Secure / Multipurpose Internet Mail Extensions (S/MIME) ist ein Standard für die Verschlüsselung und Signieren von E-Mails mittels hybridem Krypotsystem. S/MIME wird in sehr vielen Protokollen in der Anwendungsschicht wie E-Mail oder AS2 eingesetzt. In der Praxis wird S/MIME für die Verschlüsselung von E-Mails eingesetzt. Wichtig zu unterscheiden ist, dass S/MIME sich von SSL/TLS wesentlich unterscheidet. S/MIME verschlüsselt die Nachricht an sich, SSL/TLS verschlüsselt die Transportebene respektive den Ort, über welche die E-Mail verschickt wird.

Wie funktioniert die S/MIME Verschlüsselung?

Mittels S/MIME Verschlüsselungstechnologie wird anhand eines öffentlichen und privaten Schlüssels, welche immer miteinander verknüpft sind, der Inhalt einer E-Mail Adresse abgesichert. Als Absender der Nachricht verschlüsseln Sie Ihre E-Mail immer mit dem öffentlichen Schlüssel (auch Public Key genannt). Dieser kann über unterschiedliche Wege geteilt werden – der einfachste Weg besteht darin, eine signierte E-Mail zwischen den beiden Kommunikationsteilnehmer hin- und her zu schicken.

Da die beiden Schlüssel (Private & Public Key) jeweils verknüpft ist, kann die E-Mail nun entschlüsselt werden. Solange sich der Private Key in Ihrem Besitz befindet, kann die E-Mail entschlüsselt werden. Wir raten an, den Private Key nur in gesicherte Umgebungen zu exportieren, da ansonsten die Gefahr zur Entschlüsselung Ihrer kryptierten Nachrichten erhöht.

 

Diese Infografik steht unter der Creative Commons-Lizenz und darf mithilfe des folgenden Codes geteilt oder auf der eigenen Website eingebunden werden – unabhängig davon, ob es sich dabei um ein privates oder kommerzielles Angebot handelt.

Im Einzelnen funktioniert das Verschlüsseln einer Nachricht von Alice an Bob folgendermaßen:

  • Sandra hat eine klare Nachricht, die sie an Florian senden möchte ( ClearMessage);
  • Sandra generiert einen symmetrischen Schlüssel ( MessageKey);
  • Sandra verschlüsselt die Nachricht mit dem symmetrischen Schlüssel ( ProtectedMessage).
  • Sandra verschlüsselt es MessageKeymit Florian öffentlichem Schlüssel ( EncryptedMessageKey).

Um die Nachricht sicher, Alice sendet zu senden ProtectedMessageund EncryptedMessageKeyBob.

Nebst der Verschlüsselung, weist der Absender bei jeder signierten oder verschlüsselten Nachricht nach, dass die E-Mail vom Absender stammt und während der Übermittlung nicht verändert oder beschädigt wurde. So wird das Risiko für Phishing minimiert, da dadurch die Identifikation der jeweiligen Absender direkt in Outlook mittels Signatur oder Verschlüsselungssymbol sichtbar gemacht wird.

Warum sollen wir überhaupt S/MIME E-Mail Zertifikate einsetzen?

In Anbetracht der jüngsten Datenskandale der letzten Jahren (Cambridge Analytics / Facebook; Cyberangriff auf British Airways;  Hackerangriff auf personenbezogene Daten des Marriot International Hotels) hat die SAS Analyse Software eine Online Umfrage bei Privatpersonen durchgeführt um die Meinung zum Thema Datenschutz zu eruieren.

Fast drei Viertel (73 Prozent) der Umfrageteilnehmer gaben an, dass sie sich mehr Sorgen um ihren Datenschutz machen als noch vor einigen Jahren. Und 64 Prozent der Personengeben an, dass ihre Daten heute weniger sicher sind als vor einigen Jahren.

Bedenklich, wenn man bedacht, dass die USA derzeit noch über kein solch ausgefeiltes Datenschutzgesetz verfügt wie die Europäische Union mit der DSGVO (Datenschutz-Grundverordnung).

 

E-Mail Compliance mit EU / GDPR (DSGVO) / EDIFACT /

Im Jahr 2016 hat die Europäische Union die Allgemeine Datenschutzverordnung (DSGVO) verabschiedet und ersetzt damit die Datenschutzrichtlinie von 1995 durch einen strengeren und moderneren Datenschutz. Die Anforderungen der DSGVO ist mittlerweile in der gesamten Europäischen Union als Recht anerkannt. Artikel 25 der DSGVO fordert alle Unternehmen den Datenschutz und die Prozesse mit personenbezogenen Daten selbständig abzusichern. In den meisten Fällen wird die Verschlüsselung zwar noch als Best Practice angesehen – unabhängig davon müssen die Daten geschützt und vertrauensvoll gesichert werden. Zusätzlich zur DSGVO schreibt Dänemark allen Unternehmen vor, sämtliche E-Mails mit vertraulichen und persönlichen Informationen zu verschlüsseln.

