ab 43,00 € (inkl. MwSt.)

Sectigo S/MIME Enterprise

Das Sectigo S/MIME Enterprise ist eine der beliebtesten S/MIME-Zertifikate und besonders für die Nutzung bei geschäftlichen E-Mail-Adressen hervorragend geeignet. Bei dem S/MIME-Zertifikat müssen Sie Ihre E-Mail-Adresse, Ihren Vor- und Nachnamen sowie Ihre Firmendaten bestätigen. Im Zertifikat wird der Vor- und Nachname jedoch nicht hinterlegt.

Überzeugen Sie sich bei dem Sectigo S/MIME Enterprise von den folgenden Benefits:

Mehr Vertrauen aufbauen: Überzeugen Sie bei der sicheren E-Mail-Kommunikation mit dem Extra an Vertrauen. Signieren Sie E-Mails neben Ihrer E-Mail-Adresse auch mit den Daten Ihrer Organisation.

Client-Authentifizierung, Signierung von Office-Dokumenten: Das Sectigo S/MIME Enterprise bietet Ihnen mit der Client-Authentifizierung, der Signierung von Office-Dokumenten und der DSGVO-Konformität viele weitere spannende Vorteile

Maßgeschneiderte Lösungen: Die S/MIME-Zertifikate von Sectigo stehen für stärkste Verschlüsselungsgrade, faire Preise und individuelle Lösungen. Überzeugen Sie sich selbst!

MERKMALE

Certificate Authority: Sectigo
Sitz der CA: Vereinigtes Königreich
Class 3
Validierungstyp: Organization Validation
Ausstellungszeitraum*: 1 Tag
Eintrag im Zertifikat: E-Mail-Adresse, Organisation & Land
verfügbare Verschlüsselungsalgorithmen: RSA (2048 oder 4096 Bit)
Root-Zertifikat: AAA Certificate Services
Signatur Hashalgorithmus: SHA-2
Validierung: E-Mail- & Organisationsvalidierung
CSR: eigenes CSR
Abdeckung Maildienste: Microsoft Outlook - ab 2003 Apple Mail Mozilla Thunderbird 1.0+ und weitere

* nach erfolgreicher Prüfung Ihres Auftrags

VORTEILE

Rückerstattung bis 30 Tage nach Ausstellung möglich

Abteilungs-E-Mail-Adresse

Client-Authentifizierung

DSGVO-konform

E-Mail-Verschlüsselung

Für Geschäftspersonen geeignet

Signierung von Office Dokumenten

Organisationsname im Zertifikat

Sichtbarer Schutz durch Anzeige des OV-Standards im Zertifikat

Validierungsguidelines - Sectigo S/MIME Enterprise

Warum gibt es überhaupt eine Validierung?

Eine Validierung gibt dem Empfänger des Zertifikats die Gewissheit, dass die darin enthaltenen Informationen korrekt sind und von einer vertrauenswürdigen Quelle geprüft wurden.

Bei Zertifikaten, die Firmen- und/oder Personendaten enthalten, muss sichergestellt werden, dass diese Daten korrekt sind. Die Regeln und Richtlinien für diese Prüfung werden dabei weltweit übergreifend vom CABrowser-Forum festgelegt.

Welche Daten werden geprüft?

1. Validierung der E-Mail-Adresse

Um die Echtheit der E-Mail-Adresse zu überprüfen, wird von der Zertifizierungsstelle ein Validierungslink an die E-Mail-Adresse, die abgesichert werden soll, versendet.

2. Organisationsvalidierung

Die Organisation, die im Zertifikat eingetragen wird, muss auf Ihre Existenz überprüft werden.

- In entsprechenden Registerportalen wird nach der Inhaberorganisation gesucht. Die Organisationsdaten der Bestellung müssen zu 100 % mit den Daten aus dem entsprechenden Register übereinstimmen.
- Erlaubte Registerportale:

Tipp: Sollten Sie in keinen der genannten Registern gelistet sein, kontaktieren Sie uns gerne unseren Support.

Zusätzlich muss die Organisation im Business Register von Dun&Bradstreet gelistet sein. Der Eintrag in D&B, dem Handelsregister und der Bestellung müssen für eine erfolgreiche Validierung zu 100% übereinstimmen.
- https://www.dnb.com/business-directory.html

3. Click-Through Agreement Link

Im Zuge der Validierung muss ein Ansprechpartner des Unternehmens dem Auftrag zustimmen.
- Diesbezüglich wird an den im Bestellvorgang definierten Ansprechpartner der Validierung eine Click-Through Agreement E-Mail versendet.
- Über den Link aus der E-Mail werden die folgenden Daten abgefragt:
  - Vorname
  - Nachname
  - E-Mail
  - Telefonnummer
  - Job Titel
  - Verifizierungscode
  - AGB bestätigen

Hinweis: Der Verifizierungscode befindet sich in der selben E-Mail wie auch der Click-Through Link.

4. Telefonische Validierung

- Zusätzlich wird in öffentlichen Telefonverzeichnissen nach der Inhaberorganisation gesucht. Der Telefonbucheintrag muss zu 100 % zu dem entsprechenden Registereintrag passen.

Für Organisationen mit Sitz in Deutschland sind die nachfolgenden Telefonbuchquellen erlaubt. Für Organisationen mit Sitz außerhalb von Deutschland muss die Telefonnummer anhand einer unter www.thisnumber.com aufgeführten Datenbank nachgewiesen werden.

www.dasoertliche.de

www.dastelefonbuch.de

www.gelbeseiten.de

- Über die Telefonnummer aus dem öffentlichen Telefonverzeichnis findet anschließend eine telefonische Validierung statt. Angerufen wird der Ansprechpartner der in der Click-Through Agreement E-Mail angegeben wurde. Im Anruf werden die E-Mail-Adresse die abgesichert wird, die Organisationsdaten und das bestellte Produkt noch einmal abgeglichen.

Hinweis: Die Rufnummer für die telefonische Validierung kann nicht frei gewählt werden. Durchwahlen oder Handynummern können, sofern diese nicht in einem öffentlichen Telefonverzeichnis eingetragen sind, nicht berücksichtigt werden.

BUSINESS PRACTICES DISCLOSURE

Since the year 2000, well-known companies have relied on the expertise, services and solutions of PSW GROUP. During these times we have developed into one of the leading service providers for certificate solutions in Germany. We successfully cooperate with the largest certification authorities worldwide.

Our goal is to provide our customers with the best possible service and to offer them exactly the product that meets their requirements. An important part is the pre-validation of organization-validated and extended validated SSL, S/MIME and Code Signing certificates. For the CAs for which we perform these validation activities, we verify the identity of the subscriber/certificate holder and usually perform the validation call in German. Our customers in the German-speaking countries greatly appreciate this service. In accordance with Webtrust requirements for Registration Authorities (RA), we provide the following information about the actions we perform as part of our work for Sectigo.

An important part is the pre-validation of organization-validated and extended validated SSL and Code Signing certificates. For the CAs for which we perform these validation activities, we verify the identity of the subscriber/certificate holder and usually perform the validation call in German. Our customers in the German-speaking countries greatly appreciate this service.

The complete Business Practices Disclosure you can find here.

BESTSELLER

Die beliebtesten Produkte unserer Kunden

Procilon Group EDIFACT Standard Gateway

ab 229,00 €(inkl. MwSt.)

+30 Tage

Sectigo Lite (PositiveSSL)

ab 18,00 €(inkl. MwSt.)

Thawte Limitbreaker (SSL123)

ab 39,00 €(inkl. MwSt.)

+30 Tage

Sectigo EV

ab 229,00 €(inkl. MwSt.)

+30 Tage

Sectigo Lite Multidomain

ab 103,00 €(inkl. MwSt.)

GeoTrust Bronze Multidomain (QuickSSL Premium)

ab 39,00 €(inkl. MwSt.)

+30 Tage

Sectigo Lite Wildcard

ab 195,00 €(inkl. MwSt.)

Thawte Limitbreaker Wildcard (SSL123)

ab 169,00 €(inkl. MwSt.)

Sectigo Code-Signing

ab 549,00 €(inkl. MwSt.)

Sectigo S/MIME Basic

ab 21,00 €(inkl. MwSt.)

S/MIME Zertifikate: Vertrauliche Kommunikation dank E-Mail-Verschlüsselung

Die E-Mail ist als Kommunikationskanal aus der heutigen Arbeitswelt nicht mehr wegzudenken. Unverschlüsselte E-Mails sind so leicht lesbar wie Postkarten. Und da immer die Möglichkeit besteht, dass E-Mails bei der Übermittlung abgefangen werden, sollte zumindest sichergestellt sein, dass unbefugte Dritte deren Inhalt nicht mitlesen können.

Daher sollten Sie Ihre E-Mail-Kommunikation konsequent verschlüsseln, um den ungewollten Abfluss von Daten zu vermeiden und Ihre elektronische Korrespondenz mit Kunden und Geschäftspartnern zu schützen. Dies funktioniert mit den sogenannten SMIME Zertifikaten oder auch E-Mail-Zertifikaten.

Was ist S/MIME und wie funktioniert ein E-Mail-Zertifikat?

S/MIME steht für Secure/Multipurpose Internet Mail Extension. Dabei handelt es sich um den weltweit etablierten Standard für die Verschlüsselung von E-Mails – basierend auf einem hybriden Krypto System. Erforderlich für die Nutzung von SMIME sind entsprechende Zertifikate (der private und der öffentliche Schlüssel), mit denen die Inhalte einer E-Mail vom Absender zuverlässig verschlüsselt und ausschließlich vom berechtigten Empfänger dann wieder entschlüsselt werden können. Eine spezielle Software, um verschlüsselte Informationen zu versenden, benötigen Sie nicht. S/MIME ist ein Betriebssystem unabhängiger Standard und funktioniert somit auch mit Windows, Linux oder Mac.

Zu den Anfängen der E-Mail-Verschlüsselung mit S/MIME Zertifikaten

Lange ist es bereits her: Am 3. August 1984 ging in Deutschland die erste E-Mail ein. Seitdem hat sich viel getan und die E-Mail hat sich zu dem Kommunikationsmedium schlechthin entwickelt. Die E-Mail ist sowohl für Unternehmen, als auch für Privatpersonen zu einem unverzichtbaren Werkzeug für den Informationsaustausch geworden. E-Mails werden in Form von Datenpaketen im Internet transportiert und können unterwegs einfach abgefangen und mitgelesen werden. Daher sollten Sie Ihre E-Mail-Kommunikation konsequent verschlüsseln, um ungewollten Mitlesern zu meiden und Ihre vertraulichen Daten zu schützen.

