Mit S/MIME lassen sich E-Mails ver­schlüs­seln, sodass nur der vor­ge­se­he­ne Empfänger bzw. die vor­ge­se­he­ne Emp­fän­ge­rin sie lesen kann. Dabei wird dessen öf­fent­li­cher Schlüssel verwendet, um die Nachricht zu ver­schlüs­seln. Mit dem kor­re­spon­die­ren­den privaten Schlüssel kann sie ent­schlüs­selt werden. S/MIME-Zer­ti­fi­ka­te lassen sich einfach in Mail-Clients im­por­tie­ren.

Was ist S/MIME?

Im RFC 1847 wurden 1995 zwei Si­cher­heits­er­wei­te­run­gen für den E-Mail-Standard MIME (Mul­ti­pur­po­se Internet Mail Extension) spe­zi­fi­ziert: das Format multipart/signed zur Si­gnie­rung von Nach­rich­ten und das multipart/encrypted-Format für deren Ver­schlüs­se­lung. Vier Jahre später ver­öf­fent­lich­te die IETF (Internet En­gi­nee­ring Task Force) mit der MIME-Er­wei­te­rung S/MIME – be­schrie­ben in RFC 2633 – einen Standard, der erst­ge­nann­tes Si­gna­tur­for­mat un­ter­stützt.

Für die Ver­schlüs­se­lung greift das Verfahren hingegen auf die eigene Lösung ap­pli­ca­ti­on/pkcs7-mime zurück. Sie können frei wählen, ob eine Mail mit S/MIME nur ver­schlüs­selt bzw. nur signiert werden soll oder ob beide Ope­ra­tio­nen angewandt werden.

S/MIME-Ver­schlüs­se­lung und -Si­gnie­rung sind über alle gängigen E-Mail-Clients – wie zum Beispiel Microsoft Outlook, Thun­der­bird oder Apple Mail – möglich. Eine bekannte Al­ter­na­ti­ve, die sowohl multipart/signed, als auch multipart/encrypted un­ter­stützt, ist das 2007 de­fi­nier­te OpenPGP.

Sichere E-Mail Adresse für digitale Pri­vat­sphä­re
  • Pro­fes­sio­nel­ler Daten- und Si­cher­heits­schutz
  • E-Mail-Ver­schlüs­se­lung mit SSL/TLS
  • Top-Vi­ren­schutz dank Firewalls und Spam­fil­ter
  • Tägliche Backups, tägliche Ab­si­che­rung

Wie funk­tio­nie­ren S/MIME-Ver­schlüs­se­lung und -Si­gnie­rung?

S/MIME basiert auf einem asym­me­tri­schen Ver­schlüs­se­lungs­ver­fah­ren und greift daher auf ein Schlüs­sel­paar zurück, das aus einem privaten (Private Key) und einem öf­fent­li­chen Schlüssel (Public Key) besteht. Während der öf­fent­li­che Schlüssel mit allen E-Mail-Kontakten geteilt wird, steht der private Schlüssel nur dem Anwender bzw. der An­wen­de­rin offen. Er wird ei­ner­seits benötigt, um in Kom­bi­na­ti­on mit dem Public Key des Emp­fän­gers ver­schlüs­sel­te Mails zu ver­schi­cken, und an­de­rer­seits, um erhaltene Nach­rich­ten zu ent­schlüs­seln. Durch ein S/MIME-Zer­ti­fi­kat kann der E-Mail-Client Schlüssel erzeugen und aus­tau­schen – ein solches Zer­ti­fi­kat erhält man bei ver­schie­de­nen Anbietern.

Damit die E-Mail-Ver­schlüs­se­lung funk­tio­niert, sind jeder S/MIME-Nachricht Header-In­for­ma­tio­nen vor­an­ge­stellt, die dem emp­fan­gen­den Client die not­wen­di­gen Angaben zur Erfassung und Ver­ar­bei­tung des Inhalts liefern. Dazu sind unter anderem der In­halts­typ – bei ver­schlüs­sel­ten Daten zum Beispiel „enveloped-data“ – der ent­spre­chen­de Dateiname (z. B. smime.p7m für signierte oder ver­schlüs­sel­te Daten) oder die Ko­die­rungs­form angegeben. Ein möglicher Header einer ver­schlüs­sel­ten E-Mail sieht bei­spiels­wei­se fol­gen­der­ma­ßen aus:

