Die großflächige Nutzung digitaler Signaturen in der E-Mail-Kommunikation würde die Erkennung von Phishing-E-Mails auf Empfängerseite erheblich erleichtern. Derzeit werden jedoch zahlreiche Signaturen als ungültig angezeigt, weil E-Mail-Programme auf unterschiedliche Sicherheitsstandards setzen. Das Problem lässt sich aber leicht lösen.
Vermehrt werden Nutzenden der Friedrich-Alexander-Universität Erlangen-Nürnberg (FAU) in den letzten Jahren Phishing-E-Mails geschickt. Die Postmaster des Regionalen Rechenzentrums Erlangen (RRZE) warnten deshalb im vergangenen Jahr mehrfach vor solchen Betrugsmails. Gerne nutzen die Bösewichte inzwischen die Identität von Personen mit hohen Positionen, um Mitarbeitende zu einer Tat, wie zum Beispiel Geld überweisen, zu drängen. E-Mails, die leicht zu entlarven sind, falls der Chef sich im Nachbarbüro befindet und offensichtlich nicht, wie in der Mail angegeben, in den USA festsitzt oder Ähnliches. Ganz so einfach ist es jedoch oftmals nicht. Doch es gibt für Nutzende ein probates Mittel, um E-Mails verlässlich als authentisch zu kennzeichnen, nämlich die E-Mails digital zu signieren.
Was sich kompliziert anhört, ist leicht einzurichten und bildet die Basis für mehr IT-Sicherheit an der FAU. Für das Signieren und Verschlüsseln von E-Mails werden an der FAU die beiden etablierten Verfahren aktiv unterstützt: S/MIME und OpenPGP. „Beide Verfahren sind in puncto Sicherheit völlig gleichwertig“, erklärt Reiner Fischer, bei den Postmastern des RRZE zuständig für OpenPGP. „Beide bestätigen dem Empfänger mit einer als Siegel-Symbol dargestellten digitalen Unterschrift, dass der Absender die Person ist, die er behauptet zu sein. Außerdem gewährleistet die erfolgreiche Prüfung der Signatur beim Empfänger, dass die E-Mail unverfälscht bei ihm angekommen ist.“
Ungültige S/MIME-Signaturen von Outlook-Nutzenden
Seit einigen Wochen treten vermehrt Fälle auf, in denen Nutzenden des E-Mail-Programms Thunderbird beim Gegenüber ungültige S/MIME-Signaturen angezeigt werden. „Thunderbird erklärt seit kurzem mit dem Hashing-Algorithmus SHA-1 erstellte digitale Signaturen für ungültig, eine gute Entscheidung, denn dieser gilt mittlerweile als unsicher. Allerdings hat Outlook diesbezüglich nicht nachgezogen und verwendet standardmäßig weiterhin SHA-1 zum Signieren von E-Mails. Solche Signaturen werden dann – obwohl technisch korrekt – im Thunderbird als ungültig angezeigt“, sagt Benjamin Gügel. Als Mitarbeiter der Postmaster ist er für S/MIME zuständig. Für Outlook-Nutzende erfordert die Behebung dieses Problems nur eine kleine Anpassung, die leicht durchzuführen ist. Wird diese allerdings nicht vorgenommen, birgt das ein Sicherheitsrisiko, weil die Empfänger nicht mit Sicherheit nachprüfen können, ob die E-Mail tatsächlich von der dort angegebenen Person stammt. „Für Thunderbird-Nutzende ist das so, als ob der Absender die E-Mail überhaupt nicht signiert hätte“, erklärt Fischer. An der FAU kann das aktuell etwa bis zu 1.500 E-Mail-Adressen betreffen, denn so viele FAU-Mitglieder nutzen derzeit das S/MIME-Verfahren.
Vor dem Hintergrund, dass nahezu täglich FAU-Angehörige Opfer von Phishing-Attacken werden, sollten jedoch weitaus mehr Nutzende ihre E-Mails signieren und verschlüsseln. „Wenn alle Nutzenden zumindest eines der Verfahren einsetzen und auf die in den E-Mails sichtbaren Signaturen achten würden, würden die erfolgreichen Phishing-Fälle vermutlich deutlich zurückgehen“, erklärt Gügel. „Die Kommunikation per E-Mail an der FAU wäre durch digitales Signieren sicherer und bei zusätzlicher Nutzung der Verschlüsselung wären sensible Daten zudem vor unbefugtem Zugriff geschützt“, sagt Fischer.
Zwei Schlüssel sichern E-Mails
Bei S/MIME und OpenPGP besitzt jeder Kommunikationspartner ein Schlüsselpaar, bestehend aus einem privaten (geheimen) und einem öffentlichen Schlüssel. Nach der einmaligen Einrichtung verschlüsselt der Absender seine E-Mails mit dem öffentlichen Schlüssel (Public Key) des Empfängers und signiert sie mit seinem eigenen privaten Schlüssel (Private Key) – als Beweis, dass der Inhalt von ihm stammt. Empfänger können die E-Mail dann mit ihrem eigenen privaten Schlüssel entschlüsseln und die Signatur mit dem öffentlichen Schlüssel des Gegenübers prüfen. Sind die E-Mails verschlüsselt und der eigene E-Mail-Client verfügt nicht über den privaten Schlüssel, dann können die E-Mails nicht gelesen werden.
Die Einrichtung von S/MIME und/oder OpenPGP ist denkbar einfach und für alle FAU-Angehörigen möglich – egal ob Studierende, Beschäftigte oder Forschende. Die Postmaster erklären in ihrer Anleitung Schritt für Schritt, wie das geht.
Wer S/MIME schon nutzt, aber sein Outlook noch nicht auf den neuen Standard eingerichtet hat, sollte dies für eine sichere Kommunikation unbedingt nachholen. Auch dazu haben die Postmaster eine Schritt-für-Schritt-Anleitung zusammengestellt.
Weitere Informationen
Zur Signatur und Verschlüsselung
Hinweis: Ungültige E-Mail-Signaturen im Thunderbird – Bitte Outlook-S/MIME-Konfiguration prüfen!
Outlook-Einrichtung eines sicheren Hashing-Algorithmus
Sichere E-Mails dank digitaler Signatur und Verschlüsselung
Einrichtung von Signatur und Verschlüsselung mit S/MIME oder OpenPGP
Zu Phishing-Mails
Zum Umgang mit Scam-Mails: Misstrauisch sein und nachfragen
Niemals 100 Empfänger gleichzeitig
Aktuelle Warnung vor Phishing-Mails
Text: Corinna Russow