Re: SMTP ports wie Sicherheitsverfahren raus finden
Hallo,
Am 17.01.2020 um 15:33 schrieb Christoph Schmees:
> Am 17.01.20 um 12:51 schrieb Thomas:
>> ... Im Kern geht es darum das einer aus der Verwaltung sich meiner
>> Ansicht nach wichtig tut und mich auf die unglaublichen Gefahren
>> einer unverschlüsselten Email Kommunikation hinweist.
Auf den ersten Blick sind vielleicht die einzigen beiden Gefahren, dass
Unbefugte solche Mails mitlesen und verändern können.
Ob man das als Gefahr für sich persönlich sieht, muss zwar jeder selber
wissen, aber dieses Sich-bewusst-sein reicht m.E. nicht. Wenn man
jemandem unverschlüsselt schreibt, dann kann evtl. schon daraus auch
etwas über den Empfänger geschlossen werden. Deshalb hat man schon bei
eigenen, versandten Mails eine gewisse Verantwortung, meine ich. Aber
genau so der Empfänger, denn wenn der nicht verschlüsseln kann, dann ist
das schon auch eine gewisse Zumutung für den Absender. Zum Beispiel
setzen ausgerechnet sehr viele Vertreter von Berufsgruppen, die schon
von Berufs wegen vertraulich kommunizieren können müssten, keine
Verschlüsselung ein. Dabei wären Anwälte, Ärzte, Notare, Verwaltungen,
Versicherungen u.s.w. Multiplikatoren, die zur Verbreitung von
Verschlüsselung erheblich beitragen könnten. Bloß die sehen nicht ein,
hier mit gutem Beispiel voranzugehen, denn die Mandantschaft will es ja
nicht. Eine dumme Ausrede, finde ich. Sie müssten es ja nicht selber
einrichten, sondern könnten es beauftragen. Aber das kostet ja was, sagt
der Anwalt mit einem Honorar von 350 €/h. Aber so ist es halt ...
Gesellschaftlich haben wir noch viel weiter reichende Fragen, z.B. wie
es sich auswirken kann, wenn am DE-CIX sämtliche Datenverkehre
ausgeleitet und im Prinzip alles mitgelesen und von interessierten
Diensten ausgewertet und von fremden Regierungen oder der eigenen
Regierung genutzt werden kann -- und wird -- da bin ich mir sicher.
Gerade findet ja eine Verhandlung vor dem Bundesverfassungsgericht
statt, in dem, soweit ich das verstehe, geklärt werden soll, ob der BND
im Ausland schrankenlos abhören darf. Man darf nicht vergessen, dass
davon auch dort arbeitende Deutsche betroffen sein können.
>> "....dass es Ihr eigenes Risiko ist, dass Sie in dieser
>> Angelegenheit als Kommunikationsweg die unverschlüsselte
>> E-Mail-Kommunikation mit all ihren Gefahren gewählt haben...." ...
Kann diese Verwaltung denn verschlüsselt kommunizieren? Die meisten
können es nämlich nicht. Manche habe auf einer Seite stehen, man solle
sich den öffentlichen Schlüssel von einem zentralen Behörden-Server
holen. Aber den findet man dort fast nie. Nur die Polizei hinterlegt
dort öfters Public Keys.
> [---]
>
> Wenn du vertraulich und fälschungssicher kommunizieren willst, bleibt
> nur E2E Verschlüsselung oder ein kleiner Trick.
Geht aber gerade mit den wichtigsten Kommunikationspartnern nicht, siehe
Beispiel oben.
> Den habe ich kürzlich
> angewandt, um mit meiner Notarin (die kein E2E kann) Dokumente
> vertraulich auszutauschen: Man vereinbare auf einem *anderen Weg*
> (z.B. per Telefon) ein gemeinsames gutes Passwort. Das zu versendende
> Dokument wird komprimiert (ZIP) und mit dem PW verschlüsselt - fertig
> ist die Laube.
Hoffentlich hast Du dann die Namen der Dateien belanglos gestaltet, denn
die sind nach dem Zippen mit Verschlüsselung sichtbar. Daraus könnte man
auch einiges schließen, z.B. ließe ein Dateinahme wie
"Urkunde_über_Immobilienkauf_Irgendwo.pdf" darauf schließen, dass Du
nicht unvermögend bist. Wenn Du dann auch noch mit Deiner
Klarnamen-Mail-Adresse kommunizierst, kommt allmählich eins zum anderen,
bis jemand herausfindet, wer Du bist und wo Du wohnst und ...
