Embed Size (px)
Citation preview
Anleitung Signierung und Verschlüsselung von E-Mails mit einem S/MIME Zertifikat
Anleitung zur Signierung und Verschlüsselung von E-Mails mit S/MIME Zertifikaten
Seite 1
© D
ata
So
luti
on
Th
urm
an
n G
bR
(2
01
8)
Herausgeber
DataSolution Thurmann GbR
Datenschutz & Compliance
A. Thurmann u. B. Schubert
Isarstr. 13
D-14974 Ludwigsfelde
Ansprechpartner Andreas Thurmann
T: +49 (0) 3378.202513
F: +49 (0) 3378.202514
W: www.datasolution-thurmann.de
Titelbild # 67703594 – Fotolia #103324550 – Fotolia
Copyright DataSolution Thurmann GbR 2018
Diese Publikation stellt eine allgemeine unverbindliche Information dar. Die Inhalte spiegeln die Auffassung der
DataSolution Thurmann GbR zum Zeitpunkt der Veröffentlichung wider. Obwohl die Informationen mit
größtmöglicher Sorgfalt erstellt wurden, besteht kein Anspruch auf sachliche Richtigkeit, Vollständigkeit und /
oder Aktualität, insbesondere kann diese Publikation nicht den besonderen Umständen des Einzelfalles Rechnung
tragen. Eine Verwendung liegt daher in der eigenen Verantwortung des Lesers. Jegliche Haftung wird ausge-
schlossen.
Alle Rechte, auch der auszugsweisen Vervielfältigung, liegen bei der DataSolution Thurmann GbR.
Anleitung zur Signierung und Verschlüsselung von E-Mails mit S/MIME Zertifikaten
Seite 2
© D
ata
So
luti
on
Th
urm
an
n G
bR
(2
01
8)
Inhalt
1 Einleitung ............................................................................................................................................... 3
2 Auswahl eines Zertifikates...................................................................................................................... 4
3 Erstellen eines Zertifikates ..................................................................................................................... 4
4 Zertifikat exportieren ............................................................................................................................. 8
5 Konfiguration von Outlook .................................................................................................................... 9
6 Zertifikat exportieren mit privatem Schlüssel ...................................................................................... 11
7 Importieren eines fremden Zertifikates ................................................................................................ 13
8 E-Mail verschlüsselt versenden ............................................................................................................ 17
9 Hinweise zu anderen E-Mail-Programmen .......................................................................................... 18
Anleitung zur Signierung und Verschlüsselung von E-Mails mit S/MIME Zertifikaten
Seite 3
© D
ata
So
luti
on
Th
urm
an
n G
bR
(2
01
8)
1 Einleitung
Bei der Übermittlung von vertraulichen Daten (personenbezogene wie auch betriebliche Daten) an Dritte via E-
Mail ist es erforderlich, die E-Mails verschlüsselt zu versenden. Es ist zu verhindern, dass Unbefugte die
Informationen heimlich mitlesen können. Eine Transportverschlüsselung (TLS) reicht nicht aus, wenn es sich um
besonders sensible Daten handelt. Um hier die erforderliche Vertraulichkeit zu gewährleisten, ist eine End-to-End
Verschlüsselung einzusetzen, ohne dass Passwörter ausgetauscht werden müssen. Als Standard haben wir die
Nutzung von S/MIME Zertifikaten festgelegt, die sowohl beim Nutzer im eigenen Unternehmen als auch bei
unseren Geschäftspartnern einzurichten sind. Nachfolgend werden die Registrierung und die Einrichtung von
S/MIME Zertifikaten Schritt für Schritt erklärt. Ausgewählt wurde ein Verfahren, welches kostenfrei durch einen
Zertifikataussteller angeboten wird.
S/MIME steht für „Secure / Multipurpose Internet Mail Extensions“ und ist ein Standard für die Signierung und
Verschlüsselung von E-Mails. Alles, was dafür benötigt wird, ist eine Kombination aus einem privaten und einem
öffentlichen Schlüssel mit einem Zertifikat. Neben dem S/MIME-Verfahren gibt es noch das OpenPGP-Verfahren.
