1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › E-Mail-Verschlüsselung: EU-Kommission…

Verschlüsselter Spam?

Expertentalk zu DDR5-Arbeitsspeicher am 7.7.2020 Am 7. Juli 2020 von 15:30 bis 17:00 Uhr wird Hardware-Redakteur Marc Sauter eure Fragen zu DDR5 beantworten.
  1. Thema

Neues Thema Ansicht wechseln


  1. Verschlüsselter Spam?

    Autor: Schnarchnase 22.06.16 - 12:20

    Wie soll sich das rentieren? Das würde jede einzelne Spammail im Versand deutlich teurer machen. Jede Mail müsste individuell verschlüsselt werden, dafür muss man erst mal an die öffentlichen Schlüssel kommen und das wäre bei einem Spamversand an millionen von E-Mail-Adressen überhaupt nicht praktikabel.

    Ich halte das für kompletten Schwachsinn und eine fadenscheinige Ausrede. Um so etwas kann man sich kümmern, wenn das Problem tatsächlich auftritt.

  2. Re: Verschlüsselter Spam?

    Autor: bitundbytes 22.06.16 - 12:28

    "Gezielte Phisingattacken", es geht nicht um die Schleppnetzfischer. Sobald gezielt agiert darf das auch Aufwand kosten da man ja ein bestimmtes Ziel verfolgt.

    Ganz so abwegig finde ich den Einwand nicht, wobei ich, ohne weiter drüber nachgedacht zu haben, vermute auch dafür wird es evtl. eine Lösung geben (Eine Art Vorabauthentifizierung etc.)

  3. Re: Verschlüsselter Spam?

    Autor: chuck0r 22.06.16 - 12:28

    Wenn man den Oberbegriff Spam verwendet (wie hier im Artikel) können ja viele Dinge gemeint sein:
    Werbung, Phishing oder auch gezieltes Phishing (Spearphishing), Mails mit Viren oder Trojanern usw usw.

    Wenn nun also jemand gezielt einen Beamten oder ein Parlamentsmitglied mit einer verschlüsselten Mail anschreibt (jetzt egal ob Spearphishing oder z.B. mit Trojaner im Gepäck) würde diese Mail auf jeden Fall erstmal zugestellt werden, da der Spam-/Virenfilter ja nicht hinein schauen kann.
    Für gezielte Attacken also sogar eine sinnvolle(?) Methode?

    Beim Massenspam oder Phishing wäre es aber nun auch nicht viel schlimmer. Man lässt einfach die E-Mail Listen die schon vorliegen über bekannte Key-Server laufen und nimmt die zurückkommenden Schlüssel und versendet automatisiert die Mails. Wenn dort nun falsche oder alte Schlüssel hinterlegt sind - who cares? Spammails kommen auch zu Hauf nicht an. Die Masse der ankommenden Mails macht es dann aber letzten Endes..



    1 mal bearbeitet, zuletzt am 22.06.16 12:29 durch chuck0r.

  4. Es ist ja auch nur eine Ausrede.

    Autor: flasherle 22.06.16 - 12:35

    Jede große Firma hat PGP schlüssel öffentlich zum suchen, ihrer Mitarbeiter.
    und wie wird das geamcht? richtig, es gibt eine Zentrale stelle die die Mail entschlüsselt und intern weiter verschickt, und anders rum, wenn man den haken setzt wird der mailserver die mail vorm ausgang verschlüsseln...

  5. Re: Verschlüsselter Spam?

    Autor: Schnarchnase 22.06.16 - 12:35

    Was ändert sich also zum Status Quo? Es gibt auch jetzt immer wieder Schädlinge die Spamfilter und Virenscanner nicht entdecken können, genau damit werden auch jetzt schon gezielte Attacken realisiert. Da würde sich also erstmal nicht ändern.

  6. Re: Verschlüsselter Spam?

    Autor: Schnarchnase 22.06.16 - 12:38

    chuck0r schrieb:
    --------------------------------------------------------------------------------
    > Beim Massenspam oder Phishing wäre es aber nun auch nicht viel schlimmer.
    > Man lässt einfach die E-Mail Listen die schon vorliegen über bekannte
    > Key-Server laufen und nimmt die zurückkommenden Schlüssel und versendet
    > automatisiert die Mails. Wenn dort nun falsche oder alte Schlüssel
    > hinterlegt sind - who cares? Spammails kommen auch zu Hauf nicht an. Die
    > Masse der ankommenden Mails macht es dann aber letzten Endes..

