Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWünsch Dir wasWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

MIME-signierte E-Mails: "Eigentlich" für die Katz!

Mitglied: FA-jka

FA-jka (Level 3) - Jetzt verbinden

23.04.2020, aktualisiert 25.04.2020, 2456 Aufrufe, 15 Kommentare, 1 Danke

Hallo,

Meine Erfahrungen mit MIME-signierten E-Mails sind ausgesprochen ernüchternd.

Letztendlich ist es auf zwei Aussagen hinausgelaufen:

1. "Da war ein Anhang dabei - da habe ich nicht draufgklickt. Ich klicke grundsätzlich keine Anhänge an. War die E-Mail überhaupt von Dir?"

Auch wenn das jetzt "eigentlich" falsch ist, empfinde ich diese Grundeinstellung doch als lobenswert. Durch ein derartiges Verhalten entsteht in meinen Augen ein größerer Sicherheits- und Vertraulichkeitsgewinn als durch eine digitale Unterschrift.

2. "Die war signiert?"

Tatsächlich ist es so, dass die Signatur eigentlich nur in Desktop-Anwendungen (Outlook, Thunderbird) so präsent dargestellt wird, dass die der Anwender überhaupt wahrnimmt. Der Markt in der privaten Kommunikation wird meiner Beobachtung nach zunehmend von iOS und Android dominiert. Hier muss man schon gezielt nach der Signatur suchen.

Zusätzlich habe ich mir noch die Frage erlaubt, welche Schlussfolgerungen der Empfänger aus der Signatur zieht. Die korrekte Antwort wäre gewesen: "Ein von meinem Gerät als vertrauenswürdig eingestufter Anbieter behauptet, dass der Inhalt von jemanden stammt, der irgendwann einmal Zugriff auf das Absenderpostfach hatte"(*).

Diese Antwort habe ich von niemanden gehört. Entweder es wurde geraten:

  • "Das ist jetzt irgendwie verschlüsselt, oder?"
  • "Das kann keiner mitlesen"
  • oder es gab eine allgemeine Antwort ("das ist jetzt sicherer").

Fazit:

Sehr traurig und ernüchternd. "Eigentlich" machen Signaturen schon Sinn. Nur benötigt der korrekte Umgang damit ein (Fach-)Wissen, dass nur dann vorhanden ist, wenn man sich bewusst damit beschäftigt.

(*) Die Signatur sagt in den meisten Fällen natürlich noch mehr aus. Da die Verifizierungsprozesse der Trustcentren jedoch erheblich differieren und Schlüssel u.U. auch vom Anbieter generiert werden, dürfte dies der kleinste gemeinsame Nenner sein.

Gruß,
Jörg
Mitglied: GrueneSosseMitSpeck
23.04.2020 um 13:53 Uhr
tja dafür hat der Liebe Gott am 8. Tag der Schöpfung TLS erfunden... zumindestens TLS 1.2 ist halbwegs sicher und da es transparent auf Protokoll-Ebene arbeietet wäre der erste Check dann "kann ich mit der Gegenseite per TLS Mails austauschen".

Aber selbst mit richtigen Zertifikaten verschlüsselte Mails sind nur solange sicher, wie die Zertifikatskette nicht kompromittiert wurde, also das Root CA nicht Symantec ist (Symantec wurde als unzuverlässige Root CA eingestuft die Dritten Wildcardzertifikate ausgestellt hatten) oder LetsEncrypt (keine authoriative Root CA)

Zuguterletzt sei nach angemerkt daß Mails - die die nicht lokal, also innerhalb derselbem Domäne von demselben MX zugestellt wurden ungefähr so sicher sind wie eine mit Bleistift beschriebene Postkarte. Halbwegs sicher (dank gut abgesicherter Transportwege) ist genaugneomen nur DE-Mail und das BEA (die Atos-Lösung für Anwaltspostfächer).
Bitte warten ..
Mitglied: FA-jka
23.04.2020, aktualisiert um 15:24 Uhr
Hallo,

Zitat von GrueneSosseMitSpeck:

tja dafür hat der Liebe Gott am 8. Tag der Schöpfung TLS erfunden...

Ja, aber die Motiviation hinter MIME-Signaturen ist in dem Fall eine ganz Andere: Es geht darum, die Authentizität des Absenders sicherzustellen und in meinem Fall um einen Weg, der so etabliert ist, dass über überall mit Bordmitteln erreicht werden kann.

Mein Bedauern gilt den Umstand, dass es so etwas nicht gibt - obwohl es "eigentlich" dringend nötig ist.

Abgesehen davon ist die Transportebene Sache des Anbieters - in meinem Fall mailbox.org. Oder, um es mit anderen Worten zu sagen: "Das interessiert mich nicht" Zumal ich bei eigenen E-Mail-Servern grundsätzlich den SMTP-Server des Providers als SmartHost konfiguriere. Ich habe nämlich keinen Bock, mich mit Themen wie Black-, Gray- und Whitelisting usw. herumzuschlagen.

Gruß,
Jörg
Bitte warten ..
Mitglied: BernhardMeierrose
24.04.2020, aktualisiert um 08:41 Uhr
Moin,

ich glaube, Du wirfst die Themen Signierung und Verschlüsselung etwas durcheinander...

und egal, wie sehr man sich über theoretische Mängel (kompromittierte Root-CAs etc.) echauffieren kann, solange es nichts besseres, alltagstaugliches gibt, sind S/MIME und PGP nunmal der Status-Quo.
Und diese regelmäßig wiederkehrende These " alles unnütz, lassen wir sein" ist mMn Unfug. Ich schalte doch kein Sicherheitsfeature nur deshalb ab, weil es theoretisch unter bestimmten Bedingungen versagen könnte.
Eine Signatur erhöht deutlich die Wahrscheinlichkeit, dass der Absender authentisch ist.
Eine Verschlüsselung erhöht deutlich die Wahrscheinlichkeit, dass der Inhalt vertraulich bleibt.

Und wenn die Anwender die Symbole nicht richtig deuten können: schulen...

Gruß
Bernhard
Bitte warten ..
Mitglied: broecker
24.04.2020 um 14:05 Uhr
ich bekomme bei PGP-Einrichtung bei mir und meinen Kunden Signatur "kostenlos" dazu,
wenn ich von einem Kunden dann signierte Mail bekomme oder der von dritten signierte Mails bekommt,
dann stärkt es deren und meine Position vor Gericht - die Mail hat erhebliche Beweiskraft, wenn es mir gelingt, einem Richter zu erklären, was es mit den Signaturen auf sich hat,
deswegen greife ich auch häufig Gesprächsinhalte auf und sende sie nochmals signiert meinen Gesprächspartnern.
Das angenehme: dafür muß ich noch nicht vor dem Problem den Erklärbär machen.
HG
Mark
Bitte warten ..
Mitglied: FA-jka
24.04.2020 um 17:33 Uhr
Hallo,

Zitat von BernhardMeierrose:

Moin,

ich glaube, Du wirfst die Themen Signierung und Verschlüsselung etwas durcheinander...

Nö. Ich war ja nicht derjenige, der von TLS angefangen hat Ich rede ausschließlich von Signaturen. Im Idealfall dokumentieren diese:
- dass die E-Mail wirklich vom entsprechenden Absender stammt
- dass der Inhalt nach der Signatur nicht mehr verändert wurde

Und diese regelmäßig wiederkehrende These " alles unnütz, lassen wir sein" ist mMn Unfug.

Wie ich bereits geschrieben habe - es schafft schlichtweg kein Vertrauen. Und etwas Anderes möchte ich nicht erreichen.

Ich habe in meinem Beitrag lediglich die Sicht der Anwender und das Ergebnis meines Tests / meiner Umfrage zusammengefasst. Ob das jetzt gut oder toll ist, lasse ich völlig wertfrei im Raum stehen. Und die technische Komponente ist "eigentlich" auch irrelevant: Solange es fehlerfrei funktioniert, sollte uns alles recht sein

Gruß,
Jörg
Bitte warten ..
Mitglied: rzlbrnft
25.04.2020, aktualisiert um 09:09 Uhr
Wenn du den Anwender nicht schulst und regelmäßig informierst, ist klar, das er nicht weiß wie er damit umzugehen hat.
Von selbst werden sich die wenigsten damit auseinandersetzen. Es ist Aufgabe der IT und des Managements, ein Bewusstsein dafür zu schaffen.

Ich habe in 15 Jahren IT noch nie eine signierte Spam Mail bekommen insofern scheint das wohl noch nicht gängige Praxis zu sein.
Der Aufbau der Struktur ist Sache der IT und das Management muss dafür sorgen das für die Untertanen das Thema relevant wird.
Mit einer internen PKI ist das auch recht einfach hinzubekommen.