Beide Verfahren funktionieren nach ähnlichen Verfahren, sind aber nicht kompatibel. Da S/MIME bereits von
vielen E-Mail-Programmen unterstützt wird, setzt es sich als bevorzugtes Verfahren eher durch.
Alle Schritte bis hin zur E-Mail-Kommunikation mit S/MIME mit Outlook werden nachfolgend erläutert. Bereits
mit geringem Aufwand kann so eine sichere E-Mail-Kommunikation aufgebaut werden.
Durch das Signieren per S/MIME kann der Empfänger sicher sein, dass die E-Mail tatsächlich vom Absender
stammt und dass die Nachricht bei der Übertragung nicht manipuliert worden ist. Die E-Mail liegt auch weiterhin
noch im Klartext vor. Um eine E-Mail verschlüsseln zu können, wird zusätzlich ein Zertifikat des Empfängers
benötigt. Dieses kann er übertragen, sobald der Absender seine E-Mail genauso signiert, wie im Folgenden
beschrieben wird.
Im Folgenden lernen Sie Schritt für Schritt, wie Sie
1. ein Zertifikat auswählen,
2. ein Zertifikat erstellen,
3. das Zertifikat exportieren,
4. Ihr E-Mail-Programm konfigurieren,
5. ein Zertifikat in Ihr E-Mail-Programm importieren,
6. eine E-Mail verschlüsselt versenden.
Für die Einrichtung benötigen Sie weniger als 30 Minuten, nehmen Sie sich die Zeit.
Anleitung zur Signierung und Verschlüsselung von E-Mails mit S/MIME Zertifikaten
Seite 4
© D
ata
So
luti
on
Th
urm
an
n G
bR
(2
01
8)
2 Auswahl eines Zertifikates
Bei S/MIME geben zentrale Zertifizierungsstellen, die Certificate Authorities (CA), nach einer Kontrolle der
Benutzerdaten ein Zertifikat aus. Die CA beglaubigt nach einer Prüfung die Schlüssel des Kunden und stellt ihm als
Beleg ein digitales Zertifikat aus.
Die Zertifikate werden in vier unterschiedlichen Klassen angeboten. Sie unterscheiden sich im Umfang der
Überprüfung der Daten und damit in der Vertrauenswürdigkeit, die einem Zertifikat entgegengebracht werden
kann.
▪ Zertifikat der Klasse 1 | Plausibilitätsprüfung, ob der Antragsteller Zugriff auf die angegebene
E-Mail-Adresse hat.
▪ Zertifikat der Klasse 2 | Der Namen und die Firma werden im Zertifikat mit aufgenommen und
mit einer Ausweiskopie verifiziert.
▪ Zertifikat der Klasse 3 | Persönliche Authentifizierung über das Postident-Verfahren.
▪ Zertifikat der Klasse 4 | Die Authentifizierung erfolgt persönlich vor Ort.
Folgende Anbieter stellen E-Mail Zertifikate aus:
Anbieter Typen Internetseite
Comodo Person https://www.comodo.com
GlobalSign Person, Team, Gateway www.globalsign.com/de-de/sichere-email/
Hinweis | Die Übersicht hat kein Anspruch auf Vollständigkeit und Aktualität.
Es empfiehlt sich, als Internet-Browser den Microsoft Internet Explorer zu nutzen, da sich der
Export des S/MIME-Zertifikates wesentlich einfacher gestaltet.
3 Erstellen eines Zertifikates
Die Firma Comodo bietet das Klasse-1-Zertifikat „Free Secure Email Certificate“ kostenfrei an, welches ein Jahr
gültig ist. Um ein Zertifikat zu erhalten, muss man die Webseite:
https://www.comodo.com/home/email-security/free-email-certificate.php aufrufen und sich registrieren.
Anleitung zur Signierung und Verschlüsselung von E-Mails mit S/MIME Zertifikaten
Seite 5
© D
ata
So
luti
on
Th
urm
an
n G
bR
(2
01
8)
Anschließend Klick auf Sign Up Now
Bestätigen Sie den Webzugriff mit Ja.
Im Folgenden sind Vor- und Nachname und die E-Mail-Adresse, der zukünftig das Zertifikat zugewiesen werden
soll, in den Formularfeldern einzutragen und das Land auszuwählen. Zusätzlich ist ein Passwort anzugeben. Sie
haben hier auch die Möglichkeit, den Newsletter abzubestellen, indem Sie den Haken entfernen. Abschließend auf
Send verification code klicken.
