Mit S/MIME lassen sich E-Mails verschlüsseln, sodass nur der vorgesehene Empfänger bzw. die vorgesehene Empfängerin sie lesen kann. Dabei wird dessen öffentlicher Schlüssel verwendet, um die Nachricht zu verschlüsseln. Mit dem korrespondierenden privaten Schlüssel kann sie entschlüsselt werden. S/MIME-Zertifikate lassen sich einfach in Mail-Clients importieren.

Was ist S/MIME?

Im RFC 1847 wurden 1995 zwei Sicherheitserweiterungen für den E-Mail-Standard MIME (Multipurpose Internet Mail Extension) spezifiziert: das Format multipart/signed zur Signierung von Nachrichten und das multipart/encrypted-Format für deren Verschlüsselung. Vier Jahre später veröffentlichte die IETF (Internet Engineering Task Force) mit der MIME-Erweiterung S/MIME – beschrieben in RFC 2633 – einen Standard, der erstgenanntes Signaturformat unterstützt.

Für die Verschlüsselung greift das Verfahren hingegen auf die eigene Lösung application/pkcs7-mime zurück. Sie können frei wählen, ob eine Mail mit S/MIME nur verschlüsselt bzw. nur signiert werden soll oder ob beide Operationen angewandt werden.

S/MIME-Verschlüsselung und -Signierung sind über alle gängigen E-Mail-Clients – wie zum Beispiel Microsoft Outlook, Thunderbird oder Apple Mail – möglich. Eine bekannte Alternative, die sowohl multipart/signed, als auch multipart/encrypted unterstützt, ist das 2007 definierte OpenPGP.

Sichere E-Mail Adresse für digitale Privatsphäre
  • Professioneller Daten- und Sicherheitsschutz
  • E-Mail-Verschlüsselung mit SSL/TLS
  • Top-Virenschutz dank Firewalls und Spamfilter
  • Tägliche Backups, tägliche Absicherung

Wie funktionieren S/MIME-Verschlüsselung und -Signierung?

S/MIME basiert auf einem asymmetrischen Verschlüsselungsverfahren und greift daher auf ein Schlüsselpaar zurück, das aus einem privaten (Private Key) und einem öffentlichen Schlüssel (Public Key) besteht. Während der öffentliche Schlüssel mit allen E-Mail-Kontakten geteilt wird, steht der private Schlüssel nur dem Anwender bzw. der Anwenderin offen. Er wird einerseits benötigt, um in Kombination mit dem Public Key des Empfängers verschlüsselte Mails zu verschicken, und andererseits, um erhaltene Nachrichten zu entschlüsseln. Durch ein S/MIME-Zertifikat kann der E-Mail-Client Schlüssel erzeugen und austauschen – ein solches Zertifikat erhält man bei verschiedenen Anbietern.

Damit die E-Mail-Verschlüsselung funktioniert, sind jeder S/MIME-Nachricht Header-Informationen vorangestellt, die dem empfangenden Client die notwendigen Angaben zur Erfassung und Verarbeitung des Inhalts liefern. Dazu sind unter anderem der Inhaltstyp – bei verschlüsselten Daten zum Beispiel „enveloped-data“ – der entsprechende Dateiname (z. B. smime.p7m für signierte oder verschlüsselte Daten) oder die Kodierungsform angegeben. Ein möglicher Header einer verschlüsselten E-Mail sieht beispielsweise folgendermaßen aus:

Content-Type: application/pkcs7-mime; smime-type=enveloped-data; name=smime.p7m
Content-Transfer-Encoding: base64
Content-Disposition: attachment; filename=smime.p7m

Die S/MIME-Signierung, die automatisch beim Verfassen einer E-Mail an diese angeheftet werden kann, ist aus mehreren Gründen praktisch: Sie übermittelt dem Empfänger bzw. der Empfängerin den öffentlichen Key für die gesicherte Kommunikation, sodass dieser Ihnen ebenfalls Nachrichten mit verschlüsseltem Inhalt zukommen lassen kann. Außerdem beweist die Signatur, dass die E-Mail auch tatsächlich von Ihnen geschickt wurde. Anders als bei PGP tauchen durch das Hinzufügen einer Signatur keine kryptischen Zeichen auf. Sollte der empfangende E-Mail-Client bei der Überprüfung der erhaltenen Signatur Ungereimtheiten feststellen, wird die Legitimität der Nachricht nicht bestätigt, wodurch der Nutzer bzw. die Nutzerin auf eine Manipulation der Daten schließen kann.

