- Anzeigen -


Sie sind hier: Home » Fachbeiträge » Grundlagen

S/MIME und wie es funktioniert


S/MIME: Eine effektive Waffe gegen verschiedene Arten von Phishing-Angriffen
S/MIME basiert auf asymmetrischer Verschlüsselung und verwendet ein Paar mathematisch verknüpfter Schlüssel - einen öffentlichen Schlüssel und einen privaten Schlüssel


- Anzeigen -





S/MIME, oder Secure/Multipurpose Internet Mail Extensions, ist eine relativ bekannte Technologie um E-Mails zu verschlüsseln. S/MIME basiert auf asymmetrischer Verschlüsselung, um E-Mails vor unerwünschtem Zugriff zu schützen. Zusätzlich dient S/MIME dazu E-Mails digital zu signieren, um den legitimen Absender einer Nachricht als solchen zu verifizieren. Das macht S/MIME zu einer effektiven Waffe gegen verschiedene Arten von Phishing-Angriffen.

Das ist, kurz gefasst, worum bei S/MIME geht. Wenn es allerdings darum geht, S/MIME praktisch einzusetzen, taucht meist noch eine Reihe von Fragen beim Anwender auf.

Unser E-Mail-Server ist bereits verschlüsselt. Reicht das nicht?
E-Mail-Server mit digitalen Zertifikaten zu verschlüsseln ist ein erster Schritt. Dadurch wird verhindert, dass Außenstehende sich zwischen E-Mail und Mail-Server schalten und dort sensible Daten abfangen. Darin liegt auch gleichzeitig die Begrenzung. Die digitalen Zertifikate, die den Server verschlüsseln, schützen nämlich nicht unbedingt die E-Mails selbst. Im Prinzip sind E-Mails auf dem Weg zu und von einem verschlüsselten Server geschützt. Das hindert Hacker nicht daran in ein E-Mail-System zu gelangen und dort die Nachrichten zu öffnen. Oder auf Nachrichten zuzugreifen, wenn sie andere Server durchlaufen. Während die E-Mails zum betreffenden Server übertragen werden sind sie gut geschützt. Aber ruhende E-Mails oder andere Punkte der Übertragung liegen weiterhin offen.

Das konnten wir bei einem Angriff in jüngster Zeit beobachten. Mitten in den US-Wahlen 2016 wurden fast 20.000 E-Mails des Democratic National Committee gestohlen. Der Hacker war in den unverschlüsselten Posteingang des DNC eingedrungen. Die E-Mails, die die vermeintliche Präferenz des DNC für Senator Bernie Sanders enthüllten, wurden anschließend bei WikiLeaks veröffentlicht. Einige Experten werteten den Angriff als den Punkt, an dem der eigentliche Niedergang von Hillary Clinton begann, der sie schließlich den Wahlsieg kostete. Wären die einzelnen E-Mails - etwa mit S/MIME - verschlüsselt worden, wäre der Inhalt unzugänglich gewesen.

Klingt plausibel. Aber wie genau verschlüsselt S/MIME die E-Mails?
S/MIME basiert auf asymmetrischer Verschlüsselung und verwendet ein Paar mathematisch verknüpfter Schlüssel - einen öffentlichen Schlüssel und einen privaten Schlüssel. Es ist rechnerisch nicht machbar, den privaten Schlüssel zu finden, wenn man von einem öffentlichen Schlüssel ausgeht. E-Mails werden mit dem öffentlichen Schlüssel des Empfängers verschlüsselt. Die E-Mail kann nur mit dem entsprechenden privaten Schlüssel entschlüsselt werden, der im alleinigen Besitz des Empfängers sein sollte. Wenn der private Schlüssel nicht kompromittiert wird, kann man sicher sein, dass nur der legitime Empfänger auf sensible Daten zugreifen kann.

Wer noch daran zweifelt, dass E-Mail-Verschlüsselung eine sinnvolle Sache ist, der lässt sich vielleicht von einem prominenten Befürworter überzeugen. Der Whistleblower Edward Snowden ist einer ihrer Verfechter. Im Laufe der Jahre haben auch diverse große Unternehmen die Bedeutung der E-Mail-Verschlüsselung erkannt. Google verschlüsselt bereits die an Gmail gesendeten Nachrichten, Facebook und AOL tun es Google bei der Verschlüsselung ihrer E-Mails gleich. Selbst Microsoft, ein Unternehmen, das ein breites Spektrum von Mail-Diensten hostet, hat bereits Konten mit E-Mail-Verschlüsselung gesichert. Neben der Verschlüsselung bietet S/MIME zusätzlich die Möglichkeit E-Mails zu signieren.