Inwieweit die Strafe für Verstösse gegen die Bestimmungen der DSGVO sind, werden von den zugeteilten Behören geprüft. Unternehmen, die Ihre Daten unvollständig sichern, E-Mails nicht verschlüsselt versenden tragen das Risiko von Datenverletzungen. Im Falle eines Verstosses, können dadurch Strafen von bis zu 4% des weltweiten Jahresumsatzes oder bis zu 20 Millionen Euro ausgestellt werden. Dies gilt insbesondere für den Verlust, Veränderung oder die unbefugte Weitergabe von Daten, sollte es zu einem Verstoss führen. Die Strafe kann sich jedoch reduzieren oder gegebenenfalls gar entfallen, wenn Sie als Unternehmen den Behörden aufzeigen können, dass Sie sämtliche Massnahmen ergriffen haben, um die personenbezogenen Daten zu schützen. Darunter fällt die Verwendung von modernster Technik sowie dem Einsatz von SSL wie auch S/MIME Zertifikaten zur Absicherung der Mail-Kommunikation mit Ihren Kunden.

EDIFACT (Electronic Data Interchange for Administration, Commerce and Transport)

EDIFACT ist ein bereichsübergreifender internationaler Standard für das Format von elektronischen Daten im Geschäftsverkehr. EDIFACT wird von verschiedenenen internationalen Staaten und Verbänden als Standard angesehen. Aufgrund der Komplexität in den Branchen, wurden Subsets der EDIFACT für bestimmte Anwendergruppen wie Strom & Gas (Edi@Energy) oder für die Elektronik-, Software- und Telekomunikationsbranche (EDIFICE) entwickelt.

Unternehmen, welche der EDIFACT unterstellt sind, haben unterschiedliche Möglichkeiten zur Signierung und Verschlüsselung der Nachrichten. Mögliche Protokolle sind EDINNT AS1, AS2, S/MIME sowie weitere, welche nicht definiert sind. Abhängig davon, an welche Subsets Ihr Unternehmen angegliedert ist, müssen erweiterte Anforderungen erfüllt werden, um die Richtlinien der EDIFACT einzuhalten.

Definition: Was ist eine EDIFACT Datei?

Eine EDIFACT-Datei ist ein einfache Textdatei, welche mittels Texteditor geöffnet werden kann. Das besondere an EDIFACT Dateien ist der Aufbau (Syntax) der Dateien – jede Datei ist gleich aufgebaut und der Empfänger weis im Vornhinein, an welcher Stelle welcher Inhalt zu finden ist.

Welche SUBSETS der EDIFACT gibt es?

  • CEFIC – Chemische Industrie
  • EANCOM – Konsumgüterindustrie
  • Edi@Energy – Strom und Gas (nur für Deutschland gültig)
  • EDIBDB – Baustoffbranche
  • EDIFICE – Elektronik-, Software- und Telekommunikationsbranche
  • EDIFOR – Speditionsbranche
  • EDIFURN – Möbelbranche
  • EDIGAS – Ferngasgeschäft
  • EDILEKTRO – Elektroindustrie / Elektrogroßhandel
  • EDILIBE – Buchhandel
  • EDIPAP – Papierhersteller / -großhandel / -verarbeitende Industrie
  • EDITEC – SanitärbrancheEDITEX – Textilindustrie
  • EDITRANS – Transportwirtschaft
  • EDIWHEEL – Reifen- und Räderhersteller (inkl. AdHoc EDI)
  • ETIS – Telekommunikation (nur für Rechnung)
  • ODA/ODIF – Allgemeine Dokumentenformate
  • ODETTE – Automobilindustrie
  • RINET – Versicherungswirtschaft

EDI@Energy

Die edi@energy ist der Informations- und Kommunikationsstandard für die Energie-, Wasser- und Stromindustrie. Die EDI@Energy hat als Subset der EDIFACT eine Regelung zum sicheren Austausch von Übertragungsdateien verfasst. Im Rahmen des elektronischen Datenaustausches zwischen den Marktpartner der deutschen Energiewirtschaft müssen die Übertragungswege AS2 und E-Mail via SMTP eingehalten werden. Die in diesem Abschnitt behandelten Anforderungen und Regeln zählen auch für alle von der Bundesnetzagentur festgelegten Marktprozesse wie beispielsweise GPKE, MPES, GeLi Gas, GaBi Gas, MaBiS, WiM sowie KoV.

Wenn der deutschen Energiewirtschaft eine Datei / E-Mail ausgetauscht wird, muss diese seit dem 1. Juni 2017 signiert und verschlüsselt werden. Dabei wird nicht nur gefordert, dass die Zertifikate von einer vertrauenswürdigen CA ausgestellt werden, sondern auch spezielle Anforderungen an den Verschlüsselungsalgorithmus gestellt werden.

Anforderungen an die ausstellende CA

  • keine selbst ausgestellten Zertifikate
  • die CA verfügt über einen Rückrufservice und eine revocation list
  • geprüft durch externen Audit (bsp KPMG)

Anforderungen an das S/MIME Zertifikat

  • Signaturalgorithmus RSASSA-PSS
  • Maximale Gültigkeit von 3 Jahren
  • fortgeschrittene elektronische Signatur
  • Identifizierung und Zuordnung zum Unternehmen, für welches das Zertifikat ausgestellt wurde

Secorio’s Technologiepartner Sectigo bietet derzeit seine S/MIME E-Mail Zertifikate noch ohne RSASSA-PSS Verschlüsselung an. Aufgrund der Nachfrage und dem Bedarf an Zertifikaten mit diesem Signaturalgorithmus, werden diese Zertifikate ab 2020 verfügbar sein. Dank der Zusammenarbeit mit einer anderen Vertrauenswürdigen CA, ist Secorio in der Lage, auch RSASSA-PSS S/MIME Zertifikate auszustellen. Kontaktieren Sie Ihren direkten Ansprechpartner oder senden Sie uns eine Nachricht auf info@secorio.com um weitere Informationen oder ein konkretes Angebot zu erhalten.

