tools

E-Mails kostenlos signieren & verschlüsseln mit S/MIME Zertifikaten

Von peter portmann,

Veröffentlicht am 11. Juli 2026   —   10 min Lesezeit

macoswindowscomputer
Nano Banana 2
🔐
Das S/MIME-Zertifikat schützt die geschäftliche Identität, indem es dem Empfänger wie ein digitales Siegel die Echtheit und Unverfälschtheit einer E-Mail garantiert. Gleichzeitig verhindert die Verschlüsselung das Mitlesen sensibler Daten auf dem Transportweg durch das Internet. Im Geschäftsumfeld sichert diese Kombination somit das Vertrauen der Kunden und erfüllt wichtige Anforderungen an den Datenschutz.

Vor Jahren hatte ich jeweils PGP Zertifikate erstellt, um sensible Patientendaten zu verschlüsseln. Das ist komplexer als S/MIME und bedingt einen Empfänger, der auch ein Zertifikat besitzt und sich mit der Materie auskennt. Irgendwann hatte sich dann der HIN E-Mail-Dienst auch bei den Zahnärzten etabliert. Derzeit führt in der Schweiz kaum ein Weg an einem kostenpflichtigen HIN-Abo vorbei, um die Datenschutzrichtlinien im medizinischen E-Mail-Verkehr praxistauglich umzusetzen.

Für Recherche und als Grundlage für diesen Text habe ich unter anderem Gemini verwendet. Das Headerbild konnte ich mit Nano Banana 2 und einem einzigen Prompt erstellen.


S/MIME im Vergleich mit PGP

Obwohl sowohl S/MIME als auch PGP (Pretty Good Privacy) demselben Zweck dienen, nämlich E-Mails zu verschlüsseln und zu signieren, unterscheiden sie sich grundlegend in ihrer Philosophie und technischen Struktur.

Das Kernprinzip: Wer vertraut wem?

Der grösste Unterschied liegt darin, wie die Echtheit eines Schlüssels überprüft wird (Trust-Modell).

  • S/MIME (Zentralisiertes Vertrauen): Basiert auf einer klassischen Hierarchie. Das Zertifikat wir von einer offiziellen, im System hinterlegten Zertifizierungsstelle (CA) wie Actalis, SwissSign oder DigiCert bezogen. Der Mac oder der PC vertraut dieser CA, und weil das Zertifikat von dieser unterschrieben ist, vertraut das Gerät auch dem Zertifikat.
  • PGP (Dezentrales Vertrauen / Web of Trust): Hier gibt es keine Behörden. Jeder erstellt seine Schlüssel selbst auf dem eigenen Rechner. Vertrauen entsteht dadurch, dass sich Nutzer gegenseitig digital unterschreiben: 'Ich kenne den Besitzer dieser E-Mail-Adresse persönlich und bestätige, dass dieser PGP-Schlüssel ihm gehört.'

S/MIME vs. PGP im direkten Vergleich

Kriterium S/MIME PGP / OpenPGP
Vertrauensmodell Zentralisiert (Zertifizierungsstellen / CA) Dezentral (Web of Trust / Direktes Vertrauen)
Einrichtung Einfach: Einmal importieren, läuft meist automatisch. Aufwendiger: Schlüssel müssen manuell erzeugt/ausgetauscht werden.
Native Unterstützung Sehr hoch: In Apple Mail, Outlook und iOS ohne Zusatzsoftware integriert. Gering: Benötigt meist Plugins oder spezielle Clients (Thunderbird).
Kosten Für geschäftliche Nutzung oft kostenpflichtig. In der Regel kostenlos und Open Source.
Einsatzbereich Standard im Unternehmensumfeld, Behörden und Behördenkommunikation. Beliebt bei Aktivisten, Journalisten und im Tech-Bereich.

Was ist besser?

  • S/MIME gewinnt beim Komfort: Da Apple Mail dein S/MIME-Zertifikat direkt versteht (wie du gerade selbst gemerkt hast), ist es für den normalen Geschäftsalltag extrem komfortabel. Empfänger müssen nichts installieren, um deine Signaturen zu prüfen.
  • PGP gewinnt bei der Unabhängigkeit: Du bist von keinem Unternehmen und keiner Zertifizierungsstelle abhängig. Es kann dir von niemandem gesperrt oder entzogen werden, erfordert von beiden Kommunikationspartnern aber technisches Grundwissen.

Was ist eine .p12 Datei?

