- Anzeigen -


Sie sind hier: Home » Fachbeiträge » Grundlagen

S/MIME und wie es funktioniert


S/MIME: Eine effektive Waffe gegen verschiedene Arten von Phishing-Angriffen
S/MIME basiert auf asymmetrischer Verschlüsselung und verwendet ein Paar mathematisch verknüpfter Schlüssel - einen öffentlichen Schlüssel und einen privaten Schlüssel


- Anzeigen -





S/MIME, oder Secure/Multipurpose Internet Mail Extensions, ist eine relativ bekannte Technologie um E-Mails zu verschlüsseln. S/MIME basiert auf asymmetrischer Verschlüsselung, um E-Mails vor unerwünschtem Zugriff zu schützen. Zusätzlich dient S/MIME dazu E-Mails digital zu signieren, um den legitimen Absender einer Nachricht als solchen zu verifizieren. Das macht S/MIME zu einer effektiven Waffe gegen verschiedene Arten von Phishing-Angriffen.

Das ist, kurz gefasst, worum bei S/MIME geht. Wenn es allerdings darum geht, S/MIME praktisch einzusetzen, taucht meist noch eine Reihe von Fragen beim Anwender auf.

Unser E-Mail-Server ist bereits verschlüsselt. Reicht das nicht?
E-Mail-Server mit digitalen Zertifikaten zu verschlüsseln ist ein erster Schritt. Dadurch wird verhindert, dass Außenstehende sich zwischen E-Mail und Mail-Server schalten und dort sensible Daten abfangen. Darin liegt auch gleichzeitig die Begrenzung. Die digitalen Zertifikate, die den Server verschlüsseln, schützen nämlich nicht unbedingt die E-Mails selbst. Im Prinzip sind E-Mails auf dem Weg zu und von einem verschlüsselten Server geschützt. Das hindert Hacker nicht daran in ein E-Mail-System zu gelangen und dort die Nachrichten zu öffnen. Oder auf Nachrichten zuzugreifen, wenn sie andere Server durchlaufen. Während die E-Mails zum betreffenden Server übertragen werden sind sie gut geschützt. Aber ruhende E-Mails oder andere Punkte der Übertragung liegen weiterhin offen.

Das konnten wir bei einem Angriff in jüngster Zeit beobachten. Mitten in den US-Wahlen 2016 wurden fast 20.000 E-Mails des Democratic National Committee gestohlen. Der Hacker war in den unverschlüsselten Posteingang des DNC eingedrungen. Die E-Mails, die die vermeintliche Präferenz des DNC für Senator Bernie Sanders enthüllten, wurden anschließend bei WikiLeaks veröffentlicht. Einige Experten werteten den Angriff als den Punkt, an dem der eigentliche Niedergang von Hillary Clinton begann, der sie schließlich den Wahlsieg kostete. Wären die einzelnen E-Mails - etwa mit S/MIME - verschlüsselt worden, wäre der Inhalt unzugänglich gewesen.

Klingt plausibel. Aber wie genau verschlüsselt S/MIME die E-Mails?
S/MIME basiert auf asymmetrischer Verschlüsselung und verwendet ein Paar mathematisch verknüpfter Schlüssel - einen öffentlichen Schlüssel und einen privaten Schlüssel. Es ist rechnerisch nicht machbar, den privaten Schlüssel zu finden, wenn man von einem öffentlichen Schlüssel ausgeht. E-Mails werden mit dem öffentlichen Schlüssel des Empfängers verschlüsselt. Die E-Mail kann nur mit dem entsprechenden privaten Schlüssel entschlüsselt werden, der im alleinigen Besitz des Empfängers sein sollte. Wenn der private Schlüssel nicht kompromittiert wird, kann man sicher sein, dass nur der legitime Empfänger auf sensible Daten zugreifen kann.

Wer noch daran zweifelt, dass E-Mail-Verschlüsselung eine sinnvolle Sache ist, der lässt sich vielleicht von einem prominenten Befürworter überzeugen. Der Whistleblower Edward Snowden ist einer ihrer Verfechter. Im Laufe der Jahre haben auch diverse große Unternehmen die Bedeutung der E-Mail-Verschlüsselung erkannt. Google verschlüsselt bereits die an Gmail gesendeten Nachrichten, Facebook und AOL tun es Google bei der Verschlüsselung ihrer E-Mails gleich. Selbst Microsoft, ein Unternehmen, das ein breites Spektrum von Mail-Diensten hostet, hat bereits Konten mit E-Mail-Verschlüsselung gesichert. Neben der Verschlüsselung bietet S/MIME zusätzlich die Möglichkeit E-Mails zu signieren.