EANCOM

EANCOM ist einer der Subset der EDI Standards. Die Konsumgüterwirtschaft verwendet den Begriff EANCOM um einen weltweit gültigen Standard des elektronischen Datenaustausches zu verwenden. EANCOM führt mit der Globalen Artikelnummer (GTIN) und Globalen Lokationsnummer (GLN) einen weltweiten Identifikationsstandard ein. Die EANCOM verfasste basierend auf den EDI-Standards einen GS1 Implementation Leitfaden für digitale Signaturen ein.

Mögliche Signatur- / Verschlüsselungsalgorithmen sin EDIINT AS1 & AS2 oder S/MIME E-Mail Zertifikate. Das Ziel der EANCOM ist es, die Sicherheit von EDIFACT Dokumenten im Informationsfluss zwischen dem Absender und Empfänger der Nachricht zu sichern. Dabei wird zwischen zwei möglichen Signatur-Verfahren unterschieden:

  • Document Signing –> das Dokument (bsp. PDF) wird innerhalb der Datei digital signiert um die Authentizität
  • S/MIME Signing –> die E-Mail, welche verschickt wird, wird mittels S/MIME Zertifikat signiert um so die Authentizität der Nachricht zu bestätigen

Was sind die S/MIME Anforderungen der EANCOM?

Die digitalen Zertifikate müssen von einem vertrauenswürdigen Dritten (bsp. CA Authority Sectigo –> Technologiepartner von Secorio) ausgestellt werden. Während dem Ausstellungsprozess zertifiziert und prüft die ausstellende CA die Informationen und stellt der Person / dem Unternehmen ein digitales Zertifikat aus.

Nebst der erweiterten Validierung, muss das Zertifikat mit einer der folgenden Algorithmen signieren: DSA, RSA, ECC usw. Da fast alle vertrauenswürdigen Zertifizierungsstelle x509v3 Zertifikate auf Basis von RSA-Schlüsseln anbieten, wird empfohlen dieser Algorithmus zum digitalen Signieren von Dokumenten zu verwenden.

CEFIC

European Chemical Industry Council ist der Wirtschaftsverband der europäischen chemischen Industrie. Derzeit gibt es keine spezifischen Richtlinien, an welche sich die CEFIC Teilnehmer halten müssen. Es gelten die üblichen Richtlinien gemäss EDIFACT Standard.

EDIFICE

The Global Network für B2B Integration in High Tech Industries – ein europäisches Industriekonsortium für die Einhaltung von B2B Standards. Der Verband unterstützt die Entwicklung und Verbreitung von elektronischen Standards und gibt dabei Empfehlungen ab, wie die Richtlinien interpretieren sind. Die Richtlinien und der Standard «EDIFICE» ist in europäischen Unternehmen aus Halbleiter, Elektronik, Software und Telekommunikation Branche. Die Standards sind auf Internationalität ausgerichtet und sind aufgrund der weltweiten Kompatibilität auch mit den Richtlinien aus der USA verknüpft. Zudem kooperiert die EDIFICE mit RosettaNet, einem XML-basierten Standard zur Automatisierung des Supply Chain Management in der Branche.

Die genauen Anforderungen der EDIFICE finden Sie über den folgenden Link: EDIFICE Guidelines

EDIGAS (EASEE-GAS)

2002 wurde EASEE-Gas gegründet um die Prozesse im Bereich des Gastransfer und -handels in ganz Europa zu vereinfachen. EASEE-GAS bietet seinen Mitgliedern digitale S/MIME Zertifikate für die Signierung und Verschlüsselung von E-Mails an, um die Kommunikation zwischen den EASEE-GAS Teilnehmern zu sichern. Da Kommunikation via AS2 und As4 Protokoll abläuft, wird ein spezielles Validierungs- und Antragsverfahren benötigt.

Informationen, die wir für die Validierung benötigen:

  1. Informieren Sie sich über den Namen und die Adresse Ihres EASEE-Gasspezialisten. Wenn Sie nicht wissen, wer der EASEE-Gas-Vertreter Ihres Unternehmens ist, konsultieren Sie bitte die Mitgliederliste auf der EASEE-Gas-Mitglieder-Website .
  2. Holen Sie sich eine Kopie des Personalausweises / Reisepasses des EASEE-Gasvertreters Ihres Unternehmens.
  3. Holen Sie sich eine Kopie des Handelsregisterauszuges für das bei EASEE-gas registrierte Unternehmen, das nicht älter als 6 Monate ist.
  4. Holen Sie sich den EIC-Code Ihres Unternehmens. Dieser Code ist auf der ETSO-Website zu finden .