Content-Type: application/pkcs7-mime; smime-type=enveloped-data; name=smime.p7m
Content-Transfer-Encoding: base64
Content-Disposition: attachment; filename=smime.p7m

Die S/MIME-Si­gnie­rung, die au­to­ma­tisch beim Verfassen einer E-Mail an diese an­ge­hef­tet werden kann, ist aus mehreren Gründen praktisch: Sie über­mit­telt dem Empfänger bzw. der Emp­fän­ge­rin den öf­fent­li­chen Key für die ge­si­cher­te Kom­mu­ni­ka­ti­on, sodass dieser Ihnen ebenfalls Nach­rich­ten mit ver­schlüs­sel­tem Inhalt zukommen lassen kann. Außerdem beweist die Signatur, dass die E-Mail auch tat­säch­lich von Ihnen geschickt wurde. Anders als bei PGP tauchen durch das Hin­zu­fü­gen einer Signatur keine kryp­ti­schen Zeichen auf. Sollte der emp­fan­gen­de E-Mail-Client bei der Über­prü­fung der er­hal­te­nen Signatur Un­ge­reimt­hei­ten fest­stel­len, wird die Le­gi­ti­mi­tät der Nachricht nicht bestätigt, wodurch der Nutzer bzw. die Nutzerin auf eine Ma­ni­pu­la­ti­on der Daten schließen kann.

Hinweis

Wird keine digitale Signatur verwendet, lässt sich der öf­fent­li­che Schlüssel auch auf andere Art und Weise wei­ter­ge­ben, bei­spiels­wei­se durch Ver­öf­fent­li­chung auf einem Key-Server, auf der eigenen Website oder durch Wei­ter­ga­be in Dateiform auf einem externen Spei­cher­me­di­um.

Wie erhält man ein S/MIME-Zer­ti­fi­kat für den eigenen E-Mail-Verkehr?

Wie bereits erwähnt, setzt die Nutzung von S/MIME ein Zer­ti­fi­kat (X.509) voraus. Grund­sätz­lich ist es möglich, ein solches selbst zu erstellen – al­ler­dings benötigen Sie zunächst ein Stamm­zer­ti­fi­kat, das es in diesem Fall ebenfalls zu ge­ne­rie­ren gilt. Ferner müssen alle Kom­mu­ni­ka­ti­ons­part­ner dieses Stamm­zer­ti­fi­kat zunächst im­por­tie­ren, bevor der ei­gent­li­che Schlüs­sel­aus­tausch in die Wege geleitet werden kann. Die we­sent­lich ein­fa­che­re und un­kom­pli­zier­te­re Lösung ist der Erwerb eines Zer­ti­fi­kats bei einer of­fi­zi­el­len Zer­ti­fi­zie­rungs­stel­le. Typisch ist die Klas­si­fi­zie­rung der ver­füg­ba­ren Zer­ti­fi­ka­te in folgende drei Klassen:

  • Klasse 1: Das von der Zer­ti­fi­zie­rungs­stel­le erstellte Zer­ti­fi­kat sichert die Echtheit der an­ge­ge­be­nen E-Mail-Adresse zu.
  • Klasse 2: Das Zer­ti­fi­kat sichert die Echtheit der an­ge­ge­be­nen E-Mail-Adresse sowie den da­zu­ge­hö­ri­gen Namen zu. Ferner wird – sofern relevant – auch das Un­ter­neh­men bestätigt. Die Ve­ri­fi­zie­rung der Angaben findet über Dritt­da­ten­ban­ken oder Aus­weis­ko­pien statt.
  • Klasse 3: Zer­ti­fi­ka­te der Klasse 3 un­ter­schei­den sich da­hin­ge­hend von Zer­ti­fi­ka­ten der Klasse 2, dass sich der An­trag­stel­len­de per­sön­lich ausweisen muss.

