E-Mails mit S/Mime in Outlook signieren und verschlüsseln

Dank signierter E-Mails ist ein Absender verifiziert und vertrauliche und personenbezogene Daten können Ende-zu-Ende-verschlüsselt per E-Mail gesandt werden. Es gibt zwei gängige Methoden: S/Mime und PGP.

Es ist einfacher als man/frau denkt: Die TU bietet für Ihre Mitglieder den Zertifizierungsservice des DFN Vereins an (der Service wird auch von anderen Hochschulen genutzt, fragen Sie bei Ihrem Rechenzentrum nach).

Jede*r TU-Angehörige kann bei der ZECM ein S/Mime-Zertifikat beantragen und dieses in seinem E-Mail-Programm einbinden.

Wie es geht und was es dabei zu beachten gibt beschreiben wir hier.

Zunächst muss man/frau mit einem amtlichen Personaldokument (Pass, Führerschein, Personalausweis) zum ZECM Support gehen:

ZECM-Support

Einsteinufer 17
10587 Berlin
Raum EN 024

Öffnungszeiten (Stand Oktober 2020):
Mo. – Fr. : 10 – 14 Uhr

Dort können Sie ihr persönliches Softwarezertifikat beantragen. Es wird verschlüsselt im TU Portal für Sie zum Download bereitgestellt.

Hinweis: Falls Sie Zugang zu Team-Mailboxen haben, muss das Zertifikat für diese separat (per E-Mail) beauftragt werden.

Verschlüsselte oder signierte E-Mail sind an kleinen Icons erkennbar:

  • ein Schloss für verschlüsselte E-Mails
  • eine stilisierte rote Medaillie für signierte E-Mails

Das Zertifikat aus dem TU Portal downloaden:

  1. Rufen Sie das TU Portal auf und melden sich darin an
  2. Wählen Sie im Menü links Mein Profil
  3. Geben Sie eine TAN ein (Liste oder SMS Tan)
  4. Wählen Sie Softwarezertifikate herunterladen aus
  5. Laden Sie Schlüssel und Zertifikat für die Verwendung im Email-Verkehr
  6. Speichern Sie die Zertifikatdatei mit der Dateiendung *.p12 temporär auf Ihrem Computer, z.B. im Download-Ordner.

Ein Zertifikat in Outlook importieren und die Signatur aktivieren

  1. Starten Sie Outlook
  2. Wählen Sie im Menü Datei und dort den Eintrag Optionen
  3. Wählen Sie im Menü links unten Trust Center aus
  4. Klicken Sie auf den Button Einstellungen für das Trust Center
  5. Wählen Sie im Menü des Trust Centers den Eintrag E-Mail Sicherheit aus
  6. Klicken Sie bei Digitale IDs (Zertifikate) aus Importieren/Exportieren

  7. Klicken Sie im Dialog Digitale ID importieren/exportieren auf Durchsuchen…,
  8. Wählen die heruntergeladene Zertifikatdatei mit der Dateiendung *.p12 aus
  9. Geben Sie das Kennwort (Ihres TU-Accounts) ein.
    Bestätigen Sie den Sicherheits-Dialog Import des privaten Austauschschlüssels von Windows mit OK
    Voreingestellt ist „mittlere Sicherheit“, so dass beim Starten von Outlook einmalig ein Sicherheits-Dialog bestätigt werden muss. Bei „hoher Sicherheit“ wird beim Senden von E-Mails jeweils ein Passwort abgefragt.

  10. Aktivieren Sie bei E-Mail Sicherheit oben die beiden Punkte
    Ausgehenden Nachrichten digitale Signatur hinzufügen und Signierte Nachrichten als Klartext senden.
    Beenden Sie abschließend das Trust-Center mit OK
  11. Löschen Sie zum Abschluss die heruntergeladene Zertifikatsdatei aus Ihrem Download-Ordner
  12. Fertig

Die Signatur immer hinzufügen ist sinnvoll, da die eigenen E-Mails dann autorisiert sind und man/frau auch verschlüsselte E-Mails empfangen kann.

Einzelne E-Mail in Outlook verschlüsseln

Alle E-Mails zu verschlüsseln ist nicht hilfreich, da nur wenige Empfänger S/Mime nutzen; beim Senden wird sonst für jeden weiteren Empfänger ein Dialog eingeblendet „unverschlüsselt senden?“, der bestätigt werden muss.

Um verschlüsselte E-Mails senden zu können, muss man/frau irgendwann eine mit S/Mime signierte E-Mail des/der Adressaten erhalten haben. Im Zweifelsfall senden Sie kurz eine E-Mail an den/die Adressat*in mit der Bitte Ihnen eine signierte E-Mail zu senden.

