Outlook: E-Mails signieren oder verschlüsseln (S/MIME)

Das BDSG forderte dies schon vorher, nun ist auch aus Art. 32 der DSGVO abzuleiten, dass personenbezogene Daten beim E-Mail-Versand dem aktuellen Stand der Technik entsprechend verschlüsselt sein müssen. Hierbei ist nicht die Verschlüsselung auf dem Transportweg ausreichend, die weitgehend bereits zwischen den Providern erfolgt, da die E-Mails hierbei weiterhin im Klartext auf den beteiligten Mailservern liegen. Viel mehr ist eine Inhaltsverschlüsselung der E-Mails, die vom E-Mail-Client des Absenders bis zum E-Mail-Client des Empfängers erhalten bleibt, erforderlich.

Das hier vorgestellte Verfahren ist S/MIME. Es handelt sich nicht um ein symmetrisches Verschlüsselungsverfahren, bei dem ein Kennwort auf einem zweiten Weg (z.B. telefonisch) übermittelt werden muss, sondern um ein asymmetrisches (Public Key) Verfahren. S/MIME wird von allen gängigen E-Mail-Clients unterstützt.

Die Aktivierung in Outlook 2016 am Beispiel eines kostenlosen Zertifikates von Comodo:

1. Ein Zertifikat beantragen unter https://secure.comodo.com/products/frontpage?area=SecureEmailCertificate&currency=EUR&region=Europe&country=DE

2. In der erhaltenen E-Mail „Click & Install Comodo Email Certificate“ anklicken (muss sich in Firefox öffnen!).

3. In Firefox die Adresse „about:preferences#privacy“ aufrufen.

4. „Zertifikate anzeigen“, dort „Ihre Zertifikate“ wählen.

5. „Alle sichern“ wählen und das Zertifikat an einem sicheren Ort speichern. Die Zertifikatsdatei auch nach Abschluss der Einrichtung nicht löschen. Diese wird benötigt, z.B. bei Wechsel des PCs. Auch abgelaufene Zertifikate können nach Jahren noch benötigt werden, um im Güligkeitszeitraum empfangene, verschlüsselte E-Mails zu lesen, denn die E-Mails bleiben verschlüsselt gespeichert und werden bei jedem Lesen neu entschlüsselt!

6. Ein Kennwort zur Sicherung des Zertifikats gegen unbefugte Nutzung wählen. Auch dieses Kennwort wird ggf. nach Jahren erneut benötigt (z.B. bei Wechsel des PCs)!

7. Die angelegte Zertifikatsdatei doppelt anklicken.

8. „Aktueller Benutzer“ und dann die Zertifikatsdatei auswählen, die nach Eingabe des Kennworts eingelesen wird.

9. Outlook neu starten.

10. In Outlook Datei -> Optionen -> Trust Center -> Einstellungen für das Trust Center -> E-Mail-Sicherheit wählen. Dort „In GAL veröffentlichen“ anklicken (nur bei Verwendung eines Exchange-Servers). Outlook reagiert danach evtl. ein paar Sekunden nicht mehr. Hier auch prüfen, ob bei Standardeinstellung „Meine S/MIME-Einstellungen“ gewählt ist. -> „Ok“.

11. Damit ist die Einrichtung abgeschlossen.

Nun stehen in Outlook zwei Funktionen zur Verfügung:

1. E-Mails digital signieren: Dies ist eine Sicherung gegen unerlaubte Modifikationen einer E-Mail auf dem Transportweg und beeinhaltet keine Verschlüsselung. Digital signierte E-Mails können an beliebige Empfänger verschickt werden, ohne dass beim Empfänger Vorbereitungen notwendig wären, wenn „Signatur und Klartext senden“ gewählt wird. Dazu während des Schreibens der E-Mail unter „Optionen“ die Schaltflächen nutzen oder, falls diese nicht sichtbar sind, unter Datei -> Eigenschaften -> Sicherheitseinstellungen die entsprechenden Haken setzen. Die durchaus sinnvolle Voreinstellung, alle E-Mails digital zu signieren, ist unter Datei -> Optionen -> Trust Center -> Einstellungen für das Trust Center -> E-Mail-Sicherheit möglich, dort die Option „Signierte Nachrichten als Klartext senden“ zusätzlich zur Aktivierung des Signierens wählen.

2. E-Mails verschlüsseln: Dies ist eine Verschlüsselung vom eigenen E-Mail-Client bis zum E-Mail-Client des Empfängers. Voraussetzung ist, dass der Public Key des Empfängers Outlook bekannt ist. Dies ist bei internen Empfängern, die ihr Zertifikat gemäß Punkt 10 der obenstehenden Anleitung im globalen Adressbuch (GAL) veröffentlicht haben, automatisch der Fall. Um den Public Key eines externen Kontakts zu erhalten, muss dieser einmalig eine digital signierte E-Mail zusenden. Aus dieser kann dann der Public Key (zusammen mit den Kontaktdaten) im eigenen Adressbuch gespeichert werden. Aktivieren der Verschlüsselung: Während des Schreibens der E-Mail unter „Optionen“ die Schaltflächen nutzen oder, falls diese nicht sichtbar sind, unter Datei -> Eigenschaften -> Sicherheitseinstellungen die entsprechenden Haken setzen.

Natürlich ist die gleichzeitige Verwendung beider Optionen möglich und empfehlenswert.

Unerwünschte Effekte:

Bei jeder Mail, die auch nur einen Link enthält, erscheint der Hinweis „Externer Inhalt ist in sicheren E-Mails nicht zulässig„?

Dies kann wie folgt verhindert werden:


Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Office\15.0\Outlook\Security]
"DisallowSMIMEExternalContent"=dword:00000000

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Office\16.0\Outlook\Security]
"DisallowSMIMEExternalContent"=dword:00000000

Ansonsten auch noch lesenswert: Fehler bei diesem Vorgang. Die Nachrichtenschnittstellen haben einen unbekannten Fehler zurückgeliefert.

Kommentar verfassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Nach oben scrollen