Datenschutz im digitalen Alltag

Damit Privates privat bleibt

E-Mails mit S/MIME verschlüsseln

S/MIME ist ein standardisiertes Verfahren zur Verschlüsselung und Signierung von E-Mail Nachrichten. Der entsprechende Standard ist RFC 2633 und wurde 1999 festgelegt. S/MIME bietet die gleiche Funktionsweise wie OpenPGP, ist aber nicht kompatibel zu diesem.

Die Zertifikatausgabe erfolgt in einem strikt hierarchischen Verfahren, bei dem übergeordnete Zertifizierungsinstanzen Zertifikate für verschiedene Einsatzzwecke austellen. Diese Zertifikate in der Regel in drei drei Stufen eingeteilt, die einen unterschiedlichen Grad an Überprüfung voraussetzen. Für den Privatgebrauch gedachte Zertifikate der Stufe 1 werden von einigen Zertifizierungsstellen kostenlos ausgestellt. Für die E-Mail-Verschlüsselung sind diese Zertifikate vollkommen ausreichend.

S/MIME findet man tendenziell in Unternehmensumgebungen, während OpenPGP bei Softwareprojekten und insbesondere im Open Source-Umfeld verbreiteter ist.

Viele E-Mail-Programme wie Microsoft Outlook oder Mozilla Thunderbird können von Haus mit S/MIME umgehen, was gegenüber OpenPGP ein Vorteil ist. Die Einrichtung variiert je nach eingesetztem Betriebssystem und E-Mail Programm. Im folgenden ist die Einrichtung für Linux und Windows, sowie die am weitesten verbreiteten E-Mail Programme beschrieben.


Hintergrund

S/MIME basiert auf einem Zwei-Schlüssel-Verfahren - genannt hybride Verschlüsselung. Mit einem öffentlichen Schlüssel werden die Nachrichten verschlüsselt, zur Entschlüsselung muss man jedoch über einen zweiten, privaten Schlüssel verfügen. Eine reine Signatur der E-Mails ist jedoch auch möglich.

Die Schlüsselbeglaubigung basiert auf einem hierarchischen Verfahren. Die Zertifikatkette hat in der Regel mindestens drei Glieder, kann jedoch auch deutlich länger sein. Das Wurzelzertifikat, gefolgt vom Zertifikat des Zertifikataustellers (CA = Certificate Authority) und letztlich das augestellte Zertifikat.

Zertifikate für E-Mail Verschlüsselung sind in drei Stufen eingeteilt. Bei Stufe 1 verifiziert die Zertifizierungsstelle die Echtheit der Mailadresse (z.B. über einen Bestätigungscode), Stufe 2 fügt dem Zertifikat auch den Namen hinzu, bei Stufe 3 muss sich der Antragssteller persönlich ausweisen.

Der S/MIME ist plattformunabhängig und steht in verschiedenen Implementierungen für viele Betriebssysteme und E-Mail Programme zur Verfügung.

Zertifikat beantragen

Einige CA's bieten kostenlose Zertifikate für die E-Mail Verschlüsselung an. Im Bereich der Certificate Authorities ist in den vergangenen Jahren ein verstärkter Konsolidierungsprozess im Gange, auch bedingt durch die erfolgreiche Etablierung von Let's Encrypt und durch verstärkte Sicherheitsüberprüfungen der Browserhersteller. Letztere entscheiden schließlich final welche CA's der Browser vertraut.

Die folgenden CA's eignen sich zur Beantragung eine kostenlosen S/MIME-Zertifikats:

Das erstellte Zertifikat ist in der Regel ein Jahr gültig und muss dann erneuert werden. Die Prozedur zur Erneuerung des Zertifikats ist im wesentlichen identisch mit der Erstbeantragung. Das bedeutet, dass der private und öffentliche Schlüssel importiert und den Kommunikationspartnern zugänglich gemacht werden muss.


Betriebssysteme

Das erstellte Zertifikat muss dem Programm oder Betriebssystem zur Verfügung gestellt werden. Das genaue Verfahren hängt vom genutzten Betriebssystem und präferierten E-Mail Programm ab. Wichtig ist, dass abgelaufene Zertifikate nicht aus dem System entfernt werden, da ansonsten alte E-Mails nicht mehr entschlüsselt werden können.

