Skip to main content

Die Grundlagen

Die technischen Grundlagen ist ein asymetrisches Kryptosystem. Details dazu finden Sie in einem Wikipedia Artikel.
Der Sender verfügt über einen nur ihm bekannten Schlüssel, den "Private Key", während der Empfänger nur den öffentlich bekannten  Schlüssel des Senders, den "Public Key", benötigt, um den Absender verifizieren zu können.
Das bedingt, dass ein potentieller Empfänger einmal den "Public Key" des Senders erhalten muss, damit er die Verifizierung vornehmen kann.  Erhalten kann er den Schlüssel entweder über Verzeichnisse in denen der Sender den "Public Key" öffentlich verfügbar gemacht hat oder, indem der Sender dem potentiellen Empfänger einmalig den "Public Key" zukommen läßt.
Sodann sind die Voraussetzungen für eine verschlüsselte Kommunikation, aber eben auch für die Digitale Signatur gegeben.
Die weitere Grundlage ist das Signaturgesetz (SigG)  in der Bundesrepublik Deutschland, die die Anwendung und dem Umgang mit  der elektronischen Signatur regelt. Das SigG unterscheidet auch nach verschiedenen Qualitätskriterien für die elektronische Signatur und den sich daraus ergebenden Einschränkungen für die Nutzung im juristischen Sinne.

Was können wir jetzt damit machen?

Zunächst einmal kann man damit Dokumente (elektronische Dokumente)  rechtswirksam unterschreiben. Allerdings nur mit einer "qualifizierten elektronischen Signatur" gem. SigG. Das ist eines der  Qualitätsunterschiede die das SigG macht.
Eine qualifizierte elektronische Signatur bzw. das zugehörige  Zertifikat, können nur von akkreditierten Service Providern ausgegeben  werden, unterliegen einer strengen Prüfung der Identität des Antragstellers und werden auf einem sicheren Medium (Chipkarte) erstellt  und ausgegeben.
Für die Anwendung müssen natürlich die entsprechenden Geräte (Chipkartenleser) zur Verfügung stehen.
Nachdem wir in Deutschland aber in den meisten Fällen  Vertragsfreiheit haben können zwei Vertragspartner auch vereinbaren,  dass Dokumente die z.B. mit einer "fortgeschrittenen elektronischen Signatur" (mit geringerem Qualitätsstandard) unterschrieben wurden  rechtlich verbindlich sind. Dies muss aber explizit vereinbart werden,  anders wie bei der Nutzung der "qualifizierten elektronischen Signatur" wenn sie so genutzt wird wie es das Gesetz vorschreibt.
Diese eben beschriebene Vertragsfreiheit verhindert seit Einführung des SigG aber auch die konsequente Anwendung. So ist kein Vertragspartner verpflichtet ein mit "qualifizierter elektronischer Signatur" unterschriebenes Dokument anzuerkennen. Die meisten  Angestellten von größeren Unternehmen kennen das Thema überhaupt nicht  und wissen mit einem derart unterschriebenen Dokument nichts anzufangen  bzw. akzeptieren dies erst einmal nicht. Mit einer gewissen  Beharrlichkeit kann man mittlerweile aber viele Unternehmen dazu bewegen  die elektronische Signatur zu akzeptieren.

Wie kann man es nutzen?

Nun, zu allererst benötigt man eine elektronische Signatur. Dann natürlich auch ein digitales Dokument. Klar, ein Brief, geschrieben mit einem Texteditor und gespeichert als Datei.
Mit einer entsprechenden Software und natürlich einer qualifizierten elektronischen Signatur, kann dann das Dokument bzw. die Datei unterschrieben werden.
Die Anforderungen an ein juristisch verbindlich unterschriebenes Dokument (digitales Dokument) sind hoch. So lassen sich die Anforderungen des SigG nur mit Spezialsoftware gesetzeskonform umsetzen. Allerdings sind in der Praxis auch handhabbarere Verfahren möglich die auch in vielen Fällen schon juristisch Bestand gehalten haben.
Egal welchen Texteditor Sie benutzt haben. In nahezu allen Fällen kann man aus dem Texteditor heraus oder mit Hilfe von Zusatzsoftware eine so genannte PDF-Datei erzeugen. Also eine Datei mit der Dateiendung ".pdf". Mit dieser Dateiendung ist in der Regel die Software "Adobe Acrobat Reader" verbunden, welche in den meisten Fällen auf einem PC vorstinstalliert ist oder kostenlos von der Webseite der Firma Adobe heruntergeladen und installiert werden kann.
Mit dem Acrobat Reader, aber auch mit anderer Software die frei auf dem Markt verfügbar ist, kann dann das Dokument (das digitale Dokument) signiert werden. Ganz ohne den sonst üblichen Umweg das Dokument zu drucken, händisch zu unterschreiben und wieder mittels eines Scannes zu einem digitalen Dokument zu machen.
Einmal elektronisch signiert kann das Dokument dann z.B. via e-Mail dem Empfänger zugestellt werden. Auch hier gilt es, dass noch immer nicht alle Firmen einen elektronischen Posteingang haben und dass die Zustellung, von DE-Mail einmal abgesehen, juristisch nicht nachgewiesen bzw. überprüft werden kann. Leider bedarf es daher immer noch einer Eingangsbestätigung vom Empfänger. Sonst kann man nicht sicher sein, dass das Dokument auch bearbeitet wird.