Hinweis

Wird keine digitale Signatur verwendet, lässt sich der öffentliche Schlüssel auch auf andere Art und Weise weitergeben, beispielsweise durch Veröffentlichung auf einem Key-Server, auf der eigenen Website oder durch Weitergabe in Dateiform auf einem externen Speichermedium.

Wie erhält man ein S/MIME-Zertifikat für den eigenen E-Mail-Verkehr?

Wie bereits erwähnt, setzt die Nutzung von S/MIME ein Zertifikat (X.509) voraus. Grundsätzlich ist es möglich, ein solches selbst zu erstellen – allerdings benötigen Sie zunächst ein Stammzertifikat, das es in diesem Fall ebenfalls zu generieren gilt. Ferner müssen alle Kommunikationspartner dieses Stammzertifikat zunächst importieren, bevor der eigentliche Schlüsselaustausch in die Wege geleitet werden kann. Die wesentlich einfachere und unkompliziertere Lösung ist der Erwerb eines Zertifikats bei einer offiziellen Zertifizierungsstelle. Typisch ist die Klassifizierung der verfügbaren Zertifikate in folgende drei Klassen:

  • Klasse 1: Das von der Zertifizierungsstelle erstellte Zertifikat sichert die Echtheit der angegebenen E-Mail-Adresse zu.
  • Klasse 2: Das Zertifikat sichert die Echtheit der angegebenen E-Mail-Adresse sowie den dazugehörigen Namen zu. Ferner wird – sofern relevant – auch das Unternehmen bestätigt. Die Verifizierung der Angaben findet über Drittdatenbanken oder Ausweiskopien statt.
  • Klasse 3: Zertifikate der Klasse 3 unterscheiden sich dahingehend von Zertifikaten der Klasse 2, dass sich der Antragstellende persönlich ausweisen muss.

Wenn Sie Ihre Mails mit S/MIME verschlüsseln wollen und auf der Suche nach einem Zertifikat sind, sollten Sie auf keinen Fall dessen Kernfunktion aus den Augen verlieren: Es soll Ihre E-Mail-Kommunikation absichern, indem es das Abfangen und die Manipulation von Nachrichteninhalten verhindert. Aus diesem Grund hat es oberste Priorität, bei der Wahl des Anbieters auf Seriosität und Vertrauenswürdigkeit zu achten.

Ein empfehlenswerter Service, dessen Zertifikaten laut eigenen Angaben 99 Prozent aller E-Mail-Clients vertrauen, ist beispielsweise Sectigo (ehem. Comodo). Die Zertifizierungsstelle, die vor allem für hochwertige SSL-Zertifikate bekannt ist, bietet Zertifikate für den Privatgebrauch (ab 23 Euro pro Jahr) an, mit denen sich eine sichere Ende-zu-Ende-E-Mail-Verschlüsselung mit S/MIME umsetzen lässt.

KI-E-Mail-Generator
Produktivität erhöhen mit dem KI-Mail-Assistenten
  • E-Mails noch effizienter bearbeiten
  • Zeitsparende und einfache Nutzung
  • Inklusive Übersetzungsfunktion

So richten Sie S/MIME in Ihrem E-Mail-Programm ein

Um das E-Mail-Sicherheitsverfahren in Ihren E-Mail-Client zu integrieren, benötigen Sie zunächst logischerweise das S/MIME-Zertifikat – die Anbietersuche ist folglich der erste Schritt auf dem Weg zum sicheren Postfach. Anschließend gilt es, ein personifiziertes Zertifikat zu erstellen und dieses zu installieren. Die genaue Vorgehensweise variiert dabei leicht, ist im Prinzip aber bei allen Anbietern ähnlich. Nach der Installation konfigurieren Sie das jeweilige E-Mail-Programm so, dass es S/MIME nutzt und zu diesem Zweck auf das eingebundene Zertifikat zurückgreift. In der Regel wird der Einrichtungsprozess durch einen Neustart des Clients abgeschlossen, woraufhin spezifische Funktionen zur manuellen oder automatischen Verschlüsselung bzw. Signierung der Nachrichten freigeschaltet werden.

