Automatische Warnung in eingehende E-Mails einfügen

Moin,

technisch wurde die Frage ja in dem anderen Artikel geklärt.

Diese Meldung hilft vor allem Mails zu erkennen die vermeintlich von innen kommen.
Also die Mail vom Chef an die Sekretärin mit der Bitte schnell mal 10.000 Euro zu überweisen.
Statt von "Peter Müller <peter.mueller@firma.com>" kommt die Mail ja von "Peter Müller <peter.mueller@firmaa.com>".
SPF und DKIM alles korrekt, aber die falsche Domäne (ein A zu viel).

Bei normalen externen Absendern ist die Gewöhnung innerhalb von Stunden bei 100%.
Man könnte aber eine White-List mit Domänen von Firmen einführen mit denen man häufig zu tun hat.

Dann gibt es folgende Hinweise
Diese Mail stammt von einem internen Absender (grün)
Diese Mail stammt von einem bekannten Absender (gelb)
Diese Mail stammt von einem unbekannten Absender (rot)

Stefan

Moin,

man kann soziale Probleme nicht technisch lösen. Wer so unerfahren, ignorant, dumm oder was auch immer ist, dass er Fake-Mails nicht erkennt, wird das auch bei einer solchen Meldung nicht tun. Daher halte ich die Maßnahme für unsinnig. Die nächste Frage, die sich mir spontan stellt: Was ist mit der Rechtssicherheit? Schließlich wird die Originalmail verändert, ohne dass der Sender das wollte.

my 2 cents

Erik

Mahlzeit.

Die kurze Antwort lautet: Nein.

Ich sehe es ähnlich wie @erikro: Allen technischen Mittel und Maßnahmen sind zum Scheitern verurteilt, solange auch nur einer der Kollegen das Hirn zusammen mit dem Mantel beim reinkommen an der Garderobe abgibt.

Anders herum schießt du dir ins Knie, wenn du ne interne Mail als "grün" kennzeichnest, bloß weil sie von intern kommt - das bedeutet ja keineswegs, dass man deshalb alle Anhänge bedenkenlos öffnen könnte. Man stelle sich vor, ein unmotivierter oder verärgerter Kollege schickt vorsätzlich was böses an alle internen Benutzer. Oder jemand verschafft sich Zugang und stellt Unsinn an. Die Liste der Missbrauchsmöglichkeiten ist schier endlos.

Ich würde hier (und evtl. auch generell) einen anderen Weg vorschlagen: Schulungen. Schulungen. Schulungen. Awareness schaffen. Verantwortung übertragen.

Wir haben unsere User über die letzten Jahrzehnte immer mehr zu digitalen Analphabeten erzogen, weil wir Ihnen jegliche Verantwortung für ihr "Arbeitsgerät" (nix anderes ist ein Rechner im Bürobetrieb) abgenommen haben. Weil das ja alles so komplex ist, blablaba. Wenn ich in der Handwerksbude nicht weiß, wie rum ich einen Hammer halten soll, erklärt mein Meister mir das auch. Mit Glück auch ein zweites Mal.... ich denke, es ist klar, worauf ich hinaus will?

Cheers,
jsysde

Moin,


Das muss ja noch nicht einmal vorsätzlich sein. Fängt sich der User z. B. Emotet ein, dann schickt der Kollege, ohne es zu wissen, gut gelaunt den Spam an die anderen Kollegen unter seiner Adresse mit dem eigenen Server als Relay. So "sicher" sind interne Mails.

Liebe Grüße

Erik

Hallo.

Wie in dem anderen Thread schon ausführlich durch die Beiträge ausformuliert, es geht generell darum die Kolleginnen und Kollegen zu sensibilisieren. Es gibt Maßnahmen, wie diese Markierung, welche dem einen tatsächlich als Mehrwert auffallen, aber eben auch genügend Leute die sich daran stören.

Bei größeren Konzernen sind solche Kennzeichnungen zumeist an der Tagesordnung.

Die Kritik, dass so eine Maßnahme auch irgendwann einfach überlesen wird und man in den normalen Trott gerät, ist in jedem Fall berechtigt.

Es hilft hier immer mal wieder die gesamte Belegschaft und die GF darauf zu stoßen, welche Gefahren noch immer gibt.

Mittlerweile konnte ich bei uns etablieren, dass ich alle Mails weitergeleitet bekomme, welche den Leuten nicht koscher erscheinen. Ist zwar zusätzlicher Traffic, aber mir allemal lieber als "Ich schau mal, es kann ja so schlimm nicht werden. Bin auch vorsichtig."

Bei uns war die Akzeptanz der Kennzeichnung sehr gering, weswegen ich das nur mit erneutem Nachdruck der GF durchgesetzt bekommen habe. Aber nun, nach knapp vier Wochen, gibt es keine Beschwerden deswegen mehr.

Der Datenschutzbeauftragte hat hier aktuell keine Bauchschmerzen deswegen.

Gruß
Radiogugu

Moin,


Und genau das wage ich bei der Maßnahme zu bezweifeln. Ich vermute eher, dass das Gegenteil erreicht wird. Denn dieser Hinweis wird im Regelfall zu 99,8% falsch sein. Jedenfalls dann, wenn man sein Firewalling einigermaßen im Griff hat. Dann aber ist die natürliche Reaktion des Users nicht "Oh, die IT will mich schützen. Das ist aber toll.", sondern "Die Paranoiden von der IT mal wieder. Die kann man doch ignorieren." Das Einzige, was wirklich was bringt ist Aufklären und Schulen. Alles andere ist an der Stelle m. E. für die Katz.

Liebe Grüße

Erik

Servus Erik,

das mit dem Schulen sehe ich ähnlich. Der Satz der Dort eingebaut werden soll, finde ich viel zu lang, was ich aber schon sinnvoll finde ist z.B. wenn die Mails von extern kommen (Nicht vom Exchange intern abgehandelt) ein [EXTERNE MAIL] einzubinden.
Warum? Folgende beliebte Szenarien.
Mail mit, wir wurden gehakt bitte sofort das Kennwort ändern. Link zu einer gebrandeten Webseite in der man Benutzer und Kennwort eingeben kann. Oder Mail vom "CHEF" bin in einer Telko bitte sofort anweisen und dann 3. Mahnung mit 5.000 € an Konto xy.

Das ist eine Mail die nicht gängige Praxis ist, weckt also beim Empfänger ein Minima an Mistrauen, zusammen mit dem Hinweis [EXTERNE MAIL] kann das ausreichen ein Nachfragen zu triggern bevor man komplett Brain-Death alles abarbeitet.

Wenn sich der Aufwand dafür also in Grenzen hält, finde ich es durchaus ein mögliches mehr an "Sicherheit".

Gruß
PJM

edit: Im Übrigen gibts da ganz coole und aufschlussreiche Videos des ccc auf youtube in der z.B. auch gezeigt wird wie man einen guten lerneffekt bei Benutzern erreicht. Zeigt aber auch das es die ewig unbelehrbaren damit auch nicht abholen kann. Deshalb sollte man aber die anderen nicht außen vor lassen.

Ja und? Dann ändert der User sein PW. Ist ja nicht so verkehrt. ;-=


Schulen, schulen, schulen! Thema: Woran erkenne ich, dass die Website meiner Firma nicht gehackt wurde.


Spätestens hier stellt sich die Frage, wie diese Mail überhaupt den User erreichen konnte. Wieso transportiert der MTA eine Mail von chef@firma.de, die nicht über den Server von firma.de verschickt wurde? Unser Mailsystem macht das nicht. Unsere Logs sind voll davon, dass irgendwelche SMTP-Server bei uns Mails mit unserer Firmendomain zustellen wollten. Da sagt Kaya: "Du kummst hier nich rein!"

Wurde aber das Konto vom Chef selbst gehackt und er verschickt die Mails, dann steht da auch kein Hinweis mehr.


Also ganz ehrlich: Wer auf so eine Mail vom Chef reagiert, ohne vorher nachzufragen, dem gehört die Zeichnungsbefugnis entzogen.

Liebe Grüße

Erik

Es gibt hier einen sehr interessanten Vortrag u.a. vom CCC dazu - den ich da mal Empfehlen würde. Und zwar gehts darum das man eben überlegen muss wer auf der anderen Seite sitzt - und das ist für gewöhnlich ein normaler Anwender. Und dem kann ein Hinweis das es eben von extern kommt schon helfen - wenn mal wieder die Mail kommt "für den Kunden xyz muss dringend die Überweisung gemacht werden - kannst du das bitte veranlassen". Klar hilft das nicht in 100% der Fälle - aber ggf. schon mal in 10% die dann überlegen warum da drin steht "Extern" wenn der doch eigentlich mein Kollege ist...

Es gibt aber noch weitere interessante Aspekte dabei. U.a. sollten die Mitarbeiter durch Freundlichkeit sogar ermutigt werden ERSTMAL bei der IT anzurufen. Wenn ich mir das hier durchlese "Kollegen die das Hirn mit dem Mantel abgeben" usw... stellt sich die Frage in wiefern das auch gelebt wird. Klar wird auch ein Benutzer nicht in der IT anrufen wenn der das Gefühl hat bei den hohen Herren erstmal betteln zu müssen (stichwort: Elfenbeinturm). Klar gibt es dann auch Fragen bei denen das "Problem" mit 2 Mausklicks erledigt ist aber dafür wird ggf. eben auch ERST gefragt bevor man auf den lustig-blinkenden Button klickt.