S/MIME: So verschlüsseln und signieren Sie Ihre E-Mails

Es gibt verschiedene Möglichkeiten, die E-Mail-Kommunikation sicherer zu gestalten: Hier kommt mit S/MIME das weltweite Standardverfahren für E-Mail-Verschlüsselung und E-Mail-Signierung ins Spiel. Um den S/MIME-Standard zur E-Mail-Verschlüsselung einzusetzen, benötigt man ein digitales Zertifikat – ein sogenanntes S/MIME-Zertifikat oder auch E-Mail-Zertifikat.

Ein S/MIME-Zertifikat ist ein digitales Zertifikat, mit dessen Hilfe Sie Ihre E-Mails verschlüsseln und signieren können, um eine sichere und vertrauliche E-Mail-Kommunikation zu gewährleisten. Durch ein S/MIME-Zertifikat kann die Identität des Absenders einer E-Mail verifiziert und der Ursprung der Nachricht festgestellt werden. Dadurch ist die Nachricht vor Manipulation und Fälschung geschützt.

Ohne S/MIME sind ihre E-Mails lesbar wie Postkarten. Nachrichten mit Ihren Informationen sind leicht einsehbar.

Mit einer Signatur von einem S/MIME-Zertifikat kann der Absender eindeutig identifiziert werden und schützt vor Manipulation durch Dritte.

Mit S/MIME können Sie sicher sein, dass kein unbefugter Dritter Ihre E-Mail-Kommunikation lesen kann.

Validierungen von SMIME Zertifikaten: Welche Angaben stehen im E-Mail-Zertifikat?

Die Klassifizierung von S/MIME-Zertifikaten beschreibt das jeweilige Verfahren der Validierung und Authentifizierung. Die Klassen sind seit dem 01.09.2023 standardisiert für jede Zertifizierungsstelle (Anbieter von digitalen Zertifikaten). Dies wurde in den S/MIME Baseline Requirements beim CA/Browser Forum festgelegt.

Es gibt folgende neue Klassen und Produkttyp für S/MIME bzw. E-Mail-Zertifikate:

E-Mailvalidierte SMIME Zertifikate (Mailbox)

Unter Mailbox verbirgt sich die E-Mail-Adressen-bezogene Validierung von S/MIME-Zertifikaten. Hier stehen außer der zertifizierten E-Mail-Adresse keine weiteren Informationen im Zertifikat. Die Bestätigung des Zertifikats erfolgt über die E-Mail-Adresse. Die Zertifikate bescheinigen demnach die Echtheit der E-Mail-Adresse des jeweiligen Empfängers. Hier kommen Sie zu den E-Mailvalidierte SMIME Zertifikate (Mailbox).

Identitätsvalidierte SMIME Zertifikate (Individual)

Bei Individual S/MIME Zertifikaten findet eine eingeschränkte Identitätsprüfung bei Auftragserstellung mittels bspw. Personalausweis statt. Der Antragsteller muss lediglich schriftlich bestätigen, dass die von ihm getätigten Angaben zu seiner Identität der Wahrheit entsprechen. Diese Angaben – Vor- und Nachname – stehen neben der E-Mail-Adresse im Zertifikat und sind für den Empfänger einer E-Mail sichtbar. Hier kommen Sie zu den Identitätsvalidierte SMIME Zertifikate (Individual).

Organisationsvalidierte SMIME Zertifikate (Organization)

Die Organization S/MIME Zertifikate beinhalten nur Angaben über die jeweilige E-Mail-Adresse und wie der Name schon sagt, über die Organisation oder das Unternehmen. Das bedeutet, dass die Identität und Angaben des Unternehmens im Rahmen der Zertifizierung geprüft wurde – anhand offizieller Dokumente und Verzeichnisse, wie beispielsweise die Überprüfung der Daten des Handelsregisterauszugs. Dahingehend eignet sich Organization S/MIME Zertifikate besonders gut für Sammel-E-Mail-Adressen, die von mehreren Teammitgliedern einer Abteilung genutzt werden (S/MIME für Funktionspostfächer).

Organisationsvalidierte SMIME Zertifikate mit Vor- und Nachnamen (Sponsor)

Die Sponsor S/MIME Zertifikate sind ebenfalls organisationsvalidiert, d. h. dass die Identität des Zertifikatsinhabers, als auch des Unternehmens im Rahmen der Validierung überprüft werden. Die Validierung wird anhand offizieller Dokumente und Verzeichnisse, wie u. a. das Handelsregister umgesetzt. Im Zertifikat stehen sowohl der Name des Zertifikatsinhabers, als auch der Organisationsname. Die Identität des Zertifikatsinhabers wird anhand offizieller Dokumente geprüft. Auf der folgenden Seite finden Sie S/MIME mit Personennamen enthalten sind.

RSASSA-PSS SMIME E-Mail-Zertifikate

RSASSA-PSS SMIME E-Mail-Zertifikate kommen u. a. bei Energieversorgern zum Einsatz. Die RSASSA-PSS Zertifikate entsprechen den Vorgaben der EDI und werden für die Marktkommunikation eingesetzt. Profitieren Sie hier von der Sicherheit der RSASSA-PSS Zertifikaten.

Welches Produkt mit welcher Validierung für Sie das Richtige ist – das erfahren Sie im Gespräch mit einem unserer Experten. Kontaktieren Sie uns! Wir beraten Sie gern!