In den folgenden Abschnitten finden Sie detaillierte Anleitungen zur S/MIME-Einrichtung auf den Desktopsystemen Windows und macOS sowie auf den mobilen Systemen iOS und Android.

S/MIME unter Windows einrichten – so funktioniert’s

Wer die S/MIME-Technik auf einem Windows-PC nutzen, aber keine Kosten in Outlook bzw. Microsoft Office investieren möchte, kann auf die kostenfreie Alternative Thunderbird zurückgreifen, die wie der Browser Firefox aus dem Hause Mozilla stammt. Wenn Sie den Client noch nicht installiert und ein Konto eingerichtet haben, sollten Sie dies also im ersten Schritt tun. Anschließend gehen Sie folgendermaßen vor, um die S/MIME-Verschlüsselung und -Signierung für dieses Konto zu aktivieren:

  1. Nachdem Sie Ihr Zertifikat von einem Anbieter Ihrer Wahl bezogen haben, starten Sie in einem ersten Schritt Thunderbird und öffnen die Einstellungen. Unter dem Menüpunkt „Datenschutz & Sicherheit“ finden Sie den Eintrag „Zertifikate“. Klicken Sie auf die Schaltfläche „Zertifikate verwalten…“.
Bild: Datenschutz & Sicherheit-Einstellungen in Thunderbird
Über die Einstellungen „Datenschutz & Sicherheit“ gelangen Sie mit einem Klick auf „Zertifikate verwalten“ in den Zertifikatseinstellungen.
  1. Sie gelangen in das Menü zur Zertifikatsverwaltung. Wählen Sie hier den Reiter „Ihre Zertifikate“ aus und importieren Sie das von Ihrem Anbieter erhaltene und gespeicherte Zertifikat, indem Sie auf „Importieren“ klicken und es auswählen. Anschließend geben Sie das Passwort ein, das Sie vom Anbieter erhalten haben, um den Prozess abzuschließen.
Bild: Zertifikat in Thunderbird importieren
Klicken Sie auf die Schaltfläche „Importieren“, um das S/MIME-Zertifikat Ihres Anwenders auszuwählen.
  1. Navigieren Sie nun in die Konto-Einstellungen des E-Mail-Kontos, für das Sie die Verschlüsselung einrichten möchten. Klicken Sie auf den Menüpunkt „Ende-zu-Ende-Verschlüsselung“. Hier finden Sie einen Eintrag zu S/MIME und können das soeben importierte Zertifikat für das Signieren und Verschlüsseln Ihrer Mails auswählen, indem Sie auf die Schaltfläche „Auswählen“ klicken.
Bild: Zertifikat in Thunderbird auswählen
In Ihren Konto-Einstellungen können Sie mit einem Klick auf die Schaltfläche „Auswählen“ das soeben importierte S/MIME-Zertifikat für Verschlüsselung und Signatur festlegen.
  1. Wenn Sie anschließend eine E-Mail verfassen, können Sie die Verfahren individuell durch den S/MIME-Button in der Werkzeugleiste aus- bzw. abwählen und außerdem entscheiden, ob S/MIME für das Verschlüsseln, Signieren oder für beides verwendet werden soll:
Bild: Verschlüsselung in Thunderbird aktivieren
Wenn Sie eine Mail schreiben, können Sie nun mit einem Klick auf „S/MIME“ die Verschlüsselung und Signatur an- oder ausschalten.

Unabhängig davon, ob Verschlüsselung und Signatur in Thunderbird manuell oder automatisch hinzugefügt werden, sollten Sie bedenken, dass der Betreff weiterhin lesbar bleibt.

