Schlagwort: Signaturen

Ich wäre gerne Du: Warum man keiner E-Mail trauen sollte…

Gestern abend, eine beliebige Kneipe (ok, „Zur Kutsche“) in einer beliebigen Stadt (ok, Voerde). Ein paar Männer und Frauen diskutieren über alles mögliche – auch über Computer und Datensicherheit. Irgendwie kommt das Thema auf E-Mail.

„Ja, da muss man halt gucken, von wem die kommt!“

„Nein, das ist total egal, was da steht – das hilft Dir kein bisschen!“

„Doch, Du kannst ja nicht einfach meine Mail übernehmen!“

„Kann ich wohl!“

„Kannst Du nicht!“

„Kann ich sogar mit dem Handy!“

„Beweis!“

„Okay!“

Wer in dem Dialog ich war, ist selbsterklärend. Und so habe ich den Beweis angetreten, dass ich sogar mit einem iPhone ohne Jailbreak so tun kann, als wäre man jemand anderes. Dafür habe ich einfach mal den Namen meines Tischnachbarn genommen und eine E-Mail unter seinem Namen an einen weiteren Freund geschickt. Die Überraschung war besonders groß, weil man zunächst dachte, dass ich zwar den angezeigten Namen manipulieren kann, aber doch nicht die E-Mail-Adresse. Um so größer das Erstaunen, als beim Anklicken der E-Mail auch noch die „echte“ E-Mail-Adresse auftauchte.

Ich hatte etwas Mühe zu erklären, woran das lag. Denn die andere Seite war ja sehr überzeugt davon, dass das nicht sein kann. Nachvollziehbares Argument: Wenn man sich bei einem Dienstleister mit einer bereits vergebenen Adresse versucht anzumelden, geht das ja nicht.

Ich habe dann versucht zu erklären, dass das ein Problem ist, wenn man E-Mail eigentlich nur aus dem Browser kennt. Denn, vereinfacht gesagt, funktioniert E-Mail ja viel trivialer:

Um eine Mail zu versenden, melde ich mich an einem Postausgangsserver. Früher brauchte man dafür oftmals nicht einmal Zugangsdaten, heute habe ich i. d. R. einen Usernamen und ein Kennwort. Dann erwartet der Mailserver von mir eine gültige Adresse für eine Empfänger. Und das war es.

Ab da kann, stark vereinfacht, wirklich alles mögliche kommen. Es kommen dann zum Beispiel Informationen zum Absender, die ich völlig frei wählen kann. Es kommen auch noch so Meta-Informationen wie das Subjekt und dann der Text. Einzig wichtiges Merkmal ist eine Kombination von „Steuerzeichen“, die das Ende der Mail signalisieren.

E-Mail ist damit erstaunlich flexibel. Das ist auf der einen Seite gut, weil sich Mehrwertdienste (Spamfilter, spezielle „Dienste“ wie z. B. bei Outlook/Exchange) integrieren lassen, ohne das andere E-Mail-Programme aus dem Tritt kommen. Auf der anderen Seite öffnet das natürlich dem Betrug Tür und Tor.

Das man eine Mail von einer fremden Adresse bekommt, ist dabei gar nicht mal so unwahrscheinlich. Erst beim Klick auf Antworten sieht der Empfänger unter Umständen, dass die Mail an eine andere Adresse zurück geht (Reply to) als man erwarten würde. Aber dazu muss es gar nicht kommen.

Denn ich wette, wenn ich Euch eine E-Mail schicke und mich als Bekannter ausgebe und Euch bitte, auf diesen super coolen Link zu klicken, was macht Ihr dann? Zumal wenn auf den ersten Blick ja Name und angezeigte E-Mail-Adresse zu stimmen scheinen? Eben. Und schon habe ich u. U. die Kontrolle über Euren Rechner.

Am iPhone ist mir auch kein Weg bekannt, in die Kopfdaten einer E-Mail zu schauen. Denn hier wäre ersichtlich, wenn jemand zu offensichtlich mit dem Absender trickst. Am PC geht das, aber mal ehrlich: Wer von Euch weiß wo er an den Quelltext seiner Mail kommt? Eben!