FAQ: E-Mail-Kommunikation mit SMIME-Zertifikaten

Personen, die die eigenen E-Mails mitlesen, braucht keiner! Die S/MIME-Zertifikate oder auch E-Mail-Zertifikate verhindert dies, schützt und verschlüsselt den Inhalt Ihrer E-Mail.

Im nachfolgenden FAQ-Bereich erfahren Sie alle relevanten Informationen zum E-Mail-Zertifikat und wir beantworten die häufigsten gestellten Fragen zum S/MIME-Zertifikat.

Wie funktionieren Signierung und Verschlüsselung?

Das sogenannte Public-Key-Verfahren (asymmetrische Verschlüsselung) nutzt ein Schlüsselpaar: einen öffentlichen sowie einen privaten Schlüssel. Jeder Schlüssel ist weltweit einmalig. Wichtig hierbei ist, dass sich der private Schlüssel nicht aus dem öffentlichen Schlüssel berechnen lässt. Nur dem Inhaber selbst ist der private Schlüssel bekannt. Der öffentliche Schlüssel hingegen, der dazu dient, E-Mail-Nachrichten zu verschlüsseln, ist wie der Name schon aussagt öffentlich zugänglich bzw. kann per E-Mail angeboten werden. Konkret funktioniert das Public-Key-Verfahren wie folgt:

Sender und Empfänger verwenden beide ein E-Mail-Zertifikat. Zunächst tauschen die Gesprächspartner die öffentlichen Schlüssel aus, was durch den vorherigen Versand und durch das Speichern einer signierten E-Mail geschieht.
Der Absender verwendet den öffentlichen Schlüssel des Empfängers, um seine E-Mail zu verschlüsseln.
Ausschließlich mit dem privaten Schlüssel des Empfängers ist es nun möglich, die Nachricht zu entschlüsseln.

Der Austausch der öffentlichen Schlüssel per E-Mail ist also Voraussetzung für das Verschlüsseln. Das Signieren einer E-Mail mit einem öffentlichen S/MIME-Zertifikat bestätigt zum einen, dass

der Absender der E-Mail durch eine unabhängige Instanz (CA) geprüft wurde und zum anderen,
die E-Mail beim Übermitteln nicht verändert wurde.

Hierzu wird aus dem E-Mail-Inhalt eine Signatur errechnet (Hash-Wert), die der E-Mail angehängt wird. Eine Manipulation des Inhalts auf dem Übertragungsweg kann nun im Nachhinein festgestellt werden, wenn Signatur und E-Mail-Inhalt nicht übereinstimmen. Eine Signatur gewährleistet also die Authenzität des Absenders und die Richtigkeit des Inhalts einer E-Mail, während die Verschlüsselung ein Mitlesen unmöglich macht.

Was sind Client-Zertifikate und wo genau werden sie eingesetzt?

Client-Zertifikate werden auf Sie persönlich ausgestellt und auf Ihrem Rechner installiert. Es wird auch von Client-Authentifizierungs-Zertifikaten gesprochen, und schon der Begriff beschreibt deutlich die Funktion dieser E-Mail-Zertifikate: das Zertifikat authentifiziert Benutzer, die während des SSL-Handshakes durch den Austausch des Client-Zertifikats, auf einen Server zugreifen. Diese Authentifizierungsmethode kann wahlweise anstelle der sonst üblichen Login-Daten (Benutzername und Passwort) oder zusätzlich dazu verwendet werden. Client- und Server-Identifizierung sind nahezu identische Vorgänge, jedoch mit dem Unterschied, dass Server eine Art Bescheinigung des Zugriffs durch den Client erfordern. Mit dieser Bescheinigung wird die Echtheit des Nutzers überprüft und bestätigt.

Vorteile von E-Mail-Zertifikaten

Dass Wirtschaftsspionage – sowohl von außen als auch von eigenen Mitarbeitern („Social Engineering“) – ein äußerst präsentes Thema ist, zeigen nicht zuletzt Zahlen des Branchenverbands Bitkom:

die jährlichen Schäden digitaler Angriffe belaufen sich auf 51 Milliarden Euro
besonders der Mittelstand ist mit 61 Prozent betroffen
51 Prozent aller deutschen Unternehmen wurde in den Jahren 2013 und 2014 Opfer von Wirtschaftsspionage, Sabotage sowie Datendiebstahl

IT-Systeme und die Kommunikationsinfrastruktur sind die häufigsten Angriffsziele. Wettbewerbsvorteile gehen durch Spionage gänzlich verloren, beispielsweise durch den Diebstahl innovativer Ideen. Die Imageschäden, die Datenpannen mit sich bringen, sind so beträchtlich, dass sie kaum mehr in Zahlen zu fassen sind. Denn gilt ein Unternehmen erstmal als unsicher, wird es extrem schwer, dieses Image wieder loszuwerden. Dem entgegen steht ein Image-Plus für Unternehmen, die auf Sicherheit setzen: Kunden, aber auch Partnern ist der Datenschutz spätestens seit PRISM immens wichtig, Verschlüsselung ist selbst zum Wettbewerbsvorteil geworden. Verschlüsselung schützt vor realen Bedrohungen und darf zusätzlich als Marketing-Investition verstanden werden.

Gibt es S/MIME-Zertifikate für die komplette Domain *@domain.de wie z.B. aus dem SSL-Bereich?

Leider nein. Ein S/MIME-Zertifikat kann immer nur auf eine gültige E-Mail-Adresse ausgestellt werden.

