Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › E-Mail-Verschlüsselung: EU-Kommission…

Verschlüsselter Spam?

  1. Thema

Neues Thema Ansicht wechseln


  1. Verschlüsselter Spam?

    Autor: Schnarchnase 22.06.16 - 12:20

    Wie soll sich das rentieren? Das würde jede einzelne Spammail im Versand deutlich teurer machen. Jede Mail müsste individuell verschlüsselt werden, dafür muss man erst mal an die öffentlichen Schlüssel kommen und das wäre bei einem Spamversand an millionen von E-Mail-Adressen überhaupt nicht praktikabel.

    Ich halte das für kompletten Schwachsinn und eine fadenscheinige Ausrede. Um so etwas kann man sich kümmern, wenn das Problem tatsächlich auftritt.

  2. Re: Verschlüsselter Spam?

    Autor: bitundbytes 22.06.16 - 12:28

    "Gezielte Phisingattacken", es geht nicht um die Schleppnetzfischer. Sobald gezielt agiert darf das auch Aufwand kosten da man ja ein bestimmtes Ziel verfolgt.

    Ganz so abwegig finde ich den Einwand nicht, wobei ich, ohne weiter drüber nachgedacht zu haben, vermute auch dafür wird es evtl. eine Lösung geben (Eine Art Vorabauthentifizierung etc.)

  3. Re: Verschlüsselter Spam?

    Autor: chuck0r 22.06.16 - 12:28

    Wenn man den Oberbegriff Spam verwendet (wie hier im Artikel) können ja viele Dinge gemeint sein:
    Werbung, Phishing oder auch gezieltes Phishing (Spearphishing), Mails mit Viren oder Trojanern usw usw.

    Wenn nun also jemand gezielt einen Beamten oder ein Parlamentsmitglied mit einer verschlüsselten Mail anschreibt (jetzt egal ob Spearphishing oder z.B. mit Trojaner im Gepäck) würde diese Mail auf jeden Fall erstmal zugestellt werden, da der Spam-/Virenfilter ja nicht hinein schauen kann.
    Für gezielte Attacken also sogar eine sinnvolle(?) Methode?

    Beim Massenspam oder Phishing wäre es aber nun auch nicht viel schlimmer. Man lässt einfach die E-Mail Listen die schon vorliegen über bekannte Key-Server laufen und nimmt die zurückkommenden Schlüssel und versendet automatisiert die Mails. Wenn dort nun falsche oder alte Schlüssel hinterlegt sind - who cares? Spammails kommen auch zu Hauf nicht an. Die Masse der ankommenden Mails macht es dann aber letzten Endes..



    1 mal bearbeitet, zuletzt am 22.06.16 12:29 durch chuck0r.

  4. Es ist ja auch nur eine Ausrede.

    Autor: flasherle 22.06.16 - 12:35

    Jede große Firma hat PGP schlüssel öffentlich zum suchen, ihrer Mitarbeiter.
    und wie wird das geamcht? richtig, es gibt eine Zentrale stelle die die Mail entschlüsselt und intern weiter verschickt, und anders rum, wenn man den haken setzt wird der mailserver die mail vorm ausgang verschlüsseln...

  5. Re: Verschlüsselter Spam?

    Autor: Schnarchnase 22.06.16 - 12:35

    Was ändert sich also zum Status Quo? Es gibt auch jetzt immer wieder Schädlinge die Spamfilter und Virenscanner nicht entdecken können, genau damit werden auch jetzt schon gezielte Attacken realisiert. Da würde sich also erstmal nicht ändern.

  6. Re: Verschlüsselter Spam?

    Autor: Schnarchnase 22.06.16 - 12:38

    chuck0r schrieb:
    --------------------------------------------------------------------------------
    > Beim Massenspam oder Phishing wäre es aber nun auch nicht viel schlimmer.
    > Man lässt einfach die E-Mail Listen die schon vorliegen über bekannte
    > Key-Server laufen und nimmt die zurückkommenden Schlüssel und versendet
    > automatisiert die Mails. Wenn dort nun falsche oder alte Schlüssel
    > hinterlegt sind - who cares? Spammails kommen auch zu Hauf nicht an. Die
    > Masse der ankommenden Mails macht es dann aber letzten Endes..

    Das verschlüsseln an sich kostet aber auch schon, du brauchst wesentlich mehr Rechenpower um die gleiche Zahl von Mails zu versenden. Alleine das wird sich aktuell schon nicht lohnen.

