Verwendest Du eMail Verschlüsselung oder digitale Signaturen?

[MaChris]

Nein, meine Bank verzichtet auf den E-Mail-Versand an Kunden. Weil es n Idioten gibt, die eine Fake-Mail nicht von einer richtigen Mail unterscheiden können. Die nicht erkennen, wie eine verschlüsselte Verbindung zum Bankserver aussehen sollte...

Du hast es richtig erkannt. Aus der Problematik heraus, dass der typische Kunde beim Besuch einer SSL-verschlüsselten Internetseite einer Bank nicht in der Lage ist, das ausgestellte SSL-Zertifikat zu prüfen bzw. noch nicht einmal das typische Schloßsymbol zu erkennen, hat die Postbank seinerzeit dazu bewegt, ihre Newsletter und übrige eMail-Korrespondenz mit einer Signatur zu versehen.

Leider bestätigte die Praxis die frühere Vermutung, dass eben dieser typische unbedarfte Kunde, der eine signierte eMail der Postbank erhält, auch nicht in der Lage ist (oder willens) die Signatur bzw. das Zertifikat zu überprüfen.

Daraus lässt sich dann meines Erachtens ableiten, daß die Signatur einer eMail wenig erfolgversprechend ist, da der Empfänger/Kunde lediglich erkennen würde: "ooops, da is' ja 'ne Signatur dran, muß also von der Bank sein." Ob die Signatur tatsächlich zur Bank gehört bzw. ob die Signatur zu den Absenderangaben der eMail passt, dieser Frage werden nur die allerwenigsten Kunden nachgehen.

Und diejenigen, die es können und/oder tun, wären vermutlich sowieso nicht auf gefälschte oder Phishing-Mails der Bank hereingefallen.

 

[pepi]

Was übrigens in der Diskussion meines Erachtens zu kurz kommt: Die digitale Signatur.

E-Mails sind nicht nur "Postkarten", die jeder mitlesen kann. Sie können zudem auch von jedem unter falscher Identität verfasst werden.

Solange E-Mails nicht qualifiziert signiert werden (meinetwegen auch über das System des Web-of-trust), kann dem Inhalt einer Mail kein 100%iges Vertrauen geschenkt werden.

Und Mails bleiben somit ein unsicheres Medium in der Kommunikation. Jaja, ich kann natürlich auch bei jeder Mail die Kopfzeilen checken, um zu prüfen, dass die Mail nicht über einen offenen Server in Hongkong eingeliefert wurde.
[...]
Warum bekomme ich von keinem Online-Händler Rechnungen mit signierter Mail zugestellt?
[...]

Offene Mailserver gibts immer noch wie sand am Meer. Botnetze sind heutzutage jedoch sogar davon unabhängig. Mit heutigen Breitbandzugängen kann man durchaus eine Menge Blödsinn treiben.

Es gibt ausreichend viele Webinterfaces mit denen man unter beliebigem Absender eMails versenden kann. Es ist in der Tat überhaupt kein Problem einen Absender zu fälschen. Jeder Spammer tut das heutzutage.

Header Checken hilft übrigens im Manipulationsfall nicht unbedingt, da man die eMails heutzutage auch am Backbone transparent rausfiltern kann und nach Manipulation wider injizieren. Somit brauchst Du keinen Mailserver irgendwo auf der Welt und in den Headern siehst Du das auch nicht mehr.

Im Signaturgesetzt steht, daß bei online Rechnugslegung entweder die Rechungsdatei (überlicherweise ein PDF) ODER die gesamte eMail digital signiert worden sein muß. Es ist nicht zwingend vorgeschrieben, daß beides so signiert wird. Leider machen es einem (zumindest in Österreich) die Stellen die (durch die Lobby) für Zertifikate anerkannten Stellen nicht einfach das auch in Formaten zu bekommen mit denen man automatisieren kann. Es steht allerdings auch drinnen, daß die Echtheit der Rechnung/Mail für den Empfänger leicht nachvollziehbar sein muß. Meiner Erfahrung nach ein gröberes Problem, da die Leute nichtmal wissen was eine Signatur überhaupt ist, geschweige denn wie sie die überprüfen können. Wie so oft ein Fall wo die Gesetzeslage mit erschreckender Konsequenz sehr weit an der Realität vorbeigeht.
Ich selbst verschicke meine online Rechnungen (und eMails) übrigens digital signiert.