Beantragunsprozess

  1. Antragsteller zum Ausfüllen und Einreichen des Online-Formulars
  2. Senden Sie alle erforderlichen Dokumente per Post / Fax / E-Mail
  3. Der Antrag wird vom EASEE-Gas General Manager geprüft und genehmigt
  4. Interne Vollständigkeitsprüfung der Registrierungsanfrage durch Secorio
  5. E-Mail-Einladung vom Secorio Trust / Link Enterprise-System an den Zertifikatsantragsteller (Abonnenten), um die Daten zu bestätigen und den Zertifikatausstellungsprozess zu starten
  6. Zertifikatsantragsteller erhält zweiten E-Mail-Link zum Herunterladen des Zertifikats
  7. Zertifikat zur Installation und Verteilung bereit

Bitte wenden Sie sich direkt via E-Mail (info@secorio.com) an uns, sollten Sie Bedarf an einem EASEE-GAS Zertifikat haben. Gerne werden wir Ihnen diesbezüglich weitere Informationen mitteilen.

HIPAA (Healthcare Insurance Portability and Accountability Act)

Wie in jeder Branche ist E-Mail ein wichtiges Kommunikationsmedium für den Austausch von Informationen zwischen Healthcare Unternehmen und Patienten / Angehörigen. Personal Health Informations (PHI) / Personenbezogene Daten, welche per E-Mail ohne besonderen Schutz verschickt werden, erfüllen die Anforderungen der HIPPA nicht. Daher müssen diese PHI (Personenbezogene Daten), welche per E-Mail verschickt werden, mit digitalen Zertifikaten geschützt werden, um die Privatsphäre der Patienten erfolgreich zu Schützen. Nur so kann die Einhaltung der HIPAA / HITECH gewährleistet werden.

Untersuchungen haben ergeben, dass jeder siebte Krankenhausangestellte eine Phishing-E-Mail öffnet. Diese Sicherheitsanfälligkeit bedeutet, dass mehr als 14% aller E-Mails, mit denen Krankenhausmitarbeiter zu tun haben, möglicherweise zu Cyberangriffen oder Datenverletzungen führen können. Ein Verstoß gegen die Datenschutzbestimmungen im Gesundheitswesen führt wiederum häufig zu schwerwiegenden Komplikationen in Bezug auf Verstöße gegen die Datenschutzbestimmungen des Healthcare Insurance Portability and Accountability Act (HIPAA), das erheblichen finanziellen Kosten und Bussgeldern für die Einhaltung von Vorschriften führt. Nebst dem finanziellen Schaden, wir das Image und das Vertrauen von den Patienten gegenüber dem Healthcare Unternehmen gesenkt. Nebst der Inhaltsverschlüsselung mittels S/MIME, müssen PHI Daten über verschlüsselte Serververbindungen (geschützt durch SSL oder TLS Zertifikate) verschickt werden.

Strafen für HIPAA-E-Mail-Verstösse
Die Strafen gelten pro Verstoss und Jahr Von Zu
Konnte nicht mit angemessener Sorgfalt vermieden werden 100 US-Dollar 50.000 US-Dollar
HIPAA-E-Mail-Verstoß trotz angemessener Sorgfalt 1.000 US-Dollar 50.000 US-Dollar
Vorsätzliche Vernachlässigung – In angemessener Zeit korrigiert 10.000 US-Dollar 50.000 US-Dollar
Vorsätzliche Vernachlässigung – Nicht korrigiert 50.000 US-Dollar 1.500.000 US-Dollar

Alternativen zu S/MIME

PGP (Pretty Good Privacy)

Nebst S/MIME gibt diverse unterschiedliche Verschlüsselungsverfahren. Mit S/MIME zu Vergleichen ist OpenPGP (Pretty Good Privacy). PGP ist auf dem gleichen Ansatz wie S/MIME aufgebaut und verschlüsselt die E-Mails über das asymmetrische Verfahren. Zu beachten ist, dass aber S/MIME E-Mail Zertifikate nicht mit dem PGP System kompatibel ist.

PGP ist ein Open Source Verschlüsselungssystem. Dadurch können mittels PGP auch keine qualifizierten Signaturen verschickt werden. Zudem gibt es für PGP keine Zertifizierungsstelle, welche die Anforderungen des CA/B oder der EDIFACT erfüllen könnte. Die Integration in Ihre vorhanden Mail- / Gateway Systeme, insbesondere bei Mobile Usern, ist bei PGP ein erweitertes Know-How gefordert.

Weitere Verschlüsselungsalgorithmen

Die S/MIME Zertifikate können einfach innert wenigen Minuten in Ihre bestehende Umgebung eingebunden werden. Über Internet Explorer (Windows User) / Safari (Apple User) wird das Zertifikat beantragt und der Private Key wird direkt im Browser erstellt. Eine kurze Konfiguration im Trust Center von Ihrem Outlook Mail-Programm und schon sind S/MIME Zertifikate einsatzbereit.

Nebst S/MIME und PGP gibt es noch weitere Verschlüsselungssystem wie REDDCRYPT, DE-Mail, WebAkte oder DRACOON werben zwar mit einfacher Bedienung und Zero-Knowledge für die Einrichtung. Nur wird für dieses Verschlüsselungsverfahren zusätzliche Software oder Addons für Outlook benötigt oder Ihre Kunden müssen sich noch zusätzlich bei diesen Providern anmelden. Diese einzurichten und zu aktualisieren benötigt Zeit bringt unnötigen Aufwand mit sich. Mehr als XX% aller Deutschen setzten bereits auf die weitverbreitetste S/MIME Verschlüsselungstechnologie. S/MIME Zertifikaten haben Sie einfach die Möglichkeit, die Mail Verschlüsselung einfach und unkompliziert in Ihre bestehende Umgebung zu integrieren. Mit dem Certificate Manager (Enterprise S/MIME) gar automatisiert.