    Man muss die Keys aber auch nicht auf einem Keyserver bereitstellen. Wenn es dir nur als Download auf der Webseite gibt, müsste ein Spammer manuell nach den Dingern suchen, was wiederum ein zu großer Aufwand wäre. Für einen Bürger der seinem Vertreter eine vertrauliche Mail schreiben will, wäre der Aufwand dagegen akzeptabel.

  7. Re: Verschlüsselter Spam?

    Autor: JouMxyzptlk 22.06.16 - 12:53

    Schnarchnase schrieb:
    --------------------------------------------------------------------------------
    > Wie soll sich das rentieren?

    So teuer ist das nicht wenn dein Botnetz die Arbeit erledigt, ist ja nicht dein Strom.
    Es wird sicherlich bald groß in Mode kommen, nur eine Frage der Zeit.
    Bei gezielten Attacken wird das sowieso gemacht.

  8. Re: Verschlüsselter Spam?

    Autor: .02 Cents 22.06.16 - 12:54

    Was sich ändern würde wäre die Content-basierte Filterung von Mails mit bekannten Angriffs-Vektoren.

    Diese Dinge werden von den Selbsternannten IT Aposteln meist abgetan als "das macht doch keiner, und wenn, dann ist er selber Schuld".

    Ich habe in einem grossen IT Konzern gearbeitet, in dem regelmässig (mindetens 1 mal pro Jahr) IT Security Trainings durchgeführt wurden - ich war da eine Zeit lang mit der Auswertung beschäftigt. 1. Stufe: Online Training (Slide Show mit mehr oder weniger einfachem Frage & Antwort Teil). 2. Stufe: Spezifische Warnung vor Fishing Mails und wie man sie erkennen kann. 3. Stufe (ein paar Tage später) eine von der IT aufgesetzte Fishing Mail, die auf eine entsprechende Webseite weiter geleitet hat mit der Botschaft "Sie sind auf eine Fishing Mail reingefallen" (das war in der Schweiz, also kein deutsches Arbeitsrecht, aber auch so sind die Einzelergebnisse zumindest nicht in die Linie der "betroffenen" Mitarbeiter gegangen).

    Das erschreckende: fast 20% der Leute sind auf diese Mails so reingefallen, das sie auf irgenwas geklickt haben, das diese Webseite aufruft. 2 Jahre später hat sich an der Quote wenig geändert, auch bei den Leuten, die schon 2 Jahre früher "reingefallen" sind ...

    Anyways: Selbstschutz der Anwender hat immer Grenzen. Ein Filtern von Mails nach Content sollte aber auf der Email Client Seite genauso möglich sein, wie auf der Server Seite. Klar kostet das mehr Resourcen - aber eine Email bei Benutzer Interaktion erst zu entschlüsseln, dann zu scannen und je nach Content dann erst anzuzeigen oder zu löschen, sollte kein grundsätzliches Problem sein. Wenn das zu teuer / aufwändig ist, ist das mit der Verschlüsselung / Privacy auch nciht so wichtig ...l

  9. Re: Verschlüsselter Spam?

    Autor: FreiGeistler 22.06.16 - 13:20

    Na schön, halt ein Spam-Filter auf Client Seite. Aber warum gerade Outlook?

  10. Re: Verschlüsselter Spam?

    Autor: yoyoyo 22.06.16 - 14:53

    FreiGeistler schrieb:
    --------------------------------------------------------------------------------
    > Na schön, halt ein Spam-Filter auf Client Seite. Aber warum gerade Outlook?

    Noch nie in der Firma gearbeitet, in der auch nicht Nerds arbeiten?
    Mit kaum etwas kann man einfacher Panik verbreiten als mit dem Stichwort "Outlook abschaffen". Sollte man als Feueralarm nutzen. Excel erstzen ist easy dagegen.

  11. Re: Verschlüsselter Spam?

    Autor: GaliMali 22.06.16 - 14:53

    Schnarchnase schrieb:
    --------------------------------------------------------------------------------
    > Wie soll sich das rentieren? Das würde jede einzelne Spammail im Versand
    > deutlich teurer machen. Jede Mail müsste individuell verschlüsselt werden,
    > dafür muss man erst mal an die öffentlichen Schlüssel kommen und das wäre
    > bei einem Spamversand an millionen von E-Mail-Adressen überhaupt nicht
    > praktikabel.

    Das interessiert die Spamer weniger. Deren Botnetzwerke kümmern sich schon darum.

    Ich glaube schon, dass sie den Weg gehen werden, um noch vertrauensvoller zu wirken und jeden Wortfilter damit umgehen werden.

