E-Mails mit S/Mime in Outlook signieren und verschlüsseln

Dank signierter E-Mails ist ein Absender verifiziert und vertrauliche und personenbezogene Daten können Ende-zu-Ende-verschlüsselt per E-Mail gesandt werden. Es gibt zwei gängige Methoden: S/Mime und PGP.
Wir gehen hier auf S/Mime ein, da dieses an den Hochschulen über den DFN-Verein für alle Mitglieder kostenfrei verfügbar ist.

Es ist einfacher als man/frau denkt: Die TU bietet für Ihre Mitglieder den Zertifizierungsservice des DFN Vereins an (der Service wird auch von anderen Hochschulen genutzt, fragen Sie bei Ihrem Rechenzentrum nach).

Jede*r TU-Angehörige kann bei der ZECM ein S/Mime-Zertifikat beantragen und dieses in seinem E-Mail-Programm einbinden.

Wie es geht und was es dabei zu beachten gibt beschreiben wir hier.

Zunächst muss man/frau mit einem amtlichen Personaldokument (Pass, Führerschein, Personalausweis) persönlich zum Help-Desk des Rechenzentrums (der Zentraleinrichtung Campus Management ZECM) gehen:

ZECM: IT-Service Desk

Einsteinufer 17
10587 Berlin
Raum EN 024

Die Öffnungszeiten des IT-Service Desks sind auf den Webseiten der ZECM zu finden.

Dort können Sie ihr persönliches Softwarezertifikat beantragen. Es wird für Sie verschlüsselt im TU Portal zum Download bereitgestellt.

Hinweis: Falls Sie Zugang zu Team-Mailboxen haben, muss ein Zertifikat für diese separat beauftragt werden (per E-Mail an den IT-Support der ZECM).

Das Zertifikat aus dem TU Portal downloaden:

  1. Rufen Sie das TU Portal auf und melden sich darin an.
  2. Wählen Sie die Kachel:
    • Meine Zertifikate
  3. Haben Sie etwas Geduld, die Seite wird im Hintergrund aufgebaut.
  4. Wählen Sie Softwarezertifikate herunterladen aus
  5. Laden Sie Schlüssel und Zertifikat für die Verwendung im Email-Verkehr
  6. Speichern Sie die Zertifikatdatei mit der Dateiendung *.p12 temporär auf Ihrem Computer, z.B. im Download-Ordner.

Ein Zertifikat in Outlook importieren und die Signatur aktivieren

  1. Starten Sie Outlook
  2. Wählen Sie im Menü Datei und den Eintrag:
    • Optionen (es öffnet in einem neuen Fenster)
  3. Wählen Sie im Menü des Fensters Optionen links unten den Eintrag:
    • Trust Center aus
  4. Klicken Sie rechts im Dialogfenster auf den Button:
    • Einstellungen für das Trust Center (dieses öffnet in einem weiteren neuen Fenster)
  5. Wählen Sie im Menü des Trust Centers den Eintrag:
    • E-Mail Sicherheit aus
  6. Klicken Sie bei Digitale IDs (Zertifikate) auf:
    • Importieren/Exportieren

  7. Klicken Sie im Dialog Digitale ID importieren/exportieren auf Durchsuchen…,
  8. Wählen die heruntergeladene Zertifikatdatei mit der Dateiendung *.p12 aus
  9. Geben Sie das Passwort Ihres TU-Accounts im Feld Kennwort ein.
    Bestätigen Sie den Sicherheits-Dialog:

    • Import des privaten Austauschschlüssels von Windows mit OK
      Voreingestellt ist „mittlere Sicherheit“, so dass beim Starten von Outlook einmalig ein Sicherheits-Dialog bestätigt werden muss. Bei „hoher Sicherheit“ wird beim Senden von E-Mails jeweils ein Passwort abgefragt.

  10. Aktivieren Sie bei E-Mail Sicherheit oben die beiden Punkte
    • Ausgehenden Nachrichten digitale Signatur hinzufügen und
    • Signierte Nachrichten als Klartext senden (bei Bedarf) 
  11. Beenden Sie das Trust-Center mit OK
  12. Beenden Sie abschließend das Optionen-Dialogfenster  mit OK
  13. Löschen Sie die heruntergeladene Zertifikatsdatei in Ihrem lokalen Download-Ordner und leeren Sie den Papierkorb
  14. Fertig

Die Signatur immer hinzufügen ist sinnvoll, da die eigenen E-Mails dann autorisiert sind und man/frau auch verschlüsselte E-Mails empfangen kann.

Einzelne E-Mail in Outlook verschlüsseln

Alle E-Mails zu verschlüsseln ist zumeist nicht hilfreich, da bislang nur wenige Empfänger S/Mime nutzen; beim Senden wird sonst für jeden weiteren Empfänger ein Dialog eingeblendet „unverschlüsselt senden?“, der bestätigt werden muss.

Um verschlüsselte E-Mails senden zu können, muss man/frau bereits im Vorfeld eine mit S/Mime signierte E-Mail des/der Adressaten erhalten haben. Im Zweifelsfall senden Sie kurz eine E-Mail an den/die Adressat*in mit der Bitte, Ihnen eine signierte E-Mail zu senden.