Was dann etwas schwieriger ist, ist mit den Hauptgeschäftspartnern auszuhandeln, das auch die eine Signatur einfügen und man sich gegenseitig die Zertifizierungsstellen trusted. Aber mit etwas Verhandlungsgeschick bekommt man auch das hin.

Klar, die Steinzeit IT von einigen arroganten deutschen Großautomobilherstellern wird man nie auf seine Seite bekommen. Aber alles was drunter ist, lässt für etwas mehr Sicherheit mit sich reden und nach und nach etabliert sich das vielleicht doch.
Bitte warten ..
Mitglied: FA-jka
25.04.2020 um 09:34 Uhr
Hallo,

warum sollte ich als Absender meine Empfänger schulen?

Ich habe das aus Sicht des Absenders dargestellt.

Gruß,
Jörg
Bitte warten ..
Mitglied: rzlbrnft
25.04.2020 um 15:09 Uhr
Weil du von denen Geld bekommst?

Ich habe das aus der Sicht eines Unternehmens dargestellt.
Bitte warten ..
Mitglied: BernhardMeierrose
25.04.2020 um 15:53 Uhr
Zitat von FA-jka:
Ich rede ausschließlich von Signaturen.
Ob das jetzt gut oder toll ist, lasse ich völlig wertfrei im Raum stehen.

Moin,
dann solltest Du den Threadtitel mal überdenken
"MIME-verschlüsselte E-Mails: "Eigentlich" für die Katz! "
Das ist weder auf Signaturen bezogen noch besonders wertfrei.

Gruß
Bernhard
Bitte warten ..
Mitglied: FA-jka
25.04.2020 um 16:08 Uhr
Hallo,

da hast Du natürlich Recht Ich habe den Titel entsprechend angepasst.

Danke für den Hinweis

Gruß,
Jörg
Bitte warten ..
Mitglied: radiogugu
19.05.2020 um 10:17 Uhr
Hallo.

Ist zwar schon ein paar Wochen alt der Beitrag, habe aber aktuell einen Fall, der genau hier reinspielt.

Ein kleiner Automotive Zulieferer ist unser Kunde und dieser weigert sich stringent gegen eine PGP oder S/MIME Signierung und vor allem Verschlüsselung. Stellt aber selbst Links auf OneDrive für "sensible" Inhalte (Zeichnungen, STEP-Daten etc.) zur Verfügung.

Ende vom Lied ist, dass ich einen Rüffel unserer GF erhalten habe, weil ich dem Kunden bewiesen habe, dass diese Art der Datenbereitstellung bezüglich der Geheimhaltungsvereinbarung absolut aushebelnd wirkt. Wir dürfen auf unseren Cloud Hoster, welcher in Deutschland sitzt keine Daten des Kunden ablegen, er aber sehr wohl bei M$ in Redmond.

Auf meine naive Nachfrage, ob wenigstens der Serverstandort bei M$ auf Europa kostenpflichtig gesetzt wurde, bekam ich den zweiten Rüffel der GF.

Bin ein Pälzer Bu und kann meine Klappe einfach nicht halten und werde so etwas auf keinen Fall stillschweigend und unkommentiert stehen lassen.

Wollte teilweise meinem Ärger Luft machen und teilweise aufzeigen, dass es leider immer noch an der Akzeptanz des Ganzen Konstrukts hapert. Es gibt einfach keinen Standard, der den Komfort nur geringfügig einschränkt.

Ansätze wie R-Mail und andere portal-basierte Lösungen sind zugegebenermaßen eine blöde Variante, erfüllen jedoch genau den Zweck, den man erreichen wollte, wenn es um sensible Daten geht.

Gruß
Radiogugu
Bitte warten ..
Mitglied: BernhardMeierrose
19.05.2020 um 10:30 Uhr
Moin,

der Tag wird kommen, wo Dein Automotive-Zulieferer von seinen Kunden auf das Theme Informationssicherheit angesprochen wird.
Der wird zwar keine TISAX machen müssen, aber ein Self-Assessment nach VDA-ISA wird sicherlich irgendwann kommen wenn er nicht nur die Abdeckkappen für Reifenventile herstellt.
https://www.vda.de/de/themen/sicherheit-und-standards/informationssicher ...

Dann wird er sich an Deine Empfehlungen erinnern

Gruß
Bernhard
Bitte warten ..
Mitglied: radiogugu
19.05.2020 um 12:26 Uhr
Das wäre klasse, um die Gesamtsituation zu verbessern und nicht um mir den Satz "Hab ich doch gesagt" zu entlocken. Darum geht es ja nicht, sondern eher um das Prinzip, dass es endlich zum allgemeinen Standard heranwächst.

Gruß
Radiogugu
Bitte warten ..
Mitglied: FA-jka
19.05.2020 um 13:46 Uhr
Hallo,

zumal ich Verschlüsselung und Geheimhaltung gerade in Bezug auf Industriespionage für sehr wichtig erachte.

Gruß,
Jörg
Bitte warten ..
Mitglied: radiogugu
19.05.2020, aktualisiert um 13:50 Uhr
Unumgänglich in diesem Kontext.

Aber der Komfort ist für Viele einfach immer noch wichtiger.

Allein 2-Faktor-Authentifizierung allen "aufzuzwingen" ist noch immer ein Akt.

Gruß
Radiogugu
Bitte warten ..
Ähnliche Inhalte
Erkennung und -Abwehr
E-Mail Spamwelle: März 2018
Information von FrankErkennung und -Abwehr2 Kommentare

Aktuell gibt es eine etwas größer angelegte E-Mail Spamwelle. Diese wird über mehrere Server in England ( London), Ungarn ...

Datenschutz

Was macht eigentlich ein Datenträgerspürhund ?

Information von HenereDatenschutz3 Kommentare

Heute das erste Mal über den Namen gestolpert. Henere

Sicherheit

E-Mail-Sicherheitscheck speichert IP Adressen 2 Jahre

Information von sabinesSicherheit

Die EU Kommission bietet einen E-Mail-Sicherheitscheck an, hierbei wird eine Mail an die eigene Mailadresse gesendet, darau geantwortet und ...

Verschlüsselung & Zertifikate

Experten raten vorerst von E-Mail-Verschlüsselung ab

Information von keine-ahnungVerschlüsselung & Zertifikate35 Kommentare

Auch diese Mühe kann man sich also sparen :-) LG, Thomas

Neue Wissensbeiträge
Sicherheit

Mehrere Sicherheitslücken in QNAP-NAS-Systemen aufgetaucht

Information von transocean vor 1 TagSicherheit

Moin, QNAP hat drei Sicherheitsprobleme publik gemacht und empfiehlt sofortiges Update. Gruß Uwe

DNS

"Quickie": Unerwünschte Aktivierung von Mozillas "DNS over HTTPS" in pfSense verhindern

Anleitung von FA-jka vor 1 TagDNS6 Kommentare

Hallo, Mozilla macht jetzt wohl wirklich Ernst mit "DNS over HTTPS" (kurz: DoH). Damit werden sämtliche DNS-Anfragen zu entsprechenden ...

Sicherheit
Störung bei Telematikinfrasturktur GEMATIK
Information von lcer00 vor 1 TagSicherheit

Am 27. Mai 2020 ist es offenbar zu einer Fehlkonfiguration in der Zentralen Telematikinfrastruktur gekommen. Nähreres dazu findet sich ...

Informationsdienste

Trump vs Twitter - Angriff auf die Meinungsfreiheit?

Information von Frank vor 2 TagenInformationsdienste3 Kommentare

Trump nutzt Twitter rege. Nach Hinweisen auf Falschbehauptungen drohte er dem Dienst. Was das bedeutet und die Konsequenzen dazu ...

Heiß diskutierte Inhalte
Exchange Server
Automatische Antwort - Weiterleitung - zweite automatische Antwort - keine Weiterleitung?
Frage von dertowaExchange Server18 Kommentare

Hallo zusammen, da mich der Microsoftsupport ein wenig fassungslos machte versuche ich hier mal mein Glück und wenn es ...

Windows Netzwerk
Verbindungsabbrüche Netzwerkkarte
Frage von Dukenukem264Windows Netzwerk14 Kommentare

Hallo Zusammen, habe eine kleine Frage, vielleicht hat der Ein oder Andere schonmal das Problem gehabt. Habe ein MSI ...

Netzwerkgrundlagen
PF Sense - Keine Verbindung nach "außen"
gelöst Frage von mario89Netzwerkgrundlagen14 Kommentare

Hallo Leute, muss euch nochmalum Rat fragen. Weil irgendwie komme ich nicht weiter. Hintergrund ist, dass ich bei meiner ...

Hardware
Anbieter PC-Konfigurator mit Garantie UND vor-Ort-Service
gelöst Frage von ITler7Hardware13 Kommentare

Hallo zusammen, wir suchen aktuell nach einem Anbieter, bei dem wir einen PC konfigurieren können, ähnlich wie bei Alternate ...