Aufgaben – Verschlüsselung in der Praxis
Diese Aufgaben orientieren sich am Format und Anforderungsniveau der IHK-Abschlussprüfung für Fachinformatiker. Jede Aufgabe beschreibt eine realistische Arbeitssituation und enthält mehrere Teilaufgaben mit unterschiedlichen Aufgabentypen (Erklären, Auswählen, Planen, Bewerten).
Aufgabe 5 – E-Mail-Sicherheit und Zertifikatsinfrastruktur (14 Punkte)
Handlungssituation:
Die Techwerk GmbH möchte ihre interne und externe E-Mail-Kommunikation absichern. Aktuell werden E-Mails ohne Signatur oder Verschlüsselung versandt. Es kommt zu Phishing-Versuchen, bei denen Angreifer E-Mails mit der Absenderadresse @techwerk.de fälschen. Außerdem soll die Geschäftsführung in Zukunft E-Mails digital signieren.
Teilaufgabe 5a (4 Punkte)
Erklärt, wie die drei DNS-basierten Maßnahmen SPF, DKIM und DMARC zusammenarbeiten, um E-Mail-Spoofing zu verhindern. Geht auf die Aufgabe jedes einzelnen Mechanismus ein.
Teilaufgabe 5b (4 Punkte)
Für die digitale Signatur der Geschäftsführung soll S/MIME eingesetzt werden.
a) Welche Infrastruktur muss dafür vorhanden sein?
b) Erläutert, was der Empfänger einer signierten E-Mail damit überprüfen kann – und was er nicht überprüfen kann.
Teilaufgabe 5c (2 Punkte)
Ein externer Partner der Techwerk GmbH nutzt PGP statt S/MIME. Der Partner möchte eine verschlüsselte E-Mail an einen Techwerk-Mitarbeiter schicken.
Welchen Schlüssel benötigt der Partner dafür, und wie kann er diesen sicher erhalten?
Teilaufgabe 5d (4 Punkte)
Die IT-Abteilung erwägt, eine interne Certificate Authority (CA) aufzubauen, um S/MIME-Zertifikate für alle Mitarbeiter auszustellen.
Beurteilt diesen Ansatz: Welche Vorteile bietet eine eigene CA im Vergleich zu einer externen kommerziellen CA? Welche Nachteile und Risiken müssen berücksichtigt werden?
Musterlösungen
Aufgabe 5a: SPF (Sender Policy Framework): Ein DNS-TXT-Eintrag legt fest, welche Mailserver E-Mails für
@techwerk.deversenden dürfen. Eingehende Server prüfen den sendenden Server gegen diesen Eintrag. DKIM (DomainKeys Identified Mail): Ausgehende E-Mails werden mit dem Private Key der Domain signiert. Der Empfänger prüft die Signatur mit dem öffentlichen DKIM-Schlüssel aus dem DNS. Stellt Integrität und Absenderauthentizität sicher. DMARC (Domain-based Message Authentication, Reporting & Conformance): Baut auf SPF und DKIM auf und legt fest, was mit Mails geschehen soll, die beide Prüfungen nicht bestehen (z. B. ablehnen, in Spam verschieben). Erzwingt die Nutzung von SPF und/oder DKIM.
Aufgabe 5b: a) Es muss eine Public Key Infrastructure (PKI) vorhanden sein: eine Certificate Authority (CA), die S/MIME-Zertifikate ausstellt, die den Mitarbeiter als E-Mail-Inhaber bestätigen. b) Der Empfänger kann prüfen: ob die E-Mail tatsächlich vom angegebenen Absender stammt (Authentizität) und ob die E-Mail seit dem Signieren nicht verändert wurde (Integrität). Nicht prüfen: ob der Inhalt der E-Mail vertraulich ist – Signatur ≠ Verschlüsselung. Für Vertraulichkeit müsste die E-Mail zusätzlich mit dem Public Key des Empfängers verschlüsselt werden.
Aufgabe 5c: Der Partner benötigt den Public Key des Techwerk-Mitarbeiters. Sicherer Bezug: direkt vom Mitarbeiter per signierter E-Mail, über einen öffentlichen Key-Server (mit Fingerabdruck-Verifikation über sicheren Kanal) oder persönlicher Schlüsselaustausch (Key Signing Party).
Aufgabe 5d: Vorteile eigene CA: Volle Kontrolle über Zertifikatsaustellung und -richtlinien, keine laufenden Kosten pro Zertifikat, Zertifikate können für beliebige interne Domains ausgestellt werden. Nachteile/Risiken: Das Root-Zertifikat der eigenen CA muss auf allen Clients manuell verteilt und als vertrauenswürdig markiert werden; externe Partner vertrauen der CA standardmäßig nicht. Der Kompromiss der CA gefährdet alle ausgestellten Zertifikate. Der Betrieb einer CA erfordert hohe Sorgfalt (Offline-Root-CA, sicherer Schlüsselspeicher). Empfehlung: Für rein interne Kommunikation sinnvoll; für E-Mails mit externen Partnern besser eine öffentliche CA nutzen.