Signaturen würden in der Tat auch bei der SPAM Problematik helfen. Beispielsweise beim klassischen Problemfall wo man einen eMail Newsletter/Preisliste/Infomail von SPAM unterscheiden muß. Leider haben erstere sehr viele Eigenschaften mit SPAM gemeint, was eine korrekte Filterung problematisch macht. Mit signierten Newslettern wäre das einfacher, da der emfpangende Mailserver nur die Signatur überprüfen müßte und sogar mit dem versendenden Mailserver anhand der Message ID gegenchecken könnte.

MaChris:
Ob die Signatur zur Absenderadresse paßt ist nicht das Problem. Wenn die nicht zusammenpassen dann teilt Dir das Dein Mailprogramm mit! Ein Spammer müßte also für jede gefälschte Absendeadresse eine eigene Signatur (Schlüsselpärchen und so weiter) erzeugen und erfolgreich bei einer CA anmelden, was das ganze extrem aufwändig machen würde.
Gruß Pepi

 

[Hilarious]

Stellt sich nur die Frage nach dem praktischen Ausweg, Signaturen einerseits sicher einer natürlichen oder juristischen Person zuordnen zu können, andererseits aber auch das Recht an der eigenen Anonymität zu wahren. Praktisch könnte man uns allen wie bei Zuchtvieh einen Chip implantieren, was ebenso ein Horrorszenario wäre. Fraglich auch, ob wir mit derart strebsamen Bundes-Innenministern in Deutschland wie der aktuelle oder sein Vorgänger noch weit davon entfernt sind, und welche »unsichtbaren« Interessen damit bedient werden. Vorschläge jemand?

 

[Nomen Nescio]

Daraus lässt sich dann meines Erachtens ableiten, daß die Signatur einer eMail wenig erfolgversprechend ist, da der Empfänger/Kunde lediglich erkennen würde: "ooops, da is' ja 'ne Signatur dran, muß also von der Bank sein." Ob die Signatur tatsächlich zur Bank gehört bzw. ob die Signatur zu den Absenderangaben der eMail passt, dieser Frage werden nur die allerwenigsten Kunden nachgehen.

Es geht bei der Signatur ja gerade darum, zu verifizieren ob die Mail von "[email protected]" wirklich von dort kommt. Dazu wird die Signatur der mit dem bekannten Public Key (den man von der Bank beispielsweise bei Kontoeröffnung auf einer CD erhalten hat) verglichen. Passt es nicht - Pech.

Klar, kann ich auch eine Mail mit einer gültigen Signatur für "[email protected]" versenden. Spätestens, wenn der Kunde den Public Key für diese Adresse jedoch nicht hat, sollte jedoch das Misstrauen groß werden.

In Thunderbird mit Enigmail muss man übrigens nicht lange checken. Über dem Mailtext findet sich entweder ein grüner Kommentar (korrekte Unterschrift) oder ein roter Vermerk.

Das ist deutlich zu erkennen. Im Gegensatz dazu ist diese lächerliche Schloßdarstellung in den Browsern ein großer Designfehler. Viel zu klein und nebensächlich.

@pepi: Ich denke, du beziehst dich auf das österreichische Signaturgesetz, oder? Der deutschen Fassung habe ich die Pflicht zur Signatur bei elektronischer Rechnungslegung nicht entnehmen können. Aber in dem Punkt ist Österreich Meilen voraus.

Die "Bürgerkarte" wird es hier vielleicht 2010 geben. Und solange Politiker, wie der werte Herr Innenminister Schäuble, meinen, mit nichtssagenden Marketingbegriffen wie "Web 2.0" punkten zu müssen, darf man auf mehr Medienkompetenz in der politischen Entscheidungsebene gar nicht erst hoffen.

