Rechtssicherheit

Woher genau soll eigentlich die Rechtssicherheit stammen? Das Fälschen solcher E-Mails dürfte doch relativ leicht möglich sein.

Benutzer wird von Ihnen ignoriert. Anzeigen

Nein, das ist dank 48k facher Authentifizierung inklusive Post-Ident und Passwort per Post einigermaßen ok. Eine andere Frage ist, wie leicht man in die Systeme eindringen kann um von dort im Namen anderer zu schreiben. Dazu kann ich keine Aussage geben

Benutzer wird von Ihnen ignoriert. Anzeigen

Vorbereitung:
Schritt 1: Keylogger bei jemandem installieren und die Zugangsdaten herausfinden.

Aktion:
Schritt 1: Einloggen.
Schritt 2: Rechtsverbindliche E-Mail im Namen eines anderen versenden — bequem von zu Hause aus.

Benutzer wird von Ihnen ignoriert. Anzeigen

Ja richtig. Gegen Manipulation ist die ganze Sache genau so ungeschützt, wie eine E-Mail. Aber man kann sich nicht einfach eine Mail mit dem Namen eines anderen anlegen. Das ist das einzige.
Vielleicht wird irgendwann noch eine super tolle Authentifizierung über den neuen Ausweis eingeführt (wenns das nicht schon gibt). Das würde ich aber eher als noch größeres Sicherheitsrisiko sehen.

Benutzer wird von Ihnen ignoriert. Anzeigen

Das fälschen eines Briefes ist um Längen einfacher und der ist auch rechtssicher.

Benutzer wird von Ihnen ignoriert. Anzeigen

Dank Abgleich der Handschrift und Unterschrift aber nachweisbar.

Benutzer wird von Ihnen ignoriert. Anzeigen

Handschrift lassen wir mal weg, da ich annehme, dass die meisten Briefe mittlerweile getippt und ausgedruckt werden. Zumindest wenn es um Schriftverkehr geht, bei dem Rechtssicherheit eine Rolle spielt. Und das mit der Unterschrift... Sein wir ehrlich, eine Unterschrift lässt sich bis zur Perfektion üben. Dazu kommt, dass die wenigsten EINE Unterschrift haben. Ein bisschen anders sieht das immer aus. Und wer die kriminelle Energie aufbringt, einen Keylogger zu installieren, der hat auch keine Hemmungen, Unterschriften zu fälschen.

Benutzer wird von Ihnen ignoriert. Anzeigen

Aber so jemand kann dann mal eben für 20 Millionen Menschen eine Kündigung des Arbeitsverhältnisses verschicken. Die, die die E-Mail bis dahin gelesen haben, würden dann natürlich nicht zur Arbeit erscheinen und ein gewaltiger wirtschaftlicher Schaden würde entsteht. Erst recht, wenn man bedenkt, dass die ganze Logistik zusammenbrechen wird.

Benutzer wird von Ihnen ignoriert. Anzeigen

warum sichert man das eigentliche versenden einer mail nicht über eine TAN, ähnlich wie beim online banking?
dann wären gestohlene zugangsdaten zumidest was das versenden angeht nicht ganz so kritisch.

Benutzer wird von Ihnen ignoriert. Anzeigen

Jetzt tu mal nicht so, als wäre Online-Banking sicher. ;-)

Da gibt es auch genug Möglichkeiten ...


Angenommen, ich versuchte, eine E-Mail im Namen eines anderen zu versenden, habe keinen Tan und darf auch nicht versuchen, an welche zu kommen, dann fiele mir aber zumindest spontan nichts ein, womit ich nicht entweder
• einen Tan erraten,
• darauf warten, dass die Person selbst eine andere E-Mail versendet
• oder bis zur Tan-Prüfungsstelle verdringen
müsste.

Allerdings sind die doch sowieso so schlau, dass sie die Tans dann per E-Mail versenden würden ... ;-)

Wie bekommt man die Tans eigentlich aktuell? Ich halte nichts von Online-Banking, da mir Lücken auffallen. Deswegen weiß ich das nicht.

Benutzer wird von Ihnen ignoriert. Anzeigen

Aktuell hat sich die SMS-TAN weit verbreitet. Das Prinzip ist sicher. Es wird für jede Transaktion eine TAN per SMS versendet, die auch nur für diesen konkreten Vorgang gültig ist. Wenn der geneigte Hirni allerdings mit dem gleichen Handy seine Onlinebanking-Geschäfte betreibt, reißt er damit eine Lücke ins System. Das stimmt schon.