Eine .p12-Datei (auch bekannt unter der älteren Dateiendung .pfx) ist im Grunde ein digitaler, passwortgeschützter 'Sicherheitscontainer'. Technisch basiert das Format auf dem PKCS#12-Standard (Public-Key Cryptography Standards #12).

Der Hauptzweck einer .p12-Datei ist es, hochsensible kryptografische Schlüssel und Zertifikate gebündelt und sicher von einem Ort an einen anderen zu transportieren – zum Beispiel von der Zertifizierungsstelle auf das jeweilige Betriebssystem.

Hier ist die genaue Funktionsweise und der Aufbau dieses Formats:

Was steckt in einer .p12-Datei?

Anstatt mehrere separate Dateien für die Verschlüsselung verwalten zu müssen, packt das .p12-Format alles in ein einziges Archiv. Typischerweise enthält es:

  • Den privaten Schlüssel (Private Key): Das ist das wertvollste Stück. Dieser wird benötigt, um E-Mails zu entschlüsseln oder Nachrichten digital zu signieren. Er darf niemals in unbefugte Hände gelangen.
  • Das öffentliche Zertifikat (Public Certificate): Dieses enthält den öffentlichen Schlüssel (Public Key), den andere benötigen, um verschlüsselte Mails an diese Adresse zu senden.
  • Die Zertifikatskette (CA-Zertifikate): Oft sind auch die Zertifikate der ausstellenden Behörden (Root- und Intermediate-CAs) enthalten. Sie beweisen dem Betriebssystem, dass das Zertifikat von einer vertrauenswürdigen Quelle stammt.

Die wichtigsten Merkmale

  • Verschlüsselung und Passwortschutz: Da der private Schlüssel enthalten ist, ist die gesamte .p12-Datei standardmässig stark verschlüsselt. Sie kann ohne das dazugehörige Export-Passwort nicht geöffnet oder importiert werden. Das schützt den Inhalt, falls die Datei abgefangen wird.
  • Binäres Format: Im Gegensatz zu .pem- oder .crt-Dateien (die oft aus lesbarem Text mit -----BEGIN CERTIFICATE----- bestehen) ist eine .p12-Datei eine reine Binärdatei. Sie lässt sich nicht einfach in einem Texteditor öffnen und lesen.
  • Plattformübergreifend: Das Format ist ein Industriestandard. Eine .p12-Datei, die unter Windows oder einem Linux-Server erstellt wurde, funktioniert exakt genau so auf einem Mac, iPhone oder Android-Gerät.

Unterschied zu anderen Formaten (Auf einen Blick)

Format / Endung Was ist drin? Typischer Einsatzzweck
.p12 / .pfx Privater Schlüssel + Öffentliches Zertifikat (Passwortgeschützt) Sicherer Transport und Backup von S/MIME- oder SSL-Identitäten.
.crt / .cer Nur das öffentliche Zertifikat Weitergabe an andere (z. B. für Webseiten oder Mail-Empfänger).
.key Nur der private Schlüssel Direkte Nutzung auf Servern (meist unverschlüsselt, daher kritisch).

Enthält die .p12 Datei auch den Public Key?

Der Public Key ist direkt im Haupteintrag des Zertifikats enthalten. In der Struktur der macOS-Schlüsselbundverwaltung ist die Identität wie folgt aufgeteilt:

  • Die Hauptzeile (Zertifikat): Dies ist das digitale Zertifikat. Es beinhaltet standardmässig den Public Key sowie die Informationen zur Identität (die E-Mail-Adresse) und die digitale Unterschrift der Zertifizierungsstelle, welche die Echtheit bestätigt. Beim Versenden einer signierten E-Mail extrahiert das Mail-Programm genau aus dieser Zeile den Public Key und übermittelt ihn an den Empfänger.
  • Die untergeordnete Zeile (Privater Schlüssel): Dies ist das Gegenstück (Private Key), welches separat darunter eingebettet ist, damit das Betriebssystem die logische Zusammengehörigkeit dieser beiden Schlüssel erkennt.
    Es muss daher kein separater Eintrag mit dem Namen 'Public Key' gesucht werden – er ist ein integraler Bestandteil des übergeordneten Zertifikats.

Wie wird der Public Key an den Empfänger übermittelt?

