S/MIME E-MAIL

Mit S/MIME E-Mail Zertifikaten

E-MAILS DIGITAL SIGNIEREN UND VERSCHLÜSSELN

Sichern Sie Ihre E-Mails, indem Sie die Kommunikation mit unseren E-Mail-Zertifikaten (auch als Personal ID- oder Client-Zertifikate bezeichnet) digital signieren und kryptieren. Das S/MIME-Protokoll (Secure/Multipurpose Internet Mail Extensions) stellt die Nachrichtenintegrität sicher, sodass Absender und Empfänger von E-Mails überprüfen können, ob der von ihnen freigegebene Inhalt legitim und vertrauenswürdig ist. Email-Zertifikate werden von allen wichtigen E-Mail-Anwendungen unterstützt, einschliesslich Microsoft Outlook, Exchange, gängigen mobilen Betriebssystemen und mehr.

Welchen Nutzen bieten S/MIME Zertifikate?

Die wachsende Anforderung für sichere und vertrauliche Übermittlung von Emails ist heute Thema eines fast jeden Unternehmens. Dem Kunden die Gewissheit über Ihre Identität zu geben, ist im Online-Geschäft ein entscheidender Erfolgsfaktor. S/MIME Zertifikate tragen dem Rechnung und ermöglichen, Emails und deren Anhänge digital zu signieren und kryptieren – und dies mit jedem gängigen Emailprogramm.

Unternehmen mit einem Bedarf von 10 mehr Zertifikaten bietet der EPKI Manager die Möglichkeit, S/MIME Email Zertifikate für Mitarbeiter und Partner rasch und einfach auszustellen und administrieren zu können.

Wenn Sie sich für diese Lösung interessieren, nehmen Sie bitte Kontakt mit uns auf.

*End zu End Verschlüsselung (Secure-E-Mail)

End-to-End-Nachrichtenverschlüsselung zwischen Ihnen und Ihren Kontakten. Signierte und verschlüsselte E-Mails können von Man-in-the-Middle-Angreifern, Paket-Sniffern oder https-Proxys nicht abgefangen und entschlüsselt werden.

*99.9% vertrauenswürdig

Von allen wichtigen E-Mail-Clients und Internetbrowsern als vertrauenswürdig eingestuft.

*Laufzeit nach Ihren Wünschen

Wählen Sie die für Sie passende Laufzeit von 1 oder 2 Jahren.

*Automatische Überprüfung

Überprüfung der Signatur beim Signieren digitaler Nachrichten durch den Empfänger.

SMIME_secureemail-500x427
cropped-secorio-fav.png

S/MIME-E-Mail-Zertifikate verbessern das Sicherheitsprofil Ihrer E-Mail-Kommunikation.

Wie werden S/MIME Zertifikate eingesetzt?

  • Authentifiziert den Absender – Jedes S/MIME-E-Mail-Zertifikat enthält die authentifizierte E-Mail-Adresse des Absenders. Auf diese Weise erhalten Empfänger bestätigt, dass Anfragen nach Informationen, Überweisungen oder anderen Aktionen wirklich von autorisierten Parteien stammen.
  • Verschlüsselt den E-Mail-Inhalt und Anhänge – E-Mail-Clients können E-Mail-Inhalte (einschliesslich Anhänge) verschlüsseln und entschlüsseln, wenn Zertifikate vorhanden sind. Dadurch wird verhindert, dass schädliche Software die E-Mail-Kommunikation während der Übertragung abfängt und deren Inhalt liest.
  • Gewährleistet die Nachrichtenintegrität – Wenn eine signierte E-Mail oder ihre Anhänge in irgendeiner Weise abgeändert werden, schlägt die Validierung fehl und der Benutzer wird vom E-Mail-Client gewarnt.

Grundsätzlich empfiehlt sich der Einsatz von E-Mail Zertifikate, wenn Sie vertraulichen Inhalt versenden. E-Mail Zertifikate ermöglichen den Versand von signierten und kryptierten E-Mails. Mit unseren weltweit anerkannten Zertifikaten können verschlüsselte E-Mails vom vom vorgesehenen Empfänger geöffnet und gelesen werden. Digital signierte E-Mails geben Ihnen und dem Empfänger die Sicherheit, dass die Zertifikate auch wirklich von Ihnen stammen. So hat der Empfänger ein Kontrollinstrument, mit welchem er prüfen kann, ob die Email bei der Übertragung verändert wurde.