Als Unternehmen müssen Sie sich entscheiden, auf welchen Verschlüsselungsalgorithmus / Verschlüsselungssystem Sie setzten möchten.

Vor- und Nachteile von S/MIME E-Mail Zertifikaten

Vorteile:

  • Kompatibel mit führenden Softwarelösungen wie Office365, Outlook 2007/2010/2013
  • keine zusätzliche Software notwendig / die S/MIME Technologie ist automatisch in Ihrem Laptop / Computer oder Mobile Gerät vorinstalliert.
  • Schutz vor Phishing und SPAM Nachrichten

 

Nachteile:

  • der öffentliche Schlüssel muss vorgängig ausgetauscht werden. Es gibt keine globale Datenbank, über welche sämtliche S/MIME Zertifikate abgerufen werden können
  • beide Kommunikationsteilnehmer müssen über ein gültiges S/MIME Zertifikat verfügen

 

 

Welche Verschlüsselungs Algorithmen von S/MIME gibt es überhaupt?

SHA

SHA ist Teil der von der NSA entwickelten kryptografischen SHA-Hashfunktion und steht für Secure Hash Alogirthm. Die Hashfunktion wird mittels mathematischen Operationen mit digitalen Daten ausgeführt. Durch den Vergleicht es kalkulierten „Hash“ Wertes mit dem bekannten Hashwert, kann die Integrität (Unversehrtheit) einer Nachricht / einer Datei bestimmt werden.

Die SHA Hashfunktion kann in SHA 1 / SHA 2 und SHA 3 unterteilt werden. Der meistverbreitete Hashalgorithmus ist SHA-2 mit SHA-256 und SHA-512, wobei wir empfehlen SHA-256 zu verwenden.

  • aus sicherheitstechnischer Sicht wäre es ziemlich sinnlos, SHA 512 zu verwenden. In der Praxis ist SHA-256 genauso sicher wie SHA-512. Aktuell kann mit keiner oder derzeit vorhandene oder in den kommenden Jahren vorhersehbarer Technologie (bsp. Quantencomputer) eine Kollision erzeugt werden. Die Sicherheit die Sie mit SHA256 erhalten, ist dadurch identisch.
  • Aus nicht sicherheitstechnischer Sicht sind die Gründer für die Wahl von SHA-256 gegenüber längeren Hash-Algorithmus klarer: Er ist kleiner und benötigt weniger Brandbreite zum Speichern und Übertragen von Nachrichten / Dateien. Somit benötigen Sie weniger Speicher was dadurch ebenfalls weniger Rechenleistung benötigt. In einigen Fällen kann es jedoch vorkommen, dass SHA-512 dennoch schneller und effizienter ist – dies ist oft aber die Seltenheit.
  • Drittens gibt es wahrscheinlich Kompatibilitätsprobleme bei unterschiedlichen Hash-Algorithmen. Praktisch niemand verwendet einen höheren Algorithmus als SHA-256. Höhere Algorithmen können sein: SHA-384 oder SHA-512. Daher ist die Wahrscheinlichkeit gross, dass Sie auf Systeme stossen, die den Hash nicht verstehen. Mittlerweile gibt es wahrscheinlich weniger Probleme, da die Systeme ausgereifter sind, dennoch haben Sie selbst mit einem höheren Sicherheitsalgorithmus keinen wesentlichen Nutzen.

Gegenwärtig bietet die Wahl von höheren SHA’s als SHA-256 keine klaren Vorteile – dafür gibt es offensichtliche Nachteile (erhöhte Brandbreite / höherer Speicher / Kompatibilitätsprobleme). Aus diesem Grund ist SHA-256 die universelle Wahl für Moderen Zertifikate für S/MIME und SSL Webseiten Zertifikate.

RSASSA-PSS

Der Signaturalgorithmus RSASSA-PSS von S/MIME E-Mail Zertifikat ist bei vielen Anwender oder Unternehmen noch nicht angekommen. Viele Unternehmen die uns kontaktieren und Fragen betreffend der RSASSA-PSS haben, kennen die Anforderungen oftmals nicht. RSASSA-PSS Zertifikate müssen von EDIFACT unterstellten Unternehmen angewendet werden. Ob Sie darunter fallen, können Sie unter den COMPLIANCE-Richtlinien für S/MIME Zertifikate lesen.

Die Abkärzung «PSS» steht für «Probablistic Signatur Scheme» – auf Deutsch: probabilistisches Signaturverfahren. RSASSA-PSS bieten ein verbessertes Signaturschema, welche einen zusätzlichen Anhang enthält. Es nutzt den privaten RSA-Schlüssel um Ihre Daten zu signieren. Der Empfänger überprüft Ihre Signatur anhand des bekannten öffentlichen RSA-Schlüssels.

Seit der Durchsetzung der neuen Regelung zum Versand von qualifizierten EDIFACT-Dateien / Nachrichten druch die Bundesnetzagentur innerhalb der Strom- und Gasbranche ist der erweiterte Signaturalgorithmus wichtig. Die Bundesnetzagentur verlangt eine RSA-Schlüssellänge von mindestens 2048 Bit / die Hash-Funktion muss zwingend SHA-256 oder SHA-512 erfüllen.

Welche Mail Systeme / Clients unterstützen die S/MIME Technologie?