    Das verschlüsseln an sich kostet aber auch schon, du brauchst wesentlich mehr Rechenpower um die gleiche Zahl von Mails zu versenden. Alleine das wird sich aktuell schon nicht lohnen.

    Man muss die Keys aber auch nicht auf einem Keyserver bereitstellen. Wenn es dir nur als Download auf der Webseite gibt, müsste ein Spammer manuell nach den Dingern suchen, was wiederum ein zu großer Aufwand wäre. Für einen Bürger der seinem Vertreter eine vertrauliche Mail schreiben will, wäre der Aufwand dagegen akzeptabel.

  7. Re: Verschlüsselter Spam?

    Autor: JouMxyzptlk 22.06.16 - 12:53

    Schnarchnase schrieb:
    --------------------------------------------------------------------------------
    > Wie soll sich das rentieren?

    So teuer ist das nicht wenn dein Botnetz die Arbeit erledigt, ist ja nicht dein Strom.
    Es wird sicherlich bald groß in Mode kommen, nur eine Frage der Zeit.
    Bei gezielten Attacken wird das sowieso gemacht.

  8. Re: Verschlüsselter Spam?

    Autor: .02 Cents 22.06.16 - 12:54

    Was sich ändern würde wäre die Content-basierte Filterung von Mails mit bekannten Angriffs-Vektoren.

    Diese Dinge werden von den Selbsternannten IT Aposteln meist abgetan als "das macht doch keiner, und wenn, dann ist er selber Schuld".

    Ich habe in einem grossen IT Konzern gearbeitet, in dem regelmässig (mindetens 1 mal pro Jahr) IT Security Trainings durchgeführt wurden - ich war da eine Zeit lang mit der Auswertung beschäftigt. 1. Stufe: Online Training (Slide Show mit mehr oder weniger einfachem Frage & Antwort Teil). 2. Stufe: Spezifische Warnung vor Fishing Mails und wie man sie erkennen kann. 3. Stufe (ein paar Tage später) eine von der IT aufgesetzte Fishing Mail, die auf eine entsprechende Webseite weiter geleitet hat mit der Botschaft "Sie sind auf eine Fishing Mail reingefallen" (das war in der Schweiz, also kein deutsches Arbeitsrecht, aber auch so sind die Einzelergebnisse zumindest nicht in die Linie der "betroffenen" Mitarbeiter gegangen).

    Das erschreckende: fast 20% der Leute sind auf diese Mails so reingefallen, das sie auf irgenwas geklickt haben, das diese Webseite aufruft. 2 Jahre später hat sich an der Quote wenig geändert, auch bei den Leuten, die schon 2 Jahre früher "reingefallen" sind ...

    Anyways: Selbstschutz der Anwender hat immer Grenzen. Ein Filtern von Mails nach Content sollte aber auf der Email Client Seite genauso möglich sein, wie auf der Server Seite. Klar kostet das mehr Resourcen - aber eine Email bei Benutzer Interaktion erst zu entschlüsseln, dann zu scannen und je nach Content dann erst anzuzeigen oder zu löschen, sollte kein grundsätzliches Problem sein. Wenn das zu teuer / aufwändig ist, ist das mit der Verschlüsselung / Privacy auch nciht so wichtig ...l

  9. Re: Verschlüsselter Spam?

    Autor: FreiGeistler 22.06.16 - 13:20

    Na schön, halt ein Spam-Filter auf Client Seite. Aber warum gerade Outlook?

  10. Re: Verschlüsselter Spam?

    Autor: yoyoyo 22.06.16 - 14:53

    FreiGeistler schrieb:
    --------------------------------------------------------------------------------
    > Na schön, halt ein Spam-Filter auf Client Seite. Aber warum gerade Outlook?

    Noch nie in der Firma gearbeitet, in der auch nicht Nerds arbeiten?
    Mit kaum etwas kann man einfacher Panik verbreiten als mit dem Stichwort "Outlook abschaffen". Sollte man als Feueralarm nutzen. Excel erstzen ist easy dagegen.