Das ganze Thema "Schulungen" ist ja schön und auch sicher nicht verkehrt, es muss aber eben auch bei den ITlern mal in den Kopf reingehen das der Anwender den Kram einfach nur benutzen will. Genauso wie ich z.B. mein Mopped nur Fahren will - mich interessiert es nicht mal wie genau der Motor hinhaut. Und klar kann man mir das erklären (und meine Mopped-Werkstatt macht das auch) aber der Hauptpunkt bleibt: Ich fahre und die werden (in dem Fall von mir) dafür bezahlt das wenn was kaputt is das zu beheben. Und genauso sind meine Kollegen an Bord sicher nicht immer die IT-Leute ABER ich befürchte wenn ich mal in den ECR/MKR gehe und da fröhlich ausprobiere wird das auch ganz böse ausgehen. Und ich bin mir sogar sicher das vor Jahren mein erster Besuch zur Erheiterung geführt hat als ich mal gefragt hab welchen Faktor der Drehzahlmesser so hat - wenn der doch (damals bei nem recht grossen Container-Schiff) nur Werte bis 300 RPM zeigt. Der Vorteil ist das die meisten in dem Bereich eben nicht im Elfenbeinturm sitzen sondern es einem auch erklären... Wenn man da eben ne Schulung macht muss man also auch überlegen wo man den gegenüber abholt...

Moin,


Das ist wohl wahr. Das wird hier gerne mal vergessen. Auch, dass wir alle mal als kleine DAUs angefangen haben.


Besser sind hier feste Vereinbarungen, z. B. dass es solche Mails einfach nicht gibt. Bei uns gibt es klare Verfahrensregeln, wie z. B. Zahlungen veranlasst werden. Da kommt dann niemand auf die Idee, auf solche Mails anders zu reagieren als mit DEL. Auf jeden Fall würde zurückgefragt werden.

BTW: Diese Mails sind heute wirklich so gut gemacht, dass ich selbst beinahe darauf hereingefallen wäre. Kurz nachdem ich bei meiner jetzigen Firma angefangen habe, bekam ich eine Mail vom Teamleiter: "Kannst Du Dir mal bitte die Rechnung angucken." Die Maus war schon über dem Anhang als es klick machte und ich mich fragte, warum ich, der ich doch erst seit ein paar Wochen da bin, eine Rechnung prüfen sollte und warum mein Teamleiter, der im selben Büro sitzt, mir die dann nicht einfach rüberreicht. Natürlich war das ein Emotet. Kurz zuvor hat sich einer unserer Azubis auf Grund eines schweren Verstoßes gegen die Sicherheitsrichtlinien einen eingefangen.

Das Beispiel zeigt zweierlei: Niemand ist gegen einen solchen Irrtum gefeit. Und man kann noch so viel Richtlinien aufstellen und Maßnahmen treffen, sicher ist man nie.


Das tun wir in unserem Betrieb und ES FUNKTIONIERT. Es kommen immer wieder Anrufe der Art: "Erik, kannst Du mal gucken. Ich habe da so eine komische Mail gekriegt ..." Das ist nicht nur gut, weil es dazu führt, dass (fast) nichts passiert, sondern auch dazu, dass wir das Firewalling nachregeln können. Und wenn dann doch was passiert, reißen wir den Leuten auch nicht gleich den Kopf ab, sondern bleiben freundlich. Und da führt dazu, dass die Leute sich auch trauen anzurufen, wenn doch mal was passiert. Dann kann der Schaden in Grenzen gehalten werden.


Solche Aussagen sind einfach nur arrogant. (Also die mit dem Mantel, nicht Deine)


Aber einen Führerschein brauchst Du schon. Ich habe 25 Jahre lang Schulungen durchgeführt. Dabei geht es natürlich meist nicht darum, die Menschen zu ITlern auszubilden. Aber meiner Erfahrung nach sollte man den Leuten schon die Grundlagen erklären, damit sie Dinge besser einschätzen können. Klar interessiert es den Mopedfahrer nicht, wie genau die Hydraulik seines Bremssystems fuktioniert. Aber er sollte schon wissen, dass da ein Hydrauliköl in den Schläuchen ist und dass man ein Gas so lange komprimieren kann, bis es flüssig ist. Gas also so keine Kraft übertragen kann. Dann versteht er auch, warum man ab und an mal auf den kleinen Behälter schauen sollte, ob noch genug Öl drin ist. Und ein wenig Wissen über die Physik der Fliehkräfte hilft beim Mopdefahren ungemein.

Und so ist es auch in der IT. Klar werden 95% aller User niemals auch nur im Ansatz verstehen, wie eine Schadsoftware denn genau arbeitet. Aber sie sollten schon wissen, was z. B. ein Makro ist und dass das auch Dinge bewirken kann, die man nicht will. Klar, werden sie nicht verstehen, wie Verschlüsselung funktioniert. Aber sie sollten schon wissen, dass sie so gut ist, dass man die Daten ohne das entsprechende Entschlüsselungsverfahren nebst Passwort nie wieder lesen kann. Wenn man das (und noch einiges mehr) den Usern in einfachen, freundlichen aber doch klaren Worten erklärt, dann werden sie auch aufmerksam und man muss nicht zu so halbgaren Mitteln greifen.