E-Mails signieren? Aber wie?
Mit S/MIME kann man zusätzlich E-Mails signieren, um seine Identität als legitimes Unternehmen nachzuweisen. Jedes Mal, wenn eine E-Mail erstellt und signiert wird, fügt der jeweilige private Schlüssel diese einzigartige digitale Signatur zur Nachricht hinzu. Wenn der Empfänger diese E-Mail öffnet, wird der jeweilige öffentliche Schlüssel zum Verifizieren der Signatur verwendet. Das sichert dem Empfänger zu, dass die E-Mails tatsächlich von genau diesem legitimen Sender kommen. Das Signieren von E-Mails authentifiziert die Identität und das in einer Zeit in der Phishing-Angriffe bereits extrem raffiniert geworden sind und es immer schwieriger wird gefälschte E-Mails als solche zu erkennen.

Das Signieren von E-Mails ist nicht nur für externe Transaktionen mit Kunden hilfreich. Es ist durchaus empfehlenswert E-Mails zwischen den Mitarbeitern eines Unternehmens zu signieren. Und das ist kein Zeichen von Misstrauen der Geschäftsführung gegenüber dem eigenen Personal. Vielmehr ist es eine Möglichkeit, sich vor aggressiven Phishing-Techniken zu schützen, die beispielsweise E-Mails von Kollegen und Kolleginnen imitieren. Stellen Sie sich vor, Sie erhalten eine E-Mail von einem Weisungsbefugten, der Sie erpresst, vertrauliche Informationen zu veröffentlichen. Natürlich wären Sie schockiert. Bis Sie die E-Mail erneut prüfen und feststellen, dass sie nicht ordnungsgemäß signiert wurde. Und es sich offensichtlich um den Versuch eines Hackers handelt, Zugriff auf Ihr Konto zu bekommen.

Gehen Sie also davon aus, dass unsere Firma S/MIME braucht?
Bedenkt man, wie die Vorteile von S/MIME ein Unternehmen auf lange Sicht unterstützen, ist es nur zu empfehlen. Will eine Firma Integrität gewährleisten, Privatsphäre sichern, sensible Daten schützen und Phishing- und andere E-Mail-Angriffe reduzieren, sollte sie auf jeden Fall erwägen S/MIME einzusetzen. Lange Zeit galt S/MIME als (zu) komplex, was viele potenzielle Nutzer im Vorfeld abgeschreckt hat. Im Laufe der Jahre ist es aber deutlich einfacher geworden die Technologie zu implementieren. Windows-Handys, die bereits ab Werk mit S/MIME ausgestattet sind, sind ein gutes Beispiel dafür. (GlobalSign: ra)

eingetragen: 13.03.17
Home & Newsletterlauf: 31.03.17


GlobalSign: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -





Kostenloser IT SecCity-Newsletter
Ihr IT SecCity-Newsletter hier >>>>>>

- Anzeigen -


Meldungen: Grundlagen

  • Von IT-Sicherheitsexperten lernen

    Die Varonis Blog-Autoren haben inzwischen mit etlichen Sicherheitsexperten aus den unterschiedlichsten Bereichen gesprochen: mit Penetrationstestern, Anwälten, CDOs, Datenschützern, IT-Experten und sogar einem IT-Security-Guru. Wir haben die wichtigsten Analysen und Tipps hier für Sie zusammengetragen. Die Weltformel: Das Internet der Dinge (IoT) ist ein guter Ausgangspunkt, um seine Lehren in Sachen IT-Sicherheit zu ziehen. Mit dem IoT, also dem Internet der Dinge mit seiner überwältigen Zahl an Geräten, werden Unternehmen und Endverbraucher mit praktisch allen Datenschutz- und Datensicherheitsproblemen konfrontiert, die man sich denken kann.