Damit Kommunikationspartner verschlüsselte E-Mails senden können, benötigen sie den entsprechenden öffentlichen Schlüssel (Public Key). Bei S/MIME erfolgt dieser Austausch vollautomatisch im Hintergrund, sobald die erste Nachricht an die betreffende Person gesendet wird.
Der Ablauf funktioniert über das Prinzip der digitalen Signatur:

Der automatische Ablauf

  • Senden einer signierten E-Mail: Beim Verfassen einer neuen E-Mail bettet das Mail-Programm das S/MIME-Zertifikat automatisch in die Nachricht ein, vorausgesetzt, das Siegelsymbol im Schreibfenster ist aktiv.
  • Mitreissen des öffentlichen Schlüssels: Die digitale Signatur an der E-Mail besteht technisch aus einer Kombination aus der Prüfsumme der Mail und dem öffentlichen Zertifikat. Der private Schlüssel bleibt dabei immer sicher auf dem lokalen Gerät gespeichert.
  • Auslesen durch das Empfänger-Programm: Sobald die Gegenseite die E-Mail öffnet, erkennt das dortige E-Mail-Programm (z. B. Outlook, Apple Mail oder Thunderbird) die Signatur. Das Programm extrahiert den öffentlichen Schlüssel automatisch und speichert ihn im Hintergrund im Adressbuch oder Schlüsselbund ab.

Ab diesem Moment wird bei einer Antwort ein geschlossenes Schloss-Symbol angezeigt, und es können verschlüsselte E-Mails an den ursprünglichen Absender gesendet werden.

Das S/MIME-Regelwerk (Kurzgefasst)

  • Signieren = Public Key senden: Es muss mindestens eine signierte E-Mail an eine Person gesendet worden sein, damit diese die betroffene Adresse verschlüsselt anschreiben kann.
  • Verschlüsseln = Public Key besitzen: Eine verschlüsselte E-Mail kann erst dann an eine Person gesendet werden, wenn zuvor eine signierte E-Mail von ihr empfangen wurde.

Das Zertifikat muss somit nicht als separate Datei (.cer oder .crt) übergeben oder als sichtbarer Anhang mitgeschickt werden – das Versenden einer normalen, signierten E-Mail reicht für den Austausch vollständig aus.


Wieseo macht Zertifizierung und Verschlüsselung Sinn?

Oft werden die beiden Begriffe in einen Topf geworfen, aber beim S/MIME-Standard erfüllen sie zwei völlig unterschiedliche, sich perfekt ergänzende Schutzfunktionen.
Man kann sich das am besten wie bei einem klassischen, physischen Brief per Post vorstellen:

1. Die Zertifizierung (Das Signieren) = Wer hat es geschrieben?

Die Zertifizierung schützt die Identität und die Unverfälschtheit der Nachricht. Wenn eine Mail digital signiert wird, verhält es sich wie bei einem versiegelten Umschlag.

  • Schutz vor Identitätsdiebstahl: Im normalen E-Mail-Verkehr kann jeder als Absender eine beliebige E-Mail-Adresse in sein Mailprogramm eintippen und unter fremden Namen Mails verschicken (sogenanntes Phishing oder Spoofing). Das Zertifikat von einer echten Prüfstelle (wie deiner Actalis CA) beweist dem Empfänger: Diese Mail kommt wirklich vom Absender.
  • Schutz vor Manipulation (Integrität): Die Signatur errechnet eine mathematische Prüfsumme über den gesamten Text und die Anhänge. Wenn ein Angreifer die Mail auf dem Weg abfängt und auch nur einen einzigen Buchstaben (oder eine IBAN-Nummer auf einer Rechnung) ändert, bricht das Siegel. Der Mailclient würde dem Empfänger sofort eine Warnung anzeigen: 'Achtung, die Nachricht wurde nach dem Senden verändert!'

2. Die Verschlüsselung = Wer darf es lesen?

Die Verschlüsselung schützt die Vertraulichkeit des Inhalts. Hierbei wird der Text unlesbar gemacht, bevor er deinen Mac verlässt.

  • Schutz vor Mitlesern: Eine normale E-Mail wandert wie eine Postkarte im Klartext durch das halbe Internet, vorbei an verschiedenen Servern und Providern. Jeder Administrator oder Hacker, der sich Zugriff auf einen dieser Knotenpunkte verschafft, kann den Text und die Anhänge mitlesen.
  • Das digitale Schliessfach: Durch die Verschlüsselung mit dem Public Key des Empfängers wird die Postkarte in einen massiven Tresor verwandelt. Nur der Empfänger besitzt den passenden Private Key auf seinem Gerät, um diesen Tresor wieder zu öffnen. Für alle anderen auf dem Transportweg ist die Mail nur wertloser Zeichensalat.