Clients, über welche ein automatisches Enrollment via Certificate Manager möglich ist

sämtliche Versionen von Microsoft Outlook / Outlook Express

MDM mit SCEP für AirWatch, Blackberry, Mobile Iron, IBM, Citrix

Apple Mail inklusive Mobile Endgeräte

Samsung Mail inklusive Mobile Endgeräte

Nine Mail (in Bearbeitung)

Ciphermail (in Bearbeitung)

 

Systeme, welche mit S/MIME arbeiten, aber noch nicht mit dem Certificate Manager verknüpft sind

Office 365

Mozilla Thunderbird

Spark Mail

Claws Mail

Windows Mail / Live Mail

 

–> Liste wird fortlaufend ergänzt / Sie sind Anbieter einer Mail-Software und setzten die S/MIME Technologie ein – informieren Sie uns auf info@secorio.com und wir ergänzen Sie in unserer Datenbank.

Welche Gateway Systeme unterstützen die S/MIME Technologie?

CITRIX Secure Gateway

 

–> Liste wird fortlaufend ergänzt / Sie sind Anbieter einer Mail-Software und setzten die S/MIME Technologie ein – informieren Sie uns auf info@secorio.com und wir ergänzen Sie in unserer Datenbank.

Welche Mail Anbieter unterstützen die S/MIME Technologie?

eclipso.de

gmx.com

hotmail.com

web.de

gmail.com

–> Liste wird fortlaufend ergänzt / Sie sind Mail-Provider und setzten die S/MIME Technologie ein – informieren Sie uns auf info@secorio.com um Möglichkeiten einer Partnerschaft zu besprechen.

Welche CRM / ERP Software Systeme unterstützen die S/MIME Technologie?

Zoho CRM (Zoho Mail)

Salesforce Marketing Cloud

AMTANGEE

Azure Information Protection Client

–> Liste wird fortlaufend ergänzt / Sie sind Software Provider für ERP / CRM Systeme und unterstützende die S/MIME Technologie ein – informieren Sie uns auf info@secorio.com und wir ergänzen Sie in unserer Datenbank.

 

 

Gibt es kostenlose Let’s Encrpyt S/MIME Zertifikate? Gibt es überhaupt kostenlose S/MIME Zertifikate?

Let’s Encrypt ist der kostenlose Anbieter für SSL Zertifikate. Wir respektive unser Technologiepartner Sectigo unterstütz Let’s Encrypt mit der Aktivierung Ihres Zertifikatstransparenzprotokolls. Secorio unterstützt den Plan, sämtliche Webseiten abzusichern und den Transportweg mittels SSL Zertifikat zu verschlüsseln.

Let’s Encrypt bietet jedoch keine kostenlose S/MIME E-Mail Zertifikate an und plant dies auch kurz- und mittelfristig nicht einzuführen. S/MIME und SSL Unterscheiden sich wesentlich und die Technologie ist auch nicht einfach kopierbar.

Secorio bietet jedoch mit Ihrem Umfangreichen Zertifikatsportfolio nebst kostenlosen SSL Zertifikaten auch 30-tätige Testzertifiakte für S/MIME Interessenten an. Sie können dadurch die S/MIME Technologie testen und sich unverbindlich von der weltweit verbreiteten Verschlüsselungslösung überzeugen lassen.

Warum soll ich ein kostenpflichtiges S/MIME Zertifikat kaufen?

Kostenlose Zertifikate bieten nur einen begrenzten Nutzen. Auch wir bieten kostenlose S/MIME Zertifikate für Testzwecke und persönlichen Gebrauch an. Diese Zertifikate werden mit einer Gültigkeit von 30-Tagen ausgestellt. Diese Zertifikate müssen jeweils nach 30 Tagen neu ausgestellt und komplett auf Ihrem Rechner konfiguriert werden. Zudem muss dem jeweiligen Mail-Partner der öffentlich Schlüssel publiziert und ausgetauscht werden. Eine Nachhaltige Lösung für die E-Mail Verschlüsselung sind Testzertifikate somit nicht. Wir empfehlen unsere kostenlosen S/MIME E-Mail Zertifikaten allen, die S/MIME kennenlernen möchten oder die Funktionalitäten innerhalb Ihrer bestehenden Umgebung testen wollen. Kostenpflichtige Zertifikate können mit einer Laufzeit von einem, zwei oder drei Jahren ausgestellt werden.

Nebst der mühsamen Verwaltung und dem aufwändigem Austausch Ihrer Keys, besteht bei kostenlosen Zertifikaten keine Eintragungen Ihres Unternehmens und/oder Personennamens. Kostenpflichtige S/MIME Zertifikate können wiederhergestellt / replacement (Personal & Personal PRO) werden und Sie bekommen als Kunde von Secorio kostenlosen Support.

Welche Validierungsstufen / Klassen gibt es?

Wussten Sie, dass auch bei S/MIME Zertifikate unterschiedliche Validierungsstufen oder Klassen gibt? Nur gibt es jedoch noch keinen Industriestandards, welche von allen ausstellenden Certificate Authorities (CA) angenommen werden. Anderes als bei SSL Zertifikaten, gibt das CA/Browser Forum noch keine Richtlinien für die Validierung vor.

Einzelne Branchen wie die Energiebranche in Deutschland verlangt jedoch, qualifizierte Signaturen, welche durch die erweiterte Organisationsvalidierung möglich werden. Abhängig von Ihren E-Mail Sicherheitsanforderungen innerhalb in Ihrem Unternehmen / Konzern wählen Sie die passende Validierungsebene.

