117471
Goto Top

MIME-signierte E-Mails: "Eigentlich" für die Katz!

Hallo,

Meine Erfahrungen mit MIME-signierten E-Mails sind ausgesprochen ernüchternd.

Letztendlich ist es auf zwei Aussagen hinausgelaufen:

1. "Da war ein Anhang dabei - da habe ich nicht draufgklickt. Ich klicke grundsätzlich keine Anhänge an. War die E-Mail überhaupt von Dir?"

Auch wenn das jetzt "eigentlich" falsch ist, empfinde ich diese Grundeinstellung doch als lobenswert. Durch ein derartiges Verhalten entsteht in meinen Augen ein größerer Sicherheits- und Vertraulichkeitsgewinn als durch eine digitale Unterschrift.

2. "Die war signiert?"

Tatsächlich ist es so, dass die Signatur eigentlich nur in Desktop-Anwendungen (Outlook, Thunderbird) so präsent dargestellt wird, dass die der Anwender überhaupt wahrnimmt. Der Markt in der privaten Kommunikation wird meiner Beobachtung nach zunehmend von iOS und Android dominiert. Hier muss man schon gezielt nach der Signatur suchen.

Zusätzlich habe ich mir noch die Frage erlaubt, welche Schlussfolgerungen der Empfänger aus der Signatur zieht. Die korrekte Antwort wäre gewesen: "Ein von meinem Gerät als vertrauenswürdig eingestufter Anbieter behauptet, dass der Inhalt von jemanden stammt, der irgendwann einmal Zugriff auf das Absenderpostfach hatte"(*).

Diese Antwort habe ich von niemanden gehört. Entweder es wurde geraten:

  • "Das ist jetzt irgendwie verschlüsselt, oder?"
  • "Das kann keiner mitlesen"
  • oder es gab eine allgemeine Antwort ("das ist jetzt sicherer").

Fazit:

Sehr traurig und ernüchternd. "Eigentlich" machen Signaturen schon Sinn. Nur benötigt der korrekte Umgang damit ein (Fach-)Wissen, dass nur dann vorhanden ist, wenn man sich bewusst damit beschäftigt.

(*) Die Signatur sagt in den meisten Fällen natürlich noch mehr aus. Da die Verifizierungsprozesse der Trustcentren jedoch erheblich differieren und Schlüssel u.U. auch vom Anbieter generiert werden, dürfte dies der kleinste gemeinsame Nenner sein.

Gruß,
Jörg

Content-Key: 566933

Url: https://administrator.de/contentid/566933

Ausgedruckt am: 29.03.2024 um 10:03 Uhr

Mitglied: GrueneSosseMitSpeck
GrueneSosseMitSpeck 23.04.2020 um 13:53:24 Uhr
Goto Top
tja dafür hat der Liebe Gott am 8. Tag der Schöpfung TLS erfunden... zumindestens TLS 1.2 ist halbwegs sicher und da es transparent auf Protokoll-Ebene arbeietet wäre der erste Check dann "kann ich mit der Gegenseite per TLS Mails austauschen".

Aber selbst mit richtigen Zertifikaten verschlüsselte Mails sind nur solange sicher, wie die Zertifikatskette nicht kompromittiert wurde, also das Root CA nicht Symantec ist (Symantec wurde als unzuverlässige Root CA eingestuft die Dritten Wildcardzertifikate ausgestellt hatten) oder LetsEncrypt (keine authoriative Root CA)

Zuguterletzt sei nach angemerkt daß Mails - die die nicht lokal, also innerhalb derselbem Domäne von demselben MX zugestellt wurden ungefähr so sicher sind wie eine mit Bleistift beschriebene Postkarte. Halbwegs sicher (dank gut abgesicherter Transportwege) ist genaugneomen nur DE-Mail und das BEA (die Atos-Lösung für Anwaltspostfächer).
Mitglied: 117471
117471 23.04.2020 aktualisiert um 15:24:54 Uhr
Goto Top
Hallo,

Zitat von @GrueneSosseMitSpeck:

tja dafür hat der Liebe Gott am 8. Tag der Schöpfung TLS erfunden...