YYMD Das erzählt man sich noch in hundert Jahren in jeder Hafenkneipe. Und die haben nicht laut angefangen zu lachen? Ich hätte. Aber Dein Beispiel ist wirklich schön, zeigt es doch, dass wir alle in 90% aller Fälle einfach nur mehr oder weniger dumme Laien sind.

Liebe Grüße

Erik

Das ist auch eine Kernaussage gewesen. Das man eben bei der UMSETZUNG schauen muss das es nicht zum "gewöhnlichem Klicken" wird (wie z.B. die ganzen https-Meldungen die man nur wegklickt weil der interne Server ja auch ständig gemotzt hat das es ein Self-Signed is). In dem Moment wo es ungewöhnlich wird muss sich eben das eigene Hirn einschalten und die Chance hat sich grad deutlich verringert das der Angriff erfolgreich wird!


Natürlich ist dagegen niemand "immun". Hier hängt es nur davon ab wie gut man das abzielt. Ganz einfach wäre es z.B. über die Zeit -> wenn ich weiss das du um 12:00 mit den Kollegen zur Pause gehst dann würde ich sowas natürlich um 11:50-11:55 schicken mit der klaren Info "sorry, hab ich vergessen, kannst du noch schnell vor der Pause...is wirklich dringend". Alles nur um dein Hirn so gut es geht vom Denken abzuhalten weils schnell gehen soll/muss. Da liegt in meinen Augen eben auch der grösste Schwachpunkt: Die IT versucht die Systeme zu schützen - Virenscanner, Firewalls, Super-Komplexe Passwörter,... Der Angriff selbst geht aber meistens eh nicht gegen die IT-Anlage sondern gegen den Anwender und DER wird auch heute noch allein gelassen oder sogar noch runter gedrückt. Hey, du musst das super-komplexe Passwort nehmen, alle 4 Wochen ändern und dir das merken (neben den div. PIN-Nummern für Handy, Kredit- und Debit-Karten, privaten Terminen, Einkaufslisten,...). Und dann sich wundern dass das Passwort unter der Tastatur klebt... Einfache Lösung wäre es ja z.B. dafür in der Firma einen Passwort-Manager mit nem privaten Tresor zu empfehlen/fördern -> und die Mitarbeiter anzuregen DEN zu nutzen (mit der Erlaubnis den auch für private Infos zu nutzen). Schon gibt man dem Mitarbeiter ein Tool in die Hand um sich das sinnvoll und geschützt aufzuschreiben und sich nur EIN Passwort zu merken - plötzlich fällt also der Grund weg das auf die Tastatur zu kleben...


Das funktioniert bei uns auch... Auch wenn ich geistig natürlich das ein oder andere mal jemanden den Kopf abreissen will (das liegt aber in der Art des Jobs) wenn mal wieder nen Anruf auch um 11 Abends kommt für Dinge die auch bis zum nächsten Tag warten können. Und auch da gelingt es nicht immer freundlich zu bleiben - dann ruft man halt am nächsten Tag an und schnackt kurz nochmal nen Wort mit dem Kollegen auf freundlicher Ebene und erklärt das man eben Abends um 11 schon gepennt hatte - fertig. Alles wieder gut. Ergebnis: Es wird im Normalfall zu solchen Zeiten mittlerweile fast nicht mehr angerufen wenns nicht wirklich dringend ist.. Meist kommt dann Nachts nur ne Whatsapp und man guckt am nächsten Tag. Auch hier: Mit Freundlichkeit kommt man da schon ziemlich weit. Klar kann man auch den IT-Geliebten Weg gehen "Du musst aber erst mal nen Ticket machen,...". Formal richtig - wenn die Lösung aber nur ne Minute braucht kann ich das auch mal eben direkt erledigen und wenn ich dann meine nen Ticket zu brauchen erstelle ich das dann eben auch selbst und schließe das... Und mit etwas Freundlichkeit erreicht man bei den meisten das die Kollegen nicht überlegen "Bevor ich nen Ticket öffne versuch ichs selbst" und ich dann nur mehr Zeit brauche weil ich erst deren Kram reparieren muss ;)


Ja - nen Führerschein musste ich machen. Der hat mir aber eben nicht erklärt wie das AUTO funktioniert sondern wie der Strassenverkehr klappt oder klappen sollte. Und der Mitarbeiter hat ja auch seine Ausbildung gemacht - und darin gelernt wie er z.B. bei Word seinen Kram drucken kann. Aber wie das ganze jetzt vom Rechner zum Drucker geht braucht den idR. nicht zu interessieren.
Von daher stimme ich dir zu - natürlich schadet es nicht mehr zu wissen, es ist aber eben nicht nötig für den Job. Beim Mopped tut es natürlich mehr weh wenn man nen Fehler macht und während der Fahrt feststellt das der kleine Behälter wohl doch leer war - aber wie das zusammenhängt muss ich eben nicht wissen bevor ich fahre. Es HILFT nur ;).


