Digitale Signatur bietet Phishing-Mails keine Chance. Denn jede/r UserIn hat sie schon bekommen, manchen wurden so bereits Daten entlockt, einigen davon ist dadurch Schaden entstanden. Die Bedrohung von Online-UserInnen durch Phishing-Mails, getarnt beispielsweise als vermeintliche Rechnungen, hat in den vergangenen Jahren stark zugenommen. Neben perfekter Imitation des Unternehmensdesigns und korrekter Rechtschreibung werden Empfänger von Phishing-Mails teilweise auch mit korrektem Vor- und Nachnamen angesprochen. Damit gibt es eine neue Stufe des Täuschens. Mit der digitalen Signatur gibt Magenta Kund*innen Sicherheit über die Echtheit ihrer erhaltenen Magenta E-Mail-Rechnung.
Digitale Signatur wie eine einzigartige Unterschrift
Seite August 2015 versendet Magenta alle E-Mail-Rechnungen nur in sicherer Form. Die Rechnungen enthalten eine digitale Signatur. Diese ist vergleichbar mit einer Unterschrift und bestätigt mithilfe eines entsprechenden Symbols in der E-Mail, dass diese tatsächlich vom angegebenen Absender stammt. Das elektronische Dokument erhält zusätzliche Daten, die nur der berechtigte Absender (Signator) erstellen kann. Die automatische Überprüfung des E-Mail-Programms stellt sicher, dass die Identität des Absenders korrekt ist und die elektronisch übermittelten Daten niemand verändert hat. Klickt man auf das Signatur-Symbol im E-Mail-Programm, werden Zusatzinformationen zur digitalen Signatur und somit zum verifizierten Absender der Nachricht angezeigt. Einen passenden E-Mail-Client vorausgesetzt, zeigt dieser an, ob eine korrekt signierte E-Mail vorliegt oder nicht.
Fälschungen von digitaler Signatur sind nicht möglich
Eine digitale Signatur ist ähnlich einer nicht-elektronischen Unterschrift wie beispielsweise bei einer Überweisung. Die für digitale Signaturen verwendeten, kryptografischen Verfahren sind nach momentanem Kenntnisstand sicher. Allerdings muss man als AnwenderIn die Meldungen der Programme schon beachten, Fehlermeldungen ernst nehmen und auf Zeichen von Manipulationen achten. Wenn man das nicht macht, dann nützen digitalen Unterschriften auch nichts. Außerdem muss man als Anwender einigen Stellen vertrauen, dass keine Fehler gemacht wurden und nicht durch böse Absicht unser Vertrauen ausgenutzt wird wie z.B. dem Hersteller des verwendeten E-Mail-Programms und jenen Stellen, die Zertifikate für digitale Unterschriften beglaubigen.
Digitale Signatur im E-Mail-Programm aktivieren
Die digitale Signatur aktiviert man beispielsweise für iOS folgendermaßen:
- Öffnen von Einstellungen > „Mail, Kontakte, Kalender“ anklicken
- Gewünschten E-Mail-Account auswählen > „Account“ anklicken > „Erweiterte Einstellungen“ wählen
- S/MIME aktivieren
Es gibt auch sowohl Programme für PCs als auch für mobile Geräte, die mit digitaler Signatur gar nicht umgehen können. Beim digitalen Signieren einer E-Mail erstellt das Programm eine Datei mit dem Namen „smime.p7s“ und fügt diese dem E-Mail als Anhang bei. E-Mail-Programme, die digitale Signaturen verarbeiten können, verwenden diese Datei und blenden sie automatisch aus. E-Mail-Programme, die mit digitalen Signaturen nicht umgehen können, zeigen die Datei „smime.p7s“ als normalen Anhang an.
Digitales Zertifikat wie bestätigte Unterschriftenprobe
Ein digitales Zertifikat entspricht einer bestätigten Unterschriftenprobe „in real life“, mit der der Empfänger (genauer: dessen Software) die digitale Signatur eines elektronischen Dokuments überprüfen kann. Zertifizierungsstellen bestätigten die Unterschriften. Die nötigen Daten dieser Stellen werden üblicherweise mit der Installation von E-Mail-Programmen gleichzeitig mitinstalliert. Solche Zertifizierungsstellen signieren digitale Zertifikate. Diese digitalen Zertifikate enthalten alle notwendigen Informationen, um die Identität von Signatoren und deren digitale Unterschriften überprüfen zu können. Zertifikate werden gemeinsam – im Fall von signierten E-Mails – mit der E-Mail und mit der digitalen Unterschrift übertragen. Denn wenn jemand auch nur ein Bit der E-Mail verändert hat, erkennt die Software den Fehler.
Manchmal funktioniert die Prüfung des Zertifikats des Signators nicht ohne weiteres und es kommt zu einer Fehlermeldung „ungültiges Zertifikat“ oder ähnliches, auch wenn eigentlich alles passen müsste. Bei manchen E-Mail-Programmen muss dieses Zertifikat dann manuell installiert werden.
