Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › eFail: Was tun ohne E-Mail-Sicherheit?

Was soll die Panikmache?

  1. Thema

Neues Thema Ansicht wechseln


  1. Was soll die Panikmache?

    Autor: Fregin 15.05.18 - 13:04

    Grob geschätzt 99,999 % aller Mails werden so oder so unverschlüsselt übertragen. Ich habs ne zeitlang mal versucht, aber bis auf ein paar Nerds in meiner Kontaktliste nutzt keine Sau eine Verschlüsselung bei Mails.

    Davon ab frage ich mich, wie praktikabel ein Angriff ist. Dazu muss doch die Mail verändert werden, sie muss also irgendwo abgegriffen werden, wo sie "unverschlüsselt" liegt - bis auf den PGP bzw. S/MIME-Teil eben. Da Mailserver heutzutage normalerweise eine Transportverschlüsselung verwenden, kann also nicht mal eben irgendwo z.B. im Internetcafe mitgehorcht werden. Das dürfte die Möglichkeiten für einen Angreifer schon arg einschränken. Oder seh ich das falsch?

    Nicht falsch verstehen, dass das gefixt wird sehe ich durchaus als wichtig an, aber auf den einschlägigen Seiten klingts momentan nach Weltuntergang...

  2. Re: Was soll die Panikmache?

    Autor: freebyte 15.05.18 - 13:38

    Fregin schrieb:
    --------------------------------------------------------------------------------
    > Grob geschätzt 99,999 % aller Mails werden so oder so unverschlüsselt
    > übertragen.

    Problem sind die 0,001%, die auf eine vollwertige End-To-End verschlüsselung angewiesen sind weil sie sonst bald keine Kopfschmerzen mehr haben. Ok - wer in dieser Risikogruppe seinem MUA erlaubt, in einer E-Mail externe Inhalte nachzuladen der hat schon vorher keinen Kopf gehabt.

    > Davon ab frage ich mich, wie praktikabel ein Angriff ist. Dazu muss doch
    > die Mail verändert werden, sie muss also irgendwo abgegriffen werden, wo
    > sie "unverschlüsselt" liegt - bis auf den PGP bzw. S/MIME-Teil eben.

    3 Angriffspunkte: Auf dem Rechner des Absenders, auf dem Mailserver, auf dem Rechner des Empfängers.

    "Aber da kann man gleich einen Trojaner ..." gilt nicht; Programme die ausserhalb der Reihe "nachhause telefonieren" werden von jeder billigen "personal firewall" erkannt - ein MUA, der Zeug von Port 80 nachlädt ist unauffälliger.

    > Da Mailserver heutzutage normalerweise eine Transportverschlüsselung
    > verwenden, kann also nicht mal eben irgendwo z.B. im Internetcafe
    > mitgehorcht werden.

    Durch die flächendeckende Einführung von TLS bei Web und Mail werden die Anwender täglich mit kaputten und abgelaufenen Zertifikaten konfrontiert so dass sie auch offensichtliche Fälschungen abnicken, "Man in the middle Attacks" erfahren gerade eine Renaissance.

    > Nicht falsch verstehen, dass das gefixt wird sehe ich durchaus als wichtig
    > an, aber auf den einschlägigen Seiten klingts momentan nach Weltuntergang...

    Ist ja sonst nichts los auf der Welt ^^

    fb

  3. Re: Was soll die Panikmache?

    Autor: Fregin 15.05.18 - 14:46

    freebyte schrieb:
    --------------------------------------------------------------------------------

    > Problem sind die 0,001%, die auf eine vollwertige End-To-End
    > verschlüsselung angewiesen sind weil sie sonst bald keine Kopfschmerzen
    > mehr haben. Ok - wer in dieser Risikogruppe seinem MUA erlaubt, in einer
    > E-Mail externe Inhalte nachzuladen der hat schon vorher keinen Kopf
    > gehabt.

    Naja, die werden kaum ein Problem haben auf andere Wege auszuweichen. Dem letzten Satz kann ich ansonsten nur zustimmen, selbst wenn man in keiner "Risikogruppe" ist, sollte das Nachladen externer Inhalte per Default aus sein.

    > 3 Angriffspunkte: Auf dem Rechner des Absenders, auf dem Mailserver, auf
    > dem Rechner des Empfängers.

    Ich sag ja... Die Angriffsfläche ist jetzt nicht sooooo riesig, wie in den diversen Artikeln getan wird.

    > "Aber da kann man gleich einen Trojaner ..." gilt nicht; Programme die
    > ausserhalb der Reihe "nachhause telefonieren" werden von jeder billigen
    > "personal firewall" erkannt - ein MUA, der Zeug von Port 80 nachlädt ist
    > unauffälliger.

    Prinzipiell ja.

    > Durch die flächendeckende Einführung von TLS bei Web und Mail werden die
    > Anwender täglich mit kaputten und abgelaufenen Zertifikaten konfrontiert so
    > dass sie auch offensichtliche Fälschungen abnicken, "Man in the middle
    > Attacks" erfahren gerade eine Renaissance.

    Von der Transportverschlüsselung bekommt der Anwender erstmal nix mit. Die läuft zwischen den Mailservern. Allenfalls bei der Kommunikation des MUA mit dem eigenen Mailserver könnten Zertifikatsfehler aufpoppen. Aber wer seine Mails verschlüsselt und in so einem Fall nicht hellhörig wird... Der hat ganz andere Probleme.

  4. Re: Was soll die Panikmache?

    Autor: freebyte 15.05.18 - 19:31

    Fregin schrieb:
    --------------------------------------------------------------------------------
    > > Problem sind die 0,001%, die auf eine vollwertige End-To-End
    > > verschlüsselung angewiesen sind weil sie sonst bald keine Kopfschmerzen
    > > mehr haben.
    >
    > Naja, die werden kaum ein Problem haben auf andere Wege auszuweichen.

