1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › E-Mail-Verschlüsselung: EU-Kommission…

Verschlüsselter Spam?

Neue Foren im Freiraum! Raumfahrt und freie Software haben jetzt einen Platz, die Games tummeln sich jetzt alle in einem Forum.
  1. Thema

Neues Thema Ansicht wechseln


  1. Verschlüsselter Spam?

    Autor: Schnarchnase 22.06.16 - 12:20

    Wie soll sich das rentieren? Das würde jede einzelne Spammail im Versand deutlich teurer machen. Jede Mail müsste individuell verschlüsselt werden, dafür muss man erst mal an die öffentlichen Schlüssel kommen und das wäre bei einem Spamversand an millionen von E-Mail-Adressen überhaupt nicht praktikabel.

    Ich halte das für kompletten Schwachsinn und eine fadenscheinige Ausrede. Um so etwas kann man sich kümmern, wenn das Problem tatsächlich auftritt.

  2. Re: Verschlüsselter Spam?

    Autor: bitundbytes 22.06.16 - 12:28

    "Gezielte Phisingattacken", es geht nicht um die Schleppnetzfischer. Sobald gezielt agiert darf das auch Aufwand kosten da man ja ein bestimmtes Ziel verfolgt.

    Ganz so abwegig finde ich den Einwand nicht, wobei ich, ohne weiter drüber nachgedacht zu haben, vermute auch dafür wird es evtl. eine Lösung geben (Eine Art Vorabauthentifizierung etc.)

  3. Re: Verschlüsselter Spam?

    Autor: chuck0r 22.06.16 - 12:28

    Wenn man den Oberbegriff Spam verwendet (wie hier im Artikel) können ja viele Dinge gemeint sein:
    Werbung, Phishing oder auch gezieltes Phishing (Spearphishing), Mails mit Viren oder Trojanern usw usw.

    Wenn nun also jemand gezielt einen Beamten oder ein Parlamentsmitglied mit einer verschlüsselten Mail anschreibt (jetzt egal ob Spearphishing oder z.B. mit Trojaner im Gepäck) würde diese Mail auf jeden Fall erstmal zugestellt werden, da der Spam-/Virenfilter ja nicht hinein schauen kann.
    Für gezielte Attacken also sogar eine sinnvolle(?) Methode?

    Beim Massenspam oder Phishing wäre es aber nun auch nicht viel schlimmer. Man lässt einfach die E-Mail Listen die schon vorliegen über bekannte Key-Server laufen und nimmt die zurückkommenden Schlüssel und versendet automatisiert die Mails. Wenn dort nun falsche oder alte Schlüssel hinterlegt sind - who cares? Spammails kommen auch zu Hauf nicht an. Die Masse der ankommenden Mails macht es dann aber letzten Endes..



    1 mal bearbeitet, zuletzt am 22.06.16 12:29 durch chuck0r.

  4. Es ist ja auch nur eine Ausrede.

    Autor: flasherle 22.06.16 - 12:35

    Jede große Firma hat PGP schlüssel öffentlich zum suchen, ihrer Mitarbeiter.
    und wie wird das geamcht? richtig, es gibt eine Zentrale stelle die die Mail entschlüsselt und intern weiter verschickt, und anders rum, wenn man den haken setzt wird der mailserver die mail vorm ausgang verschlüsseln...

  5. Re: Verschlüsselter Spam?

    Autor: Schnarchnase 22.06.16 - 12:35

    Was ändert sich also zum Status Quo? Es gibt auch jetzt immer wieder Schädlinge die Spamfilter und Virenscanner nicht entdecken können, genau damit werden auch jetzt schon gezielte Attacken realisiert. Da würde sich also erstmal nicht ändern.

  6. Re: Verschlüsselter Spam?

    Autor: Schnarchnase 22.06.16 - 12:38

    chuck0r schrieb:
    --------------------------------------------------------------------------------
    > Beim Massenspam oder Phishing wäre es aber nun auch nicht viel schlimmer.
    > Man lässt einfach die E-Mail Listen die schon vorliegen über bekannte
    > Key-Server laufen und nimmt die zurückkommenden Schlüssel und versendet
    > automatisiert die Mails. Wenn dort nun falsche oder alte Schlüssel
    > hinterlegt sind - who cares? Spammails kommen auch zu Hauf nicht an. Die
    > Masse der ankommenden Mails macht es dann aber letzten Endes..

