S/MIME @ KOMTEAMER

Eine Fallstudie zum Thema Information Security


Spätestens seit den Snowden-Enthüllungen ist klar: Unverschlüsselte Emails sind lesbar wie Postkarten und Geheimdienste auf der ganzen Welt überwachen routinemäßig den Internet-Verkehr und werten private wie institutionelle Kommunikationskanäle aus, wo immer es möglich ist. Höchste Zeit, auch unser Kommunikationsverhalten bei KOMTEAMER zu überdenken und sowohl die interne als auch die Kommunikation mit unseren Geschäftspartnern und Kunden auf eine sichere Basis zu stellen.

Anforderungsanalyse


Datenverschlüsselung auf ganzer Linie – damit möchten wir unseren externen Kommunikationspartnern signalisieren, dass geschäftliche Inhalte nicht nur sicher auf unseren Servern gespeichert sind, sondern bereits auf dem Transportweg verschlüsselt werden. Daneben war es der Wunsch unserer Geschäftsleitung, dass auch firmeninterne Daten nicht von Außenstehenden eingesehen werden können.

Aufgrund dieser Anforderungen kristallisierte sich rasch eine Dokumenten- und Email-Verschlüsselung mittels Zertifikat als die technische Lösung unserer Wahl heraus. Hierfür stehen derzeit zwei mögliche Verfahren zur Verfügung.

PGP Verschlüsselung


PGP oder ‚Pretty Good Privacy‘ ist der führende Email Encryption Service im privaten Umfeld. Dabei wird der öffentliche Schlüssel eines Nutzers auf einem zentralen Server abgelegt, wodurch kein vorheriger Kontakt zum Empfänger notwendig ist, um diesem eine verschlüsselte Nachricht zukommen zu lassen. Aufgrund der großen Popularität dieses kostenlosen Verfahrens wird es durch zahlreiche Email-Programme unterstützt und verspricht eine breite Empfängerbasis.

Gegen einen Einsatz von PGP insbesondere in einem kommerziellen Kontext spricht, dass es keine zentrale Instanz gibt, die die Identität des Zertifikatsinhabers zweifelsfrei bestätigt. Stattdessen kommt ein Trust-Verfahren zum Einsatz, bei dem die PGP-Mitglieder die Identität eines Zertifikatsinhabers bestätigen. Die entsprechenden Beglaubigungen können in der PGP-Schlüsselverwaltung eingesehen werden.

Ein weiterer Nachteil der PGP-Verschlüsselung besteht in ihrer eingeschränkten Verwendbarkeit auf Mobilgeräten. Während auf herkömmlichen PCs Zusatzprogramme installiert werden können, die die Verschlüsselung unter MS Outlook oder Apple Mail transparent unterstützen, muss man sich auf mobilen iOS und Android Endgeräten mit Email-Apps von Drittherstellern behelfen, die entweder in puncto Funktionsumfang oder Kompatibilität mit den systemeigenen Cloud-Diensten Defizite aufweisen.

S/MIME Verschlüsselung


Das Pendant zu PGP im Business-Umfeld heißt S/MIME. Zertifikate werden bei diesem Dienst (überwiegend entgeltlich) von einer zentralen Zertifizierungsstelle ausgestellt, wobei je nach Sicherheitsstufe zuvor eine Identitätsprüfung des künftigen Zertifikatsinhabers stattfindet. S/MIME wird von vielen Email-Programmen auf dem Desktop aber auch im mobilen Bereich nativ unterstützt. Dadurch lassen sich etwa über das Smartphone verschlüsselte Nachrichten empfangen und lesen, aber auch verschlüsselt beantworten.

Die zentrale Zertifizierungsautorität (CA) bietet einerseits den Vorteil, dass glaubwürdige Zertifikate leicht erstellt werden können. Man muss allerdings dem System an sich vertrauen. Da die Vertrauensstufen kaskadiert aufgebaut sind, wird Zertifikaten vertraut, sobald eine CA dies tut. Auf der anderen Seite können Zertifikate auf einen Schlag unbrauchbar werden, wenn die ausstellende CA als unglaubwürdig eingestuft wird.