Ja, aber die Motiviation hinter MIME-Signaturen ist in dem Fall eine ganz Andere: Es geht darum, die Authentizität des Absenders sicherzustellen und in meinem Fall um einen Weg, der so etabliert ist, dass über überall mit Bordmitteln erreicht werden kann.

Mein Bedauern gilt den Umstand, dass es so etwas nicht gibt - obwohl es "eigentlich" dringend nötig ist.

Abgesehen davon ist die Transportebene Sache des Anbieters - in meinem Fall mailbox.org. Oder, um es mit anderen Worten zu sagen: "Das interessiert mich nicht" face-smile Zumal ich bei eigenen E-Mail-Servern grundsätzlich den SMTP-Server des Providers als SmartHost konfiguriere. Ich habe nämlich keinen Bock, mich mit Themen wie Black-, Gray- und Whitelisting usw. herumzuschlagen.

Gruß,
Jörg
Mitglied: BernhardMeierrose
BernhardMeierrose 24.04.2020 aktualisiert um 08:41:47 Uhr
Goto Top
Moin,

ich glaube, Du wirfst die Themen Signierung und Verschlüsselung etwas durcheinander...

und egal, wie sehr man sich über theoretische Mängel (kompromittierte Root-CAs etc.) echauffieren kann, solange es nichts besseres, alltagstaugliches gibt, sind S/MIME und PGP nunmal der Status-Quo.
Und diese regelmäßig wiederkehrende These " alles unnütz, lassen wir sein" ist mMn Unfug. Ich schalte doch kein Sicherheitsfeature nur deshalb ab, weil es theoretisch unter bestimmten Bedingungen versagen könnte.
Eine Signatur erhöht deutlich die Wahrscheinlichkeit, dass der Absender authentisch ist.
Eine Verschlüsselung erhöht deutlich die Wahrscheinlichkeit, dass der Inhalt vertraulich bleibt.

Und wenn die Anwender die Symbole nicht richtig deuten können: schulen...

Gruß
Bernhard
Mitglied: broecker
broecker 24.04.2020 um 14:05:47 Uhr
Goto Top
ich bekomme bei PGP-Einrichtung bei mir und meinen Kunden Signatur "kostenlos" dazu,
wenn ich von einem Kunden dann signierte Mail bekomme oder der von dritten signierte Mails bekommt,
dann stärkt es deren und meine Position vor Gericht - die Mail hat erhebliche Beweiskraft, wenn es mir gelingt, einem Richter zu erklären, was es mit den Signaturen auf sich hat,
deswegen greife ich auch häufig Gesprächsinhalte auf und sende sie nochmals signiert meinen Gesprächspartnern.
Das angenehme: dafür muß ich noch nicht vor dem Problem den Erklärbär machen.
HG
Mark
Mitglied: 117471
117471 24.04.2020 um 17:33:05 Uhr
Goto Top
Hallo,

Zitat von @BernhardMeierrose:

Moin,

ich glaube, Du wirfst die Themen Signierung und Verschlüsselung etwas durcheinander...

Nö. Ich war ja nicht derjenige, der von TLS angefangen hat face-smile Ich rede ausschließlich von Signaturen. Im Idealfall dokumentieren diese:
- dass die E-Mail wirklich vom entsprechenden Absender stammt
- dass der Inhalt nach der Signatur nicht mehr verändert wurde

Und diese regelmäßig wiederkehrende These " alles unnütz, lassen wir sein" ist mMn Unfug.

Wie ich bereits geschrieben habe - es schafft schlichtweg kein Vertrauen. Und etwas Anderes möchte ich nicht erreichen.

Ich habe in meinem Beitrag lediglich die Sicht der Anwender und das Ergebnis meines Tests / meiner Umfrage zusammengefasst. Ob das jetzt gut oder toll ist, lasse ich völlig wertfrei im Raum stehen. Und die technische Komponente ist "eigentlich" auch irrelevant: Solange es fehlerfrei funktioniert, sollte uns alles recht sein face-smile

Gruß,
Jörg
Mitglied: rzlbrnft
rzlbrnft 25.04.2020 aktualisiert um 09:09:56 Uhr
Goto Top
Wenn du den Anwender nicht schulst und regelmäßig informierst, ist klar, das er nicht weiß wie er damit umzugehen hat.
Von selbst werden sich die wenigsten damit auseinandersetzen. Es ist Aufgabe der IT und des Managements, ein Bewusstsein dafür zu schaffen.