    Das verschlüsseln an sich kostet aber auch schon, du brauchst wesentlich mehr Rechenpower um die gleiche Zahl von Mails zu versenden. Alleine das wird sich aktuell schon nicht lohnen.

    Man muss die Keys aber auch nicht auf einem Keyserver bereitstellen. Wenn es dir nur als Download auf der Webseite gibt, müsste ein Spammer manuell nach den Dingern suchen, was wiederum ein zu großer Aufwand wäre. Für einen Bürger der seinem Vertreter eine vertrauliche Mail schreiben will, wäre der Aufwand dagegen akzeptabel.

  7. Re: Verschlüsselter Spam?

    Autor: JouMxyzptlk 22.06.16 - 12:53

    Schnarchnase schrieb:
    --------------------------------------------------------------------------------
    > Wie soll sich das rentieren?

    So teuer ist das nicht wenn dein Botnetz die Arbeit erledigt, ist ja nicht dein Strom.
    Es wird sicherlich bald groß in Mode kommen, nur eine Frage der Zeit.
    Bei gezielten Attacken wird das sowieso gemacht.

  8. Re: Verschlüsselter Spam?

    Autor: .02 Cents 22.06.16 - 12:54

    Was sich ändern würde wäre die Content-basierte Filterung von Mails mit bekannten Angriffs-Vektoren.

    Diese Dinge werden von den Selbsternannten IT Aposteln meist abgetan als "das macht doch keiner, und wenn, dann ist er selber Schuld".

    Ich habe in einem grossen IT Konzern gearbeitet, in dem regelmässig (mindetens 1 mal pro Jahr) IT Security Trainings durchgeführt wurden - ich war da eine Zeit lang mit der Auswertung beschäftigt. 1. Stufe: Online Training (Slide Show mit mehr oder weniger einfachem Frage & Antwort Teil). 2. Stufe: Spezifische Warnung vor Fishing Mails und wie man sie erkennen kann. 3. Stufe (ein paar Tage später) eine von der IT aufgesetzte Fishing Mail, die auf eine entsprechende Webseite weiter geleitet hat mit der Botschaft "Sie sind auf eine Fishing Mail reingefallen" (das war in der Schweiz, also kein deutsches Arbeitsrecht, aber auch so sind die Einzelergebnisse zumindest nicht in die Linie der "betroffenen" Mitarbeiter gegangen).

    Das erschreckende: fast 20% der Leute sind auf diese Mails so reingefallen, das sie auf irgenwas geklickt haben, das diese Webseite aufruft. 2 Jahre später hat sich an der Quote wenig geändert, auch bei den Leuten, die schon 2 Jahre früher "reingefallen" sind ...

    Anyways: Selbstschutz der Anwender hat immer Grenzen. Ein Filtern von Mails nach Content sollte aber auf der Email Client Seite genauso möglich sein, wie auf der Server Seite. Klar kostet das mehr Resourcen - aber eine Email bei Benutzer Interaktion erst zu entschlüsseln, dann zu scannen und je nach Content dann erst anzuzeigen oder zu löschen, sollte kein grundsätzliches Problem sein. Wenn das zu teuer / aufwändig ist, ist das mit der Verschlüsselung / Privacy auch nciht so wichtig ...l

  9. Re: Verschlüsselter Spam?

    Autor: FreiGeistler 22.06.16 - 13:20

    Na schön, halt ein Spam-Filter auf Client Seite. Aber warum gerade Outlook?

  10. Re: Verschlüsselter Spam?

    Autor: yoyoyo 22.06.16 - 14:53

    FreiGeistler schrieb:
    --------------------------------------------------------------------------------
    > Na schön, halt ein Spam-Filter auf Client Seite. Aber warum gerade Outlook?

    Noch nie in der Firma gearbeitet, in der auch nicht Nerds arbeiten?
    Mit kaum etwas kann man einfacher Panik verbreiten als mit dem Stichwort "Outlook abschaffen". Sollte man als Feueralarm nutzen. Excel erstzen ist easy dagegen.