    Einfacher wäre sicher eine gute Signatur einzuführen, die nach drei Verstössen (die beim drücken auf SPAM ausgelöst werden) sofort Weltweit gesperrt wird. Ausserdem sollten E-Mails endlich auch mal genormte Kategorien-Tags im Header bekommen: Newsletter, Privat, Shopping, Versandinfo, Forum, Notfall, Kritisch usw. - Gerade wenn man auf Smartphones E-Mails empfängt sollte bei einem Kauf auch mitten in der Nacht piepen (vielleicht hat ja doch jemand das eBay Passwort raus gefunden) aber die Versandinformation wieder nicht.

    Das PGP&GPG in E-Mail-Programmen sollte auch so umgebaut werden, dass sie automatisch nach dem Empfang automatisch dekodiert werden sollten. Nur so wäre auch eine Worttextsuche in allen E-Mail möglich. Zumal manchmal auch Schlüssel verloren gehen und man nach 10 Jahren nicht mehr dekodieren kann.

  12. Re: Es ist ja auch nur eine Ausrede.

    Autor: chefin 22.06.16 - 16:23

    flasherle schrieb:
    --------------------------------------------------------------------------------
    > Jede große Firma hat PGP schlüssel öffentlich zum suchen, ihrer
    > Mitarbeiter.
    > und wie wird das geamcht? richtig, es gibt eine Zentrale stelle die die
    > Mail entschlüsselt und intern weiter verschickt, und anders rum, wenn man
    > den haken setzt wird der mailserver die mail vorm ausgang verschlüsseln...

    Und was unterscheidet das von der Transportverschlüsselung? Wenn ich zentrale Entschlüsselung habe, kann jeder Admin mitlesen. In Firmen mag das noch brauchbar sein, weil es intern übers Rechtesystem geregelt wird wer lesen darf und ein admin grundsätzlich in der Lage ist sich drüber weg zu setzen, wenn er will.

    Was du also vorschlägst entspricht DE-Mail und wie beschissen das ist, haben wir ja schon lange Jahre durchgekaut. Zumal ja nun der zentrale Firmenmailserver ein nettes Angriffsziel wäre um die Keys zu klauen. Gleich alle auf einmal, statt nur einen key von einem Infizierten Rechner.

  13. Re: Verschlüsselter Spam?

    Autor: FreiGeistler 22.06.16 - 16:43

    > Noch nie in der Firma gearbeitet, in der auch nicht Nerds arbeiten?
    Dass es auch andere Clients oder WebUI gibt, weiss der typische Arbeitnehmer nicht? o.O
    Zugegeben, wir haben in der Schule dazumals auch nur MS Word gelernt...

    > Mit kaum etwas kann man einfacher Panik verbreiten als mit dem Stichwort "Outlook abschaffen".
    Stillschweigend über die Betriebsferien Thunderbird einführen?

  14. Re: Verschlüsselter Spam?

    Autor: ikhaya 22.06.16 - 17:16

    Wenn man Dinge ändern will nachhaltig muss man die Leute einbeziehen, ihnen die Vorteile der neuen Lösung darlegen, Schulungen anbieten und so weiter.
    Einfach von oben was aufzwingen macht nur böses Blut.

  15. Re: Es ist ja auch nur eine Ausrede.

    Autor: nicoledos 23.06.16 - 08:18

    Die Verschlüsselung ist nur eine Komponente. Diese stellt sicher, dass keine unbefugten auf die Nachricht zugreifen können. Nicht weniger wichtig ist die Signierung, welche sicher stellt, dass dritte die Nachricht nicht manipulieren.

    Die Übertragung zwischen den Mailservern mag gesichert sein. Nur ist der Einfluss auf diese fremden Rechenzentren durch die eigene IT eher begrenzt. Der eigentliche Mailserver liegt doch nicht inhouse, sondern bei GMX, Hetzner oder irgend einem anderen Hoster, von dem der Inhouse-Server die Nachrichten abholt. Hier schützt die Verschlüsselung.

    Berechtigungen bei der Verschlüsselung intern ist nun mal ein kaum zu lösendes Problem. Persönliche Schlüssel wären ideal. Nur scheitert das Konzept, sobald nicht nur eine Person, sondern eine Abteilung für die Kommunikation zuständig ist. Auch scheitert das Prinzip sobald wichtige Mitarbeiter durch Urlaub, Krankheit oder Tod ausfallen. Schließlich gilt es zu entscheiden, ob die verschlüsselten Nachrichten als solches gespeichert und nur bei zugriff entschlüsselt werden oder ob die Daten immer entschlüsselt Archiviert werden.

