Ich habe im Internet was bestellt.
Und während des Prozesses bemerkt, dass eines meiner liebsten Werkzeuge, EMail, nicht mehr geeignet ist für bestimmte Aufgaben. Dazu gehört: Der Versand von Rechnungen, wie ihn einige Firmen praktizieren.
Um das mal an einem praktischen Beispiel fest zu machen:
Ich bestelle im Internet bei einer Firma, nennen wir sie X eine Ware. X liefert die Ware schnell und propmt, es ist nur keine Rechnung dabei. Naja, ich kenn das, dass Rechnungen manchmal per Post getrennt von der Ware eintreffen. Vor allem große Logistiker verschicken ja oft aus dezentralen Lagern. Also warten.
Es kam aber keine Rechnung. Auch keine Mahnung.
Irgendwann fällt mir im Spamfilter eine Mail ins Auge „Letzte Mahnung“, Absender die Firma X. Der Inhalt der Mail im wesentlichen nur:
„Sie haben bisher nicht bezahlt. Bitte überweisen Sie bis am besten gestern. Für Details schauen Sie in das angehängte PDF.“
Nur und nur weil ich auf eine Rechnung von X gewartet habe, habe ich X angeschrieben (über die EMail-Adresse auf der Website, nicht via „Antworten an Absender“) ob die Mail authentisch ist. War sie wohl.
Es stellte sich raus, dass X alle Rechnungen und Mahnungen als unsignierte PDF-Anhänge von nicht personalisierten Mails versendet.
Wie soll jetzt jemand erkennen, ob es sich um eine Phishing-Mail oder eine echte Mail handelt? Bei Phishing-Mails bekomme ich inzwischen sogar welche die meinen Namen richtig in der Anrede haben. Und nur die Verknüpfung mehrerer Merkmale wie Kundennummer, Adresse, Name erhöhen überhaupt noch die Sicherheit – aber keineswegs auf ein erträgliches Maß.
Wirklich gute Anbieter schreiben mir nur, dass eine Online-Rechnung vorliegt und ich die in meinem Online-Account finde. Aber selbst das läßt sich fälschen und die Fälle der jüngeren Vergangenheit zeigen, dass es selbst erfahrenen Internettern schwer fällt, zu erkenne ob eine Mail authentisch ist oder nicht. Wer ist schon so paranoid wie ich und geht „per Hand“ auf die Website des Unternehmens, statt den personalisierten Link in der Mail anzuklicken? Eben…
Die Folge:
Für mich sind Firmen wie X keine möglichen Geschäftspartner, so lange sie ihre Rechnungen nur so verschicken. EMail ist an dieser Stelle kein Ersatz für Papierpost – egal wie ausgestaltet. Mit einer Ausnahme:
Es wäre problemlos möglich, Verfahren zur Authentifizierung einzubauen. Zum Beispiel ein beim Kauf angegebenes Kennwort, mit dem ich Mails „entschlüssel“. Einige privatärztliche Verrechnungsstellen machen so etwas ähnliches: Man muss mit ihnen eine Passphrase vereinbaren und kann seine Dokumente dann online nach Eingabe der selbigen einsehen.
Oder noch besser, digitale Signaturen, wie ich sie mit PGP schon vor huntert Jahren verwendet habe. Damit weiß ich dann ob der Absender echt, das Dokument unverändert und die EMail authentisch ist.
Der Aufwand für Unternehmen wäre geringfügig höher, aber in meinen Augen ist nur eine gute Signatur in einem Public-Key-Verfahren überhaupt noch „Garant“ dafür, dass eine Mail von X echt ist. Und genau hier verstehe ich nicht, warum sich da nix tut. Und nein, de-Mail ist hier keine Alternative, weil es mich in ein technisches Korsett zwängt, in das ich nicht will.
Auf der anderen Seite gibt es mit PGP nur einen defacto, aber keinen Industrie-Standard.
Dumme Sache das. In der Folge wird mein Spamfilter vor unsignierten Anhängen von bekannten Absendern weiter warnen und Mails mit unsignierten Anhängen von unbekannten Absendern kommentarlos verwerfen. Und ich mit X keine Geschäfte mehr machen.