Warum die Kombination Sinn macht:

Es geht um sensible Daten:

  • Vertrauen beim Kunden: Wenn Rechnungen, Verträge oder Buchungsbestätigungen signiert verschickt werden, weiss der Kunde zu 100 %, dass die Bankdaten echt sind und die Mail nicht von Betrügern stammt.
  • Datenschutz: Wenn Kunden Kopien von Ausweisen, Führerscheinen oder vertrauliche Firmendaten schicken, schützt die Verschlüsselung alle Beteiligten vor DSGVO-Verstössen, falls mal ein Mail-Server kompromittiert wird.

Kurz gesagt: Die Zertifizierung sorgt für die nachweisbare Authentizität des Absenders, während die Verschlüsselung die absolute Vertraulichkeit des Nachrichteninhalts gewährleistet.


Zertifikat erstellen und herunterladen

ACTALIS bietet S/MIME Zertifikate mit 12 Monaten Laufzeit an. Diese sind für privaten Gebrauch kostenlos.
https://www.actalis.com/s-mime-certificates

Nach der Registrierung und Überprüfung der E-Mail Adresse kann eine p12 Datei heruntergeladen werden: certificate_s_mime_mv.p12. Die Datei ist passwortgeschützt, das Passwort wird per E-Mail zugestellt. Ich verwalte beides in 1Password, dort können auch Dateien hochgeladen werden und sicher verwahrt werden.


Installation unter macOS Tahoe 26.5.1

Ich habe es bei der Installation gründlich verbockt und lange den Fehler gesucht. Es ist grundsätzlich kein Hexenwerk, wenn Basiswissen vorhanden ist und die Zertifikate von Beginn weg am richtigen Ort abgelegt werden. Unbedingt im Bereich 'Anmeldung' der Schlüsselbundverwaltung ablegen.

Die Installation unter Windows ist im Video weiter unten erklärt.

Irgendwie ist bei mir der private Schlüssel im System-Schlüsselbund gelandet. Dann hat das System im Minutentakt nach dem Passwort verlangt, ohne Möglichkeit dies permanent zu sichern:

Also, alles nochmal entfernt und die Datei aus 1Password heruntergeladen. So geht es richtig:

Um eine .p12-Datei (ein PKCS#12-Bundle, welches sowohl das Zertifikat als auch den privaten Schlüssel enthält) für S/MIME in Apple Mail korrekt zu installieren, muss diese zwingend in den Schlüsselbund Anmeldung (Login) integriert werden.
Hier ist die Schritt-für-Schritt-Anleitung für die korrekte Installation:

Schritt 1: Den richtigen Schlüsselbund vorbereiten

  1. Die App Schlüsselbundverwaltung (Keychain Access) öffnen.
  2. In der linken Seitenleiste unter 'Standard-Schlüsselbunde' den Eintrag Anmeldung (Login) auswählen. Dies stellt sicher, dass neue Importe standardmässig in diesem persönlichen Bereich landen.

Schritt 2: Die .p12-Datei importieren

Der sicherste Weg läuft direkt über das Menü der Schlüsselbundverwaltung:

  1. Ganz oben in der Menüleiste auf Ablage (File) -> Objekte importieren... (Import Items...) klicken.
  2. Zur entsprechenden .p12-Datei navigieren, diese auswählen und auf Öffnen klicken.
  3. Schlüsselbund prüfen: Im angezeigten Dialogfenster muss im Dropdown-Menü sichergestellt werden, dass als Ziel der Schlüsselbund Anmeldung (und nicht System) ausgewählt ist.
  4. Auf Sichern klicken.

Schritt 3: Passwörter eingeben

Es wird nun nacheinander nach zwei verschiedenen Passwörtern verlangt:

  1. Das Passwort der .p12-Datei: Dies ist das Passwort, welches von der Zertifizierungsstelle bereitgestellt oder beim Export selbst vergeben wurde.
  2. Das Mac-Passwort: Das System verlangt nach dem lokalen Mac-Anmeldepasswort, um das Schreiben des neuen privaten Schlüssels in den Schlüsselbund zu autorisieren.

Schritt 4: Erfolgskontrolle in der Schlüsselbundverwaltung

  1. In der Schlüsselbundverwaltung links auf Anmeldung und unten auf den Reiter Meine Zertifikate klicken.
  2. Das S/MIME-Zertifikat sollte nun dort gelistet sein.
  3. Auf den kleinen Pfeil links neben dem Zertifikat klicken.
  4. Taucht darunter ein privater Schlüssel (mit einem kleinen Schlüssel-Symbol) auf, war die Installation erfolgreich.

