Informationssicherheit ist heute eines der wichtigsten Themen für Unternehmen. Das Abfangen einer E-Mail kann zu ernsthaften finanziellen Verlusten führen. Die richtige Verwendung von Sicherheitszertifikaten ist notwendig, aber was sind sie und was genau sind die Vorteile ihrer Verwendung?
So werden Nachrichten per E-Mail gesendet
Was bedeutet es, wenn eine E-Mail „gesendet“ wird? Es wird an der Quelle geschrieben, von einem PC an einen E-Mail-Server gesendet und von dort ins Internet geleitet. Theoretisch wird es von einem Punkt zum anderen verschoben, bis es sein Ziel erreicht und vom Empfänger gelesen wird. Diese Punkte dazwischen sind jedoch potenziell anfällig für einen sogenannten „Man in the Middle“-Angriff – Jemand, der vorgibt, die Nachricht einfach weiterzugeben, aber in Wirklichkeit liest er sie selbst oder ändert sich es. Aus diesem Grund wird eine Verschlüsselung verwendet.
So funktioniert die Verschlüsselung
Es gibt verschiedene Arten von Zertifikaten, die für verschiedene Zwecke oder Sicherheitsstufen verwendet werden. Die meisten Verschlüsselungen basieren auf einem standardmäßigen „öffentlichen“ und „privaten“ Schlüsselverfahren. Jeder, der das System verwendet, hat einen von beiden: einen öffentlichen Schlüssel, den alle anderen sehen und verwenden können, und einen privaten Schlüssel, auf den nur Sie Zugriff haben sollten. Wenn eine E-Mail gesendet wird, wird sie zweimal verschlüsselt – einmal mit dem privaten Schlüssel des Absenders (z S/MIME-Zertifikat) und einmal mit dem öffentlichen Schlüssel des Empfängers (den der Absender kennt) – z. B. ein SSL Zertifikat. Nur der private Schlüssel kann den öffentlichen Schlüssel entschlüsseln und umgekehrt. Dies bedeutet, dass Man-in-the-Middle-Angreifer die Nachricht nicht lesen können sollten (sie haben nicht den privaten Schlüssel des Empfängers). und sie können die Nachricht auch nicht ändern (wenn sie sie ändern, wird sie nicht mehr vom privaten Absender signiert Schlüssel). Der Empfänger verwendet dann zwei Schlüssel, um die Nachricht zu entschlüsseln und so zu überprüfen, dass nur der echte Absender sie verschlüsselt und signiert haben konnte und auch niemand sonst in der Lage war, sie zu lesen. Solange die bei der Verschlüsselung verwendete Mathematik stark genug war, ist das System einigermaßen sicher und wurde weltweit als Standardsequenz übernommen.
Vorteile der Zertifikatsverschlüsselung
Neben offensichtlichen Datenschutzbedenken (wer möchte schon, dass zufällige Fremde ihre E-Mails lesen?) sind die primären Vorteile finanzieller Natur. Abgefangene E-Mails könnten dazu führen, dass ein Wettbewerber die Geschäftsgeheimnisse eines Unternehmens erfährt, was offensichtlich schädlich wäre. Dies könnte wiederum zu Klagen von Personen führen, die das System verwenden, die eine vernünftige Erwartung an die Sicherheit ihrer Kommunikation haben. Darüber hinaus ermöglichen Sicherheitszertifikate einem Unternehmen, grundlegende Sicherheitsstandards für Compliance- und Lizenzbestimmungen zu erfüllen. Die Überprüfung der Identität des ursprünglichen Absenders mittels digitaler S/MIME-Signaturen ist aus anderen Gründen wichtig: Wenn ein Angreifer den Absender, sie könnten falsche Anweisungen erteilen oder (eher) betrügerische „Phishing“-E-Mails senden – und so dem Empfänger noch mehr Sicherheit bieten Schwachstellen. Wenn ein Empfänger glaubt, eine E-Mail von einer vertrauenswürdigen Quelle geöffnet zu haben, ist er bereit, Anhänge zu öffnen oder auf Links zu klicken, die Viren auf seinen Computern installieren, und Sobald ein einzelner Computer in einem Netzwerk auf diese Weise infiziert ist, kann ein erfahrener Hacker diese Position nutzen, um seine Präsenz zu erweitern oder viele andere Computer auf bösartiges Verhalten zu kontrollieren Zwecke.
Auf dem Weg in das nächste Jahrzehnt ist es offensichtlicher denn je, dass Informationen sicher sein müssen, damit sich Menschen sicher fühlen und Unternehmen florieren können. Es ist nicht abzusehen, wie viel Schaden Hacker in naher Zukunft anrichten könnten, und E-Mail-Sicherheitszertifikate sind eine von mehreren Standardgeschäftspraktiken, die jeder mitmachen sollte.