Abschließend auf Next klicken, wenn Sie die Nutzungsbedingungen gelesen und akzeptiert haben.
Anleitung zur Signierung und Verschlüsselung von E-Mails mit S/MIME Zertifikaten
Seite 6
© D
ata
So
luti
on
Th
urm
an
n G
bR
(2
01
8)
Klicken Sie auf Ja, um das Zertifikat im Browser zu installieren.
Der erste Schritt ist geschafft, Sie werden in Kürze eine E-Mail erhalten. Haben Sie Geduld, wenn die E-Mail nicht
sofort da ist, erfahrungsgemäß kann es auch schon einmal 30 min. oder länger dauern. Sollte es entschieden länger
dauern, schauen Sie vielleicht auch mal im Spam-Ordner nach.
Anleitung zur Signierung und Verschlüsselung von E-Mails mit S/MIME Zertifikaten
Seite 7
© D
ata
So
luti
on
Th
urm
an
n G
bR
(2
01
8)
Comodo versendet untenstehende Authentifizierungsmail auf die angegebene E-Mail-Adresse, in welcher sich ein
Verifizierungslink befindet.
Mit dem Verifizierungslink kommen Sie auf die Bestätigungsseite von Comodo.
Bestätigen Sie bitte mit Ja.
Anleitung zur Signierung und Verschlüsselung von E-Mails mit S/MIME Zertifikaten
Seite 8
© D
ata
So
luti
on
Th
urm
an
n G
bR
(2
01
8)
Hinweis | Achten Sie auch hier darauf, dass die Bestätigung im Microsoft Internet Explorer erfolgt,
damit das Zertifikat hier installiert werden kann. Notfalls kopieren Sie sich den Link und fügen Sie diesen
in die URL (Adressleiste im Browser) ein.
Das Zertifikat können Sie sich im Browser unter:
Internetoptionen/Inhalte/Zertifikate
anzeigen lassen.
Die Installation im Webbrowser ist nun abgeschlossen.
Sie haben erfolgreich ein Zertifikat der Klasse 1 erhalten, welches für 1 Jahr gültig ist. Nach einem Jahr ist das
Zertifikat mit dem gleichen Prozess zu erneuern.
4 Zertifikat exportieren
Um das Zertifikat in Outlook zu verwenden, muss es zunächst aus den zuvor verwendeten Webbrowser exportiert
werden. Für die Registrierung empfiehlt sich den Microsoft IE zu verwenden. Die Anleitung bezieht sich daher auf
diesen Web-Browser. Abhängig vom verwendeten Browser muss das Zertifikat zunächst im Browser gesucht
werden.
Rechts oben das Menü Einstellungen auswählen und anschließend auf Internetoptionen klicken.
Nun klickt man unter Inhalt den Button Zertifikate. Es wird das neue Zertifikat angezeigt, man muss es auswählen
und auf Exportieren klicken.
Im nachfolgenden Assistenten auf Weiter klicken und die Option Nein, privaten Schlüssel nicht exportieren
auswählen. Im nächsten Dialog noch DER-codiert-binär X.509 auswählen. Im letzten Dialog muss noch ein Pfad
für den Speicherort und der Dateiname angegeben werden. Hier empfiehlt sich die verwendete E-Mail-Adresse als
Dateiname zu nutzen. Mit Weiter gelangt man zum letzten Dialog, den man mit Fertig stellen abschließt.
2
3
1
Anleitung zur Signierung und Verschlüsselung von E-Mails mit S/MIME Zertifikaten
Seite 9
© D
ata
So
luti
on
Th
urm
an
n G
bR
(2
01
8)
Im Beispiel erhalte ich eine Datei mit der Bezeichnung: [email protected]
Die Datei an einem sicheren Platz speichern. Sie sollte auch nach Jahresscheiben archiviert werden, um einen
Zugriff auf E-Mails auch nach Ablauf des Zertifikates zu ermöglichen.
Also die Zertifikate niemals löschen!
