Mit S/MIME gegen Phishing
Was ist S/MIME
S/MIME beschreibt eine Erweiterung des MIME Standards, für die Verschlüsselung und Signatur von Emails.
Für die Nutzung von S/MIME wird ein S/MIME-Zertifikat benötigt. Damit eine problemlose Verwendung möglich ist, sollte das Zertifikat von einer anerkannten Zertifizierungsstelle ausgegeben worden sein.
Bei S/MIME Zertifikaten unterscheidet man gemeinhin 3 Klassen.
- Class 1 ‚Äì bei diesen Zertifikaten wird nur die Konnektivität der einzutragenden Emailadresse überprüft.
- Class 2 ‚Äì bei diesen Zertifikaten wird neben der Emailadresse die Person überprüft und eingetragen, auf die das Zertifikat ausgestellt werden soll.
- Class 3 ‚Äì bei diesen Zertifikaten wird neben der Emailadresse die Person überprüft und eingetragen, für die erfolgreiche Überprüfung ist in der Regel eine persönlich Prüfung notwendig (Postident, Eye-to-Eye).
Wie funktioniert auch S/MIME
Signatur
Bei der Signatur wird mit dem privaten Schlüssel eine Unterschrift erzeugt, die sich mit dem öffentlichen Schlüssel überprüfen läßt. Der öffentliche Schlüssel bzw. das Zertifikat wird mit der S/MIME signierten Email ebenfalls übermittelt. Damit die Unterschrift als gültig anerkannt wird, ist es ebenfalls notwendig, dass die vollständige Zertifikatskette beim Empfänger vorhanden ist.
Verschlüsselung
Für die Verschlüsselung ist es notwendig, dass dem Absender der verschlüsselten Nachricht das S/MIME Zertifikat des Empfängers vorliegt. Die Verschlüsselung erfolgt mit dem öffentlichen Schlüssel/Zertifikat des Empfängers.
Wie läßt sich mit S/MIME Phishing vorbeugen
Je höher die Klasse des S/MIME Zertifikates ist, desto mehr Informationen sind über den Absender der Nachricht erkennbar. Ist mit einem Klasse 1 Zertifikat nur die Emailadresse des Absender als überprüft ersichtlich, bieten höherwertige Zertifikate Rückschluss auf Person und Unternehmen. Bei qualifizierten Signaturen, wie sie mit der SwissID der Schweizer Post erzeugt werden können, kann die Identität des Absenders sogar als amtlich beglaubigt angesehen werden.
Wenn der Absender die Emails nun entsprechend unterschreibt, gibt er seinem Kommunikationspartner die Möglichkeit, zu prüfen, ob es sich bei der Email um eine echte oder gefälschte Email handelt. Fehlt eine gültige Signatur, sollte der Inhalt der Email zumindest mit Vorsicht genossen werden.
Darüber hinaus bietet die Möglichkeit der Emailverschlüsselung natürlich auch einen sicheren Kanal um vertrauliche Informationen auszutauschen,
Abschluss
Auch wenn gerade höherwertige Signaturen unter Emails das Risiko senken sollten, einer Phishing Email aufzusitzen, so sind die günstigen S/MIME Zertifikate ähnlich vorsichtig zu verwenden, wie dies bei domainvalidierten Zertifikaten der Fall ist. Die jüngste Vergangenheit hat gezeigt, dass es potentiell recht einfach sein kann an Zertifikate zu gelangen, die nur rudimentär geprüft werden. Und sie hat auch gezeigt, wie einfach es potentiell sein kann, Emailaccounts zu kapern, um eine rudimentäre Prüfung zu bewerkstelligen.