- Anzeigen -


Sie sind hier: Home » Fachbeiträge » Grundlagen

S/MIME und wie es funktioniert


S/MIME: Eine effektive Waffe gegen verschiedene Arten von Phishing-Angriffen
S/MIME basiert auf asymmetrischer Verschlüsselung und verwendet ein Paar mathematisch verknüpfter Schlüssel - einen öffentlichen Schlüssel und einen privaten Schlüssel


- Anzeigen -





S/MIME, oder Secure/Multipurpose Internet Mail Extensions, ist eine relativ bekannte Technologie um E-Mails zu verschlüsseln. S/MIME basiert auf asymmetrischer Verschlüsselung, um E-Mails vor unerwünschtem Zugriff zu schützen. Zusätzlich dient S/MIME dazu E-Mails digital zu signieren, um den legitimen Absender einer Nachricht als solchen zu verifizieren. Das macht S/MIME zu einer effektiven Waffe gegen verschiedene Arten von Phishing-Angriffen.

Das ist, kurz gefasst, worum bei S/MIME geht. Wenn es allerdings darum geht, S/MIME praktisch einzusetzen, taucht meist noch eine Reihe von Fragen beim Anwender auf.

Unser E-Mail-Server ist bereits verschlüsselt. Reicht das nicht?
E-Mail-Server mit digitalen Zertifikaten zu verschlüsseln ist ein erster Schritt. Dadurch wird verhindert, dass Außenstehende sich zwischen E-Mail und Mail-Server schalten und dort sensible Daten abfangen. Darin liegt auch gleichzeitig die Begrenzung. Die digitalen Zertifikate, die den Server verschlüsseln, schützen nämlich nicht unbedingt die E-Mails selbst. Im Prinzip sind E-Mails auf dem Weg zu und von einem verschlüsselten Server geschützt. Das hindert Hacker nicht daran in ein E-Mail-System zu gelangen und dort die Nachrichten zu öffnen. Oder auf Nachrichten zuzugreifen, wenn sie andere Server durchlaufen. Während die E-Mails zum betreffenden Server übertragen werden sind sie gut geschützt. Aber ruhende E-Mails oder andere Punkte der Übertragung liegen weiterhin offen.

Das konnten wir bei einem Angriff in jüngster Zeit beobachten. Mitten in den US-Wahlen 2016 wurden fast 20.000 E-Mails des Democratic National Committee gestohlen. Der Hacker war in den unverschlüsselten Posteingang des DNC eingedrungen. Die E-Mails, die die vermeintliche Präferenz des DNC für Senator Bernie Sanders enthüllten, wurden anschließend bei WikiLeaks veröffentlicht. Einige Experten werteten den Angriff als den Punkt, an dem der eigentliche Niedergang von Hillary Clinton begann, der sie schließlich den Wahlsieg kostete. Wären die einzelnen E-Mails - etwa mit S/MIME - verschlüsselt worden, wäre der Inhalt unzugänglich gewesen.

Klingt plausibel. Aber wie genau verschlüsselt S/MIME die E-Mails?
S/MIME basiert auf asymmetrischer Verschlüsselung und verwendet ein Paar mathematisch verknüpfter Schlüssel - einen öffentlichen Schlüssel und einen privaten Schlüssel. Es ist rechnerisch nicht machbar, den privaten Schlüssel zu finden, wenn man von einem öffentlichen Schlüssel ausgeht. E-Mails werden mit dem öffentlichen Schlüssel des Empfängers verschlüsselt. Die E-Mail kann nur mit dem entsprechenden privaten Schlüssel entschlüsselt werden, der im alleinigen Besitz des Empfängers sein sollte. Wenn der private Schlüssel nicht kompromittiert wird, kann man sicher sein, dass nur der legitime Empfänger auf sensible Daten zugreifen kann.

