Mit S/MIME gegen Phishing
Was ist S/MIME
S/MIME beschreibt eine Erweiterung des MIME Standards, für die Verschlüsselung und Signatur von E-Mails.
Für die Nutzung von S/MIME wird ein S/MIME-Zertifikat benötigt. Damit eine problemlose Verwendung möglich ist, sollte das Zertifikat von einer anerkannten Zertifizierungsstelle ausgegeben worden sein.
Bei S/MIME Zertifikaten unterscheidet man gemeinhin 3 Klassen.
- Class 1 ‚Äì bei diesen Zertifikaten wird nur die Konnektivität der einzutragenden E-Mail-Adresse überprüft.
- Class 2 ‚Äì bei diesen Zertifikaten wird neben der E-Mail-Adresse die Person überprüft und eingetragen, auf die das Zertifikat ausgestellt werden soll.
- Class 3 ‚Äì bei diesen Zertifikaten wird neben der E-Mail-Adresse die Person überprüft und eingetragen, für die erfolgreiche Überprüfung ist in der Regel eine persönlich Prüfung notwendig (Postident).
- Qualifizierte Signatur - der Antragsteller wird persönlich geprüft. Das Zertifikat wird auf einem Token geliefert, dass unveränderbar sein muss.
Wie funktioniert S/MIME
Signatur
Bei der Signatur wird mit dem privaten Schlüssel eine Unterschrift erzeugt, die sich mit dem öffentlichen Schlüssel überprüfen lässt. Der öffentliche Schlüssel bzw. das Zertifikat wird mit der S/MIME signierten Email ebenfalls übermittelt. Damit die Unterschrift als gültig anerkannt wird, ist es ebenfalls notwendig, dass die vollständige Zertifikatskette beim Empfänger vorhanden ist.
Verschlüsselung
Kurz und grob erklärt ist es für die Verschlüsselung notwendig, dass dem Absender der verschlüsselten Nachricht das S/MIME Zertifikat des Empfängers vorliegt. Die Verschlüsselung erfolgt mit dem öffentlichen Schlüssel/Zertifikat des Empfängers.
Wie lässt sich mit S/MIME Phishing vorbeugen
Je höher die Klasse des S/MIME Zertifikates ist, desto mehr Informationen sind über den Absender der Nachricht erkennbar. Ist mit einem Klasse 1 Zertifikat nur die Emailadresse des Absender als überprüft ersichtlich, bieten hochwertigere Zertifikate Rückschluss auf Person und Unternehmen. Bei qualifizierten Signaturen, wie sie mit der SwissID der Schweizer Post erzeugt werden können, kann die Identität des Absenders sogar als amtlich beglaubigt angesehen werden.
Wenn der Absender die Emails nun entsprechend unterschreibt, gibt er seinem Kommunikationspartner die Möglichkeit, zu prüfen, ob es sich bei der Email um eine echte oder gefälschte Email handelt. Fehlt eine gültige Signatur, sollte der Inhalt der Email zumindest mit Vorsicht genossen werden.
Darüber hinaus bietet die Möglichkeit der Emailverschlüsselung natürlich auch einen sicheren Kanal um vertrauliche Informationen auszutauschen,
Abschluss
Auch wenn gerade hochwertigere Signaturen unter E-Mails das Risiko senken sollten, einer Phishing E-Mail aufzusitzen, so sind die günstigen S/MIME Zertifikate ähnlich vorsichtig zu verwenden, wie dies bei domainvalidierten Zertifikaten der Fall ist. Die jüngste Vergangenheit hat gezeigt, dass es potentiell recht einfach sein kann an Zertifikate zu gelangen, die nur rudimentär geprüft werden. Und sie hat auch gezeigt, wie einfach es potentiell sein kann, E-Mail-Accounts zu kapern, um eine rudimentäre Prüfung zu bewerkstelligen.