Ich habe in 15 Jahren IT noch nie eine signierte Spam Mail bekommen insofern scheint das wohl noch nicht gängige Praxis zu sein.
Der Aufbau der Struktur ist Sache der IT und das Management muss dafür sorgen das für die Untertanen das Thema relevant wird.
Mit einer internen PKI ist das auch recht einfach hinzubekommen.

Was dann etwas schwieriger ist, ist mit den Hauptgeschäftspartnern auszuhandeln, das auch die eine Signatur einfügen und man sich gegenseitig die Zertifizierungsstellen trusted. Aber mit etwas Verhandlungsgeschick bekommt man auch das hin.

Klar, die Steinzeit IT von einigen arroganten deutschen Großautomobilherstellern wird man nie auf seine Seite bekommen. Aber alles was drunter ist, lässt für etwas mehr Sicherheit mit sich reden und nach und nach etabliert sich das vielleicht doch.
Mitglied: 117471
117471 25.04.2020 um 09:34:12 Uhr
Goto Top
Hallo,

warum sollte ich als Absender meine Empfänger schulen?

Ich habe das aus Sicht des Absenders dargestellt.

Gruß,
Jörg
Mitglied: rzlbrnft
rzlbrnft 25.04.2020 um 15:09:33 Uhr
Goto Top
Weil du von denen Geld bekommst?

Ich habe das aus der Sicht eines Unternehmens dargestellt.
Mitglied: BernhardMeierrose
BernhardMeierrose 25.04.2020 um 15:53:53 Uhr
Goto Top
Zitat von @117471:
Ich rede ausschließlich von Signaturen.
Ob das jetzt gut oder toll ist, lasse ich völlig wertfrei im Raum stehen.

Moin,
dann solltest Du den Threadtitel mal überdenken face-smile
"MIME-verschlüsselte E-Mails: "Eigentlich" für die Katz! "
Das ist weder auf Signaturen bezogen noch besonders wertfrei.

Gruß
Bernhard
Mitglied: 117471
117471 25.04.2020 um 16:08:27 Uhr
Goto Top
Hallo,

da hast Du natürlich Recht face-smile Ich habe den Titel entsprechend angepasst.

Danke für den Hinweis face-smile

Gruß,
Jörg
Mitglied: radiogugu
radiogugu 19.05.2020 um 10:17:42 Uhr
Goto Top
Hallo.

Ist zwar schon ein paar Wochen alt der Beitrag, habe aber aktuell einen Fall, der genau hier reinspielt.

Ein kleiner Automotive Zulieferer ist unser Kunde und dieser weigert sich stringent gegen eine PGP oder S/MIME Signierung und vor allem Verschlüsselung. Stellt aber selbst Links auf OneDrive für "sensible" Inhalte (Zeichnungen, STEP-Daten etc.) zur Verfügung.

Ende vom Lied ist, dass ich einen Rüffel unserer GF erhalten habe, weil ich dem Kunden bewiesen habe, dass diese Art der Datenbereitstellung bezüglich der Geheimhaltungsvereinbarung absolut aushebelnd wirkt. Wir dürfen auf unseren Cloud Hoster, welcher in Deutschland sitzt keine Daten des Kunden ablegen, er aber sehr wohl bei M$ in Redmond.

Auf meine naive Nachfrage, ob wenigstens der Serverstandort bei M$ auf Europa kostenpflichtig gesetzt wurde, bekam ich den zweiten Rüffel der GF.

Bin ein Pälzer Bu und kann meine Klappe einfach nicht halten und werde so etwas auf keinen Fall stillschweigend und unkommentiert stehen lassen.

Wollte teilweise meinem Ärger Luft machen und teilweise aufzeigen, dass es leider immer noch an der Akzeptanz des Ganzen Konstrukts hapert. Es gibt einfach keinen Standard, der den Komfort nur geringfügig einschränkt.

