Die Absenderadresse einer E-Mail lässt sich kinderleicht fälschen. Darauf darf sich also niemand verlassen. Eine digitale Signatur ist quasi eine elektronische Unterschrift. Eine gute Methode, um die Authentizität von Absender und E-Mail-Inhalt zu überprüfen.

Diese Beobachtung hat wohl jeder schon mal machen müssen: Da kommt eine E-Mail von Freunden, Verwandten oder Kollegen an, die in Englisch ist und auf merkwürdige Webseiten verweist. Manche Mail enthält sogar einen Wurm. Ärgerlich, am liebsten möchte man gleich zum Telefonhörer greifen und sich beim Absender bedanken – schließlich hat der einem den Quatsch doch zugeschickt!

Doch das ist ein weit verbreiteter Irrtum. Die Absenderkennung einer E-Mail hat keinerlei Aussagekraft. Sie lässt sich kinderleicht fälschen. Jeder kann bill.gates@microsoft.com sein. Diese Angaben lassen sich frei in der E-Mail-Software eintragen. Sofern der Mail-Provider die Angaben nicht überprüft – und das machen nur die wenigsten! –, hat die E-Mail eben diese Absenderkennung.

Laien können die Manipulation kaum erkennen. Erfahrene Benutzer könnten die Fälschung anhand einiger technischer Details erkennen – aber auch nur, wenn diese nicht ebenfalls gefälscht werden. Viren, Würmer und Spam-Versender verwenden E-Mail-Adressen, die sie im Internet oder auf infizierten Rechnern entdecken als Absenderkennung – und erreichen damit, dass der Empfänger die Mail ernst nimmt, weil er oder sie den Absender möglicherweise kennt.

Wer sicher sein will, dass der Absender auch wirklich authentisch ist, muss auf so genannte digitale Signaturen zurückgreifen. Eine digitale Signatur ist wie eine virtuelle Unterschrift. Oder besser: wie ein virtuelles Siegel. Eine Art Beglaubigung. Der Empfänger kann dann bei einer unabhängigen Instanz überprüfen, ob die Mail echt ist. Denn eine digitale Signatur enthält einen chiffrierten Schlüssel. Nur der Besitzer, der das dazu passende geheime Kennwort kennt, kann diese digitale Signatur benutzen. Absolut fälschungssicher.

In der Praxis sieht das so aus: Beide E-Mail-Partner, also Absender und Empfänger, müssen ihr E-Mail-Programm um entsprechende Software wie PGP (Pretty Good Privacy) oder GnuPG erweitern. Ein Knopfdruck, und die geschriebene E-Mail wird digital unterschrieben. Der Empfänger kann dann mit derselben Software feststellen, ob der Absender authentisch ist. Mehr noch: Auf Wunsch lässt sich sogar feststellen, ob am Inhalt der E-Mail etwas verändert wurde. Per Gesetz ist die digitale Signatur künftig gleichbedeutend mit einer „echten“ Unterschrift. Es lohnt sich also, sich mit diesem Thema zu beschäftigen.

Der Aufwand ist zwar etwas höher. Dafür aber auch die Sicherheit.

BSI über das Thema „Digitale Signatur“

http://www.bsi-fuer-buerger.de/schuetzen/07_0301.htm#pki