E-Mails gehören zum täglichen Geschäftsleben unabwendbar dazu. Von der kurzen belanglosen Mitteilung bis zur wichtigen Geschäftspost wird nahezu jeder Schriftverkehr über dieses Medium abgehandelt. Doch woher können wir sicher sein, dass der Absender einer E-Mail wirklich derjenige ist, der er vorzugeben scheint?
WER KANN NOCH MITLESEN?
Technisch betrachtet hat eine reguläre E-Mail den Sicherheitswert einer Postkarte. So wie jeder Postbote Urlaubsgrüße einer Postkarte (mit)lesen kann, heißt dass zugleich auch, dass jede Zwischenstation, welche die E-Mail zur Weiterleitung erhält, diese auch einsehen kann. Doch schlimmer noch: Nicht nur Einsehen, sondern auch die Veränderung von Inhalten ist möglich.
NACHRICHTEN VOM CHEF
In letzter Zeit häufen sich leider sogenannte CEO-Mails. Also E-Mails, die im Absenderfeld den Namen eines Geschäftsführers tragen und Mitarbeiter anweisen, bestimmte Geldsummen im (angeblichen) Namen des Geschäftsführers auf ein bestimmtes Konto zu überweisen. Der technische Aufwand, eine solche E-Mail resp. deren Inhalt und/oder Absender zu fingieren ist überschaubar – doch es gibt Abwehrmaßnahmen dagegen.
DIGITALE UNTERSCHRIFT
Mittels sogenannter Signaturen lässt sich die Integrität und Authentizität einer E-Mail sicherstellen. Mittels des Zertifikats und des E-Mail-Inhalts wird eine Checksumme berechnet und mitgesendet. Diese Checksumme wird dann auf Empfängerseite geprüft und somit die Integrität und Authentiztät der Nachricht sichergestellt. Eine anschließende Änderung der E-Mail ist zwar weiterhin möglich, wird aber durch das E-Mail-Programm des Empfängers erkannt.
VERSCHLÜSSELUNG
Zusätzlich zur Signierung können E-Mails auch verschlüsselt werden, sodass ein Mitlesen des Nachrichteninhalts auf dem Transportweg ausgeschlossen wird. Hierfür bietet sogenannte asymmetrische Kryptografie die Grundlage. Das heißt, dass unterschiedliche Schlüssel zum Ver- und Entschlüsseln der Nachricht verwendet werden. Der Absender verschlüsselt seine Nachricht mit dem öffentlichen Schlüssel des Empfängers. Die Nachricht kann sodann nur vom Empänger mit seinem privaten Schlüssel entschlüsselt werden.