Im Rahmen des Datenschutzgesetzes in der EU, müssen sämtliche Unternehmen, welche personalisierte Personendaten übermitteln, eine sichere Übertragung gewährleisten. Daher ist es unumgänglich, dass Anwaltskanzleien, Spitäler, Versicherungsunternehmen wie aber auch Kleinunternehmer S/MIME einsetzen und Ihre E-Mail Kommunikation verschlüsseln.

Im Jahr 2016 hat die Europäische Union die Allgemeine Datenschutzverordnung (DSGVO) verabschiedet. Diese ersetzt die Datenschutzrichtlinie von 1995 durch einen strengeren Datenschutz, und ist zwischenzeitlich EU-weit als Recht anerkannt. Artikel 25 der DSGVO fordert für alle Unternehmen den Datenschutz „von Haus aus und standardmässig“ beim Umgang mit personenbezogenen Daten. So gelten E-Mails mit personenbezogenen Daten sicher und vertrauenswürdig zu übermitteln.

Strafgebühr der DSGVO

Kryptierte E-Mails reduzieren Unternehmen das Risiko von Datenverletzungen erheblich. Im Falle eines Verstosses können sie ihre Strafen zudem mildern, indem sie belegen können, dass zur Verhinderung von Datendiebstahl geeignete Sicherheitsmassnahmen implementiert wurden, so wie S/MIME. Die DSGVO sieht vor, dass Strafen für Verlust, Veränderung oder unbefugte Weitergabe von Daten verhängt werden in der Höhe von bis zu vier Prozent des weltweiten Jahresumsatzes oder 20 Millionen EUR.

Führende Technologielösung

Secorio ist ein führender Anbieter für digitale Identitäten mit Public-Key-Technologie. Diese Identitäten sind für eine Vielzahl von Anwendungen im Unternehmen von Nutzen, beispielsweise für mobile Anwendungen, Geräteauthentifizierung in drahtlosen Netzwerken, zum Verschlüsseln und digitalen Signieren von E-Mails mittels S/MIME-Standards.

Leider waren früher S/MIME-Lösungen teileweise aufwändig zu implementieren, mit dem Ergebnis, dass Mitarbeiter nicht alle E-Mails routinemässig verschlüsseln konnten. Zur Lösung dieser Herausforderung hat der Technologiepartner von Secorio das branchenweit erste Zero-Touch-Zertifikat X.509 Management System entwickelt. Dieses System stellt jedem Benutzer automatisch digitale Identitäten zur Verfügung.

Tag für Tag werden in Arztpraxen, Spitäler und Reha-Zentren Patienteninformationen versendet. Seit mehreren Jahren wird davon gesprochen, dass unverschlüsselte E-Mails mit einer Postkarte vergleichbar sind. Postkarten können von jedem gelesen werden, wenn man darauf Zugriff hat. Umberechtigte Dritte können so, ohne das Wissen des vorgesehenen Empfängers, E-Emails mitzulesen und/oder inhaltlich abzuändern.

Warum sollen wir denn unsere E-Mails verschlüsseln?

Unverschlüsselte E-Mail sind in Konflikt mit dem aktuellen Datenschutz. Es können sich verschiedene Gründe vorgestellt werden, weshalb Drittpersonen sich Zugang zu Ihren E-Mails verschaffen möchten, respektive die gesamte E-Mail Korrespondenz Ihrer Praxis mitzulesen. Versenden Sie Patientendaten unverschlüsselt? Seit Inkrafttreten des akutellen Datenschutzgesetz können Sie zur Rechenschaft gezogen werden, wenn so Daten von unbefugten Dritten mitgelesen werden können.

Verschlüsselte E-Mails: geben Sie Mitlesern keine Chance

Anders sieht es bei verschlüsselten E-Mails aus: diese können von keinem Angreifer mit vertretbarem Aufwand gelesen werden. Dank der Verschlüsselung über den Public Key (öffentlicher Schlüssel) werden diese Emails nur einem bestimmten Empfänger zugeordnet. Das bedeutet, dass nur der für eine E-Mail bestimmte Empfänger die E-Mail öffnen und lesen kann. Für das Lesen der E-Mail, wird das Zertifikat benötigt, welches wiederum auf dem Rechner des Empfängers liegt. Damit kann die Nachricht entschlüsselt und gelesen werden.

Digital unterschreiben mit der Signatur

Bleibt noch eine letzte Frage: Wie weiss der Empfänger Ihrer E-Mail, dass ein bestimmter Public Key tatsächlich zu Ihnen gehört? Dies wird im S/MIME E-Mail Zertifikat festgehalten. Im Zertifikat steht mindestens die E-Mail-Adresse aufgeführt. Für Unternehmen empfehlen wir, das Enterprise Secure E-Mail Zertifikat zu verwenden, da dadurch das Unternehmen und die gesamte Anschrift validiert wird. Wer prüft diese Angaben? Wir arbeiten eng mit der CA Sectigo zusammen und prüfen Ihr Zertifikat in einem 2-Verfahren Prozess. So wird sichergestellt, dass Sie Ihr Zertifikat für die erweiterte Signatur/elektronische Unterschrift, verwenden können.

Ärzten/Arztpraxen/Therapeuten empfehlen wir unser Enterprise Secure E-Mail Certificate, welches die höchsten Anforderungen an Sicherheit erfüllt.

Viele Unternehmen haben sich aktuell mit dem Thema S/MIME E-Mail Zertifikaten auseinanderzusetzen. Gerne möchten wir Sie mit den Anforderungen der Bundesnetzagentur vertraut machen.

Die Bundesnetzagentur setzt sich das Ziel, eine sichere Kommunikation innerhalb von Deutschland und in der EU einzuführen. Dafür gibt es verschiedene Möglichkeiten, die E-Mail Kommunikation zu verschlüsseln. Die weltweit meist verbreitete Technologie dafür sind S/MIME Zertifikate. In einem Dokument hat die Bundesnetzagentur eine Regelung zum sicheren Austausch von EDIFACT Übertragungsdateien erstellt. Darin sind sämtliche Regelungen für eine sichere Übertragung von E-Mails enthalten. Damit Sie das Wichtigste aus 26 Seiten in Kürze erfahren, fassen wir die Bedingungen und Anforderung an die Zertifikate zusammen.

Richtlinien für den Übertragungsweg

Bereits seit 1. Juni 2016 müssen sämtliche E-Mails in der deutschen Energiewirtschaft signiert, respektive verschlüsselt werden. Für die Signierung zählen dabei die unter 5.5 genannten Regelungen:

  • Im Sinne der 1:1-Kommunikation ist der Datenaustausch geschäftsprozessunspezifisch zu betreiben, das heisst die Verschlüsselung und Signatur der E-Mail erfolgt für alle Nachrichtentypen einheitlich. Es müssen somit alle Übertragungsdateien von einem Absender an einen Empfänger verschlüsselt und signiert werden.
  • Das Verschlüsseln und Signieren von E-Mails ist ausschließlich nach dem S/MIME-Standard gestattet. Es muss mindestens die Version 3.2 (IETF RFC 5751, Veröffentlichungsjahr 2010)
    verwendet werden.
  • Jeder Marktpartner muss für die von ihm genutzte E-Mail-Adresse10 genau ein Zertifikat (genauer den dazugehörigen privaten Schlüssel) zur Signaturerzeugung verwenden. Zur Entschlüsselung der an diese E-Mail-Adresse von den jeweils anderen Marktpartnern verschlüsselt gesendeten E-Mail wird der gleiche private Schlüssel genutzt.

Auswahl der richtigen Zertifizierungsstelle

Damit Ihr E-Mail Zertifikat Gültigkeit hat, muss es von einer vertrauenswürdigen Zertifizierungsstelle (CA = Certification Authority) ausgestellt sein. Für die CAs gelten die Bedingungen, die unter 5.5.1 beschrieben sind:

  • Die CA verfügt über einen Rückrufservice, über den Zertifikate widerrufen werden können. Dazu führt sie eine sogenannte Zertifikatsperrliste (englisch certificate revocation list, CRL),
    welche öffentlich zugängig ist.
    Unsere Zertifikate werden von der CA Sectigo (ehemals Comodo) kryptiert und ausgestellt. Sämtliche Zertifikate können Sie telefonisch auf +41 41 514 31 33 oder per Mail info@s-mime.info revoken.
  • Die IT-Sicherheit des CA-Betriebs ist durch ein Audit / eine Zertifizierung nach einem anerkannten Audit / Zertifizierungs-Standard geprüft. Es wird eine Zertifizierung nach BSI TR03145,
    Secure Certification Authority operation empfohlen.
    Unsere Zertifikate werden nach den Richtlinien des CA/Browser Forums validiert. Regelmässige Prüfungen finden durch eine externe Stelle (Ernst & Young) statt.
  • Der Registrierungsservice, einschließlich an Dienstleister (Registrare) ausgelagerter Service, erfolgt auf einem hohen Sicherheitsniveau.
    Secorio selbst ist eine Registrierungsstelle von Sectigo. Seit über 10 Jahren pflegen die beiden Unternehmen eine enge und strategische Partnerschaft, um ein hohes Mass an Sicherheit bieten zu können. Sämtliche Zertifikate werden von mindestens 2 Stellen geprüft und validiert.