Doch - natürlich haben die auch gelacht... Mittlerweile sind die Schiffe zwar etwas kleiner geworden (das war damals in meinem ersten Job) - das ganze ist aber auch heute noch so das ich auch mal dumme Fragen stelle. Eben weil es mich interessiert und ich nur so etwas lernen werde. Ich muss nicht für mein Selbstwertgefühl vorgeben das ich an Bord in nem Maschinenraum alles weiss oder das ich mal eben irgendwelche Generatoren umschalten könnte. Auch da zeigt meine persönliche Erfahrung das ich dafür eben viele Dinge erklärt bekomme - die Kollegen aber auch keine Scheu haben mich zu fragen wie etwas am Rechner klappt oder warum es eben nicht geht. Denn das is nich deren Fachgebiet - die KÖNNEN dafür aber eben nen Generator umschalten.

Was die 90% angeht -> ziemlich zu Anfang meines Studiums: Wenn man am Ende vom Studium 10% von dem was man weiss nutzen kann ist das gut - da aber keiner weiss welche 10% muss man halt alles lernen ;). Soweit man sich mal raus aus seinem Turm bewegt würde ich sagen wenn man auf 1% Wissen kommt kann man froh sein - dafür gibt es einfach zu viele Jobs...

Moin,



Doch, haben sie Dir erklärt, sonst hättest Du die theoretische Prüfung nicht geschafft. https://www.123fahrschule.de/lernen/betriebssicherheit

Aber ansonsten sind wir und wohl einig.

Liebe Grüße

Erik

Schau dir zu dem Thema auf jeden Fall die CCC Videos an (Leider find ich den Link nicht mehr, vielleicht hat den ja jemand). Du kannst nämlich auch prima ins leere Schulen
Und komisch Mails weiterleiten halte ich auch nicht für Ratsam

vG
PJM

Natürlich nicht, aber halt vielleicht nicht über den genannten Link der dann seine Daten abgreift
Sondern über den üblichen am besten bekannten Weg.

Zu deiner Frage warum die Mail durch kommt. Weil es oft ausreicht das ich einfach die Normale Syntax der Abteilungen Treffe. z.B. <Max Mayer - CEO> absoluteSpam@givemeyourmoney.syx. Oulook ist dann nämlich so "nett" mir einfach nur den Namen im von Feld anzuzeigen. Reicht für das Normale "Mustersüchtige" Gerhirn meist aus einen dicken grünen "Valid" Haken dran zu setzen und weiter gehts...
Das hat weniger was mit Awareness zu tun, du kannst auch nicht von den Benutzern erwarten mit 100% "Awareness" zu arbeiten, das ist Biologisch nicht drin, so Arbeitet unser Gehirn nicht. Das Gehirn Filter einen Großteil unserer Eindrücke raus um uns das Leben so einfach wie möglich zu machen. Und da reicht nun mal schon das der Name vom Vorgesetzten da steht.
Das Gehirn gewöhnt sich in dem Fall an das Muster Mail von Chef --> Zeitkritische Inhalte --> Besser schnell umsetzen ohne ihm auf die Nüsse zu gehen.
Taucht jetzt, entgegen des normalen Musters, plötzlich ein [EXTERN] im Betreff bei der Mail vom Chef auf, ist das ein Muster was dein Hirn noch nicht drin hat, du wechselt also von "weiter im Text" zu "hä? Moment mal". Das kann im Zweifelsfall schon ein Gamechanger sein. Dann greifen natürlich im nachgang Schulung, nette IT usw. man muss aber diese Initiale Schrank einmal durchbrechen.

vG
PJM

Moin,


Das war die Frage: Wieso kommt die Mail, die über einen unbekannten SMTP eingeliefert wurde, aber unsere Domain in der Senderadresse in den entsprechenden Feldern steht, überhaupt bis Outlook durch? Das hat der MTA schon abzufangen. Oder anders ausgedrückt: Solche Mails darf der User nie zu Gesicht bekommen. Dann brauche ich auch kein [EXTERN].

Mein Outlook zeigt immer die vollständige Adresse neben dem Namen.

Liebe Grüße

Erik

Das ist aber ja nur eine Frage von Details... Nimm mal an ich würde dir jetzt ne Mail schicken von password-reset@adminiistrator.de. Jetzt musst du schon genau gucken um zu sehen das dort 2 i drin sind... geht aber natürlich noch besser wie z.B. PASSWORD-RESET@ADMINISTRAT0R.DE. Was meinst, das hier das o bei Tor durch ne 0 ersetzt wurde fällt wie vielen auf anhieb auf die nicht damit rechnen? Registriere also eine von diesen Domains, schicke an alle Members hier solch eine Mail - und was meinst wieviele Passwörter du dann hast? (Geht natürlich auch mit Passwort-Verification,....).