Wenn Sie Ihre Mails mit S/MIME ver­schlüs­seln wollen und auf der Suche nach einem Zer­ti­fi­kat sind, sollten Sie auf keinen Fall dessen Kern­funk­ti­on aus den Augen verlieren: Es soll Ihre E-Mail-Kom­mu­ni­ka­ti­on absichern, indem es das Abfangen und die Ma­ni­pu­la­ti­on von Nach­rich­ten­in­hal­ten ver­hin­dert. Aus diesem Grund hat es oberste Priorität, bei der Wahl des Anbieters auf Se­rio­si­tät und Ver­trau­ens­wür­dig­keit zu achten.

Ein emp­feh­lens­wer­ter Service, dessen Zer­ti­fi­ka­ten laut eigenen Angaben 99 Prozent aller E-Mail-Clients vertrauen, ist bei­spiels­wei­se Sectigo (ehem. Comodo). Die Zer­ti­fi­zie­rungs­stel­le, die vor allem für hoch­wer­ti­ge SSL-Zer­ti­fi­ka­te bekannt ist, bietet Zer­ti­fi­ka­te für den Pri­vat­ge­brauch (ab 23 Euro pro Jahr) an, mit denen sich eine sichere Ende-zu-Ende-E-Mail-Ver­schlüs­se­lung mit S/MIME umsetzen lässt.

KI-E-Mail-Generator
Pro­duk­ti­vi­tät erhöhen mit dem KI-Mail-As­sis­ten­ten
  • E-Mails noch ef­fi­zi­en­ter be­ar­bei­ten
  • Zeit­spa­ren­de und einfache Nutzung
  • Inklusive Über­set­zungs­funk­ti­on

So richten Sie S/MIME in Ihrem E-Mail-Programm ein

Um das E-Mail-Si­cher­heits­ver­fah­ren in Ihren E-Mail-Client zu in­te­grie­ren, benötigen Sie zunächst lo­gi­scher­wei­se das S/MIME-Zer­ti­fi­kat – die An­bie­ter­su­che ist folglich der erste Schritt auf dem Weg zum sicheren Postfach. An­schlie­ßend gilt es, ein per­so­ni­fi­zier­tes Zer­ti­fi­kat zu erstellen und dieses zu in­stal­lie­ren. Die genaue Vor­ge­hens­wei­se variiert dabei leicht, ist im Prinzip aber bei allen Anbietern ähnlich. Nach der In­stal­la­ti­on kon­fi­gu­rie­ren Sie das jeweilige E-Mail-Programm so, dass es S/MIME nutzt und zu diesem Zweck auf das ein­ge­bun­de­ne Zer­ti­fi­kat zu­rück­greift. In der Regel wird der Ein­rich­tungs­pro­zess durch einen Neustart des Clients ab­ge­schlos­sen, woraufhin spe­zi­fi­sche Funk­tio­nen zur manuellen oder au­to­ma­ti­schen Ver­schlüs­se­lung bzw. Si­gnie­rung der Nach­rich­ten frei­ge­schal­tet werden.

In den folgenden Ab­schnit­ten finden Sie de­tail­lier­te An­lei­tun­gen zur S/MIME-Ein­rich­tung auf den Desk­top­sys­te­men Windows und macOS sowie auf den mobilen Systemen iOS und Android.

S/MIME unter Windows ein­rich­ten – so funk­tio­niert’s

Wer die S/MIME-Technik auf einem Windows-PC nutzen, aber keine Kosten in Outlook bzw. Microsoft Office in­ves­tie­ren möchte, kann auf die kos­ten­freie Al­ter­na­ti­ve Thun­der­bird zu­rück­grei­fen, die wie der Browser Firefox aus dem Hause Mozilla stammt. Wenn Sie den Client noch nicht in­stal­liert und ein Konto ein­ge­rich­tet haben, sollten Sie dies also im ersten Schritt tun. An­schlie­ßend gehen Sie fol­gen­der­ma­ßen vor, um die S/MIME-Ver­schlüs­se­lung und -Si­gnie­rung für dieses Konto zu ak­ti­vie­ren:

  1. Nachdem Sie Ihr Zer­ti­fi­kat von einem Anbieter Ihrer Wahl bezogen haben, starten Sie in einem ersten Schritt Thun­der­bird und öffnen die Ein­stel­lun­gen. Unter dem Menüpunkt „Da­ten­schutz & Si­cher­heit“ finden Sie den Eintrag „Zer­ti­fi­ka­te“. Klicken Sie auf die Schalt­flä­che „Zer­ti­fi­ka­te verwalten…“.
Bild: Datenschutz & Sicherheit-Einstellungen in Thunderbird
Über die Ein­stel­lun­gen „Da­ten­schutz & Si­cher­heit“ gelangen Sie mit einem Klick auf „Zer­ti­fi­ka­te verwalten“ in den Zer­ti­fi­kat­sein­stel­lun­gen.
  1. Sie gelangen in das Menü zur Zer­ti­fi­kats­ver­wal­tung. Wählen Sie hier den Reiter „Ihre Zer­ti­fi­ka­te“ aus und im­por­tie­ren Sie das von Ihrem Anbieter erhaltene und ge­spei­cher­te Zer­ti­fi­kat, indem Sie auf „Im­por­tie­ren“ klicken und es auswählen. An­schlie­ßend geben Sie das Passwort ein, das Sie vom Anbieter erhalten haben, um den Prozess ab­zu­schlie­ßen.
Bild: Zertifikat in Thunderbird importieren
Klicken Sie auf die Schalt­flä­che „Im­por­tie­ren“, um das S/MIME-Zer­ti­fi­kat Ihres Anwenders aus­zu­wäh­len.
  1. Na­vi­gie­ren Sie nun in die Konto-Ein­stel­lun­gen des E-Mail-Kontos, für das Sie die Ver­schlüs­se­lung ein­rich­ten möchten. Klicken Sie auf den Menüpunkt „Ende-zu-Ende-Ver­schlüs­se­lung“. Hier finden Sie einen Eintrag zu S/MIME und können das soeben im­por­tier­te Zer­ti­fi­kat für das Signieren und Ver­schlüs­seln Ihrer Mails auswählen, indem Sie auf die Schalt­flä­che „Auswählen“ klicken.
Bild: Zertifikat in Thunderbird auswählen
In Ihren Konto-Ein­stel­lun­gen können Sie mit einem Klick auf die Schalt­flä­che „Auswählen“ das soeben im­por­tier­te S/MIME-Zer­ti­fi­kat für Ver­schlüs­se­lung und Signatur festlegen.
  1. Wenn Sie an­schlie­ßend eine E-Mail verfassen, können Sie die Verfahren in­di­vi­du­ell durch den S/MIME-Button in der Werk­zeug­leis­te aus- bzw. abwählen und außerdem ent­schei­den, ob S/MIME für das Ver­schlüs­seln, Signieren oder für beides verwendet werden soll:
Bild: Verschlüsselung in Thunderbird aktivieren
Wenn Sie eine Mail schreiben, können Sie nun mit einem Klick auf „S/MIME“ die Ver­schlüs­se­lung und Signatur an- oder aus­schal­ten.

Un­ab­hän­gig davon, ob Ver­schlüs­se­lung und Signatur in Thun­der­bird manuell oder au­to­ma­tisch hin­zu­ge­fügt werden, sollten Sie bedenken, dass der Betreff weiterhin lesbar bleibt.

So funk­tio­niert die S/MIME-Ein­rich­tung unter macOS und iOS

Apple-Geräte haben mit dem haus­ei­ge­nen Client „Mail“ bereits eine Lösung in­stal­liert, die es von Anfang an er­mög­licht, Mails mit S/MIME zu ver­schlüs­seln und zu signieren. Wenn Sie also einen Mail-Account besitzen, können Sie direkt ein Zer­ti­fi­kat bei Ihrem Anbieter erstellen, ohne ein weiteres Programm in­stal­lie­ren zu müssen. Die Vor­ge­hens­wei­se un­ter­schei­det sich dabei nicht von der unter Windows: Sie rufen die Seite Ihres Anbieters auf und das Zer­ti­fi­kat wird auf Basis Ihrer per­sön­li­chen Daten erstellt. An­schlie­ßend gehen Sie wie folgt vor, um das Zer­ti­fi­kat zu in­stal­lie­ren und die S/MIME-Ver­schlüs­se­lung ein­zu­rich­ten:

