117471
23.04.2020, aktualisiert am 25.04.2020
5523
17
1
MIME-signierte E-Mails: "Eigentlich" für die Katz!
Hallo,
Meine Erfahrungen mit MIME-signierten E-Mails sind ausgesprochen ernüchternd.
Letztendlich ist es auf zwei Aussagen hinausgelaufen:
1. "Da war ein Anhang dabei - da habe ich nicht draufgklickt. Ich klicke grundsätzlich keine Anhänge an. War die E-Mail überhaupt von Dir?"
Auch wenn das jetzt "eigentlich" falsch ist, empfinde ich diese Grundeinstellung doch als lobenswert. Durch ein derartiges Verhalten entsteht in meinen Augen ein größerer Sicherheits- und Vertraulichkeitsgewinn als durch eine digitale Unterschrift.
2. "Die war signiert?"
Tatsächlich ist es so, dass die Signatur eigentlich nur in Desktop-Anwendungen (Outlook, Thunderbird) so präsent dargestellt wird, dass die der Anwender überhaupt wahrnimmt. Der Markt in der privaten Kommunikation wird meiner Beobachtung nach zunehmend von iOS und Android dominiert. Hier muss man schon gezielt nach der Signatur suchen.
Zusätzlich habe ich mir noch die Frage erlaubt, welche Schlussfolgerungen der Empfänger aus der Signatur zieht. Die korrekte Antwort wäre gewesen: "Ein von meinem Gerät als vertrauenswürdig eingestufter Anbieter behauptet, dass der Inhalt von jemanden stammt, der irgendwann einmal Zugriff auf das Absenderpostfach hatte"(*).
Diese Antwort habe ich von niemanden gehört. Entweder es wurde geraten:
Fazit:
Sehr traurig und ernüchternd. "Eigentlich" machen Signaturen schon Sinn. Nur benötigt der korrekte Umgang damit ein (Fach-)Wissen, dass nur dann vorhanden ist, wenn man sich bewusst damit beschäftigt.
(*) Die Signatur sagt in den meisten Fällen natürlich noch mehr aus. Da die Verifizierungsprozesse der Trustcentren jedoch erheblich differieren und Schlüssel u.U. auch vom Anbieter generiert werden, dürfte dies der kleinste gemeinsame Nenner sein.
Gruß,
Jörg
Meine Erfahrungen mit MIME-signierten E-Mails sind ausgesprochen ernüchternd.
Letztendlich ist es auf zwei Aussagen hinausgelaufen:
1. "Da war ein Anhang dabei - da habe ich nicht draufgklickt. Ich klicke grundsätzlich keine Anhänge an. War die E-Mail überhaupt von Dir?"
Auch wenn das jetzt "eigentlich" falsch ist, empfinde ich diese Grundeinstellung doch als lobenswert. Durch ein derartiges Verhalten entsteht in meinen Augen ein größerer Sicherheits- und Vertraulichkeitsgewinn als durch eine digitale Unterschrift.
2. "Die war signiert?"
Tatsächlich ist es so, dass die Signatur eigentlich nur in Desktop-Anwendungen (Outlook, Thunderbird) so präsent dargestellt wird, dass die der Anwender überhaupt wahrnimmt. Der Markt in der privaten Kommunikation wird meiner Beobachtung nach zunehmend von iOS und Android dominiert. Hier muss man schon gezielt nach der Signatur suchen.
Zusätzlich habe ich mir noch die Frage erlaubt, welche Schlussfolgerungen der Empfänger aus der Signatur zieht. Die korrekte Antwort wäre gewesen: "Ein von meinem Gerät als vertrauenswürdig eingestufter Anbieter behauptet, dass der Inhalt von jemanden stammt, der irgendwann einmal Zugriff auf das Absenderpostfach hatte"(*).
Diese Antwort habe ich von niemanden gehört. Entweder es wurde geraten:
- "Das ist jetzt irgendwie verschlüsselt, oder?"
- "Das kann keiner mitlesen"
- oder es gab eine allgemeine Antwort ("das ist jetzt sicherer").
Fazit:
Sehr traurig und ernüchternd. "Eigentlich" machen Signaturen schon Sinn. Nur benötigt der korrekte Umgang damit ein (Fach-)Wissen, dass nur dann vorhanden ist, wenn man sich bewusst damit beschäftigt.
(*) Die Signatur sagt in den meisten Fällen natürlich noch mehr aus. Da die Verifizierungsprozesse der Trustcentren jedoch erheblich differieren und Schlüssel u.U. auch vom Anbieter generiert werden, dürfte dies der kleinste gemeinsame Nenner sein.
Gruß,
Jörg
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 566933
Url: https://administrator.de/tutorial/mime-signierte-e-mails-eigentlich-fuer-die-katz-566933.html
Ausgedruckt am: 21.12.2024 um 16:12 Uhr
17 Kommentare
Neuester Kommentar
tja dafür hat der Liebe Gott am 8. Tag der Schöpfung TLS erfunden... zumindestens TLS 1.2 ist halbwegs sicher und da es transparent auf Protokoll-Ebene arbeietet wäre der erste Check dann "kann ich mit der Gegenseite per TLS Mails austauschen".
Aber selbst mit richtigen Zertifikaten verschlüsselte Mails sind nur solange sicher, wie die Zertifikatskette nicht kompromittiert wurde, also das Root CA nicht Symantec ist (Symantec wurde als unzuverlässige Root CA eingestuft die Dritten Wildcardzertifikate ausgestellt hatten) oder LetsEncrypt (keine authoriative Root CA)
Zuguterletzt sei nach angemerkt daß Mails - die die nicht lokal, also innerhalb derselbem Domäne von demselben MX zugestellt wurden ungefähr so sicher sind wie eine mit Bleistift beschriebene Postkarte. Halbwegs sicher (dank gut abgesicherter Transportwege) ist genaugneomen nur DE-Mail und das BEA (die Atos-Lösung für Anwaltspostfächer).
Aber selbst mit richtigen Zertifikaten verschlüsselte Mails sind nur solange sicher, wie die Zertifikatskette nicht kompromittiert wurde, also das Root CA nicht Symantec ist (Symantec wurde als unzuverlässige Root CA eingestuft die Dritten Wildcardzertifikate ausgestellt hatten) oder LetsEncrypt (keine authoriative Root CA)
Zuguterletzt sei nach angemerkt daß Mails - die die nicht lokal, also innerhalb derselbem Domäne von demselben MX zugestellt wurden ungefähr so sicher sind wie eine mit Bleistift beschriebene Postkarte. Halbwegs sicher (dank gut abgesicherter Transportwege) ist genaugneomen nur DE-Mail und das BEA (die Atos-Lösung für Anwaltspostfächer).
Moin,
ich glaube, Du wirfst die Themen Signierung und Verschlüsselung etwas durcheinander...
und egal, wie sehr man sich über theoretische Mängel (kompromittierte Root-CAs etc.) echauffieren kann, solange es nichts besseres, alltagstaugliches gibt, sind S/MIME und PGP nunmal der Status-Quo.
Und diese regelmäßig wiederkehrende These " alles unnütz, lassen wir sein" ist mMn Unfug. Ich schalte doch kein Sicherheitsfeature nur deshalb ab, weil es theoretisch unter bestimmten Bedingungen versagen könnte.
Eine Signatur erhöht deutlich die Wahrscheinlichkeit, dass der Absender authentisch ist.
Eine Verschlüsselung erhöht deutlich die Wahrscheinlichkeit, dass der Inhalt vertraulich bleibt.
Und wenn die Anwender die Symbole nicht richtig deuten können: schulen...
Gruß
Bernhard
ich glaube, Du wirfst die Themen Signierung und Verschlüsselung etwas durcheinander...
und egal, wie sehr man sich über theoretische Mängel (kompromittierte Root-CAs etc.) echauffieren kann, solange es nichts besseres, alltagstaugliches gibt, sind S/MIME und PGP nunmal der Status-Quo.
Und diese regelmäßig wiederkehrende These " alles unnütz, lassen wir sein" ist mMn Unfug. Ich schalte doch kein Sicherheitsfeature nur deshalb ab, weil es theoretisch unter bestimmten Bedingungen versagen könnte.
Eine Signatur erhöht deutlich die Wahrscheinlichkeit, dass der Absender authentisch ist.
Eine Verschlüsselung erhöht deutlich die Wahrscheinlichkeit, dass der Inhalt vertraulich bleibt.
Und wenn die Anwender die Symbole nicht richtig deuten können: schulen...
Gruß
Bernhard
ich bekomme bei PGP-Einrichtung bei mir und meinen Kunden Signatur "kostenlos" dazu,
wenn ich von einem Kunden dann signierte Mail bekomme oder der von dritten signierte Mails bekommt,
dann stärkt es deren und meine Position vor Gericht - die Mail hat erhebliche Beweiskraft, wenn es mir gelingt, einem Richter zu erklären, was es mit den Signaturen auf sich hat,
deswegen greife ich auch häufig Gesprächsinhalte auf und sende sie nochmals signiert meinen Gesprächspartnern.
Das angenehme: dafür muß ich noch nicht vor dem Problem den Erklärbär machen.
HG
Mark
wenn ich von einem Kunden dann signierte Mail bekomme oder der von dritten signierte Mails bekommt,
dann stärkt es deren und meine Position vor Gericht - die Mail hat erhebliche Beweiskraft, wenn es mir gelingt, einem Richter zu erklären, was es mit den Signaturen auf sich hat,
deswegen greife ich auch häufig Gesprächsinhalte auf und sende sie nochmals signiert meinen Gesprächspartnern.
Das angenehme: dafür muß ich noch nicht vor dem Problem den Erklärbär machen.
HG
Mark
Wenn du den Anwender nicht schulst und regelmäßig informierst, ist klar, das er nicht weiß wie er damit umzugehen hat.
Von selbst werden sich die wenigsten damit auseinandersetzen. Es ist Aufgabe der IT und des Managements, ein Bewusstsein dafür zu schaffen.
Ich habe in 15 Jahren IT noch nie eine signierte Spam Mail bekommen insofern scheint das wohl noch nicht gängige Praxis zu sein.
Der Aufbau der Struktur ist Sache der IT und das Management muss dafür sorgen das für die Untertanen das Thema relevant wird.
Mit einer internen PKI ist das auch recht einfach hinzubekommen.
Was dann etwas schwieriger ist, ist mit den Hauptgeschäftspartnern auszuhandeln, das auch die eine Signatur einfügen und man sich gegenseitig die Zertifizierungsstellen trusted. Aber mit etwas Verhandlungsgeschick bekommt man auch das hin.
Klar, die Steinzeit IT von einigen arroganten deutschen Großautomobilherstellern wird man nie auf seine Seite bekommen. Aber alles was drunter ist, lässt für etwas mehr Sicherheit mit sich reden und nach und nach etabliert sich das vielleicht doch.
Von selbst werden sich die wenigsten damit auseinandersetzen. Es ist Aufgabe der IT und des Managements, ein Bewusstsein dafür zu schaffen.
Ich habe in 15 Jahren IT noch nie eine signierte Spam Mail bekommen insofern scheint das wohl noch nicht gängige Praxis zu sein.
Der Aufbau der Struktur ist Sache der IT und das Management muss dafür sorgen das für die Untertanen das Thema relevant wird.
Mit einer internen PKI ist das auch recht einfach hinzubekommen.
Was dann etwas schwieriger ist, ist mit den Hauptgeschäftspartnern auszuhandeln, das auch die eine Signatur einfügen und man sich gegenseitig die Zertifizierungsstellen trusted. Aber mit etwas Verhandlungsgeschick bekommt man auch das hin.