Klasse 1: E-Mail Bestätigung

Für diese Validierungsstufe müssen Sie lediglich eine gültige E-Mail Adresse besitzen und auf diese Zugriff haben. Ihr Zertifikat wird schnell und ohne weiteren Validierungsprozessen mit Ihrer Mail Adresse ausgestellt.

Klasse 2: Individuelle Validierung

Bei dieser Validierungsebene werden Sie als Person individuell geprüft. Dieser Zertifikatstyp wird bei Klein- oder Einzelunternehmer eingesetzt, welche die Anforderungen für die Organisationsvalidierung / Klasse 3 nicht erfüllen. Während diesem Prozess wird anhand eines rechtlich gültigen Ausweises (Personalausweis / Führerausweis) Ihre Angaben geprüft. Ihr Zertifikat wird im Anschluss mit Ihrem Vor- und Nachname ausgestellt.

Klasse 3: Organisationsvalidierung

In diesem Validierungsprozess wird überprüft, ob Ihre Organisation existiert und ob Ihre Daten in zertifizierten Datenbanken (bsp. upik.de, gelbeseiten, kompass.com oder firmenwissen) eingetragen sind. Zudem wird anhand einer Domainprüfung (via admin / administrator / postmaster / hostmaster oder webmaster@ihredomain.de) eine zusätzliche Domainvalidierung durchgeführt. Sobald alle Angaben erfolgreich validiert und bestätigt sind, können Sie als Administrator über Managed Lösungen (EPKI oder SCM) Zertifikate beantragen. Beachten Sie, dass Sie als Administrator dafür verantwortlich sind, dass die Mitarbeiter, für welche Mail Adressen ausgestellt werden, auch effektiv in Ihrem Unternehmen arbeiten.

Gibt es auch Wildcard / Abteilung S/MIME Zertifikate?

Aufgrund den Richtlinien unserer CA besteht keine Möglichkeit, mit einem einzelnen Zertifikat alle Ihre E-Mail Adressen abzusichern. Wir bieten interessante Staffelpreise für Unternehmen mit erweitertem Bedarf an, um die Zertifikatskosten für Sie so tief wie möglich zu halten. Unser Certificate Manager kann von wenigen dutzend Zertifikaten, bis hin zu tausenden von S/MIME Zertifikaten automatisiert Verwalten und ausstellen. So wird eine Wildcard / Abteilungslösung für S/MIME Zertifikate hinfällig.

Wie bekomme ich nun mein S/MIME E-Mail Zertifikat?

Sie benötigen nur einzelne S/MIME Zertifikate? Dann bestellen Sie sich sofort Ihr Zertifikat in unserem Online Shop. Lassen Sie sich von unserem Angebot überzeugen und wählen Sie ein Zertifikate mit erweiterter Validierung, um Ihren Kunden und Lieferanten zu zeigen, dass Sie Wert auf Ihre Daten legen.

Sie wünschen ein persönliches Angebot oder haben vor Ihrer Bestellung noch Fragen? Kein Problem – unser Knowledge Base für S/MIME Zertifiakte steht Ihnen 24 Stunden am Tag offen. Ansonsten erreichen Sie uns während den gängigen Arbeitszeiten von 08:00 bis 16:30 Uhr telefonisch oder per E-Mail.

Wer hat Zugriff auf meinen Privaten Schlüssel (Private Key)?

Der Private Schlüssel wird während dem Beantragungsprozess direkt in Ihrem Browser (Internet Explorer à Windows ||| Safari à Apple) erstellt. Wir als ausstellende CA haben niemals Zugriff auf Ihren Private Key. Dank ausgeklügelten Algorithmen und Abläufen, wird der Public und Private Key gemeinsam in Ihrem Browser generiert und erstellt. So können Sie direkt aus Ihrem Browser das Zertifikat im passenden Format exportieren und in ein beliebiges Mail System einbinden.

Warum ist ein Zertifikats Backup so wichtig?

Stellen Sie sich vor, Ihr Laptop auf dem Ihr S/MIME Zertifikat verwendet wird, hat einen Hardware oder technischen Defekt und kann nicht mehr gerettet werden. Ihre Dokumente und E-Mails haben Sie mittels OneDrive / Office 365 natürlich in der Cloud gespeichert. Doch was ist mit Ihrem S/MIME Zertifikat? Haben Sie dieses inklusive Private Key ebenfalls gesichert? Wenn nicht, wird es Ihnen nicht mehr möglich sein, mit diesem Zertifikat zu arbeiten. Ihre E-Mails bleiben nun verschlüsselt und können nicht mehr erkenntlich gemacht werden. Je nachdem kann dieser Schaden ins unermessliche steigen. Warum? Sämtliche Mails können nicht mehr gelesen werden – Angebot, Vereinbarungen oder vertrauliche Daten sind für Sie nicht mehr zugänglich und müssen neu organisiert werden. Ein organisatorischer Aufwand, der für Sie und Ihr Unternehmen schnell Schaden kann und einen erheblichen Mehraufwand (Konfiguration & Schlüsselaustausch mit Kommunikationspartner usw.) verursachen.

Erstellen Sie daher stets ein Backup von Ihren Zertifikaten, um im schlimmsten Fall eines Verlustes / Defektes Ihrer Geräte, ein Ersatz bereit zu haben. Die Backup Datei ist schnell wieder implementiert und Sie können auch Ihre alten Nachrichten weiterhin entschlüsseln.