Weitere Anforderungen der EDIFACT

Weitere Anforderungen können aus dem Dokument der EDIFACT entnommen werden. Aktuell werden die Anforderungen für Zertifizierungsstellen vollumfänglich eingehalten – die Finale Umsetzung erfolgt im Q4 2019. Daher arbeitet Secorio eng mit weiteren Certificate Authorities zusammen um die passenden Zertifikate anbieten zu können.

Anforderungen an E-Mail-Zertifikate

Die Anforderungen, die an E-Mail-Zertifikate gestellt werden, werden unter 5.5.2 geklärt:

  • Das E-Mail-Zertifikat wurde von einer CA ausgestellt, die den eben genannten Anforderungen gerecht wird.
    Sämtliche Anforderungen werden vollumfänglich erfüllt.
  • Alle bis zum 31.12.2017 ausgestellten Zertifikate sind mit mindestens dem Signaturalgorithmen sha-256RSA zu signieren. Ab dem 01.01.2018 bis zum 31.12.2018 neu ausgestellte Zertifikate sind entweder mit dem Signaturverfahren RSASSA-PKCS1-v1_5 (Signaturalgorithmen sha-256RSA oder sha-512RSA) oder RSASSAPSS zu signieren. Diese Zertifikate sind bis zur maximalen Zertifikatsgültigkeit (maximal 3 Jahre) im Interimsmodell der Marktkommunikation verwendbar.
    Unsere S/MIME E-Mail Zertifikate enthalten einen Signaturalgorithmus sha-256RSA und werden mit einer Laufzeit von maximal 3 Jahren ausgestellt. Eine RSASSA-Verschlüsselung kann optional dazugebucht werden.
  • Alle ab dem 01.01.2019 neu ausgestellten S/MIME Zertifikate müssen mit RSASSA-PSS signiert sein.
    Sectigo arbeitet derzeit noch nicht mit dem RSASSA-PSS Algorithmus. Dieser wird voraussichtlich in Q1 2020 umgesetzt. Durch unseren Kontakt zu einem internationalen Alternativlieferanten haben wir die Möglichkeit, auch Zertifikate mit höheren Verschlüsselungsalgorithmus auszustellen.
  • Für die unterschiedlichen Anwendungszwecke „Signatur“ und „Verschlüsselung“ wird dasselbe Schlüsselpaar generiert, sodass ein sogenanntes Kombizertifikat ausgestellt und verwendet wird.
    Sie können unser Zertifikat in Ihren E-Mail Client integrieren, und können beim Verfassen von E-Mails selbst entscheiden, ob Sie die E-Mail signieren oder verschlüsseln möchten. Sie benötigen dafür kein weiteres Zertifikat.
  • Zertifikate müssen eine fortgeschrittene elektronische Signatur ermöglichen.
    Unsere S/MIME Zertifikate können als Class 1 oder Class 2 Zertifikat ausgestellt werden. Insbesondere Unternehmen empfehlen wir den Einsatz von unserem Enterprise Secure Email Certificate, welches eine fortgeschrittene Signatur ermöglicht.
  • Das Zertifikat muss eine Identifizierung und Zuordnung zum Unternehmen/Dienstleister oder zur Organisation gewährleisten, das die E-Mail-Adresse betreibt. Somit muss im Feld O des Zertifikats die juristische Person stehen, die das E-Mail-Postfach zu der E-Mail-Adresse betreibt, für die das Zertifikat ausgestellt wurde und unter der die signierten und verschlüsselten EMails versendet und empfangen werden.
    Bei unseren Enterprise Secure Email Zertifikaten wird Ihr Unternehmen validiert, die Existenz mittel Ihre Handelsregisterauszugs geprüft. So wird gewährleistet, dass das ausgestellte Zertifikat ausschliesslich Ihrem Unternehmen zugeordnet werden kann.