Ansätze wie R-Mail und andere portal-basierte Lösungen sind zugegebenermaßen eine blöde Variante, erfüllen jedoch genau den Zweck, den man erreichen wollte, wenn es um sensible Daten geht.

Gruß
Radiogugu
Mitglied: BernhardMeierrose
BernhardMeierrose 19.05.2020 um 10:30:35 Uhr
Goto Top
Moin,

der Tag wird kommen, wo Dein Automotive-Zulieferer von seinen Kunden auf das Theme Informationssicherheit angesprochen wird.
Der wird zwar keine TISAX machen müssen, aber ein Self-Assessment nach VDA-ISA wird sicherlich irgendwann kommen wenn er nicht nur die Abdeckkappen für Reifenventile herstellt.
https://www.vda.de/de/themen/sicherheit-und-standards/informationssicher ...

Dann wird er sich an Deine Empfehlungen erinnern face-smile

Gruß
Bernhard
Mitglied: radiogugu
radiogugu 19.05.2020 um 12:26:05 Uhr
Goto Top
Das wäre klasse, um die Gesamtsituation zu verbessern und nicht um mir den Satz "Hab ich doch gesagt" zu entlocken. Darum geht es ja nicht, sondern eher um das Prinzip, dass es endlich zum allgemeinen Standard heranwächst.

Gruß
Radiogugu
Mitglied: 117471
117471 19.05.2020 um 13:46:43 Uhr
Goto Top
Hallo,

zumal ich Verschlüsselung und Geheimhaltung gerade in Bezug auf Industriespionage für sehr wichtig erachte.

Gruß,
Jörg
Mitglied: radiogugu
radiogugu 19.05.2020 aktualisiert um 13:50:36 Uhr
Goto Top
Unumgänglich in diesem Kontext.

Aber der Komfort ist für Viele einfach immer noch wichtiger.

Allein 2-Faktor-Authentifizierung allen "aufzuzwingen" ist noch immer ein Akt.

Gruß
Radiogugu
Mitglied: rzlbrnft
rzlbrnft 17.06.2020 um 14:18:14 Uhr
Goto Top
Zitat von @radiogugu:
Das wäre klasse, um die Gesamtsituation zu verbessern und nicht um mir den Satz "Hab ich doch gesagt" zu entlocken. Darum geht es ja nicht, sondern eher um das Prinzip, dass es endlich zum allgemeinen Standard heranwächst.
Gruß
Radiogugu

Wir haben damit jetzt einfach mal angefangen. Mails werden mit einer privaten Zertifizierungsstelle signiert, bei denen Kunden und Lieferanten die damit nicht klarkommen wird das Zertifikat per Regel Addin entfernt. Zusätzlich gibts eine Kurzbeschreibung und einen Link der darauf verweist wie man die Signatur auf trusted setzen kann.

Damit ist zumindest die Möglichkeit bereitgestellt, das unsere Kollegen SMIME verschlüsselte Mails empfangen können, ob es dann genutzt wird, wird sich zeigen. Der Datenschutz scheint dank Corona ja mittlerweile wieder total egal zu sein, aber vielleicht ändert sich das ja demnächst wieder.
Mitglied: radiogugu
radiogugu 18.06.2020 um 09:21:20 Uhr
Goto Top
Zitat von @rzlbrnft:
Wir haben damit jetzt einfach mal angefangen. Mails werden mit einer privaten Zertifizierungsstelle signiert, bei denen Kunden und Lieferanten die damit nicht klarkommen wird das Zertifikat per Regel Addin entfernt. Zusätzlich gibts eine Kurzbeschreibung und einen Link der darauf verweist wie man die Signatur auf trusted setzen kann.

Hört sich gut an und ist in jedem Fall ein Start.

Damit ist zumindest die Möglichkeit bereitgestellt, das unsere Kollegen SMIME verschlüsselte Mails empfangen können, ob es dann genutzt wird, wird sich zeigen. Der Datenschutz scheint dank Corona ja mittlerweile wieder total egal zu sein, aber vielleicht ändert sich das ja demnächst wieder.

Sehe ich genauso und auch ähnlich kritisch, aber die Hoffnung stirbt kurz nach der Zuversicht face-smile

Gruß
Radiogugu