Benutzer-Werkzeuge

Webseiten-Werkzeuge


zik:smime_verschluesselung

Verschlüsselung von E-Mails

Bei der Verschlüsselung von E-Mails wird meist GPG oder S/MIME als Technik verwendet. Wir beziehen uns auf S/MIME, die über unseren Teilnehmerservice ausgestellten Zertifikate basieren auf dieser Technik.

Dienstliche Daten und persönliche Schlüssel/Zertifikate

Wenn Sie dienstliche Daten verschlüsseln und dabei Ihr persönliches Zertifikat verwenden, können nur Sie und nicht Ihr Dienstherr auf die Daten zugreifen. Bei Verlust des Schlüssels, bei Todesfall, wenn Sie sich weigern oder nicht verfügbar sind o.a., kann der Dienstherr nicht mehr auf die dienstlichen Daten zugreifen.

Daher sollten dienstliche Daten, welche zu einem späteren Zeitpunkt nochmals verwendet werden sollen, nicht mit einem persönlichen Zertifikat verschlüsselt werden.

Als Alternative kann sich unter Umständen ein Gruppenzertifikate anbieten, doch auch hier gibt es Risiken: Scheiden Personen aus der Gruppe aus und hatten direkten Zugriff auf die Zertifikatsdaten mit dem privaten Schlüssen, muss ein neues Zertifikat mit neuem Schlüssen für diese Gruppe erstellt werden. Die alten Dokumente können aber nur mit altem Schlüssel gelesen werden. Das Schlüsselmanagement muss diesen Anforderungen gerecht werden können.

Verschlüsselung nur für eingeschränkten Nutzerkreis möglich

Bei der Verschlüsselung wird durch das Mailprogramm der Nachrichtentext zweimal, mit zwei verschiedenen, öffentlichen Schlüsseln verschlüsselt. Einmal mit dem eigenen Public Key, damit man die Korrespondenz selbst noch lesen kann und einmal mit dem Public Key des Empfängers. Daher gilt:

Nur wenn der Public Key des Empfängers vorliegt, wenn der Empfänger also selbst ein S/MIME Zertifikat hat, kann dieser die verschlüsselte Nachricht entschlüsseln und lesen.

Schlüsselverwaltung mehrerer Generationen, Verlust des Schlüssels

Prüfen und klären Sie vorab, ob und wie Ihr verwendetes Mailprogramm mit mehreren, oder alten, abgelaufenen Zertifikaten/Schlüsseln umgehen kann. Denn:

Ein Zertifikat ist nur für eine begrenzte Zeit gültig. Danach muss es erneuert werden. Oft werden hierbei ebenso die Schlüsselpaare erneuert.

Sie können auf alte, verschlüsselte Daten nur zugreifen, wenn Ihr Mailprogramm die passenden, alten Schlüssel vorhalten kann und installiert hat.

Wird der Schlüssel verloren (z.B. durch Schaden o. Verlust des PCs) und ist keine Sicherung vorhanden, oder wird das Passwort zum Schutz des Schlüssels vergessen, sind die verschlüsselten Daten unwiederbringlich verloren.

Betrug, fälschliche Sicherheit und Virenscanner

Ein Angreifer, ein Betrüger ein „Spammer“ kann Ihnen eine verschlüsselte und signierte E-Mail zuschicken. Er könnte herfür mit einem gestohlenen Zertifikat unterschreiben, bzw. sich an verschiedenen Stellen selbst eines besorgt, erstellt haben.

Signierte und verschlüsselte E-Mails können ebenso SPAM und Viren beinhalten!

Wenn Sie eine verschlüsselte E-Mail empfangen haben, kann kein Virenscanner zuvor einen etwaigen Virus in dieser E-Mail erkennen. Bis zum Zeitpunkt der Entschlüsselung bleibt völlig unklar, was für Daten in der E-Mail enthalten sind. Sie sollten sich deshalb nicht in fälschlicher Sicherheit wiegen, wenn Sie eine signierte und auch noch verschlüsselte E-Mail erhalten. Es gilt hier besonders, die E-Mail auf Plausibilität, auf ein gültiges Zertifikat hin zu prüfen und Dateianhänge nicht blind links zu öffnen.

Prüfen Sie genau den Absender, das dort verwendete Zertifikat. Trauen Sie nicht „blind“ signierten, besonders nicht noch verschlüsselten, E-Mails.

Inkompatibelitäten von Mailprogrammen

Die Entwicklung der Mailprogramme durch die verschiedenen Hersteller gewährt nicht immer, dass Technologien in allen Programmen gleich, bzw. überhaupt, vorhanden sind.

Bevor ein Prozess auf verschlüsselte Mailkommunikation zwischen zwei Stellen festgelegt wird, ist zu prüfen und zu testen, ob die Gegenstellen problemlos Ihre Daten lesen und verarbeiten können.

Bedauerlicherweise ist die Technologie S/MIME nicht in allen Mailprogrammen realisiert. Es sind auch Probleme zwischen unterschiedlichen Mailprogrammen mit S/MIME Unterstützung bekannt. Die Probleme könnten in zukünftigen Versionen behoben sein, aber auch erst noch auftauchen.

zik/smime_verschluesselung.txt · Zuletzt geändert: 2019/04/15 11:48 von laufferfr