    Es ist eben nicht so einfach zu sagen. Ab heute machen wir S/MIME bzw. PGP. Man muss sich dahinter ein Konzept stehen. Noch besser wird es, wenn einzelne Bereiche vom Support outoutgesourct werden und diese in das Konzept zu integrieren sind. Von den kaum zu integrierenden CRM-Tools gar nicht zu reden.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Berufsförderungswerk München gemeinnützige Gesellschaft mbH, München, Kirchseeon
  2. IT-Systemhaus der Bundesagentur für Arbeit, Nürnberg
  3. Allianz Partners Deutschland GmbH, Aschheim bei München
  4. Fraunhofer-Institut für Hochfrequenzphysik und Radartechnik FHR, Aachen

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. 64,90€ (Bestpreis!)
  2. täglich neue Deals bei Alternate.de


Haben wir etwas übersehen?

E-Mail an news@golem.de


Telekom Smart Speaker im Test: Der smarte Lautsprecher, der mit zwei Zungen spricht
Telekom Smart Speaker im Test
Der smarte Lautsprecher, der mit zwei Zungen spricht

Die Deutsche Telekom bietet derzeit den einzigen smarten Lautsprecher an, mit dem sich parallel zwei digitale Assistenten nutzen lassen. Der Magenta-Assistent lässt einiges zu wünschen übrig, aber die Parallelnutzung von Alexa funktioniert schon fast zu gut.
Ein Test von Ingo Pakalski

  1. Smarte Lautsprecher Amazon liegt nicht nur in Deutschland vor Google
  2. Pure Discovr Schrumpfender Alexa-Lautsprecher mit Akku wird teurer
  3. Bose Portable Home Speaker Lautsprecher mit Akku, Airplay 2, Alexa und Google Assistant

Gemini Man: Überflüssiges Klonexperiment
Gemini Man
Überflüssiges Klonexperiment

Am 3. Oktober kommt mit Gemini Man ein ambitioniertes Projekt in die deutschen Kinos: Mit HFR-Projektion in 60 Bildern pro Sekunde und Will Smith, der gegen sein digital verjüngtes Ebenbild kämpft, betreibt der Actionfilm technisch viel Aufwand. Das Seherlebnis ist jedoch bestenfalls komisch.
Von Daniel Pook

  1. Filmkritik Apollo 11 Echte Mondlandung als packende Kinozeitreise

Internetprovider: P(y)ures Chaos
Internetprovider
P(y)ures Chaos

95 Prozent der Kunden des Internetproviders Pyur bewerten die Leistung auf renommierten Bewertungsportalen mit der Schulnote 6. Ein Negativrekord in der Branche. Was steckt hinter der desaströsen Kunden(un)zufriedenheit bei der Marke von Tele Columbus? Ein Selbstversuch.
Ein Erfahrungsbericht von Tarik Ahmia

  1. Bundesnetzagentur Nur 13 Prozent bekommen im Festnetz die volle Datenrate

  1. Flip 2: Samsungs digitales Flipchart wird größer und kann Office 365
    Flip 2
    Samsungs digitales Flipchart wird größer und kann Office 365

    Das Samsung Flip 2 ist im Kern wieder ein Flipchart, an welchem Teams ihre Ideen zu digitalem Papier bringen können. Ein Unterschied: Es wird auch eine 65-Zoll-Version geben. Außerdem kann es in Verbindung mit Office 365 genutzt werden.

  2. Star Wars Jedi Fallen Order angespielt: Die Rückkehr der Sternenkriegersolospiele
    Star Wars Jedi Fallen Order angespielt
    Die Rückkehr der Sternenkriegersolospiele

    Seit dem 2003 veröffentlichten Jedi Academy warten Star-Wars-Fans auf ein mächtig gutes neues Actionspiel auf Basis von Star Wars. Demnächst könnte es wieder soweit sein: Beim Anspielen hat Jedi Fallen Order jedenfalls viel Spaß gemacht - trotz oder wegen Anleihen bei Tomb Raider.

  3. Eoan Ermine: Ubuntu 19.10 erscheint mit ZFS und i386-Paketen
    Eoan Ermine
    Ubuntu 19.10 erscheint mit ZFS und i386-Paketen

    Die aktuelle Version 19.10 von Ubuntu alias Eoan Ermine ist verfügbar. Die Version bringt experimentellen ZFS-Support für die Root-Partition, anders als zunächst geplant auch i386-Pakete sowie aktuelle Software für die Cloud und den Linux-Kernel 5.3.


  1. 17:18

  2. 17:01

  3. 16:51

  4. 15:27

  5. 14:37

  6. 14:07

  7. 13:24

  8. 13:04