Schlagwort: eMail

Signaturen in Emails von 1&1 – nur nicht für alle.

Ich habe in den letzten Tagen mal ein paar Unternehmen angeschrieben, mit denen ich in Geschäftsbeziehungen stehe. Darunter auch 1&1, bei denen ich meinen privaten DSL-Anschluß habe.

Und für diesen Anschluss bekomme ich jeden Monat eine Email, in deren Anhang sich eine Rechnung im PDF-Format befindet. Natürlich ist weder die Email, noch der Anhang signiert. Und von daher weiß ich nie, ob der Absender ist, wer er behauptet. Ob das PDF ist, was es behauptet. Und ob auch nichts schief gegangen ist auf dem Weg von der Rechnungserstellung bis zu meinem Posteingang.

Also war meine Frage an 1&1, warum man Mails nicht mit Signaturen versieht. Und hier die überraschende Antwort:

Beachten Sie bitte, das bei Geschäftskunden die Vertragsrechnung mit elektronischer Signatur erstellt und per E-Mail an die in den Benutzerdaten eingetragene E-Mail-Anschrift geschickt wird. Diese Rechnungsstellung ist voreingestellt.

Nur Firmenkunden sind vorsteuerabzugsberechtigt. Daher erhalten Privatkunden keine Rechnungen mit elektronischer Signatur.

Wir bedauern sehr, dass wir Ihnen aus den oben genannten Gründen keine Alternativlösung anbieten können.

Also… eine Signatur bekomme ich nicht, weil ich ein Privatkunde bin und (vor allem) weil ich nicht vorsteuerabzugsberechtigt bin. Was ist das denn bitte für eine Logik?

Abgesehen davon, dass ich sehr wohl auch ohne die Berechtigung zum Vorsteuerabzug meine Rechnungen dem Finanzamt mitteile, erschließt sich mir absolut nicht, wieso damit begründet wird, dass ich keine signierten Mails erhalte.

Mir ist klar, dass 1&1 bestimmten Kunden eines Signatur bieten muss (Signaturgesetz). Daraus ergibt sich aber doch gerade, dass die technische Infrastruktur doch bei dem Unternehmen vorhanden sein muss und ausweislich der Mail auch genutzt wird. Wieso es dann überhaupt keine Möglichkeit gibt, sie auch als Privatkunde nutzen zu können ist das wohlgehütete Geheimnis von 1&1

 

Unbeobachtete Mails?

Nein.

Doch.

Ohhhh!

Google (und MSN und so weiter) scannen also Mails. Nach Kinderpornographie. Jemand überrascht? Wirklich? Wie doof seid Ihr denn!

Mal im Ernst, Google hat schon mal geäußert, man könne doch Mails scannen, um passgenau Werbung zu platzieren. Ihr erinnert Euch? Und darf ich Euch auch daran erinnern, dass eMails wie Postkarten sind, wenn Ihr sie nicht verschlüsselt?

Natürlich werden Mails durchsucht. Und wenn schon nach Pornos, dann bestimmt auch nach Terrorismus. Vielleicht nach Drogen. Oder Verkehrssündern. Macht Euch nix vor, die Büchse der Pandorra ist längst offen und nur Kleinkinder und Idioten dürfen glauben, es wäre nicht so.

Im konkreten Fall hält sich mein Bedauern in Grenzen: Wer illegales per Mail verteilt und zu doof ist, PGP zu nutzen, der hat es verdient erwischt zu werden – völlig losgelöst vom Vorwurf und Delikt. Aber es freut mich, dass jetzt langsam auch die Presse wach wird. Zwar stellt man nur zaghaft die Frage nach dem Datenschutz – denn wer würde schon mit dem Datenschutz den Missbrauch von Kindern verdecken wollen. Aber die Fragen kommen. Und vielleicht kommen irgendwann auch die richtigen Fragen, nämlich danach wie leicht man sich schützen kann.

Und das kann man. Zum Beispiel über den Einsatz von TrueCrypt + Thunderbird + Enigmail.

Und natürlich habt Ihr recht: in einer perfekten Welt sollte es nicht notwendig sein, Rechner und Mails zu verschlüsseln – vor allem dann nicht, wenn man sich nichts zu schulden kommen läßt. Wir leben aber nicht in einer perfekten, sondern ziemlich kaputten Welt, die einer Orwellschen Dystopie schon fast  zum Verwechseln ähnlich ist. Und in dieser seid Ihr gezwungen, die letzten privaten Freiräume zu verteidigen. Also macht das!