Und da liegt doch einfach das Problem -> den Menschen davor kann ich einfach täuschen. Teils machen es die Programme noch leichter (mein Outlook zeigt z.B. auch nur die Namen an - musste grad selbst nachgucken ehrlich gesagt). Teils machen die IT-Leute es noch leicht ("ja, is immer die Zertifikatsmeldung, die musst halt kurz akzeptieren, dann gehts weiter") - und dann wundert man sich wenn es die Läden reihenweise "abfackelt"?

Und nochmal - klar sind vermutlich 90% der Angriffe so simpel aufgebaut das ein kurzes Überlegen reichen würde. Also nimmt man einfach Zeiten bei denen es eh erfahrungsgemäß hektisch wird - Mittagspause, Feierabend,.. Oder man macht eben unverdächtige Sachen wie eben z.B. den Passwort-Reset den die Mitarbeiter in den meisten Firmen eben mittlerweile gewohnt sind. Und kaum jemand wird sich wundern wenn er/sie zwar das Passwort grad gewechselt hat aber z.B. Outlook das nicht mal abfragt (macht mein Outlook z.B. auch erst 2-3h später bis die Sync's so durchgelaufen sind). D.h. im besten Fall hast du mehrere Stunden ein gültiges Passwort - und das bei ner 100 mBit-Leitung dürfte mehr als ausreichend Zeit sein da richtig Unsinn zu machen.

Logische Folge ist also dafür zu sorgen das es gar nicht soweit kommt -> und DA muss man eben nich die Technik betrachten sondern die Personen die davor sitzen... Muss ich z.B. nen Passwort über nen Webfrontend ändern? Wenn ich das umgehe und sage das z.B. Passwörter nur über ne kleine Applikation geändert werden dann würde jeder Anwender hier eine chance haben zu überlegen ob das jetzt so richtig ist wenns plötzlich ne Webseite anfragt. Wenn bei Überweisungen z.B. prinzipiell eine Bestätigung per Telefon erforderlich ist (oder das ganze z.B. eben auch über ne Applikation läuft) dann wird keiner die Überweisung ausführen weil in der Mail steht "mach mal schnell auf das südafrikanische Konto mit Firmensitz im Kongo"...

Wenn du aber guckst was die normalen Lösungen sind - whow, wir setzen jetzt mal auf ne 2FA-Sicherung. DAS machts viel besser und sicherer... bis man dazu kommt das die Person ja bereits freiwillig davor sitzt und solang die glaubt das alles OK ist wird die sich höchstens denken "Sch... IT, jetzt muss ich das ganze auch noch 2x bestätigen... wie jedes mal...". Einziger Effekt -> man "glaubt" es ist jetzt sicherer, Anwender sind noch mehr genervt (mist, Telefon zuhause vergessen, also IT anrufen um da irgendwie die 2FA umzuleiten damit ich überhaupt an meine Mails komme..) und gucken noch weniger drauf was die grad tun...

Hi Erik,
Antwort komplett gelesen oder die gewünschten Muster raus gefiltert? Die Mail kommt an weil sie von einer validen Domain mit einem Validen SMTP kommt nämlich "absoluteSpam@givemeyourmoney.syx" lediglich der Name in den <> wurde geändert. Das dein Outlook das anders anzeigt ist keine Standardeinstellung, sicherlich ein weiterer Punkt an dem man ansetzen kann. Nichts desto trotz wäre ein [EXTERN] hier immer noch m.M. ein Mehrwert.

vG
PJM

Moin,


Aber da nützt mir der Eintrag [EXTERN] nichts, denn die Mail kommt von administrator.de, administrat0r.de oder adminiistrator.de immer von extern. Also auch die legale Mail hätte den Flag. Du hast natürlich recht und es gibt noch eine ganze Menge anderer Szenarien, die dazu führen können, dass User auf was klicken, worauf sie besser nicht klicken sollten.


Das ist sträflich nachlässig und unnötig. Allerdings ist das nicht immer der IT geschuldet. In vielen Betrieben ist die IT unterbesetzt und den Chefs geht Funktionalität vor Sicherheit. Da kommt es dann dazu, dass man es nicht schafft, die PKI vernünftig aufzusetzen oder Zertifikate rechtzeitig zu erneuern.


Das Problem sitzt immer vor dem Monitor. Die Frage ist nur, vor welchem. Dem, an dem gearbeitet wird, dem, an dem administriert wird, oder dem, an dem programmiert wird. Computer machen keine Fehler.


Sag ich doch: Klare und verbindliche Verfahrensregeln und Sicherheitskonzepte, zu denen auch Sicherheitsrichtlinien gehören, die verständlich geschrieben und allgemein bekannt sind.


In den meisten Fällen eher übertrieben.