  11. Re: Verschlüsselter Spam?

    Autor: GaliMali 22.06.16 - 14:53

    Schnarchnase schrieb:
    --------------------------------------------------------------------------------
    > Wie soll sich das rentieren? Das würde jede einzelne Spammail im Versand
    > deutlich teurer machen. Jede Mail müsste individuell verschlüsselt werden,
    > dafür muss man erst mal an die öffentlichen Schlüssel kommen und das wäre
    > bei einem Spamversand an millionen von E-Mail-Adressen überhaupt nicht
    > praktikabel.

    Das interessiert die Spamer weniger. Deren Botnetzwerke kümmern sich schon darum.

    Ich glaube schon, dass sie den Weg gehen werden, um noch vertrauensvoller zu wirken und jeden Wortfilter damit umgehen werden.

    Einfacher wäre sicher eine gute Signatur einzuführen, die nach drei Verstössen (die beim drücken auf SPAM ausgelöst werden) sofort Weltweit gesperrt wird. Ausserdem sollten E-Mails endlich auch mal genormte Kategorien-Tags im Header bekommen: Newsletter, Privat, Shopping, Versandinfo, Forum, Notfall, Kritisch usw. - Gerade wenn man auf Smartphones E-Mails empfängt sollte bei einem Kauf auch mitten in der Nacht piepen (vielleicht hat ja doch jemand das eBay Passwort raus gefunden) aber die Versandinformation wieder nicht.

    Das PGP&GPG in E-Mail-Programmen sollte auch so umgebaut werden, dass sie automatisch nach dem Empfang automatisch dekodiert werden sollten. Nur so wäre auch eine Worttextsuche in allen E-Mail möglich. Zumal manchmal auch Schlüssel verloren gehen und man nach 10 Jahren nicht mehr dekodieren kann.

  12. Re: Es ist ja auch nur eine Ausrede.

    Autor: chefin 22.06.16 - 16:23

    flasherle schrieb:
    --------------------------------------------------------------------------------
    > Jede große Firma hat PGP schlüssel öffentlich zum suchen, ihrer
    > Mitarbeiter.
    > und wie wird das geamcht? richtig, es gibt eine Zentrale stelle die die
    > Mail entschlüsselt und intern weiter verschickt, und anders rum, wenn man
    > den haken setzt wird der mailserver die mail vorm ausgang verschlüsseln...

    Und was unterscheidet das von der Transportverschlüsselung? Wenn ich zentrale Entschlüsselung habe, kann jeder Admin mitlesen. In Firmen mag das noch brauchbar sein, weil es intern übers Rechtesystem geregelt wird wer lesen darf und ein admin grundsätzlich in der Lage ist sich drüber weg zu setzen, wenn er will.

    Was du also vorschlägst entspricht DE-Mail und wie beschissen das ist, haben wir ja schon lange Jahre durchgekaut. Zumal ja nun der zentrale Firmenmailserver ein nettes Angriffsziel wäre um die Keys zu klauen. Gleich alle auf einmal, statt nur einen key von einem Infizierten Rechner.

  13. Re: Verschlüsselter Spam?

    Autor: FreiGeistler 22.06.16 - 16:43

    > Noch nie in der Firma gearbeitet, in der auch nicht Nerds arbeiten?
    Dass es auch andere Clients oder WebUI gibt, weiss der typische Arbeitnehmer nicht? o.O
    Zugegeben, wir haben in der Schule dazumals auch nur MS Word gelernt...

    > Mit kaum etwas kann man einfacher Panik verbreiten als mit dem Stichwort "Outlook abschaffen".
    Stillschweigend über die Betriebsferien Thunderbird einführen?

  14. Re: Verschlüsselter Spam?

    Autor: ikhaya 22.06.16 - 17:16

    Wenn man Dinge ändern will nachhaltig muss man die Leute einbeziehen, ihnen die Vorteile der neuen Lösung darlegen, Schulungen anbieten und so weiter.
    Einfach von oben was aufzwingen macht nur böses Blut.

  15. Re: Es ist ja auch nur eine Ausrede.

    Autor: nicoledos 23.06.16 - 08:18

    Die Verschlüsselung ist nur eine Komponente. Diese stellt sicher, dass keine unbefugten auf die Nachricht zugreifen können. Nicht weniger wichtig ist die Signierung, welche sicher stellt, dass dritte die Nachricht nicht manipulieren.

    Die Übertragung zwischen den Mailservern mag gesichert sein. Nur ist der Einfluss auf diese fremden Rechenzentren durch die eigene IT eher begrenzt. Der eigentliche Mailserver liegt doch nicht inhouse, sondern bei GMX, Hetzner oder irgend einem anderen Hoster, von dem der Inhouse-Server die Nachrichten abholt. Hier schützt die Verschlüsselung.

    Berechtigungen bei der Verschlüsselung intern ist nun mal ein kaum zu lösendes Problem. Persönliche Schlüssel wären ideal. Nur scheitert das Konzept, sobald nicht nur eine Person, sondern eine Abteilung für die Kommunikation zuständig ist. Auch scheitert das Prinzip sobald wichtige Mitarbeiter durch Urlaub, Krankheit oder Tod ausfallen. Schließlich gilt es zu entscheiden, ob die verschlüsselten Nachrichten als solches gespeichert und nur bei zugriff entschlüsselt werden oder ob die Daten immer entschlüsselt Archiviert werden.

    Es ist eben nicht so einfach zu sagen. Ab heute machen wir S/MIME bzw. PGP. Man muss sich dahinter ein Konzept stehen. Noch besser wird es, wenn einzelne Bereiche vom Support outoutgesourct werden und diese in das Konzept zu integrieren sind. Von den kaum zu integrierenden CRM-Tools gar nicht zu reden.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Swiss Post Solutions GmbH, Bamberg, London (Großbritannien) (Home-Office)
  2. Universität Passau, Passau
  3. AGCO GmbH, Marktoberdorf
  4. Allianz Deutschland AG, München Unterföhring

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. (-91%) 2,20€
  2. (-87%) 2,50€
  3. 4,99€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Materiejets aus schwarzem Loch: Schneller als das Licht?
Materiejets aus schwarzem Loch
Schneller als das Licht?

Das schwarze Loch stößt Materie mit einer Geschwindigkeit aus, die wie Überlichtgeschwindigkeit aussieht.
Ein Bericht von Andreas Lutter

  1. Oumuamua Ein ganz normal merkwürdiger interstellarer Asteroid

Unix: Ein Betriebssystem in 8 KByte
Unix
Ein Betriebssystem in 8 KByte

Zwei junge Programmierer entwarfen nahezu im Alleingang ein Betriebssystem und die Sprache C. Zum 50. Jubiläum von Unix werfen wir einen Blick zurück auf die Anfangstage.
Von Martin Wolf


    Laravel/Telescope: Die Sicherheitslücke bei einer Bank, die es nicht gibt
    Laravel/Telescope
    Die Sicherheitslücke bei einer Bank, die es nicht gibt

    Ein Leser hat uns auf eine Sicherheitslücke auf der Webseite einer Onlinebank hingewiesen. Die Lücke war echt und betrifft auch andere Seiten - die Bank jedoch scheint es nie gegeben zu haben.
    Ein Bericht von Hanno Böck

    1. IT-Sicherheitsgesetz Regierung streicht Passagen zu Darknet und Passwörtern
    2. Callcenter Sicherheitsexperte hackt Microsoft-Betrüger
    3. Sicherheit "E-Mail ist das Fax von morgen"

    1. Jens Spahn: Bislang 300 Infektionsmeldungen über Corona-Warn-App
      Jens Spahn
      Bislang 300 Infektionsmeldungen über Corona-Warn-App

      Die Corona-Warn-App ist bislang über 14 Millionen Mal heruntergeladen worden, ungefähr 300 Warnmeldungen über mögliche Infektionen wurden ausgegeben.

    2. Bafin: Stärkung der Finanzaufsicht nach Wirecard-Skandal geplant
      Bafin
      Stärkung der Finanzaufsicht nach Wirecard-Skandal geplant

      Der Skandal um fehlende Milliarden beim Finanzdienstleister Wirecard bringt die Finanzaufsicht in Erklärungsnot - und damit auch die Bundesregierung.

    3. Teams: Slack wirft Microsoft unfairen Wettbewerb vor
      Teams
      Slack wirft Microsoft unfairen Wettbewerb vor

      Slack gehört zu den Gewinnern in der Corona-Krise, das Plus hätte aber noch höher ausfallen können: Unternehmens-Chef Stewart Butterfield wirft Microsoft Wettbewerbsverzerrung vor.


    1. 14:17

    2. 13:59

    3. 13:20

    4. 12:43

    5. 11:50

    6. 14:26

    7. 13:56

    8. 13:15