Welche Angaben stehen im E-Mail-Zertifikat (bei den unterschiedlichen Typen)?

1. Ebene – E-Mail-Validierte Zertifikate
Hier stehen außer der zertifizierten E-Mail-Adresse keine weiteren Informationen im Zertifikat. Die Bestätigung des Zertifikats erfolgt über die E-Mail-Adresse.

2. Ebene – Identitätsvalidierte Zertifikate
Hier muss der Inhaber des Zertifikats zusätzlich mit einem Personalausweis seine Identität nachweisen. Diese Angabe steht neben der E-Mail-Adresse im Zertifikat und ist für den Empfänger einer Email sichtbar.

3. Ebene – Organisationsvalidierte Zertifikate
Hier wird zusätzlich zum Nachweis der Identität des Inhabers ein Nachweis der Organisation / Firma benötigt. Im Zertifikat stehen sowohl der Name des Zertifikatsinhabers, als auch der Organisationsname.

3. Ebene - Organisationsvalidierte Abteilungs-Zertifikate
Da dieses Zertifikat nicht auf eine einzelne Person ausgestellt wird, sondern auf eine Abteilung, muss eine telefonische Bestätigung der Existenz dieser Abteilung durchgeführt werden. Im Zertifikat steht neben dem Organisationsnamen, der Name der Abteilung.

Benötige ich für die Bestellung eines E-Mail-Zertifikates ein eigenes CSR?

Bei den meisten Zertifizierern nicht. Da erfolgt die Erstellung des CSRs während der Bestätigung der Verifikationsemail im Browser.
Bei dem Zertifizierer Certum muss ein eigenes CSR verwendet werden.
Bei SwissSign und GlobalSign können Sie wahlweise ein eigenes CSR verwenden oder sich das Schlüsselpaar (privater & öffentlicher Schlüssel) vom Zertifizierer zur Verfügung stellen lassen, jedoch raten wir von dieser Variante ab.

Welche Angaben muss mein CSR enthalten?

Pflichtangaben:

E-Mailvalidierte- und identitätsvalidierte-Zertifikate:

CN = Max Mustermann
OU = Max Mustermann
O   = Max Mustermann
L    = Stadt
S    = Bundesland
C    = Länderkürzerl (z.B. DE für Deutschland)
Email = max.mustermann@domain.tld

Organisationsvalidierte-Zertifikate:

CN = Max Mustermann
OU = Musterabteilungsname
O   = Musterfirma
L    = Stadt
S    = Bundesland
C    = Länderkürzel (z.B. DE für Deutschland)
Email = max.mustermann@domain.tld

Wer generiert ggf. das Schlüsselpaar bei der Beantragung eines E-Mail-Zertifikates?

Sectigo (ehemals Comodo) und Trustwave bieten nur die Generierung des CSR und des dazugehörigen privaten Schlüssels über den Browser an
GlobalSign und SwissSign bieten beide Möglichkeiten an, Generierung im Browser und die Verwendung eines eigenen CSRs
Certum verlangt ein selbst generiertes CSR

Gibt es auch ein S/MIME-Wildcard-Zertifikat?

Nein, gibt es nicht. Es muss jede E-Mail-Adresse einzeln mit einem eigenen Zertifikat abgesichert werden.

Wie lange dauert die Ausstellung eines S/MIME-Zertifikates?

Das hängt davon ab, welches und wo Sie ein S/MIME-Zertifikat bestellt haben. Haben Sie bei der PSW GROUP bestellt, werden alle Angaben durch die PSW GROUP vorab geprüft und zum Second Review an die Zertifizierungsstelle weitergegeben. Sobald alle Unterlagen (bei identitätsvalidierten- und organisationsvalidierten-Zertifikaten) vollständig und korrekt sind, wird das S/MIME-Zertifikat ausgestellt. Die genauen Ausstellungszeiten, je Produkt, können Sie in den Details nachlesen. E-Mailvalidierte S/MIME-Zertifikate erhalten Sie bereits zehn Minuten nach erfolgreicher Prüfung Ihres Auftrags.

Welchen Identitätsnachweis muss ich als Gewerbetreibender oder Freiberufler erbringen?

Art des Nachweises zur Bestätigung der Identität hängt von der Validierungsstufe des jeweiligen S/MIME-Zertifikates ab:

1. Ebene – E-Mail-Validierte Zertifikate
Hier erfolgt keine Identitäsprüfung, lediglich die E-Mail-Adresse wird anhand einer Bestätigungsemail validiert. Folglich kann dieses S/MIME-Zertifikat von jedem bestellt werden.

2. Ebene – Identitätsvalidierte Zertifikate
Hier muss der Zertifikatsinhaber anhand des Personalausweises seine Identität nachweisen. Im Zertifikat wird neben der E-Mail-Adresse der Vor- und Nachname eingeblendet. Dieses S/MIME-Zertifikate kann für Privatpersonen, Gewerbetreibende oder Freiberufler ausgestellt werden.

3. Ebene – Organisationsvalidierte Zertifikate
Diese S/MIME-Zertifikate können nur für in einem öffentlichen Register eingetragene Unternehmen ausgestellt werden.

Gibt es eine Kombination aus einem S/MIME- und SSL-Zertifikat?