5 Konfiguration von Outlook
Um nun das Zertifikat in Outlook (im Beispiel die Version 2010 und 2016) zu importieren, klickt man links oben
auf Datei, dann auf Optionen und wählt links unten Sicherheitscenter oder auch Trust Center aus.
Danach auf Einstellungen für das Sicherheitscenter … klicken.
Im folgenden Fenster wählt man nun E-Mail-Sicherheit.
Anleitung zur Signierung und Verschlüsselung von E-Mails mit S/MIME Zertifikaten
Seite 10
© D
ata
So
luti
on
Th
urm
an
n G
bR
(2
01
8)
Nun wählt man die Optionen Ausgehenden Nachrichten digitale Signatur hinzufügen und Signierte
Nachrichten als Klartext senden aus und klickt auf den Button Einstellungen.
Im nächsten Schritt ist der Name der Sicherheitseinstellung festzulegen, hier die E-Mail-Adresse. Anschließend
sind das Signaturzertifikat auszuwählen und die anderen Optionen, wie in der Abbildung ersichtlich,
einzurichten. Um einen möglichst hohen Sicherheitsstandard zu erreichen, wählt man nun bei Hashalgorithmus
die Option SHA512 und bei Verschlüsselungsalgorithmus die Option AES (256-bit) aus.
Hinweis | Sollte das neue Zertifikat unter Nr. 2 nicht angezeigt werden, gehen Sie bitte wie unter
Punkt 6 beschrieben vor. In diesem Fall müssen Sie das Zertifikat importieren.
Nun sind die S/MIME-Einstellungen erfolgreich konfiguriert. Beim Erstellen einer E-Mail kann man unter
Optionen auswählen, ob die Mail per S/MIME signiert oder verschlüsselt werden soll. Auf Grundlage der
Einstellungen ist die Option zum Signieren der E-Mail automatisch aktiviert.
Bei einem Test sollte dieses Symbol erscheinen.
1
2
3
4
Anleitung zur Signierung und Verschlüsselung von E-Mails mit S/MIME Zertifikaten
Seite 11
© D
ata
So
luti
on
Th
urm
an
n G
bR
(2
01
8)
6 Zertifikat exportieren mit privatem Schlüssel
Sollte der Import des Zertifikats in Outlook, wie unter Pkt. 5 beschrieben, nicht geklappt haben, folgen Sie bitte
nachfolgenden Anweisungen. Gründe sind darin zu suchen, dass zuvor das Zertifikat schon einmal installiert war.
Zunächst aus das Zertifikat aus den zuvor verwendeten Webbrowser exportiert werden, also dem Microsoft IE. Die
Anleitung bezieht sich daher auf diesen Web-Browser. Abhängig vom verwendeten Browser muss das Zertifikat
zunächst im Browser gesucht werden.
Rechts oben das Menü Einstellungen auswählen und anschließend auf Internetoptionen klicken.
Nun klickt man unter Inhalt den Button Zertifikate. Es wird das neue Zertifikat angezeigt, man muss es auswählen
und auf Exportieren klicken.
Im nachfolgenden Assistenten auf Weiter klicken und die Option Ja, privaten Schlüssel exportieren auswählen.
Im nächsten Dialog noch Privater Informationsaustausch – PKCS #12 (.PFX) auswählen.
2
3
1
Anleitung zur Signierung und Verschlüsselung von E-Mails mit S/MIME Zertifikaten
Seite 12
© D
ata
So
luti
on
Th
urm
an
n G
bR
(2
01
8)
Jetzt das Passwort verwenden, welches Sie schon bei der Registrierung des Zertifikats bei Comodo verwendet
haben, und Weiter.
Im letzten Dialog muss noch ein Pfad für den Speicherort und der Dateiname angegeben werden. Hier empfiehlt
sich die verwendete E-Mail-Adresse als Dateiname zu nutzen. Mit Weiter gelangt man zum letzten Dialog, den man
mit Fertig stellen abschließt. Nun haben Sie das Zertifikat mit dem Dateinamen:
gespeichert.
Im nächsten Schritt wechseln Sie zu Outlook und gehen zur Einrichtung von E-Mail-Zertifikaten, wie bereits oben
beschrieben.
Klicken Sie Importieren/Exportieren aus und wählen Sie das
gespeicherte Zertifikat auf Ihrem Rechner aus. Nun noch das
Passwort eingeben und auf OK klicken.
