Wie schön wäre eine sichere E-Mail-Kommunikation? Wer davon bisher träumt, kann das wahr werden lassen. Nutzende können ihre E-Mails mit zwei unterschiedlichen Techniken digital signieren und verschlüsseln und damit erheblich zur IT-Sicherheit beitragen. An der FAU werden nun beide Verfahren aktiv unterstützt.
Täglich erreichen die Friedrich-Alexander-Universität Erlangen-Nürnberg (FAU) zahlreiche Spam-Mails. Ein Großteil davon ist eindeutig als Spam identifizierbar und kann deshalb automatisiert oder händisch aussortiert werden. Scam-Mails hingegen sind oftmals personalisiert aufbereitet und erwecken inzwischen vermehrt den Anschein, als würde auf eine bestehende Konversation geantwortet. Tatsächlich sind sie jedoch auf Betrug ausgerichtet. Solche E-Mails automatisch zu eliminieren, ist praktisch unmöglich – können doch selbst Menschen sie nicht leicht als Spam identifizieren. Nutzende sind dem trotzdem nicht hilflos ausgeliefert, sondern können kostenlos durch digitales Signieren ihre E-Mails mit einem Echtheitssiegel versehen und durch Verschlüsselung deren Inhalt schützen. Der sogenannte S/MIME-Standard ist hierfür ein schon seit Jahren gängiges Verfahren an der FAU. Das alternative Verfahren OpenPGP wird vom Regionalen Rechenzentrum Erlangen (RRZE) ab sofort ebenfalls aktiv mit einem FAU-Schlüsselverzeichnis unterstützt.
Digitale Signatur ermöglicht Nachweis von Authentizität und Integrität der E-Mail
Beide Verfahren bieten neben der digitalen Signatur eine Ende-zu-Ende-Verschlüsselung von E-Mails (englisch: End-To-End Encryption, E2EE). Darunter versteht man die Verschlüsselung einer elektronischen Konversation, sodass nur die sendende und empfangende Person die Nachricht entschlüsseln können. „Durch digitales Signieren unserer E-Mails können wir alle selbst entscheidend dazu beitragen, dass für den Empfänger leicht erkennbar wird, ob eine E-Mail tatsächlich vom angegebenen Absender stammt (Authentizität) und ob sie unverfälscht übertragen wurde (Integrität)“, sagt Reiner Fischer, Mitarbeiter in der Abteilung Kommunikationssysteme des RRZE. Die Postmaster, zu denen Fischer gehört, kümmern sich um den gesamten E-Mail-Verkehr an der FAU. Die Vertraulichkeit des E-Mail-Inhalts kann erst durch dessen Verschlüsselung gewährleistet werden. „Niemand würde vermutlich vertrauliche Informationen auf einer Postkarte übermitteln. Nichts Anderes ist jedoch eine unverschlüsselte E-Mail.“
Beide Verfahren, S/MIME und OpenPGP, basieren auf der sogenannten Public-Key-Kryptografie, verwenden aber unterschiedliche Datenformate und sind daher nicht miteinander kompatibel. „Vom Sicherheitsaspekt her sind sie als gleichwertig einzustufen. Für größtmögliche Flexibilität erlauben es gängige E-Mail-Programme, beide Verfahren parallel einzurichten“, erklärt Fischer.
S/MIME versus OpenPGP
Die beiden Verfahren unterscheiden sich auch bezüglich der Einrichtung: Während S/MIME mit Nutzerzertifikaten arbeitet, die von offiziellen Stellen ausgestellt wurden, liegt bei OpenPGP alles in der Hand der Nutzenden. So müssen sich diese für S/MIME bei einer Zertifizierungsinstanz mit amtlichem Lichtbildausweis ausweisen und anschließend ein Zertifikat beantragen. An der FAU sind die Service-Theken des RRZE für den dienstlichen Gebrauch offizielle Registrierungsinstanzen; die folgenden Schritte, können die Nutzenden selbst durchführen. Die ausgestellten Zertifikate gelten maximal drei Jahre und müssen dann erneuert werden.
Für die Nutzung des OpenPGP-Verfahrens muss man sich in der Schlüsselverwaltung des eigenen E-Mail-Programms (z. B. Outlook/Kleopatra, Thunderbird oder Apple Mail) ein Schlüsselpaar erzeugen, bestehend aus einem geheimen und einem öffentlichen Schlüssel. Der geheime Schlüssel dient zum Signieren von E-Mails sowie zum Entschlüsseln empfangener E-Mails. Der öffentliche Schlüssel wird zur Überprüfung der digitalen Signatur und zum Verschlüsseln von E-Mails an diese Person benötigt. Während der geheime Schlüssel dem eigenen E-Mail-Konto zugeordnet und ansonsten sicher verwahrt werden muss, muss der öffentliche Schlüssel den Kommunikationspartnern bekannt gemacht werden. FAU-Mitglieder können zu diesem Zweck den Schlüssel für ihre @fau.de-Adresse im FAU-Schlüsselverzeichnis veröffentlichen und ihn so ihren Kontakten auf sichere Weise zugänglich machen.
Wichtig bei beiden Verfahren ist: Die Nutzenden müssen es einmalig in ihrem E-Mail-Programm einrichten – der Abgleich der Schlüssel funktioniert in Outlook automatisiert. Thunderbird-Nutzer müssen hingegen selbst – wie in der Anleitung beschrieben – aktiv werden. Empfängerseitig zeigt das E-Mail-Programm eine digital signierte bzw. verschlüsselte E-Mail in der Regel durch ein Siegel- bzw. Schloss-Symbol an. Thunderbird blendet zusätzlich das verwendete Verfahren ein. Welches der beiden Verfahren, S/MIME oder OpenPGP, man nutzen sollte, hängt wesentlich von den persönlichen Vorlieben oder auch von dienstlichen Vorgaben ab. Richtet man beide Verfahren ein, ist man für die sichere E-Mail-Kommunikation mit allen potenziellen Kontakten gerüstet.
Weitere Informationen
Schritt-für-Schritt-Anleitung zur Nutzung von OpenPGP und S/MIME
Videoanleitung zu S/MIME vom CIO-Office (intern)
Misstrauisch sein und nachfragen
Informationen zur Verwendung innerhalb der ZUV (intern)
Text: Corinna Russow