Genau. Und dann muss die IT sagen, dass sie das nicht machen kann/darf/will.

Wie sicher oder unsicher was ist, hängt, da gebe ich Dir vollkommen recht, von den Usern und dem Umgang mit der Technik ab. Mal aus dem Nähkästchen geplaudert: Eine unserer GmbHs hat mit einer anderen GmbH ein joint venture. Diese andere GmbH gehört zu einem sehr, sehr großen internationalen Konzern, der weltweit operiert. Die IT sitzt in Indien (wo auch sonst). Die betreiben einen Riesenaufwand, um das System sicher zu machen. Anstrengend aber eigentlich gut. Nun hat der User sein Passwort für den VPN-Tunnel in die Domain vergessen. Kann ja mal passieren. Ich rufe also in Indien an, um zu fragen, was wir tun sollen. Ich rechne mit einer Bearbeitungszeit von einem bis zwei Tagen.

"Hallo, ich bin Erik ... von ... Ich habe hier unseren Mitarbeiter Hans Meier. Der hat leider sein Passwort für seinen VPN-Zugang vergessen."

"Eine Moment, bitte." sagt Rajid auf der anderen Seite. Klickerklacker im Hintergrund. Dann meldet sich Rajid wieder: "Versuche Sie jetzt Germany123 mit große G."

WIE BITTE??? Bei Euch kann einfach irgendjemand anrufen, sogar sagen, dass er nicht die Person ist, um deren PW es geht und Ihr ändert es einfach und teilt das telefonisch mit? Und warum treibt Ihr dann den ganzen Aufwand für die Sicherheit? Das könnt Ihr dann auch bleiben lassen. Mit dem PW hatte ich dann Zugriff auf den VPN-Tunnel und das Domain-Login. Später haben mir Kollegen erzählt, jemand hätte mal aus Spaß auf diese Art das PW des obersten Bosses des Konzerns geändert. Aber selbst das hat nicht dazu geführt, dass sich was ändert.

Liebe Grüße

Erik

Moin,


Eben nicht. Wenn die Mail eine Senderadresse enthält, die zu meiner Domain gehört, aber nicht aus meiner Domain stammt, dann blockiert das mein MTA. Die Mail kommt nicht durch. Und darauf bezog sich die Frage: Warum kommt die durch?

Wenn die Mail von <Max Mayer - CEO Geschäftspartner GmbH> mmayer@geschaeftspartner.de kommt oder von <Max Mayer - CEO Geschäftspartner GmbH> badboy@nigeriaconnection.ng, dann steht in beiden Fällen oben [Extern]. Wo ist also der Mehrwert? Ein echter Mehrwert ist, Outlook korrekt zu konfigurieren und den Usern beizubringen, darauf zu achten, dass die korrekte Sendeadresse da steht und dass auch beim Antworten wieder die richtige Adresse im TO zu finden ist.

Liebe Grüße

Erik

Gehört sie ja nicht oder bist du Inhaber von "givemeyourmoney.syx"? Die Kommt durch weil du auch von anderen noch Mails empfangen möchtest.


Der Unterschied ist, dass wenn sie tatsächlich von deinem Chef intern kommt (also richtig ist) das Extern fehlt. Das ist ein Muster das sich dein Hirn einprägt, ob du willst oder nicht. Der Mehrwert liegt darin das eine Mail mit dem Namen des Chefs anders als sonst (gelerntes Muster) mit dem Zusatz [Extern] ankommt. Diese Musterabweichung schiebt dann hoffentlich dein Großhirn an und die fängst an bewusst darüber nach zu denken was das den eigentlich gerade ist was du da bekommen hast.

Wenn ich dann noch weis wo die E-Mail steht und drauf achte was im TO steht, umso bessern. Dann kann ich die Mail schon selbst als SPAM klassifizieren und brauch die IT nicht nerven. Doch den Initialen Impuls musst du schaffen. Sonst bleibt das Kleinhirn aktiv und hustet dir was.

vG
PJM

Moin,


Nein, kommt sie nicht. Da steht im Header <Mein Chef> mein.chef@meinefirma.de. Der sendende SMTP ist aber nicht autorisiert, in meine Domain Mails zu schicken mit einer aus meiner Domain stammenden Sendeadresse. Also wird sie nicht reingelassen. Das hat überhaupt nichts damit zu tun, dass ich auch Mails von anderen Domains bekommen kann.



Die Annahme ist schonmal falsch. Wenn nämlich das Konto vom Chef gekapert wurde, dann sendet der böse Bursche im Namen meines Chefs mit legaler Sendeadresse und legalem SMTP.


Und genau das muss verhindert werden, da sonst genau dieses Muster dazu führt, dass bei gekapertem Konto auch auf Mails reagiert wird, die komisch sind. Ist ja vom Chef und die IT hat gesagt, wenn da nicht [EXTERN] drüber steht, ist alles gut.