Anleitung zur Signierung und Verschlüsselung von E-Mails mit S/MIME Zertifikaten
Seite 13
© D
ata
So
luti
on
Th
urm
an
n G
bR
(2
01
8)
Sie haben nachfolgend die Möglichkeit, die Sicherheitsstufe festzulegen. Die Grundeinstellung ist Mittel, d.h. dass mit dem Versenden eine Bestätigung abgefragt wird. Das geschieht i.d.R. nur, wenn der Empfänger zum ersten Mal mit dem Zertifikat kontaktiert wird. Bei der Einstellung Hoch wird zusätzlich das Passwort abgefragt.
Bestätigen Sie mit OK und anschließend mit Fertig stellen.
Nun ist das Zertifikat installiert. Nehmen Sie, wie auf Seite 9 beschrieben, die Einstellungen zur Verschlüsselung
vor. Sollten Sie das neue Zertifikat immer noch nicht sehen, senden Sie einfach eine Testmail, spätestens dann sollte
es im Auswahlmenü erscheinen.
7 Importieren eines fremden Zertifikates
Wir sind jetzt in der Lage, eine E-Mail mit Zertifikat zu versenden. Somit erkennt der Empfänger der
E-Mail, dass die E-Mail auch vom richtigen Versender kommt (Authentifikation). Das Zertifikat kann der
Empfänger, wenn er über ein eigenes Zertifikat verfügt, in sein Mailprogramm importieren, um dem Versender
verschlüsselt zu antworten. Umgekehrt muss auch das Zertifikat desjenigen, von dem eine E-Mail mit Zertifikat
empfangen wurde, in Outlook übernommen werden. Nur so ist eine Verschlüsselung in beide Richtungen möglich.
Bei der bisher beschriebenen Einzelplatzlösung muss beim Empfang eines neuen Zertifikates noch abschließend
das Zertifikat in die Kontakte übernommen werden.
Anleitung zur Signierung und Verschlüsselung von E-Mails mit S/MIME Zertifikaten
Seite 14
© D
ata
So
luti
on
Th
urm
an
n G
bR
(2
01
8)
Im der ersten Variante mit der linken Mousetaste auf das Symbol [1] des Zertifikates klicken.
Anschließend auf Details … [2] gehen und die Signierung [3] auswählen. Dann zunächst auf den Button Details
anzeigen … [4], und Zertifikat anzeigen [5] klicken.
Unter Details [6] hat man die Möglichkeit, das Zertifikat als Datei
abzuspeichern. Im Zertifikatexport-Assistenten auf Weiter klicken, das
gewünschte Zertifikat, hier DER-codiert-binär X.509 auswählen und
mit Weiter bestätigen. Nun den Speicherort und Dateinamen
(vorzugsweise die E-Mail-Adresse des Versenders) auswählen, mit
Weiter bestätigen und mit Fertig stellen abschließen.
1
3
4
2
5
6
Anleitung zur Signierung und Verschlüsselung von E-Mails mit S/MIME Zertifikaten
Seite 15
© D
ata
So
luti
on
Th
urm
an
n G
bR
(2
01
8)
Unter Kontakte in Outlook die Person suchen, von der das Zertifikat importiert werden soll. Hier auf Zertifikate
klicken.
Auf den Button Importieren … klicken, die Datei auswählen und übernehmen. Zum Abschluss den Kontakt
speichern.
Anleitung zur Signierung und Verschlüsselung von E-Mails mit S/MIME Zertifikaten
Seite 16
© D
ata
So
luti
on
Th
urm
an
n G
bR
(2
01
8)
Eine zweite Variante ist, den Kontakt direkt aus der E-Mail zu importieren.
Hierzu mit der rechten Mousetaste in die E-Mail-Adresse des
Absenders klicken und Zu Outlook-Kontakten hinzufügen
auswählen. Das Zertifikat wird direkt mit importiert, allerdings
empfiehlt sich auch hier, die Datei unter dem betreffenden
Kontakt bei Zertifikate herauszusuchen und zu sichern.
Trick | Ab Outlook 2013 ist der Import über die Datei nicht mehr so einfach möglich. In diesem Fall können Sie das
Schreiben einer E-Mail simulieren.