  • Lösegeld-Erpressung über Ransomware

    Die Erpressung von Lösegeld war im abgelaufenen Jahr weltweit das häufigste Motiv für Angriffe auf Netzwerke, Server und Anwendungen von Unternehmen und Organisationen. Das geht aus dem jetzt veröffentlichten Global Application and Network Security Report 2016-2017 von Radware hervor, in dem über 40 Prozent der knapp 600 befragten Unternehmen angaben, dass die Lösegelderpressung 2016 der häufigste Grund für Angriffe auf ihre Netzwerke gewesen sei. Speziell in Europa liegt dieser Wert mit 49 Prozent noch deutlich höher als im weltweiten Durchschnitt. Die Erpressung von Lösegeld erfolgt in der Regel über Ransomware oder über Ransom Denial of Service (RDoS). Ransomware nennt man einen Trojaner, einen Wurm oder eine andere Schadsoftware, die ein System unter ihre Kontrolle bringt und den legitimen Zugriff darauf unmöglich macht, bis ein Lösegeld gezahlt wird (und manchmal auch darüber hinaus). In der Regel werden dabei die Daten verschlüsselt, und das Opfer muss für die Entschlüsselung zahlen.

  • Volumetrische DDoS-Angriffe abwehren

    Experten sind sich einig. IoT-Geräte - gerade für Endverbraucher - bekommen mangelnde Sicherheit quasi automatisch mitgeliefert. Und wir in den letzten Wochen die Quittung. Für Sicherheitsspezialisten keine große Überraschung, sie warnen schon lange. Die jüngsten Angriffe aber haben gezeigt, in welche Dimensionen uns IoT-basierte Botnetze bei DDoS-Angriffen katapultieren und welche Schäden sie in der Lage sind anzurichten. Die Attacke auf den DNS-Provider Dyn im Oktober dieses Jahres war ein solcher Weckruf. Das prognostizierte Szenario ist keine bloß theoretische Annahme mehr, sondern real. Und es gibt Handlungsbedarf. Unternehmen und Verbraucher fragen sich angesichts einer steigenden Zahl von im Internet der Dinge verbundenen Geräten wie sie sich besser schützen können. Es ist kein großes Geheimnis, dass IoT-fähige Geräte aus sicherheitstechnischer Hinsicht wenig überzeugend sind. Die überwiegende Zahl von ihnen integriert kaum Sicherheitsmechanismen, und ist mit äußerst simplen Standard-Passwörtern ausgestattet. Das macht die Geräte für potenzielle Angreifer zu einer leichten Beute. Die Folge: Hacker machen sie beispielsweise zum Teil eines Botnetzes von dem DDoS-Angriffe mit enormer Bandbreite ausgehen können.

  • S/MIME und wie es funktioniert

    S/MIME, oder Secure/Multipurpose Internet Mail Extensions, ist eine relativ bekannte Technologie um E-Mails zu verschlüsseln. S/MIME basiert auf asymmetrischer Verschlüsselung, um E-Mails vor unerwünschtem Zugriff zu schützen. Zusätzlich dient S/MIME dazu E-Mails digital zu signieren, um den legitimen Absender einer Nachricht als solchen zu verifizieren. Das macht S/MIME zu einer effektiven Waffe gegen verschiedene Arten von Phishing-Angriffen. Das ist, kurz gefasst, worum bei S/MIME geht. Wenn es allerdings darum geht, S/MIME praktisch einzusetzen, taucht meist noch eine Reihe von Fragen beim Anwender auf.

  • Zugriffskontrolle & Berechtigungsmanagement

    Gesetze, Vorschriften und Konzepte sind immer nur so tragfähig sind wie die Menschen, die sie umsetzen sollen, tatsächlich dahinter stehen - und mehr noch: wie sehr die Beteiligten in die Entscheidungen mit einbezogen werden. Dr. Cavoukian, nach ihrer politischen Karriere inzwischen Executive Director of Ryerson University's Privacy and Big Data Institute hat maßgeblich das Privacy by Design-Konzept mit entwickelt. Darüber hinaus, und das ist es, was uns an dieser Stelle interessieren soll, haben ihre Sprachregelungen Eingang in die 2018 in Kraft tretenden EU-Datenschutz-Grundverordnung gefunden. Ihr Credo hat sich nach eigenen Aussagen in der Praxis bestens bewährt: "Sie würden vermutlich überrascht sein, wie sehr Kunden sich unter diesen Bedingungen im gesamten Prozess engagieren. Warum? Weil Sie zunächst eine Vertrauensbasis geschaffen haben. Und: Ihre Kunden fühlen sich mit ihrem Bedürfnis nach Privatsphäre und Datenschutz ernst genommen."