Klar, die Steinzeit IT von einigen arroganten deutschen Großautomobilherstellern wird man nie auf seine Seite bekommen. Aber alles was drunter ist, lässt für etwas mehr Sicherheit mit sich reden und nach und nach etabliert sich das vielleicht doch.
Zitat von @117471:
Ich rede ausschließlich von Signaturen.
Ob das jetzt gut oder toll ist, lasse ich völlig wertfrei im Raum stehen.
Ich rede ausschließlich von Signaturen.
Ob das jetzt gut oder toll ist, lasse ich völlig wertfrei im Raum stehen.
Moin,
dann solltest Du den Threadtitel mal überdenken
"MIME-verschlüsselte E-Mails: "Eigentlich" für die Katz! "
Das ist weder auf Signaturen bezogen noch besonders wertfrei.
Gruß
Bernhard
Hallo.
Ist zwar schon ein paar Wochen alt der Beitrag, habe aber aktuell einen Fall, der genau hier reinspielt.
Ein kleiner Automotive Zulieferer ist unser Kunde und dieser weigert sich stringent gegen eine PGP oder S/MIME Signierung und vor allem Verschlüsselung. Stellt aber selbst Links auf OneDrive für "sensible" Inhalte (Zeichnungen, STEP-Daten etc.) zur Verfügung.
Ende vom Lied ist, dass ich einen Rüffel unserer GF erhalten habe, weil ich dem Kunden bewiesen habe, dass diese Art der Datenbereitstellung bezüglich der Geheimhaltungsvereinbarung absolut aushebelnd wirkt. Wir dürfen auf unseren Cloud Hoster, welcher in Deutschland sitzt keine Daten des Kunden ablegen, er aber sehr wohl bei M$ in Redmond.
Auf meine naive Nachfrage, ob wenigstens der Serverstandort bei M$ auf Europa kostenpflichtig gesetzt wurde, bekam ich den zweiten Rüffel der GF.
Bin ein Pälzer Bu und kann meine Klappe einfach nicht halten und werde so etwas auf keinen Fall stillschweigend und unkommentiert stehen lassen.
Wollte teilweise meinem Ärger Luft machen und teilweise aufzeigen, dass es leider immer noch an der Akzeptanz des Ganzen Konstrukts hapert. Es gibt einfach keinen Standard, der den Komfort nur geringfügig einschränkt.
Ansätze wie R-Mail und andere portal-basierte Lösungen sind zugegebenermaßen eine blöde Variante, erfüllen jedoch genau den Zweck, den man erreichen wollte, wenn es um sensible Daten geht.
Gruß
Radiogugu
Ist zwar schon ein paar Wochen alt der Beitrag, habe aber aktuell einen Fall, der genau hier reinspielt.
Ein kleiner Automotive Zulieferer ist unser Kunde und dieser weigert sich stringent gegen eine PGP oder S/MIME Signierung und vor allem Verschlüsselung. Stellt aber selbst Links auf OneDrive für "sensible" Inhalte (Zeichnungen, STEP-Daten etc.) zur Verfügung.
Ende vom Lied ist, dass ich einen Rüffel unserer GF erhalten habe, weil ich dem Kunden bewiesen habe, dass diese Art der Datenbereitstellung bezüglich der Geheimhaltungsvereinbarung absolut aushebelnd wirkt. Wir dürfen auf unseren Cloud Hoster, welcher in Deutschland sitzt keine Daten des Kunden ablegen, er aber sehr wohl bei M$ in Redmond.
Auf meine naive Nachfrage, ob wenigstens der Serverstandort bei M$ auf Europa kostenpflichtig gesetzt wurde, bekam ich den zweiten Rüffel der GF.
Bin ein Pälzer Bu und kann meine Klappe einfach nicht halten und werde so etwas auf keinen Fall stillschweigend und unkommentiert stehen lassen.
Wollte teilweise meinem Ärger Luft machen und teilweise aufzeigen, dass es leider immer noch an der Akzeptanz des Ganzen Konstrukts hapert. Es gibt einfach keinen Standard, der den Komfort nur geringfügig einschränkt.