S/MIME-Zertifikate müssen nach spätestens 3 Jahren (kostenpflichtig) erneuert werden, sodass die Identität des Inhabers regelmäßig überprüft wird. Durch den automatischen Ablauf der Gültigkeit muss ein Zertifikat nicht unbedingt zurückgezogen werden, wenn es nicht mehr benötigt wird, was das Verfahren unter Gesichtspunkten der Mitarbeiterfluktuation besonders für Firmen interessant macht.

Ein Minuspunkt des Verfahrens ist neben den Kosten der Umstand, dass kein zentraler Zertifikats-Server existiert, sodass die öffentlichen Schlüssel von Kommunikationspartnern zunächst ausgetauscht werden müssen, z.B. über eine signierte Email. Erst dann kann verschlüsselt kommuniziert werden.

Entscheidungsfindung


Da PGP und S/MIME untereinander nicht kompatibel sind, mussten auch wir bei KOMTEAMER uns vorab überlegen, welcher Dienst implementiert werden soll. Neben der Verschlüsselung von Emails war eine weitere Anforderung die Signatur und / oder Verschlüsselung von Dokumenten bspw. im PDF-Format. Zudem wollten wir aufgrund der Presseberichte der letzten Jahre auf eine europäische Zertifizierungsstelle setzen.

Basierend auf diesen Bedürfnissen und den Anforderungen unseres Geschäftsfeldes fiel unsere Entscheidung auf S/MIME. Wer auch mit Kommunikationspartnern Nachrichten verschlüsselt austauschen will, die das PGP-Verfahren verwenden, kann alternativ beide Dienste parallel einrichten.

Implementierung


In unserem CA-Auswahlverfahren setzte sich die Firma Certum durch, bei der wir unter Vorlage eines Handelsregisterauszugs der KOMTEAMER GmbH sowie von Kopien unserer Lichtbildausweise Zertifikate der Klasse 3 (Class 3) beantragten. Zwar entschieden wir uns gegen den ‚Komfort-Service’, bei dem der gesamte Zertifikaterstellungsprozess von der CA übernommen worden wäre. Dafür können wir nun sicher sein, dass wir allein über die Passphrase unserer jeweiligen privaten Schlüssel verfügen.

Für die Erstellung der S/MIME Zertifikate waren folgende Schritte notwendig:

1. Erstellung einer digitalen Kopie des Personalausweises aller Mitarbeiter.
2. Generierung eines passwortgeschützten privaten Schlüssels durch jeden Mitarbeiter.
3. Generierung eines Certification Requests (CSR) je Mitarbeiter mit dem entsprechenden privaten Schlüssel.
4. Senden des elektronischen Antrags (CSR-Datei) sowie der Ausweiskopien und des Handelsregisterauszugs an die CA.
5. Empfang eines signierten Zertifikats von der CA.
6. Erzeugung des persönlichen S/MIME-Zertifikats mit dem signierten Zertifikat der CA sowie dem persönlichen Schlüssel.
7. Einfügen der erzeugten PKCS12-Datei in die Zertifikatsverwaltung des Mitarbeiter-Notebooks bzw. -Smartphones zur Verwendung in den jeweiligen Email-Programmen.

Dank S/MIME-Encryption können wir bei KOMTEAMER nun komfortabel verschlüsselte Emails von PCs und Smartphones versenden, empfangen und lesen. Wenn Ihnen dieser Beitrag gefallen hat oder Sie Fragen zum PGP- oder S/MIME-Verfahren haben, freuen wir uns über Ihre Kontaktaufnahme!


Beitrag von:
Markus Lorenz, zertifizierter Information Security Officer nach ISO 27001