In welche Dateiformate können S/MIME Zertifikate exportiert werden?

.pfx oder PKCS#12 / .p12

Die pfx Datei entählt den Private Key sowie Ihren Public Key. Sollten Sie eine Datei auf Endung .pfx haben, empfehlen wir Ihnen diese Datei nur auf einer gesicherten Umgebung oder einem externen USB-Backup Speicher zu sichern. Sollten Ihr Laptop / PC oder Ihr mobiles Endgerät beschädigt werden, können Sie mit der pfx-Datei Ihr Zertifikat wiederherstellen. Daher ist es wichtig, dass diese Datei nicht in die Hände von Dritten gelangt. Während dem Beantragungsprozess wird der Private Key in Ihrem Browser erstellt – so haben wir als ausstellende CA niemals Zugriff auf Ihren Privaten Schlüssel und können Ihnen auch keine .pfx Datei zur Verfügung stellen. Sollten Sie bei anderen CAs oder Dienstleistern ein Angebot erhalten, dass Ihnen das Zertifikat via .pfx Datei zugestellt wird, empfehlen wir Ihnen davon Abstand zu nehmen. Bereits vor der Nutzung der S/MIME Technologie, wurde Ihr persönlicher Schlüssel bereits von Dritten begutachtet und kann verfälscht werden.

.pem

Das PEM-Format ist das von ausstellenden CA häufig verwendete Format. PEM steht für Privacy Enhanced Mail und stammt von der Methode für sichere E-Mails, welche in den RFCs 1421 bis 1424 definiert ist. Diese Methode wird jedoch kaum mehr eingesetzt. Das PEM Format beinhaltet wie die .pfx und .p12 Datei ebenfalls den Private Key. Einzig enthält ein Zertifikat mit dem PEM-Format noch die folgenden Dateiendungen: .cer, .crt., .key. Eine PEM Datei wird jedoch praktisch nur für Apache Server für SSL Zertifikate verwendet.

.cer

Eine Datei im .cer Format ist eine Internet Security Certificate (Sicherheitszertifikat) Datei. Diese Datei enthält lediglich den Public Key und muss nicht gesondert geschützt werden. Wenn Sie beispielsweise bei der Bundesagentur für Arbeit Ihr Zertifikat hinterlegen müssen, können Sie dies im .cer Format tun. Ebenfalls können Sie die .cer Datei auf Ihrer Webseite oder in einer Datenbank hochladen – ohne den Private Key ist es nicht möglich, verschlüsselte Nachrichten zu lesen.

Wie richtige ich mein Zertifikat ein?

Die Installation von S/MIME E-Mail Zertifikaten wird dank unseren Schritt für Schritt Anleitungen zum Kinderspiel. Ob als IT Experte oder als Nicht-IT-Experte haben Sie die Möglichkeit, mit unseren Anleitungen Ihre S/MIME Zertifikate in gängigen Mail-Systeme wie Mozilla Thunderbird, Outlook 2016 Apple Mail oder direkt auf Ihrem Apple Mobile-Gerät zu installieren.

Konfigurieren von S / MIME unter Mozilla Thunderbird

Konfigurieren von S/MIME in Outlook 2016

Konfigurieren von S/MIME mit iOS / iPhone / iPad

Konfigurieren von S/MIME unter Mac OS X Mail / Apple Mail

 

Wie verschicke ich nun signierte E-Mails?

Signierte E-Mails zeigen Ihrem Kommunikationspartner direkt, dass Sie sich für Ihre digitale Identität einsetzten und dies schützen. Mittels E-Mail Zertifikaten haben Sie die Möglichkeit, Ihre digitale Identität nachzuweisen und versichern so dem Empfänger, dass die Nachricht von Ihnen stammt. Jede E-Mail kann signiert werden – unabhängig davon, ob der Empfänger ein S/MIME Zertifikat besitzt oder nicht.

Wie kann ich verschlüsselte E-Mails verschicken?

Die S/MIME Verschlüsselung ist nur möglich, wenn beide Kommunikationsteilnehmer über ein gültiges S/MIME Zertifikat verfügen. Vorgäng wird der Public Key mittels signierter E-Mail ausgetauscht – sobald dieser Prozess abgeschlossen ist, können verschlüsselte Nachrichten versendet werden.

Was passierte nach Ablauf der Gültigkeitsdauer von meinem S/MIME Zertifikat?

Nach Ablauf Ihres Zertifikates, besteht keine Möglichkeit mehr, neue signierte oder verschlüsselte Nachrichten zu versenden. Derzeit gibt es noch keine Möglichkeit, die alte Lizenz automatisch zu verlängern, ohne dass ein neues Zertifikat erstellt werden muss. Daher müssen Sie nach Ablauf der Zertifikatsdauer Ihres SMIME Mail Zertifikates, den Bestell- und Beantragungsprozess wiederholen. Dies bedeuted, dass über Ihren Browser ein neuer Private und Public Key generiert werden muss und Ihr Zertifikat neu in Outlook konfiguriert wird.

Wichtig ist, dass auch Ihr altes Zertifikat nicht von Ihrem Rechner gelöscht wird. Ansonsten ist es nicht mehr möglich, die mit dem abgelaufenen Zertifikat verschlüsselten E-Mails zu lesen.