Rechtliches

E-Mail-Sicherheit

Zur Absicherung der E-Mail-Kommunikation hat die Carl Zeiss AG ein Secure E-Mail-Gateway aufgebaut. Mit Hilfe dieser Lösung können Partner und Kunden vertrauliche und elektronisch unterzeichnete E-Mails im verbreiteten S/MIME-Standard sowie mit PGP sicher austauschen. Sie benötigen hierzu ein vertrauenswürdiges digitales Zertifikat und ein S/MIME-fähiges oder PGP-fähiges E-Mail-Programm.

PKI Disclosure Statement
Email Certification Authority

Dieses Dokument beschreibt, welchen Verpflichtungen die Zertifikatsinhaber und die externen Kommunikationspartner unterliegen und wie die Haftung im Schadensfall geregelt ist.

Funktion und Struktur

Wie funktioniert Secure E-Mail?

Der Austausch sicherer E-Mails basiert auf digitalen Zertifikaten, die sowohl für die Signatur als auch die Verschlüsselung verwendet werden. Die Zertifikate stellen damit praktisch einen digitalen Ausweis dar.

Mit dem digitalen Zertifikat können elektronisch signierte E-Mails versendet werden. Modifikationen auf dem Transportweg sind damit erkennbar, ebenso kann die Herkunft eindeutig zugeordnet werden. Damit ist die Integrität und Authentizität einer E-Mail gewährleistet.

Die Verschlüsselung wird benutzt, um vertrauliche Informationen sicher zu versenden. Hierfür ist ebenfalls ein Zertifikat des Empfängers (der öffentliche Schlüssel) erforderlich. Damit ist vor dem erstmaligen Anwenden der Verschlüsselung der Austausch der öffentlichen Schlüssel erforderlich. Im Fall von S/MIME genügt in der Regel der Austausch von signierten E-Mails. Das digitale Zertifikat steht dann nach automatischem oder manuellen Import im Mailprogramm zur Verfügung. Bei PGP muss der öffentliche PGP-Schlüssel als Anhang an eine E-Mail versandt werden.

Zertifizierungsinfrastruktur

Die PKI der Carl Zeiss AG besteht aus einer zweistufigen Zertifizierungsinfrastruktur, mit zwei Certification Authorities (CAs), der Root-CA der Carl Zeiss AG und der Betriebs-CA für das E-Mail-Gateway.

Die Root-CA wird ausschließlich dazu verwendet, um andere (nachgeordnete) CAs zu zertifizieren.

Die ausgestellten Zertifikate dürfen ausschließlich für die Sicherung der E-Mail-Kommunikation im Zusammenhang mit Geschäftsangelegenheiten der Carl Zeiss AG verwendet werden. Eine Verwendung dieser Zertifikate für andere Zwecke ist nicht zulässig.

Die Zertifikate der CAs sowie die aktuellen Widerrufslisten werden unter Zertifikate bereitgestellt.

Zertifikate

Zertifikate Download
Ausstellerzertifikat

Die Ausstellerzertifikate der Carl Zeiss AG (Root Certificates) können anhand der folgenden "Fingerabdrücke" (finger prints) auf ihre Echtheit überprüft werden:

Ausstellerzertifikat SHA-2 ("Carl Zeiss E-Mail CA-2028")

Ausstellerzertifikat SHA-2 ("Carl Zeiss AG Root-CA-2036")

Ausstellerzertifikat SHA-1 ("Carl-Zeiss-E-Mail-CA")

Ausstellerzertifikat SHA-1 ("Carl Zeiss AG Root")

Zertifikate von Mitarbeitern der Carl Zeiss AG

Die Carl Zeiss AG gibt Zertifikate an Inhaber von E-Mail-Adressen, insbesondere an die Mitarbeiter der Carl Zeiss Gruppe aus. Wenn Sie ein solches Zertifikat benötigen, z. B. um eine verschlüsselte E-Mail an Mitarbeiter der Carl Zeiss AG zu senden, dann fordern Sie einfach eine signierte E-Mail oder den öffentlichen PGP Schlüssel von seinem Inhaber an. In der Terminologie der EU-Direktive 1999/93/EG und dem Deutschen Signaturgesetz vom 16.05.2001 handelt es sich hier um "fortgeschrittene Zertifikate".

