Sicherheitswarnung zur Signatur von Bürger-CERT-Mails

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) betreibt mit dem Bürger-CERT einen Informationsdienst, der Abonnenten per E-Mail über Entwicklungen im Bereich Sicherheit und akute Sicherheitsprobleme auf dem Laufenden hält. Auf Wunsch versieht das BSI die Mails mit einer S/MIME-Signatur. Sie soll Empfänger davor schützen, auf gefälschte Warnungen hereinzufallen. Leider bemängeln Mail-Clients und Webmailer die vom BSI verwendete Signatur als ungültig, da sie das Zertifikat nicht überprüfen können.

Der Zertifizierungspfad beginnt bei "PCA-1-Verwaltung-10", dem Wurzelzertifikat der Verwaltungs-PKI (Public-Key-Infrastruktur). Das BSI betreibt diesen "Sicherungsanker" seit 2001. Leider wurde er bis heute nicht in die Listen vertrauenswürdiger CAs gängiger Software und Dienste aufgenommen. Daher muss man das Root-Zertifikat der Verwaltungs-PKI manuell in die Schlüsselverwaltung des verwendeten Programms importieren, damit es die Gültigkeit der Unterschrift erkennt. Das Zertifikat kann man im Impressum des Bürger-CERT herunterladen. Ein c't-Artikel beschreibt unter anderem den Import von S/MIME-Zertifikaten in verschiedene Programme.

Wie sollen sich jedoch Nutzer von Webmailern verhalten? Das BSI empfahl auf unsere Anfrage hin: "Bei der Benutzung von Webmailern wie GMX können Benutzer ggf. Root-Zertifikate nicht selbst importieren, um die Gültigkeit des BSI-Zertifikats verifizieren zu können. Eine Möglichkeit wäre hier, zu prüfen, ob GMX bzw. auch andere Anbieter das Root-Zertifikat zentral aktivieren können." Das BSI erklärte weiter, dass es vorerst kein Zertifikat eines externen Dienstleisters verwenden werde, dessen Root-Zertifikat in gängigen Mail-Programmen und -Diensten vorinstalliert ist. Das habe auch den Hintergrund, "dass in den letzten Jahren mehrfach PKIs von Zertifikatsanbietern kompromittiert wurden". (ad)