Benutzer wird von Ihnen ignoriert. Anzeigen

Entweder mit deren neuen Chipkarten System oder Mobile-TAN. Ich nutze letztere, da die übertragene TAN auch nur für die aktuelle Überweisung gültig ist.

Benutzer wird von Ihnen ignoriert. Anzeigen

Wenn du bspw. eine Transaktion vornehmen möchtest, wird vom Portal dafür eine Zahl generiert (keine Ahnung wie die heißt). Dann nimmst du dein TAN-Generiergerät und steckst deine EC-Karte da rein und gibts den generierten Code von der Seite ein. Daraus wird dann eine TAN generiert, die du im Portal eingibst. So in der Art läuft das ab.

Mit der neueren Version davon, wird keine Zahl mehr generiert sondern eine Art blinkender Barcode, welcher vom TAN-Generiergerät gelesen wird, wenn du es mit eingesteckter Karte an den Bildschirm hältst.

Ich glaube das erste von beiden ist relativ weit verbreitet und das zweite noch ziemlich neu und ich halte es für relativ sicher. Klar muss es eine Möglichkeit geben, dieses Verfahren zu umgehen oder auszutricksen, aber ein 100% sicheres System gibt es halt nicht..

Benutzer wird von Ihnen ignoriert. Anzeigen

__destruct() schrieb:
--------------------------------------------------------------------------------
> Vorbereitung:
> Schritt 1: Keylogger bei jemandem installieren und die Zugangsdaten
> herausfinden.
>
> Aktion:
> Schritt 1: Einloggen.
> Schritt 2: Rechtsverbindliche E-Mail im Namen eines anderen versenden
> — bequem von zu Hause aus.

Was geht NOCH leichter?
Einen Brief schreiben, die Adresse eines zu Schädigenden benutzen, abschicken.

Benutzer wird von Ihnen ignoriert. Anzeigen

Die habe ich beide schon gesehen und auch Tan-Listen auf Papier.

Unabhängig von der Art der Generierung der Tan: Man schreibe ein Script für den Browser, der die Felder im Formular umbenennt und außerdem versteckte Felder mit den Werten, die man sich wünscht, hinzufügt. Das ist mal ganz billig. Es gibt noch besseres, was mir spontan einfällt, aber da müsste ich mehr erklären.

Benutzer wird von Ihnen ignoriert. Anzeigen

Klar, gegen Scamming kannst du recht wenig machen, solltest halt nur an PCs so etwas machen, denen du vertraust ;)

Benutzer wird von Ihnen ignoriert. Anzeigen

Und damit dann das machen? Das wird erstens richtig teuer und zweitens — was viel wichtiger ist — werden die sich den Typ merken, der mit mehreren hunderten oder gar tausenden LKW voller zu versendender Briefe vorfährt.

Benutzer wird von Ihnen ignoriert. Anzeigen

Es gibt durchaus Möglichkeiten, dem vorzubeugen und zwar komplett betrugssicher.

Benutzer wird von Ihnen ignoriert. Anzeigen

Sicher(er) gehts mit einem 2. Gerät - zb einem Smartphone/Handy das dann die TAN zugeschickt bekommt und diese dann inkl dem Betrag und dem Zahlungsempfänger anzeigt (so das man dann die TAN an den BankingPC abtippt).

Deswegen versuchen auch aktuelle Botnetzframeworks auch immer mehr angeschlossene Smartphones anzugreifen (zb wenn diese gesynct werden). Angriffe dieser Art sind bisher noch auf Unkenntnis und Leichtgläubigkeit der Nutzer angewiesen, aber zu glauben das hier keine entsprechenden Sicherheitslücken auftauchen werden halte ich für naiv.

Dieselbe technische Naivität nervt mich auch bei Demail. Mag sein das man auch eine einzelne Unterschrift üben oder als Briefkastenfingerer vier dutzend Briefe am Tag öffnen kann, aber das ist nichts im Vergleich zu dem was Passiert wenn die Botnetzframeworks Demail-Module bekommen und vollkommen automatisiert hunderte oder tausende rechtsverbindliche und elektronisch unterschriebene Briefe verschickt werden können.

Benutzer wird von Ihnen ignoriert. Anzeigen

Das lässt sich aber immer noch manipulieren, ist ergo nicht sicher.

Benutzer wird von Ihnen ignoriert. Anzeigen