Ansätze wie R-Mail und andere portal-basierte Lösungen sind zugegebenermaßen eine blöde Variante, erfüllen jedoch genau den Zweck, den man erreichen wollte, wenn es um sensible Daten geht.
Gruß
Radiogugu
Moin,
der Tag wird kommen, wo Dein Automotive-Zulieferer von seinen Kunden auf das Theme Informationssicherheit angesprochen wird.
Der wird zwar keine TISAX machen müssen, aber ein Self-Assessment nach VDA-ISA wird sicherlich irgendwann kommen wenn er nicht nur die Abdeckkappen für Reifenventile herstellt.
https://www.vda.de/de/themen/sicherheit-und-standards/informationssicher ...
Dann wird er sich an Deine Empfehlungen erinnern
Gruß
Bernhard
der Tag wird kommen, wo Dein Automotive-Zulieferer von seinen Kunden auf das Theme Informationssicherheit angesprochen wird.
Der wird zwar keine TISAX machen müssen, aber ein Self-Assessment nach VDA-ISA wird sicherlich irgendwann kommen wenn er nicht nur die Abdeckkappen für Reifenventile herstellt.
https://www.vda.de/de/themen/sicherheit-und-standards/informationssicher ...
Dann wird er sich an Deine Empfehlungen erinnern
Gruß
Bernhard
Zitat von @radiogugu:
Das wäre klasse, um die Gesamtsituation zu verbessern und nicht um mir den Satz "Hab ich doch gesagt" zu entlocken. Darum geht es ja nicht, sondern eher um das Prinzip, dass es endlich zum allgemeinen Standard heranwächst.
Gruß
Radiogugu
Das wäre klasse, um die Gesamtsituation zu verbessern und nicht um mir den Satz "Hab ich doch gesagt" zu entlocken. Darum geht es ja nicht, sondern eher um das Prinzip, dass es endlich zum allgemeinen Standard heranwächst.
Gruß
Radiogugu
Wir haben damit jetzt einfach mal angefangen. Mails werden mit einer privaten Zertifizierungsstelle signiert, bei denen Kunden und Lieferanten die damit nicht klarkommen wird das Zertifikat per Regel Addin entfernt. Zusätzlich gibts eine Kurzbeschreibung und einen Link der darauf verweist wie man die Signatur auf trusted setzen kann.
Damit ist zumindest die Möglichkeit bereitgestellt, das unsere Kollegen SMIME verschlüsselte Mails empfangen können, ob es dann genutzt wird, wird sich zeigen. Der Datenschutz scheint dank Corona ja mittlerweile wieder total egal zu sein, aber vielleicht ändert sich das ja demnächst wieder.
Zitat von @rzlbrnft:
Wir haben damit jetzt einfach mal angefangen. Mails werden mit einer privaten Zertifizierungsstelle signiert, bei denen Kunden und Lieferanten die damit nicht klarkommen wird das Zertifikat per Regel Addin entfernt. Zusätzlich gibts eine Kurzbeschreibung und einen Link der darauf verweist wie man die Signatur auf trusted setzen kann.
Wir haben damit jetzt einfach mal angefangen. Mails werden mit einer privaten Zertifizierungsstelle signiert, bei denen Kunden und Lieferanten die damit nicht klarkommen wird das Zertifikat per Regel Addin entfernt. Zusätzlich gibts eine Kurzbeschreibung und einen Link der darauf verweist wie man die Signatur auf trusted setzen kann.
Hört sich gut an und ist in jedem Fall ein Start.
Damit ist zumindest die Möglichkeit bereitgestellt, das unsere Kollegen SMIME verschlüsselte Mails empfangen können, ob es dann genutzt wird, wird sich zeigen. Der Datenschutz scheint dank Corona ja mittlerweile wieder total egal zu sein, aber vielleicht ändert sich das ja demnächst wieder.
Sehe ich genauso und auch ähnlich kritisch, aber die Hoffnung stirbt kurz nach der Zuversicht
Gruß
Radiogugu