(Es ist nur eine Frage der Zeit, bis mit dem Terrorismus-Kinderporno-Argument auch Festplattenverschlüsselung und Mailverschlüsselung unter Strafe gestellt werden. Oder andere Länder dem Beispiel Englands folgen und Knast ermöglichen, wenn man sich weigert seine Kennwörter heraus zu geben. NOCH aber ist es nicht so weit. Also kriegt den Arsch hoch!)

Warum eMails eine Ende-zu-Ende-Verschlüsselung brauchen

Natürlich habt Ihr nix zu verbergen. Warum solltet Ihr Eure Mails verschlüsseln!

Oder habt Ihr doch was zu verbergen? Ich mein, wenn Ihr echt nix zu verbergen habt, dann schreibt doch mal Eure Zugangsdaten, ich schau dann mal nach. Ach doch nicht? Dachte ich mir.

Das es aber noch andere Gründe geben kann, seine Mails zu verschlüsseln, zeigt Microsoft. Ja, richtig gelesen, es geht ausnahmsweise mal nicht um die NSA. Denn auf Heise kann man lesen:

Microsoft hat auf der Suche nach einem Informationsleck die E-Mails eines Bloggers im hauseigenen Dienst Hotmail durchsucht.

Und machen wir uns nix vor: Jedes Unternehmen, auf dessen Servern unsere Mails liegen, kann das tun. Und jeder Admin der Server kann das machen, wenn er Lust darauf hat. Dagegen hilft auch nicht die aktuell von T-Online und United Internet beworbene „Verschlüsselung“ des Transportweges. Ist ja nett, wenn die Mails auf dem Weg zum Server verschlüsselt werden, prinzipbedingt liegen sie dort dann allerdings unverschlüsselt rum.

Um daher den Inhalt von Mails vor neugierigen Augen zu schützen, gibt es nur eine Möglichkeit: Verschlüsseln

Natürlich geht das mit minimalem Aufwand einher. Aber das ist nicht mehr Aufwand als die bewußte Entscheidung, einen Brief in einen Umschlag zu stecken und keine Postkarte zu versenden.

Also Leute, kriegt bitte ENDLICH Eure Ärsche hoch und fangt an, Mails mit PGP/GnuPG zu verschlüsseln! Ich helfe Euch auch gerne dabei!

 

BSI, was geht? – Follow Up

Vor ein paar Tagen hatte ich über diese merkwürdige Nummer gebloggt, die sich das BSI geleistet hat.

Dazu gibt es jetzt ein nettes „Follow Up“ bei Netzpolitik.org:

Mittlerweile hat sich herausgestellt, dass der Datenklau nicht erst seit Dezember bekannt war. Der Spiegel hat gestern bekannt gegeben, dass BKA und BSI bereits im August vor geknackten Konten gewarnt hatten. (…)

Konstantin von Notz sagte gestern dem Spiegel gegenüber, es stehe der Verdacht einer massiven Schutzpflichtverletzung im Raum, falls die Behörden wirklich seit August Bescheid gewusst hätten. Schutzpflichtverletzung ist ein sehr nüchterner Ausdruck für einen Vorfall, der illustriert, dass wir in Deutschland eine Zwei-Klassen-Gesellschaft haben, wenn es um Datenschutz und Privatsphäre geht.

Ich grabe mal ein bisschen weiter und stelle eine andere Frage:

Was ist denn, wenn das BKA oder andere diesen Schatz (erst einmal) für sich genutzt haben?

Natürlich kann man mittels Lawful Interception schon heute beliebige Mails  lesen und auf Wunsch (Richtervorbehalt?) gibt es vermutlich auch gleich eine Kopie des Postfachs.

Was aber, wenn jetzt dieser Datenstamm um den es da geht, erst einmal hinsichtlich der eigenen Interessen analysiert wurde? Wer garantiert dafür, dass nicht von staatlicher Stelle in welcher Form auch immer Unfug mit den Daten getrieben wurde?

Ich glaube, meine anfängliche Skepsis war mehr als berechtigt.