 

[pepi]

[...]
Klar, kann ich auch eine Mail mit einer gültigen Signatur für "[email protected]" versenden. Spätestens, wenn der Kunde den Public Key für diese Adresse jedoch nicht hat, sollte jedoch das Misstrauen groß werden.
[...]
@pepi: Ich denke, du beziehst dich auf das österreichische Signaturgesetz, oder? Der deutschen Fassung habe ich die Pflicht zur Signatur bei elektronischer Rechnungslegung nicht entnehmen können. Aber in dem Punkt ist Österreich Meilen voraus.
[...]

Mit der Signatur bekommst Du auch automatisch den public Key mitgeschickt. Du müßtest tatsächlich die Mailadresse darauf überprüfen ob sie echt sein kann. irgendwas.ru wird wohl für eine Bank in Deutschland, der Schweiz oder Österreich eher unwahrscheinlich sein. Man müßte noch den Fingerprint mit einer anderen Quelle, nämlich der Webseite der Bank vergleichen. Erst dann könnte man sicher sein, daß der Absender tatsächlich echt ist.

Ja, ich beziehe mich auf das österreichische Siganturgesetz. (Siehe auch mein Wohnort.)

Was die Kennzeichnung angeht, so finde ich, daß es zwar im Mailprogramm ganz nett, jedoch immer noch unzureichend gemacht ist. Erstens sehe ich bei einer korrekt überprüften Signatur nur, daß signiert wurde und dabei kein Fehler aufgetreten ist. Dort kann ich jedoch leider nicht einfach feststellen wem die Signatur gehört. (Beispielsweise müßte der "Common Name" sowie die Mailadresse dort unbedingt nochmal dargestellt werden.) Außerdem sollte es mit einem Klick möglich sein das komplette Zertifikat ansehen zu können. Momentan muß man von Hand im Schlüsselbund nachsehen. (Ich beziehe mich hier auf Apples Mail.app)
Gruß Pepi

 

[Leonardo]

Entschuldigt, ich habe den kompletten Diskussionsfaden noch nicht aufgerollt. Aber hier findet sich ein heiterer und dennoch bedenklicher Artikel in der Süddeutschen, wie ein Überwachungsstaat auch Interesse an den belanglosesten unserer E-Mails haben könnte.

weitermachen...
euer Leonardo

 

[philz]

Achtung, Ärger mit dem Finanzamt

Ja, ich beziehe mich auf das österreichische Siganturgesetz. (Siehe auch mein Wohnort.)

In Deutschland ist es vor allem im Bereich des Umsatzsteuerrechts zu beachten, denn hier kann es theoretisch zu Streichungen beim Vorsteuerabzug des Leistungsempfängers kommen.

Nach deutschem Umsatzsteuerrecht muss bei jeder elektronisch übermittelten Rechnung die Echtheit der Herkunft und die Unversehrtheit des Inhalts mittels einer qualifizierten elektronischen Signatur gewährleistet sein, ansonsten sind die Voraussetzungen für einen Vorsteuerabzug nicht erfüllt. (§14 Abs. 1 Satz 2, Abs. 3 UStG)

In der Praxis sieht's aber anders aus, da wird wohl kein großer Wert drauf gelegt. Zum einen denke ich, dass z. B. die Umsatzsteuerbetrüger nicht auf die Betriebsprüfung warten würden , und auf der anderen Seite drucken die ehrlichen Leute z. B. das an die E-Mail angehängte PDF einfach aus und geben die ausgedruckte Rechnung mit zur Buchhaltung. Somit ist es für die Betriebsprüfer schwer zu erkennen, ob's elektronisch übermittelt wurde oder nicht.
Aus diesem Grund ist es in der Praxis wohl (noch) nicht so gebräuchlich, aber es ist trotz allem in Deutschland gesetzlich vorgeschrieben und bei Kenntnis darüber kann der Vorsteuerabzug gestrichen werden.