Schritt 5: Erfolgskontrolle in Apple Mail

Sobald das Zertifikat im Anmeldung-Schlüsselbund hinterlegt ist, erkennt Apple Mail dieses automatisch. In den Einstellungen ist nichts sichtbar, wenn bei Erstellung einer neuen Nachricht das Zertifikatszeichen erscheint, hat es geklappt.


Mail versenden: signiert

Apple Mail / Darstellung / E-Mail / Reine Datei

Die Nachricht ist nicht verschlüsselt, Titel und Text sind in Klartext lesbar.

Mime-Version: 1.0 (Mac OS X Mail 16.0 \(3864.600.51.1.1\))
Subject: TEST: signiert 11.07.2026 14:58

Content-Type: text/plain;
    charset=utf-8

TEST: signiert 11.07.2026 14:58

[email protected]
Dr. med. dent. Peter Portmann
Bl=C3=BCmlisalpstrasse 16, 3600 Thun
Tel +41 33 222 81 69, Handy +41 79 311 17 27
www.supportnet.ch

Mail versenden: signiert UND verschlüsselt

Apple Mail / Darstellung / E-Mail / Reine Datei

Die Nachricht ist verschlüsselt, Titel und Text sind nicht lesbar

Mime-Version: 1.0 (Mac OS X Mail 16.0 \(3864.600.51.1.1\))
Subject: =?utf-8?Q?TEST=3A_signiert_UND_verschl=C3=BCsselt

Content-Disposition: attachment;
    filename=smime.p7m
Content-Transfer-Encoding: base64

6cYh+Mn/4LgZJCGK1vRFyKAcxyMEaR5nPH8PlAQQo62UddqiwRmBHSix6
g3AW8MeeKOrV/ewWV22ISnBdgYKjMM5oTP9aisA1dfunoVHYHl0zBBA7P
BBCc3ozitk2zECqQL/ldFPpvBCC5NLKqrYZgsNoFDXJL4B7QEGigNi9PL
zpuhMdrkeW/s2mLvPUy3iMYGyb3aFiAwlH5iiCQEEONHtbtklA78U0beT
U6n/ypl0MYlHe5lz+bNi6xpdU6NDc9oRBBDzRwsPji/aS18+G1f/HhymBQ

Die einzelnen Zeilen bedeuten Folgendes:

Content-Disposition: attachment; filename=smime.p7m
Diese Zeile weist das empfangende E-Mail-Programm an, den Inhalt als Anhang zu behandeln. Die Endung .p7m ist der absolute Standard für S/MIME. Sie signalisiert, dass die eigentliche E-Mail (inklusive Text und regulären Anhängen) komplett in einer verschlüsselten oder signierten Hülle (einem PKCS#7-Container) verpackt ist.

Content-Transfer-Encoding: base64
Da E-Mail-Server historisch gesehen nur reinen Text (ASCII) fehlerfrei übertragen können, müssen binäre, verschlüsselte Daten umgewandelt werden. Das Verfahren Base64 übersetzt den unlesbaren Binärcode der Verschlüsselung in eine lange Kette aus Standard-Textzeichen (A–Z, 0–9 etc.).


Video

S/MIME-Tutorial: E-Mails kostenlos signieren & verschlüsseln

Egal, ob Posteo, Gmail oder GMX: Die meisten E-Mail-Anbieter sind standardmässig nicht Ende-zu-Ende verschlüsselt. Das bedeutet, dass euer E-Mail-Anbieter und somit auch Behörden oder – bei einem Datenleck – das komplette Internet theoretisch Zugriff auf all eure Nachrichten haben. Deshalb macht es Sinn, seine E-Mails zu verschlüsseln. In der Praxis geht das entweder mit OpenPGP oder mit S/MIME.
In unserem 2. Fortgeschrittenen-Video zeige ich euch Schritt für Schritt, wie ihr S/MIME kostenlos verwenden könnt, um eure privaten Mails zu verschlüsseln. Ausserdem sind mit dieser Methode all eure ausgehenden Mails mit S/MIME digital signiert, wodurch ihr in vielen E-Mail-Clients einen 'verifizierten' E-Mail-Badge erhaltet.


Auf Facebook teilen Auf Linkedin teilen Auf Twitter teilen Per E-Mail senden