S/MIME (Secure/Multipurpose Internet Mail Extensions) ist ein weit verbreiteter Standard für die Ende-zu-Ende-Verschlüsselung und digitale Signatur von E-Mails. Im Gegensatz zur Transportverschlüsselung (z. B. TLS zwischen Mail-Servern) schützt S/MIME den Inhalt der E-Mail selbst. So ist der Inhalt der E-Mail selbst für die Server, die sie weiterleiten, unzugänglich.

Das Verfahren basiert auf asymmetrischer Kryptographie (Public-Key-Verfahren) und nutzt X.509-Zertifikate statt reiner Schlüsselpaare. Das Zertifikat bestätigt Ihre Identität durch eine Certificate Authority (CA) und enthält Ihren öffentlichen Schlüssel.

 

Vorteile von S/MIME

• Nahtlose Integration in die meisten E-Mail-Clients (Thunderbird, Outlook, Apple Mail usw.)
• Automatische Prüfung der Zertifikatskette bis zu einer vertrauenswürdigen Root-CA
• Besonders gut geeignet für Unternehmen und Behörden

Nachteil:

Sie benötigen ein gültiges Zertifikat. Diese sind oft kostenpflichtig bei öffentlichen CAs, es gibt aber auch kostenlose oder selbstsignierte Varianten.

 

Wie läuft der Prozess mit Open-Source ab?

Die beliebteste Open-Source-Kombination ist Mozilla Thunderbird (E-Mail-Client) zusammen mit OpenSSL (für Zertifikatserstellung) oder einer eigenen CA. Thunderbird unterstützt S/MIME nativ – es ist kein zusätzliches Plugin nötig.

 

1. Vorbereitung: Zertifikat erstellen und einrichten (einmalig)

• Öffentliches und privates Schlüsselpaar erzeugen: Thunderbird kann das direkt, alternativ über OpenSSL.
• Certificate Signing Request (CSR) erstellen: Sie senden Ihren öffentlichen Schlüssel an eine CA.
• Zertifikat erhalten:
  • Kostenlos: Bei manchen Anbietern (z. B. über ACME-basierte Tools) oder selbstsigniert mit einer eigenen
  • Open-Source-CA (OpenSSL, step-ca)
  • Öffentlich vertrauenswürdig: Bei CAs wie Sectigo, DigiCert, GlobalSign oder kostenlosen Testzertifikaten (oft 1 Jahr gültig)

Das Zertifikat (bestehend aus Public Key + Identitätsnachweis) importieren Sie in Thunderbird unter:
Kontoeinstellungen → Ende-zu-Ende-Verschlüsselung → S/MIME

Mit Open-Source-Tools wie OpenSSL können Sie sogar eine komplette eigene CA aufbauen und Zertifikate für mehrere Nutzer ausstellen – ideal für kleine Teams oder Privatnutzung.

 

2. Digitale Signatur (Authentizität + Integrität)

Beim Versenden einer signierten E-Mail:

1. Ihr E-Mail-Client (Thunderbird) nimmt den Inhalt der E-Mail (Text + Anhänge).
2. Er erstellt einen Hash-Wert (eine Art Fingerabdruck) der Nachricht.
3. Dieser Hash wird mit Ihrem privaten Schlüssel signiert.
4. Signatur + Zertifikat werden als Anhang (meist smime.p7s) der E-Mail hinzugefügt.

Der Empfänger:

• Prüft die Zertifikatskette bis zur Root-CA (vertraut die CA?)
• Verifiziert die Signatur mit Ihrem öffentlichen Schlüssel

Ergebnis: Die E-Mail stammt wirklich von Ihnen und wurde nicht verändert.

 

3. Verschlüsselung (Vertraulichkeit)

Beim Versenden einer verschlüsselten E-Mail (oft kombiniert mit Signatur):

1. Der Absender braucht das Zertifikat des Empfängers (öffentlicher Schlüssel). Dieses erhält man meist automatisch, indem man vorher eine signierte E-Mail von ihm bekommen hat (Thunderbird speichert es).
2. Der Client erzeugt einen zufälligen symmetrischen Sitzungsschlüssel (schnell, z. B. AES).
3. Die gesamte E-Mail (inkl. Anhänge) wird mit diesem Sitzungsschlüssel verschlüsselt.
4. Der Sitzungsschlüssel selbst wird mit dem öffentlichen Schlüssel des Empfängers verschlüsselt.
5. Beides wird als application/pkcs7-mime (Dateiendung oft .p7m) verpackt und versendet.

Der Empfänger:

• Entschlüsselt zuerst den Sitzungsschlüssel mit seinem privaten Schlüssel
• Entschlüsselt dann die eigentliche E-Mail mit dem Sitzungsschlüssel

Nur der Besitzer des passenden privaten Schlüssels kann die Nachricht lesen – selbst der Mail-Provider sieht nur verschlüsselten Inhalt.

 

4. Praktische Nutzung in Thunderbird (Open-Source)

• Neue E-Mail schreiben → Buttons für „Signieren“ und „Verschlüsseln“ erscheinen (oder automatisch aktivieren)
• Thunderbird warnt, wenn das Zertifikat des Empfängers fehlt oder abgelaufen ist
• Gesendete verschlüsselte Mails können lokal entschlüsselt gespeichert werden (mit Ihrem eigenen Zertifikat)

 

Wichtige Hinweise

• Kompatibilität: S/MIME und OpenPGP (die andere große Open-Source-Methode mit GnuPG) sind nicht kompatibel. Sie können nicht mit S/MIME an jemanden verschlüsseln, der nur OpenPGP nutzt.
• Open-Source-Vorteil: Alles läuft lokal, keine Cloud-Abhängigkeit. Mit OpenSSL können Sie vollständig selbstbestimmt eine CA betreiben.
• Grenzen: Zertifikate laufen ab (meist 1–3 Jahre). Bei selbstsignierten Zertifikaten muss der Empfänger Ihr Zertifikat manuell als vertrauenswürdig markieren.
• Empfehlung für den Einstieg: Thunderbird + kostenloses Testzertifikat von einer CA oder eine eigene OpenSSL-CA für Tests.

 

Wir unterstützen Unternehmen bei der Einführung, Umsetzung und Auditierung von Managementsystemen zur IT-Sicherheit – darunter ISO 27001, TISAX, NIS-2 und weitere Standards.

 

Unser Angebot für Sie:

• Beratung bei Einführung und Umsetzung von ISMS nach ISO 27001
• Vorbereitung auf BSI-/BNetzA-Prüfungen und KRITIS-Nachweise (NIS-2)
• Durchführung interner Audits zur Vorbereitung auf Zertifizierungen
• Begleitung bei externen Audits und Zertifizierungen
• Schulung von Mitarbeitern zu Informationssicherheit

 

 

Kontaktieren Sie uns noch heute!
Für ein unverbindliches Erstgespräch – wir beraten Sie
zu DSGVO und Website-Compliance.

Herunterladen von Thunderbird (E-Mail-Client)
https://www.thunderbird.net/de/thunderbird/all/

Praxisguide zur Installation von OpenSSL auf verschiedenen Systemen
https://fixmycert.com/guides/openssl-installation

Zertifikate gibt es günstig bei Sectigo
https://www.sectigo.com/de

Beratung und Audit zu Datenschutz (DSGVO)
https://www.tec4net.com/web/datenschutz/

ISO/IEC 27001 – Informationssicherheitsmanagement
https://www.iso.org/isoiec-27001-information-security.html

ISO/IEC 27002 – Sicherheitsmaßnahmen für ISMS
https://www.iso.org/standard/75652.html