Statusinformationen

Um vor Missbrauch zu schützen, können und müssen Zertifikate gesperrt werden. Informationen über den Status (gesperrt/nicht gesperrt) von Zertifikaten der Carl Zeiss AG werden regelmäßig als Sperrliste (certificate revocation list, CRL) veröffentlicht. Im Fall einer Sperrung eines Zertifikats wird umgehend eine neue Sperrliste ausgestellt und veröffentlicht.

applications.zeiss.com/cert/CRL of root CA

applications.zeiss.com/cert/CRL of email CA

CRL of email CA 2016

CRL of email CA 2028

Viele E-Mail Programme können diese Sperrlisten automatisch und in regelmäßigen Zeitabständen abrufen. Evtl. müssen Sie dazu noch die unten stehenden Adressen (URLs) angeben. Sollte ihr E-Mail-Client die automatische Aktualisierung nicht unterstützen, kann die Sperrliste hier manuell heruntergeladen und im E-Mail-Client importiert werden.

Hinweise

Falls Sie signierte E-Mails von der Carl Zeiss AG erhalten, deren Signatur nicht verifiziert werden kann, prüfen sie folgende Punkte:

  • Ihr E-Mail Programm muss das Carl Zeiss AG Ausstellerzertifikat (Root Certificate) und das Secure E-Mail Ausstellerzertifikat kennen und ihnen als Aussteller von E-Mail-Zertifikaten vertrauen. Beide Zertifikate können Sie unter Zertifikate herunterladen; das Vertrauen müssen Sie in ihrem E-Mail Programm einstellen.
  • Evtl. benötigt ihr Programm die Sperrliste beider CAs (certificate revocation list, CRL), d. h. aktuelle Informationen über gesperrte Zertifikate der Carl Zeiss AG.
  • Falls Sie keine verschlüsselten E-Mails an einen Mitarbeiter der Carl Zeiss AG senden können, so fehlt Ihnen wahrscheinlich dessen digitales Zertifikat.
  • Lassen Sie sich als S/MIME-Nutzer eine signierte E-Mail von Ihrem Kommunikationspartner der Carl Zeiss AG zusenden; diese enthält das Zertifikat. Viele E-Mail-Programme extrahieren und speichern das Zertifikat automatisch, einige müssen über eine spezielle Funktion dazu aufgefordert werden.
  • Als PGP-Nutzer fordern Sie bitte den öffentlichen PGP- Schlüssel Ihres Kommunikationspartners der Carl Zeiss AG an und importieren Sie diesen in Ihren PGP Keyring.
  • Prüfen Sie, ob die von der Carl Zeiss AG erhaltene signierte E-Mail verifiziert werden konnte. Andernfalls verfahren Sie wie im vorherigen Abschnitt beschrieben. Nur dann funktioniert der Zertifikatsimport.

Bei weiteren Fragen kontaktieren Sie bitte Ihren IT-Support. Ihre Zertifizierungsstelle kann Ihnen auch weitere Informationen zur Verfügung stellen.

Public Key Disclosure Statement

Carl Zeiss stellt für Mitarbeiter und Geschäftspartner digitale Zertifikate nach den Bestimmungen des Public Key Disclosure Statement aus.

Die nachfolgend aufgeführten Dokumente der Carl Zeiss Public Key Infrastruktur (PKI) können bei Bedarf von der im „Public Key Disclosure Statement“ benannten Kontaktadresse bezogen werden.

Certification Policy & Certification Practice Statement CP/CPS der:

Carl Zeiss AG Root Certification Authority
Carl Zeiss AG E-Mail Certification Authority