  1. Beginnen Sie, Ihre E-Mail zu schreiben
  2. Abdocken, d.h. E-Mail in eigenem Fenster öffnen
  3. Wählen Sie dort den Menüpunkt Optionen , im Menüband sollte der Button für  Signieren bereits aktiviert sein (=dunkelgrau unterlegt).
    Klicken Sie auf Verschlüsseln, so dass dieser Button auch aktiviert wird.
  4. Schreiben Sie die E-Mail zu Ende und versenden Sie diese.
  5. Beim erstmaligen Zugriff auf das private Zertifikat erscheint ein Dialog zur Windows-Sicherheit. Erlauben Sie den Zugriff auf die Anmeldeinformationen von einem Programm (Outlook):
    Bestätigen Sie den Sicherheits-Dialog mit OK.
  6. Die E-Mail wird dann verschlüsselt gesendet (sofern die Adressaten ein S/Mime Zertifikat haben).

Sie können die beiden Buttons Signieren und Verschlüsseln dauerhaft im Menüband anzeigen lassen, ohne immer den Menüpunkt Optionen auswählen zu müssen, indem sie es anpassen:

  1. Klicken Sie mit der rechten Maustaste in den freien Bereichs des Menübands und klicken dort auf Menüband anpassen…
  2. Erzeugen Sie eine benutzerdefinierte Gruppe in der Hauptkategorie Neue E-Mail-Nachricht wie folgt:
    (1) Wählen Sie den Eintrag Neue E-Mail-Nachricht aus
    (2) Klicken Sie auf den Button Neue Gruppe
    Der generierte Eintrag Neue Gruppe (Benutzerdefiniert) sollte nun aktiviert sein (grau hinterlegt)
    (3) Klicken Sie auf den Button Umbenennen…
  3. Wählen Sie im Dialog ein Icon aus geben als Anzeigename „Sicherheit“ ein und bstätigen mit OK
  4. Wählen Sie in den Outlook-Optionen (1) die Hauptregisterkarten aus
    (2) Expandieren Sie dort den Eintrag Optionen und den Punkt Berechtigungen, Markieren Sie den BefehlVerschlüsseln
    (3) Wählen sie iauf der rechten Seite den neuen Eintrag Sicherheit aus
    (4) Klicken Sie auf Hinzufügen
    Fügen Sie den Befehl Signieren ebenso hinzu und bestätigen Sie die Änderungen mit OK

Hinweise

Um verschlüsselte E-Mails lesen zu können, muss das Zertifikat auf dem Rechner im E-Mail-Client installiert werden, falls Sie sowohl auch einem Desktop-Rechner als auch auf einem Notebook arbeiten müssen Sie es auf beiden Geräten in Outlook importieren.

Zertifikate sollen sicher aufbewahrt werden, bei der TU stehen sie im Portal verschlüsselt mit Passwort zum Download zur Verfügung.

Zertifikate haben eine Gültigkeit (i.d.R. drei Jahre nach Ausstellung),
müssen also nach Ablauf ersetzt werden, sonst erscheint beim Empfänger eine unschöne Fehlermeldung.

Abgelaufene Zertifikate müssen im E-Mail-Programm weiter importiert/gespeichert sein, damit ältere, damit verschlüsselte E-Mails weiter gelesen werden können.

E-Mails werden in der Regel mit Transportverschlüsselung übertragen, die zwischen den End- oder Zwischenpunkten angewandt wird (z.B. E-Mail-Client und Postausgangs-Server), jedoch liegen auf den Servern die E-Mail-Inhalte unverschlüsselt vor.

S/Mime erlaubt hingegen eine Ende-zu-Ende-Verschlüsselung bei der nur Absender und Empfänger die Inhalte lesen können, auf den Servern liegen die E-Mail-Inhalte verschlüsselt vor. Jedoch werden Empfänger und Betreff der E-Mail nicht verschlüsselt, sondern nur Inhalt und Anhänge.

Im Outlook-Webfrontend OWA kann weder signiert oder verschlüsselt werden, sowie verschlüsselte Nachrichten können nicht gelesen werden: die zusätzliche Bibliothek die laut Programmmeldung und Download dafür installiert werden soll, funktioniert mit der aktuellen OWA-Version nicht (zumindest nicht auf meinem Notebook). Allerdings halten wir es auch für vernünftig, die Zertifikate nur im E-Mail-Client zu verwalten, da sie dort sicherer vor einem Fremdzugriff sind.

Die Anleitung wurde mit Outlook 2016 ausgeführt, bei anderen Versionen können die Einträge und Schritte ggf. abweichen.

Weitere Informationen

 

 

Autor: don't panic

Über das Pseudonym: "Don't panic" ist auf das Cover des legendären elektronischen Reiseführers durch die Galaxis gedruckt, damit ein Anhalter keine Angst verspürt. - The British author Arthur C. Clarke said Douglas Adams' use of "don't panic" was perhaps the best advice that could be given to humanity. cf. Wikipedia

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.