Und sie weicht langsam echter Beunruhigung.

 

EMails und eCommerce: So geht das nicht

Ich habe im Internet was bestellt.

Und während des Prozesses bemerkt, dass eines meiner liebsten Werkzeuge, EMail, nicht mehr geeignet ist für bestimmte Aufgaben. Dazu gehört: Der Versand von Rechnungen, wie ihn einige Firmen praktizieren.

Um das mal an einem praktischen Beispiel fest zu machen:

Ich bestelle im Internet bei einer Firma, nennen wir sie X eine Ware. X liefert die Ware schnell und propmt, es ist nur keine Rechnung dabei. Naja, ich kenn das, dass Rechnungen manchmal per Post getrennt von der Ware eintreffen. Vor allem große Logistiker verschicken ja oft aus dezentralen Lagern. Also warten.

Es kam aber keine Rechnung. Auch keine Mahnung.

Irgendwann fällt mir im Spamfilter eine Mail ins Auge „Letzte Mahnung“, Absender die Firma X. Der Inhalt der Mail im wesentlichen nur:

„Sie haben bisher nicht bezahlt. Bitte überweisen Sie bis am besten gestern. Für Details schauen Sie in das angehängte PDF.“

Nur und nur weil ich auf eine Rechnung von X gewartet habe, habe ich X angeschrieben (über die EMail-Adresse auf der Website, nicht via „Antworten an Absender“) ob die Mail authentisch ist. War sie wohl.

Es stellte sich raus, dass X alle Rechnungen und Mahnungen als unsignierte PDF-Anhänge von nicht personalisierten Mails versendet.

Wie soll jetzt jemand erkennen, ob es sich um eine Phishing-Mail oder eine echte Mail handelt? Bei Phishing-Mails bekomme ich inzwischen sogar welche die meinen Namen richtig in der Anrede haben. Und nur die Verknüpfung mehrerer Merkmale wie Kundennummer, Adresse, Name erhöhen überhaupt noch die Sicherheit – aber keineswegs auf ein erträgliches Maß.

Wirklich gute Anbieter schreiben mir nur, dass eine Online-Rechnung vorliegt und ich die in meinem Online-Account finde. Aber selbst das läßt sich fälschen und die Fälle der jüngeren Vergangenheit zeigen, dass es selbst erfahrenen Internettern schwer fällt, zu erkenne ob eine Mail authentisch ist oder nicht. Wer ist schon so paranoid wie ich und geht „per Hand“ auf die Website des Unternehmens, statt den personalisierten Link in der Mail anzuklicken? Eben…

Die Folge:

Für mich sind Firmen wie X keine möglichen Geschäftspartner, so lange sie ihre Rechnungen nur so verschicken. EMail ist an dieser Stelle kein Ersatz für Papierpost – egal wie ausgestaltet. Mit einer Ausnahme:

Es wäre problemlos möglich, Verfahren zur Authentifizierung einzubauen. Zum Beispiel ein beim Kauf angegebenes Kennwort, mit dem ich Mails „entschlüssel“. Einige privatärztliche Verrechnungsstellen machen so etwas ähnliches: Man muss mit ihnen eine Passphrase vereinbaren und kann seine Dokumente dann online nach Eingabe der selbigen einsehen.

Oder noch besser, digitale Signaturen, wie ich sie mit PGP schon vor huntert Jahren verwendet habe. Damit weiß ich dann ob der Absender echt, das Dokument unverändert und die EMail authentisch ist.

Der Aufwand für Unternehmen wäre geringfügig höher, aber in meinen Augen ist nur eine gute Signatur in einem Public-Key-Verfahren  überhaupt noch „Garant“ dafür, dass eine Mail von X echt ist. Und genau hier verstehe ich nicht, warum sich da nix tut. Und nein, de-Mail ist hier keine Alternative, weil es mich in ein technisches Korsett zwängt, in das ich nicht will.

Auf der anderen Seite gibt es mit PGP nur einen defacto, aber keinen Industrie-Standard.

Dumme Sache das. In der Folge wird mein Spamfilter vor unsignierten Anhängen von bekannten Absendern weiter warnen und Mails mit unsignierten Anhängen von unbekannten Absendern kommentarlos verwerfen. Und ich mit X keine Geschäfte mehr machen.