Algorithmen und Schlüssellängen für S/MIME-Zertifikate

Nach den Richtlinien unter 5.5.3 der Bundesnetzagentur müssen die folgenden Algorithmen und Schlüssel mit den genannten Schlüssellängen verwendet werden:

Signatur:

  • Hashfunktion:
    • SHA-256 oder SHA-512
      unsere Zertifikate werden mit einer SHA-256 Hashfunktion ausgestellt.
  • Signaturverfahren
    • seit dem 1. Januar 2018 muss ausschliesslich das Signaturverfahren RSAES-OAEP verwendet werden.
      Unsere RSASSA-PSS Zertifikate erfüllen dieses Signaturverfahren. Zertifikate von Sectigo verwenden derzeit das SHA-256 Signaturverfahren.

Verschlüsselung

  • Inhaltsverschlüsselung:
    • AES-128 CBC oder AES-192 CBC
      Unsere Zertifikate erfüllen den Standard der Inhaltsverschlüsselung durch die fortgeschrittene Technologie. 
  • Schlüsselverschlüsselung:
    • RSA-Schlüssellänge mind. 2048 Bit
      siehe Punkte „Signaturverfahren“ 

E-Mail-Zertifikate: Handlungsempfehlungen

Unsere Enterprise-Zertifikate erfüllen die Anforderungen der Bundesnetzagentur und bieten somit ein hohes Mass an Sicherheit. Unsere Zertifikate durchlaufen vor ihrer Ausstellung einen Validierungsprozess nach strengten Richtlinien. Auch in Zukunft werden unsere Zertifikate laufend weiterentwickelt, um aktualisierte Standards weiterhin zu erfüllten, und um die Sicherheit Ihrer E-Mail Kommunikation zu gewährleisten.

Sie haben Fragen oder sind sich nicht sicher, welches das passende Zertifikat für Sie ist? Unser Support Team steht Ihnen gerne telefonisch auf +41 41 514 31 33, per Livechat oder per Mail auf info@secorio.com gerne zur Verfügung.

S/MIME E-Mail Zertifikate ermöglichen den Versand von kryptierten und/oder digital signierten Emails mittels Ihrer aktuellen Client Software – Microsoft® Outlook Express, Microsoft®Outlook® sowie Microsoft Office 365, Netscape Messenger, oder einer anderen S/MIME konformen Software.

Die Zertifikate sind kompatibel mit über 99% aller Email Clients und Gateways. Mit unseren Zertifikaten binden Sie Ihre Email Identitiät (Email Adresse und auf Wunsch auch Firmennamen, Adresse, Vor- und Nachnamen) an den kryptografischen Schlüssel zum Signieren und Kryptieren von Emails, und schützen so Ihre Daten vor Dritten.

Wir, die Secorio AG, bieten Unternehmenskunden eine kostenlose E-PKI (Verwaltungslösung für SSL & S/MIME Zertifikate) EPKI Manager an für vereinfachte und rasche Zertifikatsbeantragungen. So werden Sie innert wenigen Minuten S/MIME Zertifikate ausstellen und produktiv einsetzen können. In einem ersten Schritt klären wir gemeinsam mit Ihnen den Bedarf an S/MIME E-Mail Zertifikaten, und lassen Ihnen ein passendes Angebot zukommen. Danach wird der EPKI Account aufgesetzt, validiert und aktiviert. Anschliessend können Sie die gewünschten Zertifikate rasch und unabhängig von uns über das S/MIME Verwaltungstool ausstellen. Mindestanzahl Zertifikate für EPKI Verwaltungslösung: 10 Zertifikate.

Nach Erhalt Ihres Email Zertifikats wird erforderlich, dass Sie Ihren öffentlichen Schlüssel (Public Key) an die Personen senden, mit denen Sie kryptierte Emails austauschen wollen. Sie senden hierfür einfach eine digital signierte Email, womit Sie Ihren öffentlichen Schlüssel automatisch mitsenden. Empfänger brauchen dann lediglich noch Ihre Email Adresse deren Adressbuch zufügen (Cursor auf Email Adresse richten, Klick auf rechte Maustaste, Option wählen “Outlook Kontakten zufügen“), womit sich Ihr Public Key automatisch abspeichert.

WICHTIG: Eine Verschlüsselung ist nur möglich, wenn beide Kommunikationsteilnehmer über ein gültiges S/MIME Zertifikat verfügen und die Public Keys vorgängig ausgetauscht haben.