Domain-Verschlüsselung und S/MIME: Warum Zertifikat nicht gleich Zertifikat ist

Das Verschlüsseln von E-Mails ist der beste Weg, um die Kommunikation Ihres Unternehmens zu schützen und sensible Daten vor illegalem Zugriff zu bewahren. Viele Unternehmen haben dies verstanden und nutzen deshalb Verschlüsselungslösungen. Aber auch compliance-basierte Anforderungen und gesetzliche Vorgaben wie die Datenschutzgrundverordnung (DSGVO) tragen zur Verbreitung von Lösungen zur E-Mail-Verschlüsselung bei: Seit dem 25. Mai 2018 verpflichtet die DSGVO Unternehmen dazu, E-Mails, die personenbezogene Daten beinhalten, zu verschlüsseln sowie eine Transportverschlüsselung vorzunehmen.

Bei der Verschlüsselung von Inhalten wie personenbezogenen Daten kommt meist S/MIME zum Einsatz, einer der beiden Standards bei der E-Mail-Verschlüsselung. S/MIME basiert auf der Nutzung von sogenannten X.509-Zertifikaten und wird mittlerweile von allen großen E-Mail-Programmen nativ unterstützt. S/MIME-basierte Verschlüsselung bietet sichere und wirksame Verschlüsselung von E-Mails – wenn die geeigneten Zertifikate zum Einsatz kommen.

Wer S/MIME einsetzt, will mit möglichst wenig Aufwand alle E-Mails verschlüsseln, die über die Unternehmensdomäne gesendet und empfangen werden. Was Sie beim Einsatz von S/MIME in Ihrem Unternehmen beachten müssen und warum nicht alle Anbieter die richtigen Zertifikate anbieten, beleuchten wir in diesem Artikel.

Wie funktioniert S/MIME-Verschlüsselung?

S/MIME steht für Secure/Multipurpose Internet Mail Extension und ist ein Standard für das Verschlüsseln und digitale Signieren von E-Mails. Die E-Mail-Verschlüsselung basiert bei S/MIME auf der Verwendung von öffentlichen und privaten Schlüsseln. Der Absender muss im Besitz sowohl seines privaten als auch der öffentlichen Schlüssel sein.

Der Einsatz von öffentlichen und privaten Schlüsseln ähnelt dem Einsatz eines Vorhängeschlosses sowie des zugehörigen Schlüssels. Der Empfänger stellt dabei allen Kommunikationspartnern sein Schloss zur Verfügung – nämlich den öffentlichen Schlüssel, mit dem die E-Mails dann verschlüsselt werden.

Wie bekomme ich ein S/MIME-Zertifikat?

Für die Erstellung der beiden Schlüssel wird ein Zertifikat nach dem X.509-Standard benötigt. Dazu erstellt der Nutzer zunächst selbst sowohl einen privaten als auch einen öffentlichen Schlüssel. Der öffentliche Schlüssel wird an die Zertifizierungsstelle (Certificate Authority, CA) übergeben und von dieser signiert. So bestätigt die Zertifizierungsstelle die Richtigkeit der im Zertifikatsantrag angegebenen Merkmale wie beispielsweise die E-Mail-Adresse oder den Vor- und Nachnamen des Antragstellers.

Die Glaubwürdigkeit eines öffentlichen Schlüssels basiert bei S/MIME also auf einem hierarchischen Zertifikatssystem. Die sogenannte Zertifikatskette reicht dann vom einzelnen Nutzerzertifikat über eventuelle Zwischenzertifikate bis hin zum Root Certificate, dem Wurzelzertifikat der Zertifizierungsstelle.

Das Zertifizieren der öffentlichen Schlüssel durch die Zertifizierungsstelle ist kostenpflichtig, bietet aber die Gewissheit, dass es sich um ein vertrauenswürdiges Zertifikat handelt. Dies wiederum ist die Voraussetzung dafür, dass das jeweilige Zertifikat von der Empfängerseite akzeptiert und die E-Mail zugestellt wird.

Domain-Verschlüsselung mit S/MIME-Zertifikaten

Der unternehmensweite Einsatz von nutzer- beziehungsweise personenbasierter S/MIME-Verschlüsselung ist einfach, aber trotzdem fürchten einige Unternehmen den damit verbundenen Aufwand. Vielleicht befürchten sie auch, dass die einzelnen Mitarbeiter gezwungen sind, viel Zeit in das Verschlüsseln von E-Mails zu investieren: Private und öffentliche Schlüssel der Nutzer müssen verwaltet, gesichert und geschützt werden. Die öffentlichen Schlüssel müssen außerdem verteilt werden. Und: Die Anwender müssen geschult werden.

Aus diesem Grund bieten einige Anbieter eine eigene, proprietäre Domain-Verschlüsselung an: Hier soll die gesamte E-Mail-Domain innerhalb einer Organisation mit Hilfe eines einzigen öffentlichen Schlüssels abgesichert werden. Mehr noch: Auch die Kommunikation zwischen unterschiedlichen Unternehmen soll automatisiert verschlüsselt werden, ohne dass ein Austausch von öffentlichen Schlüsseln erfolgen muss. Damit so eine Domain-Verschlüsselung genutzt werden kann, muss dann ein Verschlüsselungsgateway eingesetzt werden, das die Verarbeitung der Zertifikate übernimmt.

Natürlich klingt es verlockend, anstatt hunderter Nutzer- oder Personenzertifikaten nur ein einziges Domain-Zertifikat zu verwenden. Allerdings bringen diese proprietären Domain-Zertifikate zahlreiche Probleme und Gefahren mit sich.