Wählen Sie bei den Kontakten aus dem Adressbuch (Klick auf An) den jeweiligen Kontakt aus und klicken Sie auf
diesen mit der rechten Mousetaste. Weiter geht es mit Eigenschaften.
Nun können Sie hier unter Zertifikate das neue Zertifikat importieren, wie oben beschrieben.
Anleitung zur Signierung und Verschlüsselung von E-Mails mit S/MIME Zertifikaten
Seite 17
© D
ata
So
luti
on
Th
urm
an
n G
bR
(2
01
8)
8 E-Mail verschlüsselt versenden
Jetzt besteht die Möglichkeit, eine E-Mail verschlüsselt zu übertragen. Zu beachten ist, dass beim Erstellen der E-
Mail die E-Mail-Adresse direkt aus den Kontakten [1 + 2] genommen werden muss, die voreingetragenen E-Mail-
Adressen übernehmen nicht automatisch das Zertifikat.
Vor dem Versenden der E-Mail unter Optionen [3] die Aktion Verschlüsseln [4] aktivieren. Abhängig von der
Outlook-Version kann das Aktivieren der Verschlüsselung auch an einer anderen Stelle erfolgen. Beachten Sie die
Hinweise und Hilfestellungen gemäß der Links unter Pkt. 9.
Geschafft!
Nun kann die E-Mail verschlüsselt versendet werden. Verschlüsselt wird jedoch nur der Inhalt der
E-Mail inkl. Dateianhänge. Die Betreffzeile und Empfänger der E-Mail bleiben weiter unverschlüsselt. Hier gibt es
keine Möglichkeiten der verschlüsselten Übertragung.
3
1
2
4
Anleitung zur Signierung und Verschlüsselung von E-Mails mit S/MIME Zertifikaten
Seite 18
© D
ata
So
luti
on
Th
urm
an
n G
bR
(2
01
8)
Der Empfänger erkennt die verschlüsselte Nachricht am Schloss.
WICHTIG | Zum verschlüsselten Versenden einer E-Mail benötigen Sie immer das gültige Zertifikat des Partners,
und umgekehrt. Dieses Zertifikat muss in den Kontakten bei der jeweiligen Person hinterlegt sein, die E-Mail-
Adresse ist direkt aus den Kontakten zu übernehmen. Wenn man die E-Mail-Adresse aus der Vorauswahl durch
Eingabe von Namen oder dem Beginn der E-Mail-Adresse übernimmt, wird das Zertifikat nicht mit übernommen,
da diese E-Mail-Adresse zum automatischen Ausfüllen in einer anderen, separaten Datei bei Outlook gespeichert
wird.
Hinweis | Es kann vorkommen, dass Sie eine verschlüsselte E-Mail erhalten, ohne dass das Zertifikat des
Versenders mit dabei ist. Das wird in den meisten Fällen daran liegen, dass hier das Unternehmen einen
Zertifikatsserver verwendet, wo Ihr Zertifikat hinterlegt ist. Dieses wird automatisch hinterlegt, sobald das
Unternehmen eine E-Mail mit Zertifikat von Ihnen erhalten hat. In diesem Fall ist nur eine verschlüsselte Ein-
Wege-Kommunikation möglich. Wenden Sie sich an den Versender und bitten Sie ihn darum, dass er zusätzlich
ein Zertifikat bei der IT beantragt. Der Versender weiß nicht unbedingt, dass er verschlüsselt kommuniziert, ein
Anruf kann oftmals Klärung bringen.
9 Hinweise zu anderen E-Mail-Programmen
Thunderbird
https://www.thunderbird-mail.de/lexicon/entry/80-e-mail-verschl%C3%BCsselung-mit-s-mime/
Outlook 2007-2016
Versenden einer verschlüsselten Mail
http://office.microsoft.com/de-de/outlook-help/verschlusseln-von-nachrichten-HP010355559.aspx
S/MIME-Zertifikat unter Android/iOS einspielen
https://www.psw-group.de/support/wie-kann-ich-mein-smime-zertifikat-unter-androidios-einspielen/
https://www.heise.de/ct/ausgabe/2012-18-Mail-Verschluesselung-auf-dem-Rechner-und-mobil-anwenden-2340656.html