  1. Öffnen Sie die von Ihrem Anbieter gesendete E-Mail und laden Sie das Zer­ti­fi­kat in einen be­lie­bi­gen Ordner herunter. Die erhaltene Datei lässt sich unter macOS per Dop­pel­klick direkt öffnen und zur Schlüs­sel­bund­ver­wal­tung hin­zu­fü­gen. Wenn Sie S/MIME auch für Ihr iPhone oder iPad nutzen wollen, können Sie es per E-Mail an Ihr Mo­bil­ge­rät ver­schi­cken.
  2. Nach der In­stal­la­ti­on müssen Sie Apple Mail lediglich starten bzw. neu starten, um das Ver­schlüs­se­lungs- und Si­gnie­rungs­ver­fah­ren zu in­te­grie­ren.
  3. Sie können S/MIME nun testen, indem Sie sich selbst eine ver­schlüs­sel­te und signierte Nachricht schicken. Öffnen Sie Apple Mail und erstellen Sie eine neue E-Mail. Wählen Sie im Feld „Von“ den E-Mail-Account aus, für den ein S/MIME-Zer­ti­fi­kat im Schlüs­sel­bund hin­ter­legt ist. Im E-Mail-Header er­schei­nen nun zwei Symbole: ein Häkchen für die Signatur und ein Schloss für die Ver­schlüs­se­lung.

So kon­fi­gu­rie­ren Sie S/MIME für Ihr Android-Gerät

Android besitzt wie Windows keinen eigenen Client zur In­te­gra­ti­on von S/MIME. Es gibt jedoch ver­schie­de­ne An­wen­dun­gen, die das Verfahren un­ter­stüt­zen und über den Google Play Store her­un­ter­ge­la­den werden können. Zu den kos­ten­frei­en Lösungen zählt die quell­of­fe­ne Anwendung FairEmail (in der wer­be­frei­en Pro-Variante kos­ten­pflich­tig). Wie bereits bei der Ein­rich­tung von S/MIME-Ver­schlüs­se­lung und -Si­gnie­rung unter Windows und macOS benötigen Sie zunächst ein gültiges Zer­ti­fi­kat, das Sie auf dem bereits er­läu­ter­ten Weg erzeugen können. Die weiteren Schritte sind folgende:

  1. Um Ihr erzeugtes Zer­ti­fi­kat zu im­por­tie­ren, öffnen Sie in den Ein­stel­lun­gen der App zunächst das Menü „Ver­schlüs­se­lung“. Scrollen Sie bis zu dem Punkt „S/MIME“ und drücken Sie dort auf „Privaten Schlüssel im­por­tie­ren“.
Bild: FairEmail: Schlüssel importieren
Sie können FairEmail nicht nur für den Import von S/MIME-Zer­ti­fi­ka­ten, sondern auch für den Import von PGP-Keys verwenden.
  1. Geben Sie im gleichen Menü an, welcher Si­gna­tur­al­go­rith­mus und welcher Ver­schlüs­se­lungs­al­go­rith­mus verwendet werden sollen. An­schlie­ßend können Sie im oberen Teil des Ver­schlüs­se­lungs­me­nüs („Allgemein“) festlegen, wann Ihre Nach­rich­ten ver­schlüs­selt werden sollen – z. B. stan­dard­mä­ßig oder beim Antworten auf eine erhaltene ver­schlüs­sel­te Nachricht.
Bild: FairEmail: Verschlüsselungseinstellungen
Wenn Sie ver­schie­de­ne Si­gna­tur­schlüs­sel im­por­tiert haben, haben Sie die Mög­lich­keit, die Ver­wen­dung fest­zu­le­gen.
  1. Wenn Sie nun Nach­rich­ten verfassen, werden Ver­schlüs­se­lung und Signatur au­to­ma­tisch hin­zu­ge­fügt – sofern Sie sich im Schritt zuvor für diese Variante ent­schie­den haben. An­dern­falls können Sie die bereits erwähnten Schalt­flä­chen am Ende des Nach­rich­ten­fens­ters nutzen, um die Schutz­me­cha­nis­men zu ak­ti­vie­ren.
E-Mail- & Groupware-Lösung
Hosted Microsoft Exchange
  • Bekannt als weltweit führende E-Mail- und Kalender-Lösung
  • Sicheres Hosting in deutschen Re­chen­zen­tren
  • Jederzeit mobiler Zugriff dank Microsoft Outlook
Zum Hauptmenü