  1. Beginnen Sie, Ihre E-Mail zu schreiben
  2. Abdocken, d.h. E-Mail in eigenem Fenster öffnen
  3. Wählen Sie dort den Menüpunkt Optionen , im Menüband sollte der Button für  Signieren bereits aktiviert sein (=dunkelgrau unterlegt).
    Klicken Sie auf Verschlüsseln, so dass dieser Button auch aktiviert wird.
  4. Schreiben Sie die E-Mail zu Ende und versenden Sie diese.
  5. Beim erstmaligen Zugriff auf das private Zertifikat erscheint ein Dialog zur Windows-Sicherheit. Erlauben Sie den Zugriff auf die Anmeldeinformationen von einem Programm (Outlook):
    • Bestätigen Sie den Sicherheits-Dialog mit OK.
  6. Die E-Mail wird dann verschlüsselt gesendet (sofern die Adressaten ein S/Mime Zertifikat haben).
  7. Fertig

Sie können die beiden Buttons Signieren und Verschlüsseln dauerhaft im Menüband anzeigen lassen, ohne immer den Menüpunkt Optionen auswählen zu müssen, indem sie es anpassen:

  1. Klicken Sie mit der rechten Maustaste in den freien Bereichs des Menübands und klicken dort auf Menüband anpassen…
  2. Erzeugen Sie eine benutzerdefinierte Gruppe in der Hauptkategorie Neue E-Mail-Nachricht wie folgt:
    (1) Wählen Sie den Eintrag Neue E-Mail-Nachricht aus
    (2) Klicken Sie auf den Button Neue Gruppe
    Der generierte Eintrag Neue Gruppe (Benutzerdefiniert) sollte nun aktiviert sein (grau hinterlegt)
    (3) Klicken Sie auf den Button Umbenennen…
  3. Wählen Sie im Dialog ein Icon aus geben als Anzeigename „Sicherheit“ ein und bstätigen mit OK
  4. Wählen Sie in den Outlook-Optionen (1) die Hauptregisterkarten aus
    (2) Expandieren Sie dort den Eintrag Optionen und den Punkt Berechtigungen, Markieren Sie den BefehlVerschlüsseln
    (3) Wählen sie iauf der rechten Seite den neuen Eintrag Sicherheit aus
    (4) Klicken Sie auf Hinzufügen
    Fügen Sie den Befehl Signieren ebenso hinzu und bestätigen Sie die Änderungen mit OK

Hinweise

  • Verschlüsselte oder signierte E-Mails sind in Outlook an kleinen Icons erkennbar:
    • ein Schloss für verschlüsselte E-Mails
    • eine stilisierte rote Medaille für signierte E-Mails
  • Um verschlüsselte E-Mails lesen zu können, muss das Zertifikat auf jedem Endgerät im E-Mail-Client installiert werden. Falls Sie E-Mails auf mehreren Geräten abrufen, sollte das Zertifikat auf allen Geräten entprechend der Vorgaben der jeweiligen Plattform (Windows, MacOS, Linux, iOS, Android) und des genutzten Mail-Clients  importiert werden. Mittlerweile wird die Funktion von vielen Clients/Apps unterstützt.
  • Zertifikate sollen sicher aufbewahrt werden.
    An der TU stehen sie im Portal verschlüsselt mit Passwort zum Download zur Verfügung. Beachten Sie, dass jeweils Ihr Passwort zum Zeitpunkt der Erstellung des Zertifikats zur Verschlüsselung verwendet wird (also sollte mensch sich ältere, nicht mehr aktive Passwörter merken).
  • Die Zertifikate haben eine Gültigkeit (i.d.R. drei Jahre nach Ausstellung),
    müssen also nach Ablauf ersetzt werden, sonst erscheint beim Empfänger eine unschöne Fehlermeldung. Über den Ablauf des eigenen Zertifikats erhält mensch rechtzeitig eine automatische Nachricht, so dass man/frau dieses dann erneuern kann. Im TU-Portal kann ein neues Zertifikat online beantragt werden.
  • Abgelaufene Zertifikate sollten im E-Mail-Programm weiter importiert/gespeichert sein, damit ältere an Sie adressierte und damit verschlüsselte E-Mails weiter gelesen werden können.
  • E-Mails werden in der Regel mit Transportverschlüsselung übertragen, die zwischen den End- oder Zwischenpunkten angewandt wird (z.B. E-Mail-Client und Postausgangs-Server), jedoch liegen auf den Servern die E-Mail-Inhalte unverschlüsselt vor.
  • S/Mime erlaubt hingegen eine Ende-zu-Ende-Verschlüsselung bei der nur Absender und Empfänger die Inhalte lesen können, auf den Servern liegen die E-Mail-Inhalte verschlüsselt vor. Jedoch werden Empfänger und Betreff der E-Mail nicht verschlüsselt, sondern nur Inhalt und Anhänge.
  • Im Outlook-Webfrontend OWA kann weder signiert oder verschlüsselt werden, sowie verschlüsselte Nachrichten können nicht gelesen werden: die zusätzliche Bibliothek die laut Programmmeldung und Download dafür installiert werden soll, funktioniert mit der aktuellen OWA-Version nicht (zumindest nicht auf meinem Notebook). Allerdings halten wir es auch für vernünftig, die Zertifikate nur im E-Mail-Client zu verwalten, da sie dort sicherer vor einem Fremdzugriff sind.
  • Die Anleitung wurde mit Outlook 2016 ausgeführt, bei anderen Versionen können die Einträge und Schritte ggf. abweichen.

Weitere Informationen

Aktualisierung am 23. Mai 2022

Inhalt auf den neuesten Stand gebracht, insbesondere die Verwaltung der Zertifikate an der TU betreffend.

Autor: don't panic

Über das Pseudonym: "Don't panic" ist auf das Cover des legendären elektronischen Reiseführers durch die Galaxis gedruckt, damit ein Anhalter keine Angst verspürt. - The British author Arthur C. Clarke said Douglas Adams' use of "don't panic" was perhaps the best advice that could be given to humanity. cf. Wikipedia

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert