Was ist eine digitale Signatur?

Im Prinzip ist die Signatur ein kleiner E-Mail-Anhang, der aus einer computerlesbaren Zeichenfolge besteht. Das Mail-Programm des Empfängers kann dadurch überprüfen, ob die E-Mail wirklich vom angegebenen Absender stammt und von niemandem verändert wurde. Das ist – gerade im geschäftlichen Umfeld – sehr wichtig.

Warum sollte ich meine E-Mails signieren?

Stellen Sie sich vor, Sie würden Ihre geschäftliche Korrespondenz ausschließlich auf Postkarten schreiben und offen verschicken. Die Postkarten können von jedem, der Zugriff darauf hat oder am Transport beteiligt ist, mitgelesen, verändert oder gänzlich gefälscht und in Ihrem Namen versendet werden. Bei E-Mails ist es ganz genauso! E-Mails werden offen durch das Internet transportiert und können mitgelesen werden. Das Fälschen von E-Mails, z.B. Angeben eines falschen Absenders, ist sehr einfach möglich, wenn man sich nicht dagegen schützt. Hier hilft die sogenannte digitale Signatur. Um sich gegen unerlaubtes Mitlesen zu schützen, hilft es die E-Mail zu verschlüsseln, dazu später mehr.

Wie funktioniert denn die digitale Signatur? Kann die auch gefälscht werden?

Die Signatur wird mit einer speziellen kryptographischen Funktion aus der zu sendenden E-Mail und Ihrem geheimen Schlüssel berechnet und an die E-Mail angehängt. Es wird also nicht nur die eigentliche Nachricht im Klartext verschickt, sondern auch ein digitaler Fingerabdruck – die Signatur – der Nachricht. Die Signatur kann nur von Ihnen stammen, da nur Sie den geheimen Schlüssel (Secret Key) besitzen. Das Mailprogramm des Empfängers entschlüsselt die Signatur und überprüft, ob die Signatur zur erhaltenen Nachricht und zum angegebenen Absender passt. Das geschieht alles blitzschnell im Hintergrund. Im Mailprogramm sieht der Empfänger dann, dass die Mail tatsächlich von Ihnen stammt und unterwegs nicht verändert wurde. Warum ist es dadurch sicher, dass die Mail wirklich von Ihnen stammt? Die Magie heißt hier Mathematik. Der bereits erwähnte private Schlüssel ist eine lange Zeichenfolge, die nur Ihnen bekannt ist. Durch eine komplexe mathematische Berechnung wird eine Signatur (praktisch ein Fingerabdruck) der Nachricht berechnet, und zwar so, dass der Empfänger sie mit seinem öffentlichen Schlüssel entschlüsseln kann. Diese spezielle mathematische Funktion ist so geartet, dass der Fingerabdruck der Nachricht nur mit Ihrem geheimen Schlüssel erstellt und nur mit dem öffentlichen Schlüssel des Empfängers entschlüsselt werden kann.

Wie kann ich meine E-Mails digital signieren?

Um E-Mails digital signieren zu können, brauchen Sie zunächst ein digitales Zertifikat. Im geschäftlichen Umfeld wird zumeist der Standard S/MIME verwendet. Diese Zertifikate werden u.a. bei MS Outlook und Apple Mail verwendet. Eine Alternative ist das PGP-Format, was sich z.B. mit Thunderbird verwenden lässt, aber nicht mit Outlook. Das digitale Zertifikat erhalten Sie von Ihrer Unternehmens-IT oder von einem externen Dienstleister (z.B. Comodo, Secorio, WISeKey, GlobalSign, etc.).

Man unterscheidet drei Zertifikat-Klassen:

  • Klasse 1: Das einfachste Zertifikat. Die Echtheit der E-Mail-Adresse wird zugesichert, mehr aber nicht.
  • Klasse 2: wie Klasse 1, aber inklusive Namen des Besitzers und Organisation.
  • Klasse 3: wie Klasse 2, allerdings muss sich der Antragsteller persönlich mit einem Lichtbildausweis ausweisen.

Je höher die Zertifikatklasse, desto größer ist das Vertrauen, aber desto aufwändiger ist auch die Beantragung. Importieren Sie das Zertifikat in Ihrem Mailprogramm oder im Zertifikatspeicher des Betriebssystems. Achten Sie beim Versenden von E-Mails künftig darauf, dass die Einstellung „Nachricht digital signieren“ aktiviert ist.

Wichtig bei der Beantragung des Zertifikats ist, dass die Schlüsselerstellung auf Ihrem Computer geschieht. Ein „geheimer“ Schlüssel, der von einem Dritten erstellt wird und Ihnen zugeschickt wird oder herunterladbar ist, ist nicht geheim und folglich auch nicht sicher.

Überzeugen Sie auch Kollegen und Geschäftspartner davon, sich mehr um ihre IT-Sicherheit zu kümmern. Mit allen Kontakten, die ebenfalls ein Zertifikat haben, können sie auf Wunsch Ihre E-Mails verschlüsselt austauschen, sodass niemand mehr unberechtigt mitlesen kann. Durch das Versenden signierter E-Mails „lernen“ die E-Mail-Programme Ihrer Kontakte auch Ihren öffentlichen Schlüssel. Das ist wichtig, damit man Ihnen verschlüsselte E-Mails senden kann.

E-Mails verschlüsselt versenden

Durch die digitale Signatur ist es möglich sicherzustellen, dass der Empfänger weiß, dass die Nachricht tatsächlich vom angegebenen Absender stammt und nicht gefälscht wurde. Bei der Verschlüsselung sind die mathematischen Methoden die gleichen wie bei der Signatur und auch hier wird das gleiche Zertifikat (mit öffentlichem und privatem Schlüssel) verwendet, aber das Verfahren ist etwas anders: Die zu versendende Nachricht wird hier mit dem öffentlichen Schlüssel des Empfängers verschlüsselt. Das kann übrigens jeder tun, der den öffentlichen Schlüssel kennt (und der soll ja bekannt sein, damit man dem Empfänger verschlüsselte Nachrichten schicken kann). Aber der Clou dieser komplexen mathematischen Funktion ist, dass nur der Empfänger die Nachricht mit seinem geheimen Schlüssel wieder entschlüsseln kann. Für alle am Transport der E-Mail beteiligten Zwischenstationen ist die E-Mail nur eine wirre Folge von Zeichen, die keinen weiteren Sinn ergibt. Nur der Empfänger, der der einzige ist, der seinen geheimen Schlüssel besitzt, kann die Nachricht wieder entschlüsseln und lesen. Das macht das Mailprogramm beim Empfang ganz automatisch. Da der öffentliche und der private Schlüssel zusammengehören, kann der Absender die Mail passend für den Empfänger verschlüsseln. Denn wenn zur Verschlüsselung der öffentliche Schlüssel des Empfängers benutzt wird, kann nur der dazu passende geheime Schlüssel die Entschlüsselung schaffen. Es gibt also sinnbildlich zu jeder Tür genau zwei Schlüssel – einen öffentlichen, den jeder kennen darf, um die Tür abzuschließen und einen geheimen Schlüssel, mit dem die Tür wieder geöffnet werden kann.

Um zusätzlich sicherzustellen, dass die Mail vom angegebenen Absender stammt, kann die E-Mail zusätzlich noch mit der digitalen Signatur versehen werden. Denn dann ist sicher, dass die Mail weder unbefugt gelesen, noch verändert, noch von einem anderen Absender verschickt wurde und nur vom Empfänger gelesen werden kann.

Text: Matthias Bauer, Hasso-Plattner-Institut (HPI), Mittelstand 4.0-Kompetenzzentrum Berlin

Auch interessant:

17. Januar 2019
Prenzlauer Allee 242, 10405 Berlin

17.

Blog

Neue Risiken für den Mittelstand

Cyber-Angriffe auf deutsche Unternehmen werden immer raffinierter. Um sich vor Cyberkriminalität zu schützen, ist es wichtig, die gängigsten Angriffsformen zu kennen.