> Ein Späher könnte zwar sehen, *dass* wir Dokumente
> verschlüsselt ausgetauscht haben,
Das reicht oft schon, und zusammen mit den Meta-Daten und den
Signaturen, in denen Anwälte und Notare u.a. so großzügig ihre
Kanzleidaten verschicken, kann man sogar schließen, wo ungefähr Du
wohnst, denn Du wirst zu dem Notar ja auch mal persönlich hingehen und
deswegen keinen in Hamburg nehmen, wenn Du in München wohnst (es sei
denn, Du musst, weil Notare nur für bestimmte Kreise zuständig sind.
> aber er käme nicht an deren
> Inhalt.
Ich weiß gar nicht, wie gut die Verschlüsselung in Zip ist. Vielleicht
kann man sogar jede Datei einzeln zwar verschlüsselt extrahieren und
dann durch Vergleich der Dateien die Verschlüsselung leichter knacken.
Wäre interessant zu erfahren.
Übrigens: der Gipfel der Naivität bei den Verwaltungen und Anwälten ist
dann auch der berühmte Disclaimer zum irrtümlichen Empfänger und bringt
mich immer wieder zum Lachen. Wie heißt es so schön? Hier:
"Diese E-Mail enthält vertrauliche Informationen. Wenn Sie nicht der
richtige Adressat sind oder diese E-Mail irrtümlich erhalten haben,
informieren Sie uns bitte umgehend und vernichten Sie diese E-Mail. Das
unerlaubte Kopieren sowie die unbefugte Weitergabe dieser E-Mail ist
nicht gestattet."
Ja, was denn? Wenn die Informationen in der Mail so vertraulich sind,
warum verschickt man sie dann überhaupt so 'unvertraulich'? Würde die
Verwaltung ansonsten mittels Postkarten kommunizieren?
Typisch, wie man glaubt, sich hinter dem Recht verschanzen und die
Realität dabei ignorieren zu können.
Wie schützt sich die Verwaltung denn dagegen, wenn jemand anderer die
Mail doch kopiert und weiterverschickt? Die Mail wird ja schon beim
Provider kopiert, wenn vielleicht auch nur kurzfristig. Aber halt,
wieder das Recht: der Mail-Kunde, also auch die Verwaltung hat in diese
technischen Erfordernisse wahrscheinlich durch die Nutzung konkludent
eingewilligt. Und ich sage einfach: Die Mail wurde mir unverlangt
zugeschickt und bei mir durch Filter und andere technische Maßnahmen
automatisch kopiert. Das ist unvermeidbar. Nicht unvermeidbar ist
hingegen die falsche Adressierung einer Mail. So bin ich fein raus. Aber
was hilft uns das?
Ganz einfach: gar nichts, und es ist auch keine Besserung in Sicht, denn
Deutschlands Verwaltungen müssen zwar bis demnächst etliche
Dienstleistungen über das Internet anbieten, aber das Wichtigste,
nämlich vertraulich mit den Bürgern zu kommunizieren, müssen Sie wohl
nicht. Oder weiß es jemand besser?
Vielleicht würde eine EU-Verordnung a la DSGVO helfen, die die
Verschlüsselung von Mails von allen gewerblich tätigen
Kommunikationspartnern verlangt. Dann hätten auch alle privaten
Mail-Schreiber schneller Verschlüsselung als man denkt. Also, warum
nicht mal was Gutes verordnen? Smart Meter für das Ausspionieren der
Lebensverhältnisse aller Privatleute, die über 6000 kWh Strom
verbrauchen, kann man ja auch verordnen.
Grüße, Tom
>
> hth, Christoph
>
> -- Bitte keine Mails von USA-Providern wie AOL, me.com (Apple), gmail
> (Google), hotmail/outlook.com (Microsoft) oder yahoo. Solche Mails
> werden ohne Rückmeldung gelöscht. Siehe
> <http://www.pc-fluesterer.info/wordpress/downloads>
>
>
Reply to: