-
Rechtssicherheit
Autor: __destruct() 15.08.12 - 14:33
Woher genau soll eigentlich die Rechtssicherheit stammen? Das Fälschen solcher E-Mails dürfte doch relativ leicht möglich sein.
-
Re: Rechtssicherheit
Autor: entekmedia 15.08.12 - 14:41
Nein, das ist dank 48k facher Authentifizierung inklusive Post-Ident und Passwort per Post einigermaßen ok. Eine andere Frage ist, wie leicht man in die Systeme eindringen kann um von dort im Namen anderer zu schreiben. Dazu kann ich keine Aussage geben
-
Re: Rechtssicherheit
Autor: __destruct() 15.08.12 - 14:55
Vorbereitung:
Schritt 1: Keylogger bei jemandem installieren und die Zugangsdaten herausfinden.
Aktion:
Schritt 1: Einloggen.
Schritt 2: Rechtsverbindliche E-Mail im Namen eines anderen versenden — bequem von zu Hause aus. -
Re: Rechtssicherheit
Autor: entekmedia 15.08.12 - 14:58
Ja richtig. Gegen Manipulation ist die ganze Sache genau so ungeschützt, wie eine E-Mail. Aber man kann sich nicht einfach eine Mail mit dem Namen eines anderen anlegen. Das ist das einzige.
Vielleicht wird irgendwann noch eine super tolle Authentifizierung über den neuen Ausweis eingeführt (wenns das nicht schon gibt). Das würde ich aber eher als noch größeres Sicherheitsrisiko sehen. -
Re: Rechtssicherheit
Autor: Himmerlarschundzwirn 15.08.12 - 14:58
Das fälschen eines Briefes ist um Längen einfacher und der ist auch rechtssicher.
-
Re: Rechtssicherheit
Autor: entekmedia 15.08.12 - 15:04
Dank Abgleich der Handschrift und Unterschrift aber nachweisbar.
-
Re: Rechtssicherheit
Autor: Himmerlarschundzwirn 15.08.12 - 15:07
Handschrift lassen wir mal weg, da ich annehme, dass die meisten Briefe mittlerweile getippt und ausgedruckt werden. Zumindest wenn es um Schriftverkehr geht, bei dem Rechtssicherheit eine Rolle spielt. Und das mit der Unterschrift... Sein wir ehrlich, eine Unterschrift lässt sich bis zur Perfektion üben. Dazu kommt, dass die wenigsten EINE Unterschrift haben. Ein bisschen anders sieht das immer aus. Und wer die kriminelle Energie aufbringt, einen Keylogger zu installieren, der hat auch keine Hemmungen, Unterschriften zu fälschen.
-
Re: Rechtssicherheit
Autor: __destruct() 15.08.12 - 15:12
Aber so jemand kann dann mal eben für 20 Millionen Menschen eine Kündigung des Arbeitsverhältnisses verschicken. Die, die die E-Mail bis dahin gelesen haben, würden dann natürlich nicht zur Arbeit erscheinen und ein gewaltiger wirtschaftlicher Schaden würde entsteht. Erst recht, wenn man bedenkt, dass die ganze Logistik zusammenbrechen wird.
-
Re: Rechtssicherheit
Autor: DiscoVolante 15.08.12 - 15:33
warum sichert man das eigentliche versenden einer mail nicht über eine TAN, ähnlich wie beim online banking?
dann wären gestohlene zugangsdaten zumidest was das versenden angeht nicht ganz so kritisch. -
Re: Rechtssicherheit
Autor: __destruct() 15.08.12 - 15:42
Jetzt tu mal nicht so, als wäre Online-Banking sicher. ;-)
Da gibt es auch genug Möglichkeiten ...
Angenommen, ich versuchte, eine E-Mail im Namen eines anderen zu versenden, habe keinen Tan und darf auch nicht versuchen, an welche zu kommen, dann fiele mir aber zumindest spontan nichts ein, womit ich nicht entweder
• einen Tan erraten,
• darauf warten, dass die Person selbst eine andere E-Mail versendet
• oder bis zur Tan-Prüfungsstelle verdringen
müsste.
Allerdings sind die doch sowieso so schlau, dass sie die Tans dann per E-Mail versenden würden ... ;-)
Wie bekommt man die Tans eigentlich aktuell? Ich halte nichts von Online-Banking, da mir Lücken auffallen. Deswegen weiß ich das nicht. -
Re: Rechtssicherheit
Autor: Himmerlarschundzwirn 15.08.12 - 15:46
Aktuell hat sich die SMS-TAN weit verbreitet. Das Prinzip ist sicher. Es wird für jede Transaktion eine TAN per SMS versendet, die auch nur für diesen konkreten Vorgang gültig ist. Wenn der geneigte Hirni allerdings mit dem gleichen Handy seine Onlinebanking-Geschäfte betreibt, reißt er damit eine Lücke ins System. Das stimmt schon.