So funktioniert die S/MIME-Einrichtung unter macOS und iOS

Apple-Geräte haben mit dem hauseigenen Client „Mail“ bereits eine Lösung installiert, die es von Anfang an ermöglicht, Mails mit S/MIME zu verschlüsseln und zu signieren. Wenn Sie also einen Mail-Account besitzen, können Sie direkt ein Zertifikat bei Ihrem Anbieter erstellen, ohne ein weiteres Programm installieren zu müssen. Die Vorgehensweise unterscheidet sich dabei nicht von der unter Windows: Sie rufen die Seite Ihres Anbieters auf und das Zertifikat wird auf Basis Ihrer persönlichen Daten erstellt. Anschließend gehen Sie wie folgt vor, um das Zertifikat zu installieren und die S/MIME-Verschlüsselung einzurichten:

  1. Öffnen Sie die von Ihrem Anbieter gesendete E-Mail und laden Sie das Zertifikat in einen beliebigen Ordner herunter. Die erhaltene Datei lässt sich unter macOS per Doppelklick direkt öffnen und zur Schlüsselbundverwaltung hinzufügen. Wenn Sie S/MIME auch für Ihr iPhone oder iPad nutzen wollen, können Sie es per E-Mail an Ihr Mobilgerät verschicken.
  2. Nach der Installation müssen Sie Apple Mail lediglich starten bzw. neu starten, um das Verschlüsselungs- und Signierungsverfahren zu integrieren.
  3. Sie können S/MIME nun testen, indem Sie sich selbst eine verschlüsselte und signierte Nachricht schicken. Öffnen Sie Apple Mail und erstellen Sie eine neue E-Mail. Wählen Sie im Feld „Von“ den E-Mail-Account aus, für den ein S/MIME-Zertifikat im Schlüsselbund hinterlegt ist. Im E-Mail-Header erscheinen nun zwei Symbole: ein Häkchen für die Signatur und ein Schloss für die Verschlüsselung.

So konfigurieren Sie S/MIME für Ihr Android-Gerät

Android besitzt wie Windows keinen eigenen Client zur Integration von S/MIME. Es gibt jedoch verschiedene Anwendungen, die das Verfahren unterstützen und über den Google Play Store heruntergeladen werden können. Zu den kostenfreien Lösungen zählt die quelloffene Anwendung FairEmail (in der werbefreien Pro-Variante kostenpflichtig). Wie bereits bei der Einrichtung von S/MIME-Verschlüsselung und -Signierung unter Windows und macOS benötigen Sie zunächst ein gültiges Zertifikat, das Sie auf dem bereits erläuterten Weg erzeugen können. Die weiteren Schritte sind folgende:

  1. Um Ihr erzeugtes Zertifikat zu importieren, öffnen Sie in den Einstellungen der App zunächst das Menü „Verschlüsselung“. Scrollen Sie bis zu dem Punkt „S/MIME“ und drücken Sie dort auf „Privaten Schlüssel importieren“.
Bild: FairEmail: Schlüssel importieren
Sie können FairEmail nicht nur für den Import von S/MIME-Zertifikaten, sondern auch für den Import von PGP-Keys verwenden.
  1. Geben Sie im gleichen Menü an, welcher Signaturalgorithmus und welcher Verschlüsselungsalgorithmus verwendet werden sollen. Anschließend können Sie im oberen Teil des Verschlüsselungsmenüs („Allgemein“) festlegen, wann Ihre Nachrichten verschlüsselt werden sollen – z. B. standardmäßig oder beim Antworten auf eine erhaltene verschlüsselte Nachricht.
Bild: FairEmail: Verschlüsselungseinstellungen
Wenn Sie verschiedene Signaturschlüssel importiert haben, haben Sie die Möglichkeit, die Verwendung festzulegen.
  1. Wenn Sie nun Nachrichten verfassen, werden Verschlüsselung und Signatur automatisch hinzugefügt – sofern Sie sich im Schritt zuvor für diese Variante entschieden haben. Andernfalls können Sie die bereits erwähnten Schaltflächen am Ende des Nachrichtenfensters nutzen, um die Schutzmechanismen zu aktivieren.
E-Mail- & Groupware-Lösung
Hosted Microsoft Exchange
  • Bekannt als weltweit führende E-Mail- und Kalender-Lösung
  • Sicheres Hosting in deutschen Rechenzentren
  • Jederzeit mobiler Zugriff dank Microsoft Outlook
War dieser Artikel hilfreich?
Zum Hauptmenü