Zertifikatsbasierte E-Mail-Signatur richtig implementieren

“Human Centered Security” ist die Strategie, den Menschen selbst in das Zentrum der Cyber Security zu stellen. Zu viele Angriffe funktionieren nach wie vor über den Menschen. Die eigenen Fähigkeiten, zum Beispiel CxO Fraud (E-Mail-Täuschung – Absender / Inhalte), selbst zu erkennen, sind ein wichtiges Mittel gegen Cyberkriminalität – denn geschätzt 95% aller Angriffe beginnen mittels E-Mail.

Unsignierte E-Mails können von gefälschten Absendern versendet oder deren Inhalte unterwegs zu Ihnen verändert worden sein – mit vorsätzlicher Betrugsabsicht. Es ist deshalb ein steigender Bedarf vieler Organisationen, externe E-Mails zu signieren, um ihre Kommunikationspartner zu schützen.

Vorteile der zertifikatsbasierten externen E-Mail-Signatur

Wer eine zertifikatsbasierte, signierte E-Mail enthält, kann sicher sein, dass der Absender von einer dritten Stelle überprüft wurde und der Inhalt der E-Mail am Weg unverändert blieb.

Moderne Unternehmen setzen dafür auf Lösungen mit zentraler Zertifikatsverwaltung wie SEPPmail Appliance oder SEPPmail.cloud. Die Einführung dieser Technologie ist damit kurz – und der Verwaltungsaufwand geht gegen null. Wenn sich signierte E-Mails erst einmal etabliert haben, bildet sich bei den Anwendern schnell die Meinung, dass signierte E-Mails „gut“ und unsignierte E-Mails „schlecht“ sind.

Mit den Vorteilen, die dann für alle externen Kommunikationspartner gelten, kommt auch oft die Idee, E-Mails intern zertifikatsbasiert zu signieren.

Unternehmen, die diesen Weg beschritten haben, schaffen sich eine Reihe von Problemen, die wir hier zusammenfassen:

E-Mails müssen für eine interne Signatur den Weg über eine zentrale Lösung finden oder die lückenhafte Lösung der client-basierten Zertifikate nehmen. Client-basierte Zertifikate zu verwalten, ist mit viel Aufwand und Fehlern bei der dezentralen Verwaltung auf den Client-Maschinen verbunden, davon raten wir dringend ab.

Durch den komplizierteren E-Mail-Fluss wird dessen Betrieb (Kollisionen mit anderen Mailflussregeln, etc.), die Nachvollziehbarkeit des Mail Routings, die Fehlersuche (Bounces, Mailroutingproblemanalysen, Spoofing-Schutz, etc.) und Support wesentlich herausfordernder.

Ergo: Viele vermeintliche Vorteile der internen Signatur sind mit Nachteilen verbunden, weshalb wir empfehlen, ausschließlich nach aussen zu signieren.

SEPPmail empfiehlt Anwenderschulung und Signatur nach aussen

Unten finden Sie ein paar „Best Practices“ davon, wie erfolgreiche Implementierungen aussehen, die E-Mails von aussen und von innen sicherer machen.

Geben Sie Ihren E-Mails den Vertrauensstatus, den diese verdienen und steigern Sie das Ansehen Ihrer Business-Kommunikation mit einer externen zertifikatsbasierten E-Mail-Signatur. Ihre externen Kommunikationspartner (Kunden, Partner, Lieferanten, etc.) werden das zu schätzen wissen.

Ihre Anwender sollen klar unterscheiden können, welches E-Mail von außen kam und welches von innen. Damit können Sie Phishing-Attacken wirksam vorbeugen, und zwar mit einem sogenannten „Betreff Tag“.

Ein Betreff Tag ist ein Text, den eine zentrale Komponente am Weg des E-Mails nach innen in den Betreff schreibt. Dieser kann von Cyberkriminellen nicht kontrolliert werden.

Alle E-Mails von aussen sollten mit dem Betreff Tag [Extern] markiert werden. Ist dann ein Mail von einem internen Mitarbeiter mit [Extern] im Betreff markiert, ist es ein Angriff, den Sie leicht erkennen können.

Trainieren Sie Ihre Anwender darauf, eine zertifikatsbasierte Signatur zu erkennen und deren Bedeutung zu verstehen (Authentizität und Integrität).

Eine E-Mail von außen mit einer gültigen Signatur ist sicher vom Absender und wurde auf dem Weg zu Ihnen nicht verändert. 

Je mehr sich die digitale Signatur bei E-Mails durchsetzt, desto wichtiger ist es, sich über diese Dinge Gedanken zu machen – und „Best Practices“ festzulegen.

Wenn Sie weitere Fragen haben, wenden Sie sich jederzeit gerne über hier an uns.