Aktualisiert am 21. März 2025

Signieren und verschlüsseln von Emails mit S/MIME

Ab der Version 5.4 verfügt Winoffice Prime über die Möglichkeit, ausgehende Emails zu verschlüsseln und eingehende zu entschlüsseln. Winoffice Prime verwendet hierfür das S/MIME Verfahren. Das Verfahren basiert auf einem digitalen Schlüsselpaar bestehend aus einem privaten (Private Key) und einem öffentlichen Schlüssel (Public Key).

Während der Public Key ohne Bedenken an all Ihre Emailkontakte verteilt werden kann, muss der Private Key sicher aufbewahrt werden und darf nur Ihnen zugänglich sein.

Sobald einer Ihrer Emailkontakte den Public Key erhalten und in seinem Emailsystem gespeichert hat, ist er in der Lage, Ihnen damit verschlüsselte Nachrichten zu senden, welche nur Sie unter Verwendung Ihres Private Key entschlüsseln können.

Dadurch wird gewährleistet, dass eine verschlüsselte Email auf dem Weg zwischen Absender und Empfänger von keiner unberechtigten Person abfangen und gelesen werde kann. Neben der Verschlüsselung bietet S/MIME auch die Möglichkeit, Emails digital zu signieren. Diese Signatur schützt Emails auf folgende Weise:

Sie verifiziert die Identität des Absenders, so dass der Empfänger sicher sein kann, dass die Email vom deklarierten Absender stammt.
Sie erkennt, wenn nach dem Versand der Email unerlaubte Änderungen daran vorgenommen werden.

In den nachfolgenden Kapiteln werden die Schritte für die Einrichtung und Verwendung von S/MIME Zertifikaten in Winoffice Prime beschrieben.

Beschaffung des S/MIME Zertifikats

Pro Emailkonto, mit anderen Worten pro Emailadresse, wird ein S/MIME Zertifikat benötigt. Zertifikate sind verfügbar in drei Klassen:

Klasse 1: Das Zertifikat bestätigt die Echtheit der verwendeten Emailadresse.
Klasse 2: Neben der Emailadresse wird auch der Name der zugehörigen Person oder des Teams sowie der Name des Unternehmens bestätigt.
Klasse 3: Diese Klasse von Zertifikaten erfordert, dass sich der Antragsteller zuvor persönlich ausweist.

Die Stärke der Verschlüsselung sowie der Signatur ist für alle drei Klassen identisch. Die Wahl der Klasse richtet sich somit einzig nach der von Ihnen gewünschten Aussagekraft. Sie sollten die notwendigen S/MIME Zertifikate von einem vertrauenswürdigen Aussteller beziehen.

Hinweis Die Akzeptanz von S/MIME Zertifikaten hängt von den eingesetzten Emailsystemen sowie von den darunterliegenden Betriebssystemen ab. Die Beschaffung eines Zertifikats von einem vertrauenswürdigen Aussteller ist keine Garantie für dessen allseitige Akzeptanz

Fragen Sie im Bedarfsfall Ihren IT Betreuer nach der Bezugsquelle für S/MIME Zertifikate.

Bitte beachten Sie

Grundsätzlich ist es möglich, ein Zertifikat auch selbst zu erstellen. Solche sog. Self-Signed Certificates werden in der Regel als nicht vertrauenswürdig zurückgewiesen, weshalb von dieser Praxis abgeraten wird.

Inbetriebnahme und Nutzung

Nach der Ausstellung eines S/MIME Zertifikats kann dieses im betreffenden Emailkonto mit Hilfe der dort verfügbaren Aktion Zertifikat hochladen importiert werden.

Das Zertifikat wird danach automatisch für das Signieren aller von diesem Emailkonto ausgehenden Emails verwendet.

Wie Winoffice Prime mit signierten Emails umgeht

Nach dem Hochladen des S/MIME Zertifikats steht im betreffenden Emailkonto die Einstellung Emails immer signieren zur Verfügung. Ist diese Einstellung aktiv, werden sämtliche von diesem Emailkonto ausgehenden Emails signiert.

Die Signatur enthält auch den öffentlichen Schlüssel des verwendeten Zertifikates. Auf diese Weise verteilen Sie gleichzeitig mit der Signatur auch den öffentlichen Schlüssel.

Ein gelber Balken unterhalb der Symbolleiste einer Email zeigt bei eingehenden Emails an, ob diese signiert sind und einen noch nicht importierten öffentlichen Schlüssel enthalten. Falls gewünscht, kann der öffentliche Schlüssel mit einem Klick auf den gelben Balken importiert werden.

Wie Winoffice Prime mit verschlüsselten Emails umgeht

Eingehende und verschlüsselte Emails werden beim Import entschlüsselt. Gleichzeitig erhalten sie die Veröffentlichungssicherheit Privat ungeachtet der entsprechenden Einstellungen im Emailkonto des Empfängers. Mit anderen Worten wird die Verschlüsselung zwar aufgehoben, jedoch bleibt die Email für unbefugte nicht sicht- und lesbar.

Umgekehrt werden ausgehende Emails beim Versand verschlüsselt und werden als unverschlüsselte Kopie mit der Veröffentlichungssicherheit Privat in WInoffice Prime gespeichert.

Gegenüber dem Speichern der Emails in verschlüsseltem Zustand hat dieses Verfahren zwei wichtige Vorteile:

Emails bleiben auch dann lesbar, wenn das für die Verschlüsselung verwendete Zertifikat abläuft, zurückgezogen wird oder verloren geht;
Emails können mit Hilfe der Veröffentlichungssicherheit auch für Mitarbeiter publiziert werden, welche in ihrem Emailkonto über kein Zertifikat für die Entschlüsselung bestimmter Nachrichten verfügen.

Generelle Hinweise

Beim Empfang von Emails prüft Winoffice Prime deren Vertrauenswürdigkeit und zeigt diese anhand eines Badge Icons links neben der Absenderadresse an. Die Vertrauenswürdigkeit der Verschlüsselung wird durch ein farbcodiertes Schlossicon links neben dem Emailbetreff angezeigt. Für Team Emailkonten importierte S/MIME Zertifikate werden für das Signieren ausgehender Emails verwendet. Der Versand verschlüsselter Emails von Team Emailkonten ist nicht unterstützt. Von Team Emailkonten empfangene verschlüsselte Emails werden an den Absender zurückgewiesen. Einladungen für Meetings sowie die Antworten auf Meetingeinladungen werden immer unverschlüsselt und unsigniert versendet.