    Aus eigener, jahrelanger Anschauung: der übliche "kritische" und/oder "investigative" Journalist hat den technischen Sachverstand einer ordinären Ringelblume - es wird nicht das genommen, was hochgradig sicher ist sondern was auf einem Apple-Gerät läuft und von dem er gehört hat, dass es sicher ist.

    > > 3 Angriffspunkte: Auf dem Rechner des Absenders, auf dem Mailserver, auf
    > > dem Rechner des Empfängers.
    >
    > Ich sag ja... Die Angriffsfläche ist jetzt nicht sooooo riesig, wie in den
    > diversen Artikeln getan wird.

    Stimmt - es kann ja nur auf 100% des gesamten Transportweg dazwischengefunkt werden.

    > > Durch die flächendeckende Einführung von TLS bei Web und Mail werden die
    > > Anwender täglich mit kaputten und abgelaufenen Zertifikaten konfrontiert
    >
    > Von der Transportverschlüsselung bekommt der Anwender erstmal nix mit. Die
    > läuft zwischen den Mailservern.

    Die fängt schon beim MUA an (sofern der Mailserver das anbietet).

    > Aber wer seine Mails verschlüsselt und in so einem Fall nicht hellhörig wird...
    > Der hat ganz andere Probleme.

    Wie gesagt: die User drücken mittlerweile Zertifikatsfehler einfach weil sie so häufig vorkommen.

    fb

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. yourfirm GmbH, München
  2. BVG Berliner Verkehrsbetriebe, Berlin
  3. d.velop AG, Gescher, Bocholt, Münster, Sulzbach
  4. Capgemini Deutschland GmbH, Stuttgart

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. (Zugang für die ganze Familie!)
  2. 14,99€
  3. 519€
  4. (heute u. a. Dual DT 210 Plattenspieler 77,00€ statt 111,99€)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Gigabit: 5G-Planungen gehen völlig an den Nutzern vorbei
Gigabit
5G-Planungen gehen völlig an den Nutzern vorbei

Fast täglich hören wir Erklärungen aus der Telekommunikationsbranche, was 5G erfüllen müsse und warum sonst das Ende der Welt drohe. Wir haben die Konzerngruppen nach Interessenlage kartografiert.
Ein IMHO von Achim Sawall

  1. Fixed Wireless Access Nokia bringt mehrere 100 MBit/s mit LTE ins Festnetz
  2. Funklöcher Telekom bietet freiwillig hohe 5G-Netzabdeckung an
  3. 5G Telekom hat ihr Mobilfunknetz mit Glasfaser versorgt

HP Elitebook 840 und Toshiba Tecra X40: Es kann nur eines geben
HP Elitebook 840 und Toshiba Tecra X40
Es kann nur eines geben

Nicht nur Lenovo baut gute Business-Notebooks, auch HP und Toshiba haben Produkte, die vergleichbar sind. Wir stellen je ein Modell der beiden Hersteller mit ähnlicher Hardware gegenüber: das eine leichter, das andere mit überlegenem Akku - ein knapper Gewinner nach Punkten.
Ein Test von Oliver Nickel

  1. Portégé X20W-D-145 Toshiba stellt alte Hardware im flexiblen Chassis vor
  2. Tecra X40-E-10W Toshibas 14-Zoll-Thinkpad-Pendant kommt mit LTE
  3. Dell, HP, Lenovo AMDs Ryzen Pro Mobile landet in allen Business-Notebooks

Probefahrt mit Tesla Model 3: Wie auf Schienen übers Golden Gate
Probefahrt mit Tesla Model 3
Wie auf Schienen übers Golden Gate

Die Produktion des Tesla Model 3 für den europäischen Markt wird gerade vorbereitet. Golem.de hat einen Tag in und um San Francisco getestet, was Käufer von dem Elektroauto erwarten können.
Ein Erfahrungsbericht von Friedhelm Greis

  1. 1.000 Autos pro Tag Tesla baut das hunderttausendste Model 3
  2. Goodwood Festival of Speed Tesla bringt Model 3 erstmals offiziell nach Europa
  3. Elektroauto Produktionsziel des Tesla Model 3 erreicht

  1. BVG: Mit bis zu 500 MBit/s im Bus-WLAN unterwegs
    BVG
    Mit bis zu 500 MBit/s im Bus-WLAN unterwegs

    Berliner Linienbusse werden über LTE Advanced mit WLAN angebunden. Der Fahrgast könne damit 100 und 150 MBit/s erwarten, meint die BVG.

  2. Europäischer Gerichtshof: Kein schwarzer Tag für alle Filesharing-Abgemahnten
    Europäischer Gerichtshof
    Kein schwarzer Tag für alle Filesharing-Abgemahnten

    Das Urteil des Europäischen Gerichtshofs zum Filesharing ändert nichts. Es bestätigt nur die bisherige Rechtsprechung des Bundesgerichtshofs. Anschlussinhaber haben nach der grundrechtlich weiterhin besonders geschützten Familie keine näheren Nachforschungspflichten und müssen Angehörige nicht ausspionieren.

  3. Sicherheitslücke in Windows: Den Gast zum Admin machen
    Sicherheitslücke in Windows
    Den Gast zum Admin machen

    Eine Sicherheitslücke in Windows erlaubt, die Rechte von Nutzerkonten auszuweiten. Die Lücke ist seit zehn Monaten bekannt und wurde noch nicht geschlossen. Schadsoftware-Autoren dürften sich freuen.


  1. 19:03

  2. 18:40

  3. 17:44

  4. 17:29

  5. 17:17

  6. 17:00

  7. 17:00

  8. 16:48