Nein, leider nicht. Grundsätzlich kann aber ein Zertifikat mehrere Einsatzfelder haben. Mit einem S/MIME-Zertifikat können E-Mails signiert (digitale Signatur) und verschlüsselt werden. Die Datenübertragung zwischen Client (z.B. Webseite) und Server oder Server/Server kann nur mit einem SSL/TLS-Zertifikat verschlüsselt werden. Für mehr Sicherheit kann aber ein SSL/TLS-Zertifikat eingesetzt werden um die Datenübertragung zwischen zwei Mail-Servern zu verschlüsseln und zusätzlich ein S/MIME-Zertifikat um die einzelne E-Mail zu signieren und zu verschlüsseln.

Was ist der Vorteil von S/MIME gegenüber PGP?

S/MIME-Zertifikate werden von einer unabhängigen Stelle nach immer gleichen Standards überprüft. Das stärkt das Vertrauen. PGP (Pretty Good Privacy) basiert auf dem Web of Trust, einem Netz aus gegenseitigen Verifizierungen der Nutzer. Sie als Nutzer müssen selbst entscheiden, ob Sie die Signaturen als vertrauenswürdig erachten. Ob man letzten Endes S/MIME oder PGP verwendet, ist jedem selbst überlassen, allerdings hat S/MIME den großen Vorteil, dass es bereits mit vielen E-Mail-Programmen und Smartphones kompatibel ist.

In welchem Dateiformat werden S/MIME-Zertifikate ausgeliefert?

Wenn Sie das S/MIME-Zertifikat online über den Browser beantragen und installieren, können Sie diesen aus dem Browser problemlos exportieren und erhalten dann eine .pfx-Datei (PKCS12). Diese enthält bereits den privaten und den öffentlichen Schlüssel sowie die erforderlichen Zwischenzertifikate. Haben Sie das S/MIME-Zertifikat mit einem selbst generierten CSR beantragt, erhalten Sie Ihr S/MIME-Zertifikat im DER-Format, diese kann dann problemlos in Ihr System importiert werden.

Wird bei S/MIME-Zertifikaten ein Validierungsanruf durchgeführt?

Ein Validierungsanruf wird bei den Produkten GlobalSign Personal Sign 2 Pro und Personal Sign 2 Department sowie Sectigo (ehemals Comodo) CPAC Enterprise durchgeführt.

Hierfür kontaktieren die Zertifizierungsstellen telefonisch den bei der Bestellung eingetragenen Zertifikatsinhaber. Dabei ist zu beachten, dass nur die Telefonnummer die in einem öffentlichen Register (z.B. das örtliche) ersichtlich ist angerufen wird.

Wie muss ein CSR für ein S/MIME-Zertifikat aussehen?

Das CSR, welches für ein E-Mail-Zertifikat generiert wird, muss wie folgt aussehen:

-----BEGIN NEW CERTIFICATE REQUEST-----
MIIEHDCCAwQCAQAwgbsxGzAZBgkqhki-G9w0BCQEWDGFwQGFwZnVobC5kZTELMAkG
...
KK3T2xP/LNRIILmq2iIWHSiuCeiKPLj-vX4nrhtlucDaa9jSf9/qcEjvQgd1euxHl
-----END CERTIFICATE REQUEST-----

Wie funktioniert Client-Authentifizierung?

Möchte ein Benutzer auf einen Server zugreifen, kann der Zugriff mittels Benutzernamen und Passwort oder eines gültigen Clientzertifikates geregelt werden. Die Authentifizierung am Webserver findet mittels SSL-Protokoll statt.

Die Informationen, die das Clientzertifikat des Benutzers enthält, werden bei der Anmeldung an den Server weitergegeben, sodass sich der Benutzer anhand dieser Informationen anmeldet. Greift der User auf unterschiedliche Services innerhalb des Hauptservices zu, werden seine User-Informationen auch an entsprechende Komponentensysteme weitergeleitet; der User wird auch in diesen Systemen angemeldet. Die Authentifizierung des Benutzers selbst findet also innerhalb der zugrundeliegenden Protokolle statt, sodass die Eingabe einer Nutzerkennung und eines Passworts überflüssig werden, jedoch, zum Erhöhen der Sicherheit kombiniert werden können.

Gibt es eine Möglichkeit E-Mail-Zertifikate weiterzuverkaufen bzw. Reseller zu werden?

Wenn Sie E-Mail-Zertifikate an Ihre Kunden weiterverkaufen möchten, ist gegebenenfalls unser EPKI- (bei Zertifikaten für eine Organisation) oder Reseller-Programm (bei Zertifikaten für verschiedene Organisationen für Sie interessant.

Sie erhalten in diesem Fall von uns eine API-Schnittstellenbeschreibung zur Umsetzung des Bestellprozess auf Ihrer Website.

Die Abrechnung erfolgt bei beiden Programmen im Prepaid-Verfahren über Kreditkarte und in der Währung US-Dollar. Je nach Höhe der ersten Vorauszahlung bestimmt sich Ihre Rabattstaffel. Sie können später durch eine entsprechend höhere Vorauszahlung auch in eine höhere Rabattstaffel wechseln, bereits eingezahlte Beträge können dabei jedoch nicht angerechnet werden. Durch die Vorauszahlung per Kreditkarte und die direkte Verrechnung in US-Dollar können wir Ihnen besonders günstige Konditionen anbieten, da wir weder Wechselkursrisiko noch Vorfinanzierungskosten einkalkulieren müssen.

Wünschen Sie weitere Informationen oder haben Sie Fragen? Unser Support steht Ihnen gerne online, per E-Mail oder telefonisch zur Verfügung.