Linux

Linux unterstützt mittels GnuPG 2 S/MIMe Zertifikate auf systemebene und alle verbreiteten Mailclients wie z.B. KMail, Evolution und Thunderbird können mit diesen umgehen.

Weiterlesen: S/MIME unter Linux 

macOS

MacOS unterstützt S/MIME Zertifikate nativ, was auch für Programme gilt, die auf die interne Zertifikatsverwaltung zurückgreifen.

Weiterlesen: S/MIME unter macOS

Windows

Windows verfügt über eine integrierte Zertifikatsverwaltung, die S/MIME E-Mail Zertifikate verarbeiten kann. Allerdings greift lediglich das hauseigene Microsoft Outlook auf diese Verwaltung zurück. Andere Programme wie Thunderbird haben eigene Zertifikatsspeicher und moderne UWP-Apps haben bisher gar keine Möglichkeit zur Signierung und Verschlüsselung von E-Mails.

Weiterlesen: S/MIME unter Windows

Mobile Systeme

Im mobilen Bereich hat sich S/MIME, ähnlich wie OpenPGP, bisher nicht durchsetzen können. Android kann zwar auf Systemebene S/MIME Zertifikate importieren, diese stehen allerdings weder der integrierten, noch externen Mail-Apps wie K9 Mail zur Verfügung. Weiter ist hier Apple mit iOS, bei dem sich auf Systemebene importierte Zertifikate zur Ver- und Entschlüsselung von E-Mail Nachrichten nutzen lassen.


S/MIME im Alltag nutzen

Sobald S/MIME auf dem eigenen System eingerichtet ist, steht man vor dem Problem Verschlüsselung in den eigenen Alltag zu integrieren. Ein erster Schritt besteht darin den eigenen öffentlichen Schlüssel gegenwärtigen und potenziellen Kommunikationspartnern zugänglich zu machen.

S/MIME verfügt im Gegensatz zu openPGP nicht über so genannte Schlüsselserver. Eine relativ einfache Möglichkeit den eigenen Schlüssel zu verbreiten, besteht daher darin ausgehende E-Mails automatisch zu signieren. Empfänger mit einer eingerichteten S/MIME-Funktion können hierdurch verschlüsselte Antworten verfassen und zukünftige Nachrichten verschlüsseln. Andere Empfänger sehen je nach E-Mail Programm, dass die Nachricht signiert ist oder lediglich eine kleine Anhangdatei.

Zusammengefasst

S/MIME bietet ein hohes Maß an Sicherheit. Das Verfahren ist nicht gebrochen und Mailinhalte werden zuverlässig geschützt, die Metadaten liegen jedoch dennoch offen. Die Einrichtung ist bei allen verbreiteten Betriebssystemen und E-Mail Programmen leicht zu bewerkstelligen, da die grundlegende Funktionalität bereits implementiert ist. Hier liegt ein grundsätzlicher Vorteil gegenüber OpenPGP. Insbesondere im mobilen Bereich konnte sich allerdings auch S/MIME bisher nicht etablieren.

Tags: E-Mail, Verschlüsselung, S/MIME, KMail, Thunderbird, Outlook, Microsoft

  • Betriebssystem wählen

    Das Betriebssystem mit dem Desktoprechner, Notebooks und Mobilgeräte wie Smartphones und Tablets betrieben werden, dient einerseits als Grundlage jeder weiteren Weiterlesen
  • Daten verschlüsseln

    Verschlüsselung von Daten ist eine der wichtigen Erstmaßnahmen um Datenabfluss zu vermeiden. Externe Festplatten oder Speichermedien kann man verlieren, Notebooks Weiterlesen
  • Kommunikation schützen

    Im Zuge der Digitalisierung haben sich auch die Kommunikations-Kanäle vervielfältigt. Videotelefonie, Instant Messenger, sowohl für den Desktop, als auch im Weiterlesen
  • Anonymisierung

    Anonymität gehört im Zeitalter von Werbetracking und Bestandsdatenabfragen der Vergangenheit an. Mit einigen speziellen Programmen wie TOR oder spezialisierten Betriebssystemen Weiterlesen
  • 1