  11. Re: Verschlüsselter Spam?

    Autor: GaliMali 22.06.16 - 14:53

    Schnarchnase schrieb:
    --------------------------------------------------------------------------------
    > Wie soll sich das rentieren? Das würde jede einzelne Spammail im Versand
    > deutlich teurer machen. Jede Mail müsste individuell verschlüsselt werden,
    > dafür muss man erst mal an die öffentlichen Schlüssel kommen und das wäre
    > bei einem Spamversand an millionen von E-Mail-Adressen überhaupt nicht
    > praktikabel.

    Das interessiert die Spamer weniger. Deren Botnetzwerke kümmern sich schon darum.

    Ich glaube schon, dass sie den Weg gehen werden, um noch vertrauensvoller zu wirken und jeden Wortfilter damit umgehen werden.

    Einfacher wäre sicher eine gute Signatur einzuführen, die nach drei Verstössen (die beim drücken auf SPAM ausgelöst werden) sofort Weltweit gesperrt wird. Ausserdem sollten E-Mails endlich auch mal genormte Kategorien-Tags im Header bekommen: Newsletter, Privat, Shopping, Versandinfo, Forum, Notfall, Kritisch usw. - Gerade wenn man auf Smartphones E-Mails empfängt sollte bei einem Kauf auch mitten in der Nacht piepen (vielleicht hat ja doch jemand das eBay Passwort raus gefunden) aber die Versandinformation wieder nicht.

    Das PGP&GPG in E-Mail-Programmen sollte auch so umgebaut werden, dass sie automatisch nach dem Empfang automatisch dekodiert werden sollten. Nur so wäre auch eine Worttextsuche in allen E-Mail möglich. Zumal manchmal auch Schlüssel verloren gehen und man nach 10 Jahren nicht mehr dekodieren kann.

  12. Re: Es ist ja auch nur eine Ausrede.

    Autor: chefin 22.06.16 - 16:23

    flasherle schrieb:
    --------------------------------------------------------------------------------
    > Jede große Firma hat PGP schlüssel öffentlich zum suchen, ihrer
    > Mitarbeiter.
    > und wie wird das geamcht? richtig, es gibt eine Zentrale stelle die die
    > Mail entschlüsselt und intern weiter verschickt, und anders rum, wenn man
    > den haken setzt wird der mailserver die mail vorm ausgang verschlüsseln...

    Und was unterscheidet das von der Transportverschlüsselung? Wenn ich zentrale Entschlüsselung habe, kann jeder Admin mitlesen. In Firmen mag das noch brauchbar sein, weil es intern übers Rechtesystem geregelt wird wer lesen darf und ein admin grundsätzlich in der Lage ist sich drüber weg zu setzen, wenn er will.

    Was du also vorschlägst entspricht DE-Mail und wie beschissen das ist, haben wir ja schon lange Jahre durchgekaut. Zumal ja nun der zentrale Firmenmailserver ein nettes Angriffsziel wäre um die Keys zu klauen. Gleich alle auf einmal, statt nur einen key von einem Infizierten Rechner.

  13. Re: Verschlüsselter Spam?

    Autor: FreiGeistler 22.06.16 - 16:43

    > Noch nie in der Firma gearbeitet, in der auch nicht Nerds arbeiten?
    Dass es auch andere Clients oder WebUI gibt, weiss der typische Arbeitnehmer nicht? o.O
    Zugegeben, wir haben in der Schule dazumals auch nur MS Word gelernt...

    > Mit kaum etwas kann man einfacher Panik verbreiten als mit dem Stichwort "Outlook abschaffen".
    Stillschweigend über die Betriebsferien Thunderbird einführen?

  14. Re: Verschlüsselter Spam?

    Autor: ikhaya 22.06.16 - 17:16

    Wenn man Dinge ändern will nachhaltig muss man die Leute einbeziehen, ihnen die Vorteile der neuen Lösung darlegen, Schulungen anbieten und so weiter.
    Einfach von oben was aufzwingen macht nur böses Blut.

  15. Re: Es ist ja auch nur eine Ausrede.

    Autor: nicoledos 23.06.16 - 08:18

    Die Verschlüsselung ist nur eine Komponente. Diese stellt sicher, dass keine unbefugten auf die Nachricht zugreifen können. Nicht weniger wichtig ist die Signierung, welche sicher stellt, dass dritte die Nachricht nicht manipulieren.

    Die Übertragung zwischen den Mailservern mag gesichert sein. Nur ist der Einfluss auf diese fremden Rechenzentren durch die eigene IT eher begrenzt. Der eigentliche Mailserver liegt doch nicht inhouse, sondern bei GMX, Hetzner oder irgend einem anderen Hoster, von dem der Inhouse-Server die Nachrichten abholt. Hier schützt die Verschlüsselung.

    Berechtigungen bei der Verschlüsselung intern ist nun mal ein kaum zu lösendes Problem. Persönliche Schlüssel wären ideal. Nur scheitert das Konzept, sobald nicht nur eine Person, sondern eine Abteilung für die Kommunikation zuständig ist. Auch scheitert das Prinzip sobald wichtige Mitarbeiter durch Urlaub, Krankheit oder Tod ausfallen. Schließlich gilt es zu entscheiden, ob die verschlüsselten Nachrichten als solches gespeichert und nur bei zugriff entschlüsselt werden oder ob die Daten immer entschlüsselt Archiviert werden.

    Es ist eben nicht so einfach zu sagen. Ab heute machen wir S/MIME bzw. PGP. Man muss sich dahinter ein Konzept stehen. Noch besser wird es, wenn einzelne Bereiche vom Support outoutgesourct werden und diese in das Konzept zu integrieren sind. Von den kaum zu integrierenden CRM-Tools gar nicht zu reden.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. (Junior) Mathematiker / Aktuar / Analyst (m/w/d) Actuarial Function Non-Life Calculation Unit
    Generali Deutschland AG, Köln
  2. Softwareentwickler Java oder Cobol (m/w/d)
    KDN.sozial, Paderborn
  3. IT-Spezialist / Schwerpunkt SharePoint Administration (m/w/d)
    über vietenplus, Großraum Osnabrück
  4. Business Intelligence Analyst (w/m/d)
    Horváth, Berlin, Düsseldorf, Frankfurt am Main, Hamburg, München, Stuttgart

Detailsuche


Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. (u. a. Ni no Kuni II: Revenant Kingdom für 7,99€, Rainbow Six Siege - Deluxe Edition für 9...
  2. 1,99€
  3. 14,99€
  4. 99,99€ (Bestpreis)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Ultra-Kurzdistanz-Beamer im Test: Wir missachten die Abstandsregel
Ultra-Kurzdistanz-Beamer im Test
Wir missachten die Abstandsregel

Unser Test von drei 4K-Laserprojektoren zeigt: Das Heimkino war selten so einfach aufzuwerten.
Ein Test von Martin Wolf

  1. Beamer PH510PG LGs mobiler Reiseprojektor projiziert auf 100 Zoll

Elektronische Patientenakte: Ganz oder gar nicht
Elektronische Patientenakte
Ganz oder gar nicht

Zwischen dem Bundesdatenschutzbeauftragten und den Krankenkassen bahnt sich ein Rechtsstreit über die elektronische Patientenakte an.
Von Christiane Schulzki-Haddouti

  1. DSGVO Fax auch in Hessen nicht mehr Datenschutzkonform
  2. Spiegel, Zeit, Heise Datenschutzverein geht gegen Pur-Abos vor
  3. Daten gegen Service EuGH soll über Facebooks Geschäftsmodell entscheiden

Zum Tod von Sir Clive Sinclair: Der ewige Optimist
Zum Tod von Sir Clive Sinclair
Der ewige Optimist

Mit Clive Sinclair ist einer der IT-Pioniere Europas gestorben. Der Brite war viel mehr als nur der Unternehmer, der mit den preiswerten ZX-Heimrechnern die Mikrocomputer-Revolution vorantrieb.
Ein Nachruf von Martin Wolf

  1. Molekulardynamik-Simulation Niemand faltet Proteine schneller als Anton
  2. Materialforschung Indische Forscher entwickeln selbstheilenden Kristall
  3. Future Insight Prize 2021 US-Forscher wollen Plastikmüll in Nahrungsmittel verwandeln