Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › eFail: Was tun ohne E-Mail-Sicherheit?

Was soll die Panikmache?

  1. Thema

Neues Thema Ansicht wechseln


  1. Was soll die Panikmache?

    Autor: Fregin 15.05.18 - 13:04

    Grob geschätzt 99,999 % aller Mails werden so oder so unverschlüsselt übertragen. Ich habs ne zeitlang mal versucht, aber bis auf ein paar Nerds in meiner Kontaktliste nutzt keine Sau eine Verschlüsselung bei Mails.

    Davon ab frage ich mich, wie praktikabel ein Angriff ist. Dazu muss doch die Mail verändert werden, sie muss also irgendwo abgegriffen werden, wo sie "unverschlüsselt" liegt - bis auf den PGP bzw. S/MIME-Teil eben. Da Mailserver heutzutage normalerweise eine Transportverschlüsselung verwenden, kann also nicht mal eben irgendwo z.B. im Internetcafe mitgehorcht werden. Das dürfte die Möglichkeiten für einen Angreifer schon arg einschränken. Oder seh ich das falsch?

    Nicht falsch verstehen, dass das gefixt wird sehe ich durchaus als wichtig an, aber auf den einschlägigen Seiten klingts momentan nach Weltuntergang...

  2. Re: Was soll die Panikmache?

    Autor: freebyte 15.05.18 - 13:38

    Fregin schrieb:
    --------------------------------------------------------------------------------
    > Grob geschätzt 99,999 % aller Mails werden so oder so unverschlüsselt
    > übertragen.

    Problem sind die 0,001%, die auf eine vollwertige End-To-End verschlüsselung angewiesen sind weil sie sonst bald keine Kopfschmerzen mehr haben. Ok - wer in dieser Risikogruppe seinem MUA erlaubt, in einer E-Mail externe Inhalte nachzuladen der hat schon vorher keinen Kopf gehabt.

    > Davon ab frage ich mich, wie praktikabel ein Angriff ist. Dazu muss doch
    > die Mail verändert werden, sie muss also irgendwo abgegriffen werden, wo
    > sie "unverschlüsselt" liegt - bis auf den PGP bzw. S/MIME-Teil eben.

    3 Angriffspunkte: Auf dem Rechner des Absenders, auf dem Mailserver, auf dem Rechner des Empfängers.

    "Aber da kann man gleich einen Trojaner ..." gilt nicht; Programme die ausserhalb der Reihe "nachhause telefonieren" werden von jeder billigen "personal firewall" erkannt - ein MUA, der Zeug von Port 80 nachlädt ist unauffälliger.

    > Da Mailserver heutzutage normalerweise eine Transportverschlüsselung
    > verwenden, kann also nicht mal eben irgendwo z.B. im Internetcafe
    > mitgehorcht werden.

    Durch die flächendeckende Einführung von TLS bei Web und Mail werden die Anwender täglich mit kaputten und abgelaufenen Zertifikaten konfrontiert so dass sie auch offensichtliche Fälschungen abnicken, "Man in the middle Attacks" erfahren gerade eine Renaissance.

    > Nicht falsch verstehen, dass das gefixt wird sehe ich durchaus als wichtig
    > an, aber auf den einschlägigen Seiten klingts momentan nach Weltuntergang...

    Ist ja sonst nichts los auf der Welt ^^

    fb

  3. Re: Was soll die Panikmache?

    Autor: Fregin 15.05.18 - 14:46

    freebyte schrieb:
    --------------------------------------------------------------------------------

    > Problem sind die 0,001%, die auf eine vollwertige End-To-End
    > verschlüsselung angewiesen sind weil sie sonst bald keine Kopfschmerzen
    > mehr haben. Ok - wer in dieser Risikogruppe seinem MUA erlaubt, in einer
    > E-Mail externe Inhalte nachzuladen der hat schon vorher keinen Kopf
    > gehabt.

    Naja, die werden kaum ein Problem haben auf andere Wege auszuweichen. Dem letzten Satz kann ich ansonsten nur zustimmen, selbst wenn man in keiner "Risikogruppe" ist, sollte das Nachladen externer Inhalte per Default aus sein.

    > 3 Angriffspunkte: Auf dem Rechner des Absenders, auf dem Mailserver, auf
    > dem Rechner des Empfängers.

    Ich sag ja... Die Angriffsfläche ist jetzt nicht sooooo riesig, wie in den diversen Artikeln getan wird.

    > "Aber da kann man gleich einen Trojaner ..." gilt nicht; Programme die
    > ausserhalb der Reihe "nachhause telefonieren" werden von jeder billigen
    > "personal firewall" erkannt - ein MUA, der Zeug von Port 80 nachlädt ist
    > unauffälliger.

    Prinzipiell ja.

    > Durch die flächendeckende Einführung von TLS bei Web und Mail werden die
    > Anwender täglich mit kaputten und abgelaufenen Zertifikaten konfrontiert so
    > dass sie auch offensichtliche Fälschungen abnicken, "Man in the middle
    > Attacks" erfahren gerade eine Renaissance.

    Von der Transportverschlüsselung bekommt der Anwender erstmal nix mit. Die läuft zwischen den Mailservern. Allenfalls bei der Kommunikation des MUA mit dem eigenen Mailserver könnten Zertifikatsfehler aufpoppen. Aber wer seine Mails verschlüsselt und in so einem Fall nicht hellhörig wird... Der hat ganz andere Probleme.

  4. Re: Was soll die Panikmache?

    Autor: freebyte 15.05.18 - 19:31

    Fregin schrieb:
    --------------------------------------------------------------------------------
    > > Problem sind die 0,001%, die auf eine vollwertige End-To-End
    > > verschlüsselung angewiesen sind weil sie sonst bald keine Kopfschmerzen
    > > mehr haben.
    >
    > Naja, die werden kaum ein Problem haben auf andere Wege auszuweichen.

    Aus eigener, jahrelanger Anschauung: der übliche "kritische" und/oder "investigative" Journalist hat den technischen Sachverstand einer ordinären Ringelblume - es wird nicht das genommen, was hochgradig sicher ist sondern was auf einem Apple-Gerät läuft und von dem er gehört hat, dass es sicher ist.

    > > 3 Angriffspunkte: Auf dem Rechner des Absenders, auf dem Mailserver, auf
    > > dem Rechner des Empfängers.
    >
    > Ich sag ja... Die Angriffsfläche ist jetzt nicht sooooo riesig, wie in den
    > diversen Artikeln getan wird.

    Stimmt - es kann ja nur auf 100% des gesamten Transportweg dazwischengefunkt werden.

    > > Durch die flächendeckende Einführung von TLS bei Web und Mail werden die
    > > Anwender täglich mit kaputten und abgelaufenen Zertifikaten konfrontiert
    >
    > Von der Transportverschlüsselung bekommt der Anwender erstmal nix mit. Die
    > läuft zwischen den Mailservern.

    Die fängt schon beim MUA an (sofern der Mailserver das anbietet).

    > Aber wer seine Mails verschlüsselt und in so einem Fall nicht hellhörig wird...
    > Der hat ganz andere Probleme.

    Wie gesagt: die User drücken mittlerweile Zertifikatsfehler einfach weil sie so häufig vorkommen.

    fb

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Bosch Gruppe, Berlin
  2. OKI EUROPE LIMITED, Branch Office Düsseldorf, Düsseldorf
  3. Giesecke+Devrient Mobile Security GmbH, München
  4. CSL Behring GmbH, Marburg, Hattersheim am Main

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. täglich neue Deals bei Alternate.de


Haben wir etwas übersehen?

E-Mail an news@golem.de


Datenleak: Die Fehler, die 0rbit überführten
Datenleak
Die Fehler, die 0rbit überführten

Er ließ sich bei einem Hack erwischen, vermischte seine Pseudonyme und redete zu viel - Johannes S. hinterließ viele Spuren. Trotzdem brauchte die Polizei offenbar einen Hinweisgeber, um ihn als mutmaßlichen Täter im Politiker-Hack zu überführen.

  1. Datenleak Bundestagsabgeordnete sind Zwei-Faktor-Muffel
  2. Datenleak Telekom und Politiker wollen härtere Strafen für Hacker
  3. Datenleak BSI soll Frühwarnsystem für Hackerangriffe aufbauen

Elektroauto: Eine Branche vor der Zerreißprobe
Elektroauto
Eine Branche vor der Zerreißprobe

2019 wird ein spannendes Jahr für die Elektromobilität. Politik und Autoindustrie stehen in diesem Jahr vor Entwicklungen, die über die Zukunft bestimmen. Doch noch ist die Richtung unklar.
Eine Analyse von Dirk Kunde

  1. Softwarefehler Lime-Tretroller werfen Fahrer ab
  2. Hyundai Das Elektroauto soll automatisiert parken und laden
  3. Kalifornien Ab 2029 müssen Stadtbusse elektrisch fahren

IT-Sicherheit: 12 Lehren aus dem Politiker-Hack
IT-Sicherheit
12 Lehren aus dem Politiker-Hack

Ein polizeibekanntes Skriptkiddie hat offenbar jahrelang unbemerkt Politiker und Prominente ausspähen können und deren Daten veröffentlicht. Welche Konsequenzen sollten für die Sicherheit von Daten aus dem Datenleak gezogen werden?
Eine Analyse von Friedhelm Greis

  1. Datenleak Ermittler nehmen Verdächtigen fest
  2. Datenleak Politiker fordern Pflicht für Zwei-Faktor-Authentifizierung
  3. Politiker-Hack Wohnung in Heilbronn durchsucht

  1. Graswang: Ein Dorf in Bayern will keinen Mobilfunkmast
    Graswang
    Ein Dorf in Bayern will keinen Mobilfunkmast

    Zuerst hatten die Bürger sich über die schlechte Mobilfunkversorgung beschwert. Nun will die Telekom bauen, doch die Mehrheit in Graswang will das nicht.

  2. ProArt PA90: Asus' Zylinder fährt den Deckel aus
    ProArt PA90
    Asus' Zylinder fährt den Deckel aus

    Der ProArt PA90 ist eine tonnenförmige Workstation mit Hexacore-CPU und Quadro-Grafikkarte. Asus kühlt einen Teil der Komponenten per Wasser, den anderen per Luft - und oben hebt sich die Kappe an.

  3. Magenta Zuhause Surf: Telekom stellt Internet ohne Telefonie wieder ein
    Magenta Zuhause Surf
    Telekom stellt Internet ohne Telefonie wieder ein

    Ein spezieller Tarif für DSL ohne Telefonie soll abgeschafft werden. Bereits ab Februar soll es das Angebot für junge Leute von der Deutschen Telekom nicht mehr geben.


  1. 19:23

  2. 19:11

  3. 18:39

  4. 18:27

  5. 17:43

  6. 16:51

  7. 16:37

  8. 15:57