E-Mails signieren? Aber wie?
Mit S/MIME kann man zusätzlich E-Mails signieren, um seine Identität als legitimes Unternehmen nachzuweisen. Jedes Mal, wenn eine E-Mail erstellt und signiert wird, fügt der jeweilige private Schlüssel diese einzigartige digitale Signatur zur Nachricht hinzu. Wenn der Empfänger diese E-Mail öffnet, wird der jeweilige öffentliche Schlüssel zum Verifizieren der Signatur verwendet. Das sichert dem Empfänger zu, dass die E-Mails tatsächlich von genau diesem legitimen Sender kommen. Das Signieren von E-Mails authentifiziert die Identität und das in einer Zeit in der Phishing-Angriffe bereits extrem raffiniert geworden sind und es immer schwieriger wird gefälschte E-Mails als solche zu erkennen.

Das Signieren von E-Mails ist nicht nur für externe Transaktionen mit Kunden hilfreich. Es ist durchaus empfehlenswert E-Mails zwischen den Mitarbeitern eines Unternehmens zu signieren. Und das ist kein Zeichen von Misstrauen der Geschäftsführung gegenüber dem eigenen Personal. Vielmehr ist es eine Möglichkeit, sich vor aggressiven Phishing-Techniken zu schützen, die beispielsweise E-Mails von Kollegen und Kolleginnen imitieren. Stellen Sie sich vor, Sie erhalten eine E-Mail von einem Weisungsbefugten, der Sie erpresst, vertrauliche Informationen zu veröffentlichen. Natürlich wären Sie schockiert. Bis Sie die E-Mail erneut prüfen und feststellen, dass sie nicht ordnungsgemäß signiert wurde. Und es sich offensichtlich um den Versuch eines Hackers handelt, Zugriff auf Ihr Konto zu bekommen.

Gehen Sie also davon aus, dass unsere Firma S/MIME braucht?
Bedenkt man, wie die Vorteile von S/MIME ein Unternehmen auf lange Sicht unterstützen, ist es nur zu empfehlen. Will eine Firma Integrität gewährleisten, Privatsphäre sichern, sensible Daten schützen und Phishing- und andere E-Mail-Angriffe reduzieren, sollte sie auf jeden Fall erwägen S/MIME einzusetzen. Lange Zeit galt S/MIME als (zu) komplex, was viele potenzielle Nutzer im Vorfeld abgeschreckt hat. Im Laufe der Jahre ist es aber deutlich einfacher geworden die Technologie zu implementieren. Windows-Handys, die bereits ab Werk mit S/MIME ausgestattet sind, sind ein gutes Beispiel dafür. (GlobalSign: ra)

eingetragen: 13.03.17
Home & Newsletterlauf: 31.03.17


GlobalSign: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -





Kostenloser IT SecCity-Newsletter
Ihr IT SecCity-Newsletter hier >>>>>>

- Anzeigen -


Meldungen: Grundlagen

  • Was ist Certificate Transparency?

    Möglicherweise haben Sie schon vor einigen Jahren von Certificate Transparency (CT) gehört, als Google die Anforderung für alle Extended Validation (EV) SSL/TLS-Zertifikate ankündigte, die nach dem 1. Januar 2015 ausgestellt worden sind. Seitdem hat Google die Anforderung auf alle Arten von SSL-Zertifikaten ausgedehnt und zuletzt eine Frist bis zum April 2018 gesetzt. Zertifikaten, die nicht CT-qualifiziert sind und die nach diesem Datum ausgestellt werden, wird in Chrome nicht vertraut. GlobalSign hat im Hintergrund bereits daran gearbeitet, dass alle Zertifikate mit CT ausgestattet werden - Extended Validation (EV) seit 2015, Domain Validated (DV) seit August 2016 und Organisation Validated (OV) ab Oktober 2017 - GlobalSign-Kunden sind damit für den Fristablauf seitens Google gerüstet.

  • Wo ist der Authentifizierungsprozess fehlbar?