Nachtrag: Für die oben genannte elektronische Signatur reicht wohl ein einfaches class 1 Zertifikat (wobei nur die E-Mail-Adresse überprüft wird) nicht aus. Dazu findet man mehr im dt. Signaturgesetz.

 

[pepi]

Erste Auswertung

Dank an alle die mich für das Thema mit positivem Karma förmlich überschüttet haben. Ich hätte nicht zu träumen gewagt, daß das Thema hier so gut ankommt. Das zeigt mir, daß doch ein größeres Interesse an der Thematik besteht was die rege Diskussion in diesem Faden zusätzlich bestätigt. Herzlichen Dank auch an alle TeilnehmerInnen der Umfrage für Ihre Zeit.


Hier eine erste kurze Auswertung dieser Umfrage:

Die Wahlbeteiligung betrug 0,93% hochgerechnet auf alle Apfeltalk-Mitglieder die mindestens ein Posting geschrieben haben. Damit ist diese Umfrage statistisch nicht unbedingt als repräsentativ einzustufen.

Zusammengefaßt bedeutet das, daß 34,53% aller User die abgestimmt haben eine oder mehrere Arten von digitaler Signierung/Verschlüsselung einsetzen . Im Gegenzug dazu setzen 65,47% diese Technik aus verschiedenen Gründen noch nicht ein.

Abb. 1: Auswertung des Umfrageergebnisses in %, Stand: März 2007,

Eine detaillierte Auswertung dieser Umfrage folgt noch. Dort werde ich analysieren warum die einen das einsetzen und die anderen nicht, sowie die Hauptschwerpunkte der Probleme mit diesem Thema erläutern.

Ich würde zu diesem Thema gerne am Sonntag, 18. März 2007, ab 17 Uhr einen Apfeltalk Themenchat im #apfeltalk IRC Channel (Freenode) durchführen. Dort sollen alle Interessierten Apfeltalker und natürlich auch gerne andere Leute über genau dieses Thema diskutieren. Live und direkt sozusagen. Ich werde dort Fragen zum Thema beantworten sowie Tips und Tricks geben.
Wer mir dabei helfen möchte oder gute Übung in IRC Moderation hat möge sich bitte mit einer persönlichen Nachricht an mich melden.
Wer grundsätzlich Interesse oder seine Teilnahme daran bekunden möchte ist selbstverständlich ebenfalls herzlich willkommen!

Gruß Pepi

 

[Hilarious]

(Karmasperre für pepi )

Danke für die nette Auswertung. Ich denke, vor allem die Verteilung der verschiedenen Technologien dürfte realistisch sein.

 

[stk]

Moin,

verd…e Axt. Hab den Termin selbst erst am FR realisiert, eingetragen und dann gestern abend doch keine Zeit gehabt. Gibt's ein Transscript der Veranstaltung, eine Zusammenfassung?

Gruß Stefan

 

[ipu]

...und dann gestern abend doch keine Zeit gehabt. Gibt's ein Transscript der Veranstaltung, eine Zusammenfassung?

Mir geht es genauso. Bin auch sehr an dem Thema interessisert. Gruß, Ingo

 

[pepi]

Es gibt ein Transkript, das ist jedoch keine 30 Zeilen lang. Offenbar ist es mir nicht gelungen den Termin ausreichend publik zu machen.

Ich werde auf jeden Fall versuchen diesen Themenchat zu wiederholen. Wenn sich einer unserer Geschätzen Redakteure bereit erklären könnte das auf der Startseite zu platzieren wird es wohl mehr Leute erreichen. Vielleicht kann man so einen Themenchat ja sogar zum Periodikum machen? (Mit wechselnden Themen versteht sich.)

Dazu benötigen wir:

Terminvorschläge:
Ich weis ja nicht wann es für die Interessenten günstig ist. Ich nehme an, daß ein Termin eher Abends und eher am Wochenende günstiger ist.
Ich schlage mal einfach so Sonntag, 31. März 2007 ab 17:00 Uhr vor.

Einen IRC Moderator:
Jemand der ein wenig Übung als IRC Moderator hat und für ein wenig für Ordnung in einem (hoffentlich gut) gefüllten Channel sorgen möchte.

Einen Diskussionsmoderator:
Diese Rolle kann ich übernehmen, muß aber nicht sein. Sollte sich also jemand berufen fühlen dann gerne.

Bewerbung...
des Themenchats auf der Startseite. Ein AT-Mod oder AT-Red möge sich nach Terminbeschluß bitte dem annehmen und publizieren. Wer virales Marketing betreiben möchte kanns auch gerne mal in der Shout-Box erwähnen.


Wer noch andere Vorschläge hat oder einen möglichen Ablauf so eines Ereignisses mit mir bequatschen möchte sei herzlich dazu eingeladen. Entweder hier im Thread oder natürlich auch in #apfeltalk wo ich üblicherweise idle, also bitte mit Namen ansprechen, dann pingts bei mir.

Ich danke für den abermals regen Zuspruch und bitte um Mithilfe, daß es beim 2. Anlauf mit dem Apfeltalk-Themenchat klappen möge!

Danke Pepi

 

[ipu]

Jetzt wollte ich deinen Beitrag gerade melden, aber das sollte man ja nur mit negativen Beträgen machen. ... also schreibe ich mal eine pn an einen Moderator. Vielleicht hilft es ja.
Gruß, Ingo

 

[kasei]

GPG für den Mac ist mir nicht komfortabel genug, da gäbe es nun ja noch PGP… verwendet jemand die Mac-Version von PGP? Falls ja, welche Version ist überhaput die richtige? Die PGP-Website ist leider sehr unübersichtlich… ich möchte im Wesentlichen E-Mail verschlüsseln sowie Dateien/Verzeichnisse. Mehr hingegen benötige ich nicht. Und ich benötige auch keine automatische Verschlüsselung aller E-Mail.

Kasei

 

[pepi]

kasei,
Wenn GnuPG einmal eingerichtet ist beschränkt sich dessen Bedienung auf zwei Knöpfe. Einen zum Signieren und einen zum Verschlüsseln. Ist also ähnlich komfortabel wie S/MIME. Mac PGP ist aktüll in Version 9.6 Desktop (Universal) und kostet beachtliche 119,- $US was ich persönlich viel zuviel Geld finde. So komfortable kann das im Vergleich zu GnuPG garnicht sein, daß es das wert wäre.

Als Alternative würde ich doch mal S/MIME überlegen. Zertifikate dazu gibts kostenlos und es hat gegenüber GnuPG/PGP den Vorteil, daß der Mailpartner üblicherweise keine Software installieren muß, da es in den meisten aktuellen Betriebssystemen integriert ist und sich auch die meisten Mailclients darauf verstehen.

Dateien Verschlüsseln kann man auch mit passwortgeschützen Zip Dateien, Stuffit oder dem Festplatten Dienstprogramm. Einziger Unterschied ist hier, daß es symmetrische Verschlüsselungsverfahren sind und keine Public Key Kryptografie. Aber ein entsprechend langes generiertes Passwort kann man ja dann verschlüsselt per Mail verschicken.


@ipu
Danke für Deine Mithilfe!
Gruß Pepi

 

[kasei]

Wenn GnuPG einmal eingerichtet ist beschränkt sich dessen Bedienung auf zwei Knöpfe. Einen zum Signieren und einen zum Verschlüsseln. Ist also ähnlich komfortabel wie S/MIME. Mac PGP ist aktüll in Version 9.6 Desktop (Universal) und kostet beachtliche 119,- $US was ich persönlich viel zuviel Geld finde. So komfortable kann das im Vergleich zu GnuPG garnicht sein, daß es das wert wäre.