Warum proprietäre Domain-Verschlüsselung keine gute Idee ist

Ohne Vertrauen keine Sicherheit

Die Grundlage aller bei S/MIME verwendeten Zertifikate ist Vertrauen. Dieses Vertrauen entsteht, weil das Stammzertifikat von einer anerkannten Zertifizierungsstelle erstellt wird. Anbietereigene Domain-Zertifikate werden aber von der anbietereigenen Certificate Authority erstellt, die keinem anerkannten Trust Center angeschlossen ist und deshalb außerhalb der Infrastruktur des Anbieters kein Vertrauen genießt.

Standards umgehen ist gefährlich

Anbieter, die eigene Zertifikate erstellen, halten sich unter Umständen nicht an nachgewiesen sichere Standards. Der S/MIME-Standard basiert auf Open-Source-Algorithmen, die jederzeit nachvollzogen werden können. Weicht man von diesem Standard ab, so besteht immer die Gefahr, dass die Verschlüsselung weniger wirksam ist und der Anbieter unabsichtlich Schwachstellen einbaut – oder sogar absichtlich.

Wo passiert was?

Auch ist häufig der Ort der Erstellung der Schlüssel unklar: Passiert dies mit Hilfe der Appliance beim Anwender oder durch den Anbieter anhand der jeweiligen E-Mail-Adresse? Im letzteren Fall müsste der private Schlüssel noch zum Anwender übertragen werden, so dass der Anbieter potenziell Zugriff auf den privaten Schlüssel hat – ein großes Sicherheitsrisiko.

Domain-Zertifikate werden nicht immer akzeptiert

Ein allgemeines Problem von Domain-Zertifikaten – auch von nicht-proprietären – ist die Tatsache, dass E-Mail-Programme bei der Überprüfung die E-Mail-Adresse im Zertifikat mit der Absenderadresse abgleichen. Da das Zertifikat aber für eine zentrale, der Domäne zugeordnete E-Mail-Adresse ausgestellt wurde, schlägt die Validierung des Zertifikats und häufig auch die der Signatur fehl.

Nutzen die kommunizierenden E-Mail-Systeme nicht beide denselben Anbieter, funktioniert die Verschlüsselung unter Umständen nicht oder E-Mails können nicht zugestellt werden. Kunden und andere Kommunikationspartner müssen dann in ihren Spamfiltern Ausnahmen konfigurieren, um zu verhindern, dass die Kommunikation zusammenbricht.

Offene Lösungen bieten besseren Schutz

Bei der Nutzung von eigenen Zertifikaten wäre die Einhaltung einer allgemein akzeptierten Mindestsicherheitsrichtlinie ein großer Schritt zu mehr Sicherheit. Allerdings sind die wenigsten Anbieter von proprietären Zertifikaten dazu bereit. Noch besser und einfacher lassen sich wirksamer Schutz und sichere Verschlüsselung allerdings mit den bestehenden, offenen Lösungen erreichen:

Transport Layer Security (TLS)

TLS sichert die Übertragungswege zwischen den kommunizierenden E-Mail-Servern. E-Mails, die per TLS-gesicherte Verbindungen verschickt werden, sind verschlüsselt und vor unbefugtem Zugriff geschützt. TLS-basierte Verschlüsselung ist auch Teil des Hypertext Transfer Protocol Secure (HTTPS) und wird von aktuellen Browsern in der Version 1.3 oder 1.2 verwendet.

Wichtig ist, dass TLS in der Version 1.2 für viele Internetnutzer schon bald Pflicht ist. Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat TLS 1.2 zum Mindeststandard erhoben.

Da sich TLS lediglich auf die Transportebene auswirkt und keine Inhaltsverschlüsselung bietet, stellt TLS bei der E-Mail-Kommunikation auch nur eine zusätzliche Sicherheit dar. S/MIME kann nicht durch TLS ersetzt werden, bietet sich aber ideal zur parallelen Nutzung an. Das Erzwingen einer TLS-Verschlüsselung mit Hilfe eines E-Mail Gateways ist ein einfacher Weg, Ihre E-Mails während des Transports wirksam zu schützen.

S/MIME und Open Keys: Sicherheit trifft Einfachheit

Für die Inhaltsverschlüsselung von per E-Mail übertragenen Daten bleibt S/MIME das Maß aller Dinge. S/MIME hat sich nicht umsonst zum Standard für E-Mail-Verschlüsselung entwickelt, denn es bietet wirksamen Schutz und basiert auf anerkannten Standards. Aktuell liegt S/MIME in der Version 4.0 vor, die in der RFC 8551 spezifiziert ist.

Im Zusammenspiel mit dem öffentlichen Schlüsselserver Open Keys ist S/MIME nicht nur sicher, sondern auch besonders einfach zu implementieren. Open Keys stellt die öffentlichen Schlüssel für jedermann und jederfrau bereit und fragt ausschließlich vertrauenswürdige Trust Center ab. Damit bietet Open Keys einen großen Vorteil gegenüber proprietären Lösungen, denn S/MIME-basierte Verschlüsselung ist so nicht nur zwischen anbietereigenen Appliances nutzbar.

In Secure Email Gateways wie NoSpamProxy ist Open Keys zudem integriert, so dass verfügbare Zertifikate automatisch abgerufen und eigene zur Verfügung gestellt werden. Einfacher geht S/MIME-Verschlüsselung nicht.

E-Mail-Verschlüsselung mit NoSpamProxy Encryption – Jetzt testen

E-Mails verschlüsseln ist mit NoSpamProxy Encryption sicher – und ganz einfach! Sorgen Sie jetzt für eine rechtssichere und DSGVO-konforme E-Mail-Kommunikation. Fordern Sie jetzt Ihre Testversion an!