-
Re: Rechtssicherheit
Autor: DASPRiD 15.08.12 - 15:48
Entweder mit deren neuen Chipkarten System oder Mobile-TAN. Ich nutze letztere, da die übertragene TAN auch nur für die aktuelle Überweisung gültig ist.
-
Re: Rechtssicherheit
Autor: entekmedia 15.08.12 - 15:48
Wenn du bspw. eine Transaktion vornehmen möchtest, wird vom Portal dafür eine Zahl generiert (keine Ahnung wie die heißt). Dann nimmst du dein TAN-Generiergerät und steckst deine EC-Karte da rein und gibts den generierten Code von der Seite ein. Daraus wird dann eine TAN generiert, die du im Portal eingibst. So in der Art läuft das ab.
Mit der neueren Version davon, wird keine Zahl mehr generiert sondern eine Art blinkender Barcode, welcher vom TAN-Generiergerät gelesen wird, wenn du es mit eingesteckter Karte an den Bildschirm hältst.
Ich glaube das erste von beiden ist relativ weit verbreitet und das zweite noch ziemlich neu und ich halte es für relativ sicher. Klar muss es eine Möglichkeit geben, dieses Verfahren zu umgehen oder auszutricksen, aber ein 100% sicheres System gibt es halt nicht.. -
Re: Rechtssicherheit
Autor: Milber 15.08.12 - 15:51
__destruct() schrieb:
--------------------------------------------------------------------------------
> Vorbereitung:
> Schritt 1: Keylogger bei jemandem installieren und die Zugangsdaten
> herausfinden.
>
> Aktion:
> Schritt 1: Einloggen.
> Schritt 2: Rechtsverbindliche E-Mail im Namen eines anderen versenden
> — bequem von zu Hause aus.
Was geht NOCH leichter?
Einen Brief schreiben, die Adresse eines zu Schädigenden benutzen, abschicken. -
Re: Rechtssicherheit
Autor: __destruct() 15.08.12 - 16:00
Die habe ich beide schon gesehen und auch Tan-Listen auf Papier.
Unabhängig von der Art der Generierung der Tan: Man schreibe ein Script für den Browser, der die Felder im Formular umbenennt und außerdem versteckte Felder mit den Werten, die man sich wünscht, hinzufügt. Das ist mal ganz billig. Es gibt noch besseres, was mir spontan einfällt, aber da müsste ich mehr erklären. -
Re: Rechtssicherheit
Autor: DASPRiD 15.08.12 - 16:06
Klar, gegen Scamming kannst du recht wenig machen, solltest halt nur an PCs so etwas machen, denen du vertraust ;)
-
Re: Rechtssicherheit
Autor: __destruct() 15.08.12 - 16:07
Und damit dann das machen? Das wird erstens richtig teuer und zweitens — was viel wichtiger ist — werden die sich den Typ merken, der mit mehreren hunderten oder gar tausenden LKW voller zu versendender Briefe vorfährt.
-
Re: Rechtssicherheit
Autor: __destruct() 15.08.12 - 16:08
Es gibt durchaus Möglichkeiten, dem vorzubeugen und zwar komplett betrugssicher.
-
Re: Rechtssicherheit
Autor: benji83 16.08.12 - 10:34
Sicher(er) gehts mit einem 2. Gerät - zb einem Smartphone/Handy das dann die TAN zugeschickt bekommt und diese dann inkl dem Betrag und dem Zahlungsempfänger anzeigt (so das man dann die TAN an den BankingPC abtippt).
Deswegen versuchen auch aktuelle Botnetzframeworks auch immer mehr angeschlossene Smartphones anzugreifen (zb wenn diese gesynct werden). Angriffe dieser Art sind bisher noch auf Unkenntnis und Leichtgläubigkeit der Nutzer angewiesen, aber zu glauben das hier keine entsprechenden Sicherheitslücken auftauchen werden halte ich für naiv.
Dieselbe technische Naivität nervt mich auch bei Demail. Mag sein das man auch eine einzelne Unterschrift üben oder als Briefkastenfingerer vier dutzend Briefe am Tag öffnen kann, aber das ist nichts im Vergleich zu dem was Passiert wenn die Botnetzframeworks Demail-Module bekommen und vollkommen automatisiert hunderte oder tausende rechtsverbindliche und elektronisch unterschriebene Briefe verschickt werden können. -
Re: Rechtssicherheit
Autor: __destruct() 16.08.12 - 14:24
Das lässt sich aber immer noch manipulieren, ist ergo nicht sicher.