Wer noch daran zweifelt, dass E-Mail-Verschlüsselung eine sinnvolle Sache ist, der lässt sich vielleicht von einem prominenten Befürworter überzeugen. Der Whistleblower Edward Snowden ist einer ihrer Verfechter. Im Laufe der Jahre haben auch diverse große Unternehmen die Bedeutung der E-Mail-Verschlüsselung erkannt. Google verschlüsselt bereits die an Gmail gesendeten Nachrichten, Facebook und AOL tun es Google bei der Verschlüsselung ihrer E-Mails gleich. Selbst Microsoft, ein Unternehmen, das ein breites Spektrum von Mail-Diensten hostet, hat bereits Konten mit E-Mail-Verschlüsselung gesichert. Neben der Verschlüsselung bietet S/MIME zusätzlich die Möglichkeit E-Mails zu signieren.

E-Mails signieren? Aber wie?
Mit S/MIME kann man zusätzlich E-Mails signieren, um seine Identität als legitimes Unternehmen nachzuweisen. Jedes Mal, wenn eine E-Mail erstellt und signiert wird, fügt der jeweilige private Schlüssel diese einzigartige digitale Signatur zur Nachricht hinzu. Wenn der Empfänger diese E-Mail öffnet, wird der jeweilige öffentliche Schlüssel zum Verifizieren der Signatur verwendet. Das sichert dem Empfänger zu, dass die E-Mails tatsächlich von genau diesem legitimen Sender kommen. Das Signieren von E-Mails authentifiziert die Identität und das in einer Zeit in der Phishing-Angriffe bereits extrem raffiniert geworden sind und es immer schwieriger wird gefälschte E-Mails als solche zu erkennen.

Das Signieren von E-Mails ist nicht nur für externe Transaktionen mit Kunden hilfreich. Es ist durchaus empfehlenswert E-Mails zwischen den Mitarbeitern eines Unternehmens zu signieren. Und das ist kein Zeichen von Misstrauen der Geschäftsführung gegenüber dem eigenen Personal. Vielmehr ist es eine Möglichkeit, sich vor aggressiven Phishing-Techniken zu schützen, die beispielsweise E-Mails von Kollegen und Kolleginnen imitieren. Stellen Sie sich vor, Sie erhalten eine E-Mail von einem Weisungsbefugten, der Sie erpresst, vertrauliche Informationen zu veröffentlichen. Natürlich wären Sie schockiert. Bis Sie die E-Mail erneut prüfen und feststellen, dass sie nicht ordnungsgemäß signiert wurde. Und es sich offensichtlich um den Versuch eines Hackers handelt, Zugriff auf Ihr Konto zu bekommen.

Gehen Sie also davon aus, dass unsere Firma S/MIME braucht?
Bedenkt man, wie die Vorteile von S/MIME ein Unternehmen auf lange Sicht unterstützen, ist es nur zu empfehlen. Will eine Firma Integrität gewährleisten, Privatsphäre sichern, sensible Daten schützen und Phishing- und andere E-Mail-Angriffe reduzieren, sollte sie auf jeden Fall erwägen S/MIME einzusetzen. Lange Zeit galt S/MIME als (zu) komplex, was viele potenzielle Nutzer im Vorfeld abgeschreckt hat. Im Laufe der Jahre ist es aber deutlich einfacher geworden die Technologie zu implementieren. Windows-Handys, die bereits ab Werk mit S/MIME ausgestattet sind, sind ein gutes Beispiel dafür. (GlobalSign: ra)

eingetragen: 13.03.17
Home & Newsletterlauf: 31.03.17


GlobalSign: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -





Kostenloser IT SecCity-Newsletter
Ihr IT SecCity-Newsletter hier >>>>>>

- Anzeigen -


Meldungen: Grundlagen

  • KI: Kein Ersatz für IT-Sicherheitsteams

    Ob Spear-Phishing, Ransomware oder Zero-Day-Exploits, Netzwerke sind ständig in Gefahr gehackt zu werden. Die wachsende Bedrohung geht einher mit immer komplexeren IT-Landschaften, mehr Daten und weniger IT-Personal. Um ihre Netzwerke unter diesen schwierigen Umständen effektiver zu schützen, setzen viele Unternehmen inzwischen auf Technologien wie KI-basierte Verhaltensüberwachung. Sie nutzt die Möglichkeiten von Datenanalyse und maschinellem Lernen um einen der größten Risikofaktoren im Netzwerk zu minimieren: den Benutzer. Nutzer sind die Einfallstore, die sensible Unternehmensdaten gefährden, sei es ein kompromittiertes Nutzerkonto im Netzwerk, ein Insider-Angriff oder unbedachtes Verhalten eines Mitarbeiters.

  • Cyber-Erpressung auf Bestellung

    CryptoLocker, GoldenEye, Locky, WannaCry - Ransomware hat mit der Geiselnahme von Dateien durch Verschlüsselung in den letzten Jahren eine beachtliche und unrühmliche Karriere hingelegt. Und da sich Kriminelle auch bei Digitalisierungstrends wie as-a-Service-Angeboten nicht lumpen lassen, hat die Untergrundökonomie mit Ransomware-as-a-Service (RaaS) rasch ein lukratives Geschäftsmodell für sich entdeckt, das in kürzester Zeit enormes Wachstum erlebt hat. Das Prinzip ist denkbar einfach - wie in der legalen Wirtschaft sind die Dienstleistungen ganz auf die Bedürfnisse einer möglichst breiten Kundschaft zugeschnitten: Auf Ransomware-as-a-Service-Plattformen können nun auch technisch wenig versierte Kriminelle ins Cyber-Erpressergeschäft einsteigen und sich von Schadware-Entwicklern die entsprechende Service-Leistung gegen Abgabe einer festen Gebühr oder einer Provision basierend auf den Lösegeldeinnahmen besorgen.

  • Investitionen in IT-Sicherheit legitimieren

    Wenn man so oft direkt mit unterschiedlichen Unternehmen und Menschen zu tun hat wie der Vertrieb, erkennt man schnell bestimmte Reaktionsschemata. Ebenso wie zuverlässig wiederkehrende Schwierigkeiten beim Implementieren von IT-Sicherheitsmaßnahmen. Den größten Teil unserer Zeit verbringen wir damit zu erläutern warum Cybersicherheit derart wichtig ist und wie ein Unternehmen von bestimmten Maßnahmen am besten profitiert. Trotzdem erhält man regelmäßig dieselben Antworten: "Ich verstehe absolut wovon Sie sprechen, und ich gebe Ihnen sogar Recht. Nur, wie soll ich die zusätzlichen Ausgaben gegenüber der Geschäftsleitung rechtfertigen?" Es gibt allerdings einige grundlegende Argumente die Kunden helfen, Sicherheitsansätze und Lösungen gegenüber der Geschäftsführung oder anderen Zeichnungsbefugten plausibel zu machen.

  • PKI ist im 21. Jahrhundert angekommen

    Um ein IoT-Ökosystem sicher aufzubauen und zu entwickeln, braucht man zwingend Tools und Architekturen, um IoT-Geräte zu identifizieren, zu kontrollieren und zu verwalten. Dieser Prozess beginnt mit dem Festlegen einer starken Identität für jedes IoT-Gerät. Der folgende Beitrag beschäftigt sich mit einigen der Möglichkeiten, wie man die Authentizität von IoT-Geräten verifizieren kann, bevor man sie integriert.

  • Tor-Browser, um IP-Adressen zu verschleiern

    Trotz ausgereifter Sicherheitstechnologien bleiben Anwender für Unternehmen eine empfindliche Schwachstelle, insbesondere deshalb, weil Cyberkriminelle ihre Social Engineering-Angriffe immer weiter verfeinern. Vor allem Phishing zählt zu den Angriffsvektoren, die Unternehmen gegenwärtig Kopfschmerzen bereiten. So werden E-Mails im Namen von Payment-Services, Shopanbietern oder E-Mailservice-Hosts von den kriminellen Hintermännern täuschend echt nachgeahmt, mit dem Ziel, durch das Abfischen von Logindaten weitere sensible, persönliche Daten zu erbeuten. Doch wie sehen die Konsequenzen aus, wenn Nutzerdaten von Mitarbeitern in die falschen Hände geraten und welche Auswirkungen hätte dies auf das Unternehmen? Das Forschungsteam von Bitglass hat versucht, mithilfe eines Experiments unter dem Namen "Cumulus" den Verbreitungswegen illegal erbeuteter Daten auf die Spur zu kommen.