Kann ich mein S/MIME automatisch verlängern lassen?

Falls Sie eine MPKI-Lösung und ein E-Mail-Gateway einsetzen, kann das S/MIME-Zertifikat automatisch verlängert und auf dem E-Mail-Gateway installiert werden.
Sonst ist immer das manuelle Eingreifen, entweder seitens der CA (Zertifizierungsstelle) oder durch den User (z.B. Import des Zertifikates im E-Mail-Client), erforderlich.

Was passiert mit meinen bisherigen verschlüsselten E-Mails, wenn ich ein neues S/MIME-Zertifikat erhalte?

Falls Ihr E-Mail-Zertifikat, mit dem Sie bisher E-Mails signiert und verschlüsselt haben, ausgelaufen ist, können Sie mit dem neuen E-Mail-Zertifikat die alten E-Mails nicht mehr entschlüsseln. Aus diesem Grund ist es wichtig, die privaten Schlüssel ausgelaufener S/MIME-Zertifikate zu sichern. Den öffentlichen Schlüssel müssen Sie hingegen nicht zusätzlich sichern.

Wie kann ich signieren und verschlüsseln, benötige ich eine extra Software?

Eine ausführliche Anleitung, wie Sie E-Mails signieren und verschlüsseln können, finden Sie in unserer Knowledge Base "Wie kann ich mit meinem Kunden und Geschäftspartner sicher per Mail kommunizieren?".

Sind die E-Mails in meinem E-Mail-Account verschlüsselt, wenn ich Sie von zu Hause aufrufe?

Sie müssen das S/MIME Zertifikat mit dem privaten Schlüssel überall dort einbinden, wo Sie Ihre Nachrichten abrufen möchten. Nur dann ist eine verschlüsselte Kommunikation gewährleistet. Je nach Betriebssystemen (Windows, Mac, Linux usw.) und ihr bevorzugtes E-Mail-Programm (Outlook, Thunderbird o.ä.) gibt es verschiedene Wege das Zertifikat einzubinden.

Ich bin Dienstleister und mein Kunde soll nichts mit der Bestellung zu tun haben. Geht das?

Wir korrespondieren nur mit dem technischen Ansprechpartner. Falls Sie die Bestellung selbst abwickeln und auch die Rechnung empfangen möchten, tragen Sie in unserem Bestellformular Ihren Kunden nur als Zertifikatsinhaber ein. Ihre Angaben tragen Sie dementsprechend bei dem technischen Ansprechpartner und Rechnungsempfänger ein.

Bitte haben Sie Verständnis, dass die Bestätigungsemail (zur Verifizierung der E-Mail-Adresse) ausschließlich an die zu zertifizerende E-Mail-Adresse, von den Zertifizierungsstellen, versendet wird.

Kann ich ein E-Mail-Zertifikat deaktivieren, wenn ein Mitarbeiter ausscheidet?

Falls ein E-Mail-Zertifikat auf einen Mitarbeiter (oder nur seine E-Mail-Adresse) ausgestellt wurde und dieser aus dem Unternehmen ausscheidet, kann das betroffene E-Mail-Zertifikat problemlos zurückgezogen (revoked) werden. Auch in diesem Fall gibt es keine Kostenerstattung für die Restlaufzeit.

Was ist der Unterschied zwischen einer signierten und verschlüsselten E-Mail?

Bei einer verschlüsselten Kommunikation zwischen Sender und Empfänger wird zwischen signieren und verschlüsseln unterschieden. Beim Signieren wird dem Empfänger der Nachricht lediglich „bestätigt“ dass die E-Mail tatsächlich vom vorgegebenen Absender stammt und die E-Mail unverändert ist. Eine Voraussetzung beim verschlüsselten und somit sicheren Datenverkehr ist, dass beide (Sender und Empfänger) ein S/MIME Zertifikat korrekt eingebunden haben. Eine weitere Voraussetzung ist, dass Sender und Empfänger schon einmal Signiert miteinander kommuniziert haben. Hierfür reicht eine verschickte Nachricht bereits aus.

Wie gebe ich meinen öffentlichen Schlüssel an Kommunikationspartner weiter?

Wenn Sie Ihrem Kommunikationspartner eine signierte Nachricht senden wird der öffentliche Schlüssel automatisch übermittelt. Ihr Kontakt kann sich dann Ihren öffentlichen Schlüssel auf seinem Rechner oder seinem E-Mail-Client abspeichern.

Wie Installiere ich ein S/MIME-Zertifikat in Outlook?

Eine detaillierte Anleitung zum Einbinden Ihres S/MIME-Zertifikat finden Sie in unserer Knowledge Base. Diese Anleitung bezieht sich auf Mozilla Firefox und Microsoft Outlook.

Wie schütze ich meinen privaten Schlüssel?

Der Schutz Ihres privaten Schlüssels ist von hoher Bedeutung, da der Verlust dazu führen kann, dass Angreifer hiermit Ihre verschlüsselten Informationen einlesen können.

Ein erster Schritt, um diesen zu schützen, ist den privaten Schlüssel niemals zu versenden oder mit anderen Personen zu teilen. Weiterhin können Sie beim Zertifikatsimport oder im PKI Administrator die Exportierbarkeit des privaten Schlüssels selbst steuern, um die Sicherheit Ihres privaten Schlüssels zu maximieren. Gelangt ein Angreifer an Ihren Schlüsselspeicher, sind Ihre Schlüssel vergleichsweise leicht zugänglich aber ohne Ihr Passwort nicht effektiv für den Angreifer nutzbar. Daher sollten Sie Ihre Passwörter so sicher wie möglich wählen, d. h. mindestens 15 Zeichen, Klein- und Großbuchstaben, Zahlen und Sonderzeichen sollten enthalten sein.