    Ich habe den größten Teil meines beruflichen Lebens damit verbracht Authentifizierungslösungen zu programmieren, zu implementieren, weiterzuentwickeln und zu patentieren. Daher nehme ich mir das Recht heraus zu sagen, letzten Endes funktioniert Authentifizierung einfach nicht. Mit "funktionieren" im engeren Sinne meine ich, dass es zu 100Prozent garantiert ist, dass es sich tatsächlich um eine vertrauenswürdige Identität handelt, wenn eine Benutzeridentität von einer Authentifizierungslösung an den betreffenden Partner weitergeleitet wird. Und genau das lässt sich nicht garantieren. Es lässt sich belegen, dass und wie der eigentliche Validierungsprozess innerhalb der Authentisierung funktioniert. Das bedeutet, wir verifizieren mathematisch und empirisch, dass die von einem Authentifizierungsmechanismus zusammengestellte Entität mit den Werten übereinstimmt, die in der Datenbank des akzeptierenden Dritten gespeichert sind, also "matched". Das kann ein Passwort sein, ein Einmal-Passwort, OTP, X.509-basierte Verschlüsselung, biometrische Merkmale, mobile Push-Werte oder eine Gesichtserkennung. In einem Satz: Der Authentisierungsprozess lässt sich validieren und damit auch, dass das technische System korrekt arbeitet.

  • Rollende Sicherheitslücken

    Viele Fahrzeuge sind heutzutage längst zu rollenden Computern geworden, denn bereits jetzt stecken in der Software eines modernen Oberklasse-PKW etwa 100 Millionen Codezeilen. Zum Vergleich: Die Flugsoftware einer Boeing 787 Dreamliner kommt mit etwa 14 Millionen Zeilen aus. Die Erwartungen an das zukünftige autonom fahrende Auto sind vielzählig: Mehr Sicherheit auf den Straßen, mehr Komfort, beispielsweise durch selbstständiges Einparken, die Nutzung eines Autopiloten im Stau oder komplett fahrerlose Roboterautos, welche im Car-Sharing-Verfahren neue Infrastrukturmöglichkeiten bieten könnten. Dem gegenüber stehen die Ängste: Bei Technikfehlern nur noch ein hilfloser Passagier an Board zu sein oder Opfer eines Hacker-Angriffs zu werden.

  • Warum BYOD an den Geräten scheitert

    Bring Your Own Device (BYOD) genießt im Geschäftsumfeld seit einigen Jahren den Ruf als innovatives Konzept. Der zeitlich uneingeschränkte Zugang zu Unternehmensdaten kann Firmen verbesserte Effizienz in den Arbeitsabläufen bescheren und den Mitarbeitern wiederum mehr Komfort im täglichen Arbeiten. Sie können auf ihren gewohnten Geräten arbeiten, zu flexiblen Arbeitszeiten. Insbesondere bei neu gegründeten Unternehmen, in denen die Mitarbeiter viel unterwegs sind, wird es überaus geschätzt, wenn kein weiteres, unternehmenseigenes Gerät mitgeführt werden muss. Die Zufriedenheit der Mitarbeiter mit der Arbeitsweise wiederum trägt auch zur Attraktivität des Unternehmens bei.

  • Offensichtlich lukrativste Angriffsmethode

    In regelmäßigen Abständen sehen wir uns einer neuen Bedrohung gegenüber, die bei Angreifern gerade Konjunktur hat. Gezielte Langzeitangriffe, sogenannte Advanced Persistent Threats (APTs) beherrschen die Schlagzeilen und Unternehmen beeilen sich, diese Attacken zu stoppen, deren Urheber sich gut versteckt durch das Netzwerk bewegen. Neben Phishing ist Ransomware die erfolgreichste und offensichtlich lukrativste Angriffsmethode für Cyber-Kriminelle. Schätzungen zufolge kosteten Ransomware-Scams die Opfer allein im letzten Jahr fast 1 Milliarde US-Dollar weltweit. Und es ist kein Wunder, dass sie so gut funktionieren: Sie beruhen auf dem althergebrachten Modell der Schutzgelderpressung, das bereits lange von Banden und der Mafia genutzt und jetzt in digitalem Format erfolgreich wieder aufgelegt wird. Die digitale Transformation ist nicht nur für Unternehmen Realität, sondern längst auch für Kriminelle eine lohnenswerte Einnahmequelle.