Lassen Sie die NSA draußen

Die digitale Sigatur bzw. technisch gesehen, entsprechende Zertifikate, können auch für die Verschlüsselung von e-Mails genutzt werden.
Die Anforderungen an die Nutzung der "qualifizierten Signatur" gem. SigG sind sehr hoch. Hier muss ja ohne jegliche Einschränkung die Fälschungssicherheit gewährleistet werden.
Im Bereich e-Mail gibt es noch Schwachstellen die eine Manipulation zumindest des "Briefumschlages" ermöglichen. Damit läßt das Gesetzt die Nutzung der "qualifizierten Signatur" für solche Zwecke nicht zu.
Es gibt aber auch die "fortgeschrittene Signatur" die, mit den eben genannten Einschränkungen, für die Verschlüsselung von e-Mails genutzt werden kann.
Bei einigen Anbietern kann man sich derartige Zertifikate, teilweise sogar kostenlos, beschaffen und dann mit dem e-Mail Client (Webmail geht nicht) nutzen.
Ein Zertifikat besteht immer aus zwei Teilen. Einem privaten Teil den nur der Eigentümer haben darf. Und einem öffentlichen Teil, den jeder haben muss (muss) um Nachrichten an den Eigentümer des privaten Teils verschlüsseln zu können.
Nachdem der "öffentliche Teil" eben öffentlich ist, kann er auch beliebig verteilt werden. Der einfachste Weg dazu ist es jede e-Mail die man versendet zu "signieren" (also unterschreiben). Damit wird automatisch der öffentliche Teil der e-Mail angehängt. Der Empfänger der e-Mail verfügt dann automatisch über den öffentlichen Teil des Zertifikates des Absenders.
Ab dem Moment kann er e-Mails an den Eigentümer des privaten Teils verschlüsseln.

Eine Stolperstufe bei e-Mail Verschlüsselung

Zertifikate haben ein Ablaufdatum. Mit erreichen des Ablaufdatums muss folglich ein neues Zertifikat für die e-Mail Verschlüsselung beim entsprechenden Anbieter angefordert werden.
Das neue Zertifikat, zumindest der öffentliche Teil, muss dann auch wieder verteilt werden an alle Personen mit denen man e-Mails verschlüsselt austauschen möchte.
Aber noch mehr!
In ihrem Posteingangskorb befinden sich u.U. e-Mails die Sie in verschlüsselter Form erhalten haben. Die sind verschlüsselt (mit dem alten Zertifikat) und bleiben es auch.
Auch wenn das Zertifikat abgelaufen ist so ist der private Teil noch funktionsfähig.
Damit Sie auch weiterhin, später, die so verschlüsselten e-Mails öffnen können müssen Sie alle Zertifkate (in Worten: alle), zumindest den privaten Teil davon, sicher (wirklich sicher) aufbewahren. Das zugehörige Kennwort das den privaten Teil schützt natürlich auch. P.S.: immer das gleiche Kennwort zu nutzen ist im Hinblick auf Sicherheit wenig sinnvoll.
Bitten denken Sie daran, sonst gibt es eine böse Überraschung.
Wie macht man das?
Hat man ein Zertifikat von einem Anbieter erhalten wird dies in der Regel direkt im Browser installiert. Egal ob der Internet Explorer oder Firefox oder Andere.
Man kann nun im Browser das Zertifikat auswählen und in eine Datei exportieren. Beim Export wird die Option angeboten den privaten Teil mit zu exportieren. Das muss dann ausgewählt werden.
In der Regel erhält die zu speichernde Datei dann die Endung .pfx oder .pf7.
Aber Achtung: Diese Datei darf niemandem in die Hände fallen. Da ist der private Teil des Zertifikates drin, zwar mit einem Kennwort geschützt, aber trotzdem.

Also ein Versteck suchen!

Ich will - aber wie?

Gut - Ehen können wir hier nicht stiften. Aber wir können Ihnen den weg zur digitalen Signatur und zur verschlüsselten e-Mail zeigen.
Aufgrund der gesetzlichen Anforderungen muss man unterscheiden:

Digitale Signatur:
Die können Sie nur von einem durch die Bundesregierung zertifizierten Anbieter erhalten. Immerhin hat diese digitale Signatur ja einen ähnlichen Status wie ein Personalausweis.
Die zertifizierten Anbieter finden Sie auf der Interneseite der Bundesnetzagentur.

e-Mail Verschlüsselung:
Dazu benötigen Sie ein Zertifikat mit deutlich geringeren Sicherheitsanforderungen. Diese Zertifikate können Sie von manchen Anbietern kostenlos erhalten. Wenn Sie aber Kommunikationspartner (z.B. geschäftlich) haben die Wert legen auf eine gewisse Qualität, dann sollten Sie auf ein kostenpflichtiges Zertifikat von bekannten Anbietern zurückgreifen. Hier ist der Sicherheitsstandard in der Regel auch höher (z.B. bei der Überprüfung des Antragstellers) und somit ein eventueller Missbrauch geringer.

Eine Liste einiger Anbieter finden Sie in Kürze auf unserer Website.
www.comodo.com/home/email-security/free-email-certificate.php

Kostenpflichtig:
www.symantec.com/de/de/digital-id/

Einige Beiträge aus der Presse