Zur weiteren Absicherung empfiehlt sich die Nutzung von Hardware für das Speichern Ihrer Schlüssel. Besonders ratsam ist die Verwendung von kryptografischen Token, damit Ihr Passwort für jede Nutzung benötigt wird.

Für wen empfiehlt sich die Verwendung eines E-Mail-Zertifikats besonders?

Grundsätzlich ist die E-Mail-Verschlüsselung für alle Personen sinnvoll, die vertrauliche Informationen per E-Mail versenden möchten. Bei verschlüsselten E-Mails können Sie sich sicher sein, dass ausschließlich der von Ihnen bestimmte Empfänger die gesendeten Informationen einsehen kann. Die Signatur bestätigt, dass gesendete Nachrichten wirklich von Ihnen ausgehen. Durch das geänderte Datenschutzgesetz sind Berufsgeheimnisträger wie Ärzte oder Steuerberater sogar gesetzlich zur Verschlüsselung Ihrer E-Mail-Kommunikation verpflichtet.

Wie verläuft der Austausch des öffentlichen Schlüssels bei der E-Mail-Verschlüsselung?

Um Ihre E-Mails überhaupt verschlüsseln zu können, benötigen Sie erst einmal ein E-Mail-Zertifikat. Das Zertifikat können Sie direkt bei uns bestellen. Den öffentlichen Schlüssel bekommen Sie von der Zertifizierungsstelle. Für die verschlüsselte Kommunikation ist der Wechsel der öffentlichen Schlüssel essenziell. Der Austausch läuft wie folgt ab: Sie schreiben eine signierte E-Mail an Ihren Kommunikationspartner. Hierdurch erlangt Ihr Kommunikationspartner den öffentlichen Schlüssel, dieser wird z.B. in Outlook automatisch gespeichert. Im Gegenzug erhalten Sie auch eine signierte E-Mail zurück, wodurch Sie den öffentlichen Schlüssel erhalten, dieser wird automatisch bei Ihnen gespeichert. Ab diesem Zeitpunkt kann die E-Mail-Kommunikation verschlüsselt stattfinden.

Ist es möglich E-Mail-Verschlüsselung auch über Mobilgeräte zu nutzen?

E-Mail-Verschlüsselung kann grundsätzlich schon auf mobilen Geräten genutzt werden. Hierfür müssen Sie nur das S/MIME-Zertifikat, das an Ihre E-Mail-Adresse versandt wurde auf Ihrem Mobilgerät installieren. Das funktioniert in der Regel mit Doppelklick auf Ihr Zertifikat. Anschließend können Sie in Ihren Einstellung das Zertifikat selektieren.

Was sind Gateway-Zertifikate zur E-Mail-Verschlüsselung?

Das Alleinstellungsmerkmal von Gateway-Zertifikaten besteht darin, dass das Verschlüsseln und Signieren Ihrer E-Mails in gewisser Weise automatisch funktioniert. Gateway-Zertifikate verursachen im Unternehmen dadurch weniger Aufwand als die Installation eines E-Mail-Clients auf jedem einzelnen Rechner.

Die Verschlüsselung und Signierung bei einer Gateway-Lösung funktioniert über ein dezidiertes E-Mail-Gateway, welches im Unternehmensnetzwerk sitzt. Durch das Gateway kann die Verschlüsselung über den Server erfolgen. Hier wird nicht nur Mehraufwand vermieden, sondern auch Gefahren durch unwissende Mitarbeiter.

Erfolgt der Schlüsselaustausch bei der E-Mail-Kommunikation einmalig?

Der Austausch der öffentlichen Schlüssel erfolgt zu Beginn der E-Mail-Kommunikation durch das Versenden einer signierten E-Mail an den Kommunikationspartner. Damit ist der Schlüsselaustausch bereits erfolgt. Allerdings muss dieser bei jedem neuen Kontakt einmal zu Beginn der Kommunikation erneut erfolgen.

Wie erhalte ich genauere Informationen über die E-Mail-Verschlüsselung?

Wir, die PSW GROUP, haben uns an TeleTrusts Initiative beteiligt, einen Leitfaden rund um die E-Mail-Verschlüsselung zu erstellen. Sie können diesen völlig kostenfrei unter diesem Link als PDF-Datei herunterladen.

Wir geben Ihnen hier 70 Seiten an Informationen über die Gründe für die Verwendung der E-Mail-Verschlüsselung, aktuelle Technologien, die Funktionsweise, verschiedene Verschlüsselungsarten sowie die Anwendung der E-Mail-Verschlüsselung.

Da die E-Mail-Verschlüsselung mittlerweile in allen Unternehmen gängigstes Kommunikationsmittel ist und auch privat vermehrt genutzt wird, ist die Verschlüsselung dieses Kommunikationsweges besonders relevant. In dem Leitfaden erhalten Sie alle wichtigen Informationen über den Schutz vor Datenverlusten oder –manipulation über den Weg der Mail. Weiterhin haben wir Ihnen relevante Aspekte des Leitfadens auf unserem Blog kompakt zusammengefasst.