Ich kenne die Mac-Version von PGP noch nicht. Was GPG betrifft, so kann ich mir unter Windows GPG4Win downloaden und danach funktioniert's… für den Mac gibt es so etwas leider nicht, bei der Installation von Mac-GnuPG werden Dateien übers halbe System verstreut, die Einstellungen funktionieren nicht und so weiter, nein danke, ich habe nichts fürs Basteln auf den Mac gewechselt.

S/MIME verwende ich bereits, allerdings noch mit einem nicht verifizierten Zertifikat.

Kasei

 

[philz]

Bei mir hat GnuPG auf Anhieb geklappt. Und ob ich nun 2-3 Dateien einzeln downloade und nach einer zusammenfassenden Anleitung vorgehe, stört mich nicht besonders.
Brauchst halt ein paar Minuten zum Durchlesen und befolgst dann Schritt für Schritt und alles funktioniert miteinander.
Allerdings finde ich, wenn es sich nur um E-Mails handelt, S/MIME aufgrund der zum Teil besseren Integration von Haus aus, angenehmer und nutze ich mittlerweile bei jeder E-Mail (zumindest als Signatur).

Ich sehe immer wieder, dass das Hauptproblem einfach im Zeitaufwand oder Unlust des Anwenders besteht.
Dies lässt sich auch auf die Virenproblematik, Phishing-Mails, dubiose Webseiten und deren Angebote + AGBs übertragen. Der Großteil der Leute sind vielleicht manchmal etwas zu bequem oder, vielleicht der Hauptgrund, es mangelt einfach an der Zeit und sie wollen sich nicht großartig mit Dingen herumschlagen, womit sie (oft meist nur auf den ersten Blick) überfordert sind.
Schimpfen dagegen aber hinterher, dass keiner was gesagt hat und dass sie ja keine Ahnung hatten usw. Aber so läuft es bei uns nun mal, ein gewisses Maß Verständnis gehört zum Umgang mit diesem Medium dazu. Auch zum Autofahren muss man gewisse Dinge beachten, erlernen und nutzen. Und auch bei unseren Gesetzen gilt: Unwissenheit schützt vor Strafe nicht.

Ich wette, dass demnächst auch einige Kaufleute auf den Tischen stehen werden, wenn die ersten Abmahnungen ins Haus geflattert kommen, weil der Kaufmann nicht die neue gesetzliche Regelung für Briefköpfe in seinen E-Mails beachtet oder diese nur unzureichend alle Angaben beinhalten.

Die Zukunft wird bestimmt noch schlimmer. Wir dürfen gespannt sein.

 

[kasei]

Ich sehe immer wieder, dass das Hauptproblem einfach im Zeitaufwand oder Unlust des Anwenders besteht.

Ja, natürlich... die Zeit ist beschränkt, ergo möchte man Software, die sich einfach installieren lässt, ergonomisch daherkommt und sich intuitiv bedienen lässt. Mac-GPG ist ein Negativbeispiel für all das.

Kasei

 

[philz]

Dann dürfte FireFox auch nicht "ergonomisch daherkommen", denn da muss ich auch erst einige Plugins installieren, damit er zu meinen Surfgewohnheiten nutzbar ist.
Bei GnuPG ist es ähnlich. Mit der Grundpaket sind Tools zum Verschlüsseln/Signieren enthalten, die 2-3 Zusatztools erhöhen den Komfort.

Aber ich weiß schon was du meinst, mit ordentlicher Anleitung ist es aber kein Hexenwerk und relativ einfach sowie schnell zu bewerkstelligen.

Mit S/MIME hast du ja schon den Anfang gemacht, das reicht ja erstmal.

 

[inte]

Fehlermeldung web.de->apple mail

Moin,
wenn ich eine signierte Mail von web.de empfange, die dort über das Web-Interface signiert wurde, gibt mir Apple Mail die vieldeutige Fehlermeldung:

Die E-Mail Signatur konnte nicht überprüft werden

und unter Details:

Beim Lesen der digitalen Signatur dieser E-Mail ist ein Problem aufgetreten.

Nicht sehr aussagekräftig, will ich meinen. Jemand einen Tip was da los ist?
Thx,
Chris