Wie gerade gesagt. Dieses Muster, das Du prägst (kein [EXTERN] ungefährlich und [EXTERN] gefährlich) führt genau dazu, dass Du die Aufmerksamkeit absenkst, statt sie zu erhöhen. Nicht nur wegen des gerade genannten Beispiels, sondern auch deshalb:

Wie Du ja richtig sagst, prägen sich solche Muster ein. Jetzt kriegt der User 100 Mails pro Tag. Davon sind 95% von Extern. Da steht jetzt immer [EXTERN] drüber. Was macht das Hirn nach ein paar Tagen? Es blendet diese überflüssige Information aus genau auf Grund der Mechanismen, die Du richtig beschreibst. Das ist wie mit dem bellenden Hund auf dem Heimweg. Am ersten Tag kriegt man einen Schreck, am zweiten auch noch. Aber nach einiger Zeit hat man sich an den Kläffer gewöhnt und nimmt ihn nicht mehr wahr.

Je länger ich darüber nachdenke, desto schlechter finde ich die Idee.

Liebe Grüße

Erik

Nun - ich kenne grad den letzten Teil auch andersrum... In meiner letzten Firma hab ich leider mein VPN-Passwort zu oft falsch eingegeben. Also angerufen - ja, da müssen Sie uns mal eben den Antrag per Mail oder Fax schicken... Ok, aber Mail geht ja nur mit VPN also? Dann halt Fax... Klar, mitten im Nirgendwo auf ner Schiffswerft.. Ende vom Lied: Ok, dann hab ich halt für 1-2 Wochen keine Mails mehr, fertig...

Umgekehrt auch - ich brauchte nen VPN-Zugang beim Kunden weil da eben was nicht ging und mal eben einige 100 Systeme nicht wollten. Da es grad neu aufgebaut war war natürlich auch noch nix mit meinem VPN-Zugang beim Kunden. O-Ton: Ja, muss ich den Antrag bitte per Fax vom Projektleiter abgezeichnet bekommen. O-Ton von mir: Ok, dann dauert das bis ich in Hamburg bin - so 3-5 Tage minimum. Und siehe da - nicht ganz 1h später hatte ich den Zugang und die haben sich in der Zeit kurz überlegt welcher Schaden wohl grösser ist (wobei ich auch damals schon die meisten Kontakte auch persönlich kannte und entsprechend sicher kein völlig fremder war).

Is halt immer ne Frage wie weit man gehen will und muss. Wenns da dann mal ne ganze Firma runterzieht weil das Formular nich da war dann wirds halt auch schwer das noch zu begründen...


Was die Mails angeht -> grade deshalb würde ich ja eben auch das Extern davor packen -> so ist immer sicher das man nicht nur nen Buchstaben übersieht sondern zumindest nen Hinweis erhält das es von aussen kommt. Ansonsten kann ich mit einfachen Mitteln den Leser davon überzeugen das er trotzdem klickt... Das Extern ist natürlich auch kein 100% Schutz, aber wenns wieder 10% mehr sind ist ja schon viel gewonnen...

Liest du die Texte? Die Mail kommt von <Max Mayer - CEO Geschäftspartner GmbH> badboy@nigeriaconnection.ng. Outlook lässt dir dann in dem Fall netter weise die SMTP mail weg und lässt nur "Max Mayer - CEO Geschäftspartner GmbH" im von Teil stehen. Somit kommt sie von Extern, einem validen Mailserver und wird auch zugestellt. (Hab nicht kontrolliert obs die Domain wirklich gibt, geh jetzt einfach mal davon aus)


Jetzt wirds langsam lächerlich. Wenn ich mein Chef am Telefon hab und er mir sagt ich soll überweisen und er im Hintergrund ne knarre am Kopf hat überweis ichs auch. Da würd ich die Kirche im Dorf lassen und bei den Vergleichen realistisch zu bleiben.


Brauch die IT ja nie behaupten und ist ein völlig anderes Angriffszenario das hier gar nicht zum Thema stand.


Du Prägst kein Muster Extern=Böse , ohne=Gut. Du Prägst das Muster Mails von außen haben Extern mails von intern nicht, wertungsfrei... Wenn man den Leuten vermittelt das es lediglich das ist, nicht mehr und nicht weniger.


Richtig, und warum? Weil immer das gleiche Setting herrscht. Hund hinter Zaun bellt. Sollte der Hund an einem Tag nicht mehr bellen, oder der Zaun weg sein wirst du den Hund oder dein Hirn zumindest etwas "vermissen".


Kann ich nicht nachvollziehen, muss ich ja aber auch nicht. Man darf ja durchaus 2 unterschiedlichen Positionen haben. Bei dem einen unternehmen funktioniert das eine gut beim anderen das andere. Deswegen gibts ja Pentesting Firmen die Ihre leistungen teuer verkaufen um genau so etwas heraus zu finden.


vG und schönes Wochenende
PJM