Der Versand von Informationen und Dokumenten per E-Mail ist fester Bestandteil der dienstlichen und geschäftlichen Korrespondenz. Die Universitätsleitung, die zentrale Verwaltung, das kiz und andere universitäre Einrichtungen kommunizieren untereinander und mit Beschäftigten und Studierenden offiziell per E-Mail. Leider versuchen auch Phisher, Spammer und Scammer ihre E-Mails so offiziell wie möglich aussehen zu lassen und so beim Empfänger Vertrauen zu erwecken. Inhalte von E-Mails sind leicht kopierbar und auch Absender kann man leicht fälschen.

Zum Glück gibt es eine Möglichkeit, die Echtheit und Unveränderlichkeit von E-Mails zu garantieren: die digitale Signatur. Dies ist ein kryptographischer Nachweis, dass eine E-Mail wirklich von dem Absender kommt, und dass die E-Mail auf dem Weg zum Empfänger nicht verändert wurde.

Das kiz bietet als Dienstleistung allen Mitgliedern der Universität die Möglichkeit, ein personengebundenes Nutzerzertifikat von Harica zu erhalten, das zur Signierung von E-Mails verwendet werden kann. Es ist das Ziel der Informationssicherheitsbeauftragten von Universität und kiz, dass künftig alle offiziellen E-Mails von Einrichtungen der Universität digital signiert sind. Eine zunehmende Zahl von Beschäftigten des kiz versendet bereits digital unterschriebene E-Mails.

Prüfen der Gültigkeit einer Signatur

Wenn eine E-Mail digital signiert ist, können Sie deren Echtheit in Ihrem E-Mail-Programm überprüfen. Eine E-Mail mit einer gültigen Signatur erkennen Sie in Thunderbird am "S/MIME" Symbol mit Siegel in der Kopfzeile der E-Mail (siehe (A) in der folgenden Abbildung). Wichtig ist, dass das Symbol ohne rotes Warndreieck angezeigt wird:

Sollte dort zusätzlich ein rotes Warndreieck zu sehen sein (siehe (B) in der nächsten Abbildung), ist die Signatur nicht gültig:

Gründe für ungültige Signaturen

Es gibt mehrere Ursachen, die zu einer ungültigen Signatur führen können:

1. Der Inhalt der E-Mail wurde verändert und stimmt nicht mehr mit dem Text überein, den der Absender verschickt hat.
2. Die Absender E-Mail Adresse wurde gefälscht und stimmt nicht mit der Identität des Zertifikatsinhabers überein.
3. Das Zertifikat ist abgelaufen. Das aktuelle Datum befindet sich außerhalb des Gültigkeitszeitraums des Zertifikats.

Wenn Sie eine neue E-Mail erhalten sind in der Regel nur die Punkte 1 und 2 relevant. Einer frisch empfangenen E-Mail mit rotem Warndreieck im S/MIME Symbol sollte man ohne weitere Prüfung nicht vertrauen. Wenn es sich um einen wichtigen Inhalt handelt, kann man auf einem unabhängigen Weg, zum Beispiel per Telefon, direkt den Absender kontaktieren und klären, ob der Inhalt der E-Mail korrekt ist.

Die Signaturprüfung einer alten E-Mail kann auch fehlschlagen, weil das Signaturzertifikat mittlerweile abgelaufen ist. Dies bedeutet natürlich nicht, dass die E-Mail nun nicht mehr vertrauenswürdig ist. Jedoch ist das Prüfen alter E-Mails aus diesem Grund schwieriger.

Prüfen der Qualität einer Signatur

Um die Qualität einer Signatur zu prüfen, klicken Sie auf das "S/MIME" Symbol (siehe (C) in der nächsten Abbildung). Darauf hin werden die Details zum Zertifikat angezeigt:

• Zertifikat mit persönlicher Identitätsprüfung: In diesem Fall wird der Name des Senders (D) und die E-Mail Adresse (E) angezeigt. Die Identität der Person wurde anhand eines offiziellen Ausweisdokuments geprüft.
• Zertifikat mit einfacher E-Mail Validierung: In diesem Fall wird nur die E-Mail Adresse (E) angezeigt, nicht jedoch der Name (D) des Senders. Die Zugehörigkeit der E-Mail Adresse wurde mittels einer einfachen E-Mail Validierung festgestellt. Es wurde jedoch keine Identitätsprüfung durchgeführt.

In der Regel können Sie beiden Signaturqualitäten vertrauen. Insbesondere Gruppen- und Funktions-E-Mail-Adressen verwenden oft nur Zertifikate mit einfacher E-Mail Validierung. In besonderen Fällen kann es jedoch wichtig sein, auf das höherwertige Zertifikat mit persönlicher Identitätsprüfung zu achten, zum Beispiel bei einem Erstkontakt mit einer bisher unbekannten Person oder wenn es sich um Inhalte mit besonderer Relevanz handelt.