverändert bei euch angekommen ist.
Quelle: IT Center Help
Echtheit der E-Mail und der Absender*innen erkennen
Woher wisst ihr nun, ob eine empfangene E-Mail von den echten Absender*innen signiert wurde? An dieser Stelle spielen die Public-Key-Zertifikate wieder eine entscheidende Rolle. Diese Zertifikate müssen die Absendeadresse beinhalten und können optional den vollständigen Namen der Zertifikatsinhaber*innen enthalten. Die Absender*innen kann man nur dann eindeutig und sicher „kennen“, solange diese ihre privaten kryptographischen Schlüssel, das heißt ihre .p12-Dateien niemals an Dritte weitergeben.
„Die digitale Signatur dieser Nachricht ist gültig und vertrauenswürdig“
Was bedeutet es, wenn die E-Mail-Anwendung eine empfangene E-Mail mit dem Hinweis „Die digitale Signatur dieser Nachricht ist gültig und vertrauenswürdig“ versieht? „Gültig“ heißt, die digitale Signatur ist intakt. Mit „vertrauenswürdig“ werden E-Mails dann bewertet, wenn das mitgelieferte Nutzerzertifikat von einer Zertifizierungsstelle ausgestellt wurde, welcher die E-Mail-Anwendung vertraut. Vertrauenswürdige Zertifizierungsstellen halten die Certificate Authority/Browser Forum Richtlinien für die Ausstellung von S/MIME-Zertifikaten ein und werden auditiert.
Quelle: IT Center Help
Natürlich prüft die E-Mail-Anwendung auch, ob das Zertifikat für die Absendeadresse ausgestellt wurde und ob das Zertifikat noch gültig ist und nicht widerrufen wurde.
Was sollte ich noch beachten, wenn ich signierte E-Mails versende?
Wenn die eigene E-Mail-Anwendung es erlaubt, solltet ihr immer ein Masterpasswort setzen. Dieses Vorgehen schützt den eingebunden privaten kryptographischen Schlüssel.
Die eigene .p12-Datei und somit den eigenen privaten Schlüssel solltet ihr sicher aufbewahren und niemals an Dritte weitergeben. Bei einem Rechnerwechsel empfiehlt es sich, die .p12-Datei mitzunehmen und sowohl auf dem neuen Rechner als auch in die E-Mail-Anwendung neu einzubinden.
Falls ihr mehrere Rechner nutzt, von wo aus ihr E-Mails signieren möchtet, könnt ihr die bestehende .p12-Datei natürlich auf allen Geräten einbinden. Zusätzlich ist abzuwägen, ob ihr die eigenen kryptographischen Schlüssel auch auf mobilen Geräten wie beispielsweise Smartphones, die einfacher gestohlen werden oder verloren gehen können, installieren möchtet.
Wie gehe ich nun vor?
Am besten beantragt ihr direkt eure Nutzerzertifikate im RA-Portal für eure persönlichen Postfächer und konfiguriert die E-Mail-Anwendung so, dass eure E-Mails immer digital signiert werden. Nutzende von Outlook und Thunderbird können hierfür Anleitungen auf IT Center Help nachlesen. OWA-Nutzende hingegen können nicht digital signieren. Sie können lediglich sehen, ob eine empfangene E-Mail digital signiert wurde.
Digitales Signieren von Dokumenten
Das digitale Signieren von Dokumenten ist ebenfalls möglich. Dafür müsst ihr eure eigene PDF-Anwendung konfigurieren. Anleitungen zu Adobe Acrobat, JSignPDF und LibreOffice stehen euch auch auf IT Center Help zur Verfügung.
[1] IT Center Help
Verantwortlich für die Inhalte dieses Beitrags sind Mirko Koch, Bernd Kohler, Jelena Nikolić und Katerina Papachristou.
Schreibe einen Kommentar