Damit die Kommunikation via E-Mail als sicher eingestuft werden kann, müssen Mails zunächst zwei Grundvoraussetzungen erfüllen: Der Absender muss eindeutig Identifizierbar sein und der Inhalt vor unbefugter Einsichtnahme geschützt sein.
Selbstverständlich bestehen darüber hinaus auch für E-Mails die bei jeder Form von Datenübertragung über das Internet geltenden Sicherheitsanforderungen bezüglich des Schutzes vor Viren und sonstiger Malware.
Speziell für Unternehmen kommt eine weitere Anforderung hinzu: Die notwendigen Pflichtangaben müssen vorhanden sein. Welche das sind hängt von der Rechtsform des Unternehmens ab, unter http://www.it-recht-kanzlei.de/index.php?id=%2FTools%2FPflichtangabengenerator& findet sich ein Tool, das für jede Rechtsform eine den rechtlichen Anforderungen entsprechende Mustersignatur erstellt. Die zwingende Verwendung der vorgeschriebenen Signatur sollte mit technischen Mitteln garantiert werden. Entsprechende Softwarelösungen sind seit einiger Zeit auf dem Markt, beispielsweise http://www.softguide.de/prog_g/pg_2191.htm.
Nutzen Sie eine PKI Infrastruktur!
Die Verschlüsselung der Mails wird in den meisten Fällen über eine PKI (Public Key Infrastructure) ermöglicht. Dabei handelt es sich um ein so genanntes asymmetrisches Verschlüsselungsverfahren, bei dem zum Ver- und Entschlüsseln einer Nachricht zwei verschiedene Schlüssel genutzt werden. Jeder Teilnehmer ist im Besitz eines öffentlichen und eines privaten Schlüssels (public/private Key). Der öffentliche Schlüssel wird allgemein zugänglich abgelegt und zur Verschlüsselung der Mails benutzt. Die Entschlüsselung ist nur mit dem private Key möglich, den nur der Inhaber kennt und der oft nicht im Netz sondern z.B. auf einer Smartcard gespeichert wird. Zu den führenden Anbietern gehört die VeriSign Deutschland GmbH (http://www.verisign.de/index.html).
Die Authentizität einer E-Mail
Hier geht es darum, den Absender einer Mail zweifelsfrei zu erkennen. Das Standardverfahren wird als „digitale Signatur“ bezeichnet, was die Gefahr eines möglicherweise verhängnisvollen Missverständnisses birgt. Die am Ende einer E-Mail üblicherweise zu findende Signatur enthält genau diese Angaben über den Absender, und „digital“ ist sie in gewissem Sinne natürlich auch. Dennoch hat sie nicht das Geringste mit der hier gemeinten „digitalen Signatur“ zu tun.
Vielmehr wird bei der digitalen Signatur aus der Nachricht ein so genannter Hashwert bestimmt. Beispielsweise könnte jedem Buchstaben eine Zahl (a=1, b=2…) zugeordnet werden und diese Zahlen abschließend addiert werden. (Das wäre aus Sicherheitsgründen eine denkbar schlechte Methode und soll hier nur als einfaches Beispiel dienen.) Diesen Hashwert verschlüsselt der Absender mit seinem privaten Schlüssel und fügt das Ergebnis der Mail hinzu. Der Empfänger tut nun zweierlei: Er berechnet selbst den Hashwert der Nachricht und entschlüsselt des vom Absender übermittelten Wert mit dessen öffentliche Schlüssel. Wenn beide Werte nicht übereinstimmen, ist entweder der falsche Empfängerschlüssel genutzt worden (d.h. dass der angegebene Absender nicht stimmt) oder die Nachricht wurde verändert.
Dazu noch ein wichtiger Hinweis: Die Gefahr ist sehr real und ein entsprechender Schutz dringend erforderlich! Es ist ein Irrtum zu glauben, gefälschte Mails könnten nur von professionellen Hackern versandt werden. Jeder Internetnutzer ohne irgendwelche speziellen technischen Kenntnisse kann das tun. Um dies zu testen –und bitte nur zu diesem Zweck- empfiehlt sich ein Blick auf beispielsweise http://funworld-free-mail.emailsender.mobi/
Tags: PKI, Sicherheit