Abhilfe schafft, wie sollte es anders sein, eine gültige Signatur z. B. mit PGP/GnuPG. Denn damit sehe ich sofort, ob eine Mail von dem Absender ist, der behauptet hat sie geschrieben zu haben. Und ob sie ggf. unterwegs verändert wurde, beispielsweise von einem verseuchten Router.

Es ist um so erschreckender, wie wenig Menschen heute über die Technik wissen, der sie so blind vertrauen. Es ist aber genau so erschreckend, wie stark nach wie vor die Hemmschwelle ist, sich mit Signaturen und Verschlüsselung vertraut zu machen. Ich gestehe, dass z. B. auf einem iOS-Gerät es nicht trivial ist, solche Technik zu installieren. Aber es geht und wenn es ein Mal gemacht ist, ist auch gut.

Und vor allem am PC ist es überhaupt kein nennenswerter Mehraufwand, seine Mails zu signieren und eingehende Mails zu prüfen. Denn nur dann kann man wirklich sicher sein, dass in der Mail steht, was in der Mail stehen soll.

Aber vielleicht ändern solche Präsentationen wie gestern ja was? Wenn man merkt, dass es nicht einmal spezielle „Hackertools“ braucht, um so hinter Licht geführt zu werden…

Signaturen in Emails von 1&1 – nur nicht für alle.

Ich habe in den letzten Tagen mal ein paar Unternehmen angeschrieben, mit denen ich in Geschäftsbeziehungen stehe. Darunter auch 1&1, bei denen ich meinen privaten DSL-Anschluß habe.

Und für diesen Anschluss bekomme ich jeden Monat eine Email, in deren Anhang sich eine Rechnung im PDF-Format befindet. Natürlich ist weder die Email, noch der Anhang signiert. Und von daher weiß ich nie, ob der Absender ist, wer er behauptet. Ob das PDF ist, was es behauptet. Und ob auch nichts schief gegangen ist auf dem Weg von der Rechnungserstellung bis zu meinem Posteingang.

Also war meine Frage an 1&1, warum man Mails nicht mit Signaturen versieht. Und hier die überraschende Antwort:

Beachten Sie bitte, das bei Geschäftskunden die Vertragsrechnung mit elektronischer Signatur erstellt und per E-Mail an die in den Benutzerdaten eingetragene E-Mail-Anschrift geschickt wird. Diese Rechnungsstellung ist voreingestellt.

Nur Firmenkunden sind vorsteuerabzugsberechtigt. Daher erhalten Privatkunden keine Rechnungen mit elektronischer Signatur.

Wir bedauern sehr, dass wir Ihnen aus den oben genannten Gründen keine Alternativlösung anbieten können.

Also… eine Signatur bekomme ich nicht, weil ich ein Privatkunde bin und (vor allem) weil ich nicht vorsteuerabzugsberechtigt bin. Was ist das denn bitte für eine Logik?

Abgesehen davon, dass ich sehr wohl auch ohne die Berechtigung zum Vorsteuerabzug meine Rechnungen dem Finanzamt mitteile, erschließt sich mir absolut nicht, wieso damit begründet wird, dass ich keine signierten Mails erhalte.

Mir ist klar, dass 1&1 bestimmten Kunden eines Signatur bieten muss (Signaturgesetz). Daraus ergibt sich aber doch gerade, dass die technische Infrastruktur doch bei dem Unternehmen vorhanden sein muss und ausweislich der Mail auch genutzt wird. Wieso es dann überhaupt keine Möglichkeit gibt, sie auch als Privatkunde nutzen zu können ist das wohlgehütete Geheimnis von 1&1

 

Ich bin ich?

Die heutige Aufregung rund um die Veröffentlichung von Snowden bezieht sich auf die „psychologische Kriegsführung“. Dabei geht es vor allem um die Schädigung der Online-Reputation von Menschen:

Um seine These zu untermauern, führt Greenwald Informationen aus neuen und bereits veröffentlichten Dokumenten zusammen. So gehe aus einer Folie hervor, dass der britische Geheimdienst GCHQ gezielt „Honey traps“ einsetzt, um jemanden zu bestimmten Seiten zu lotsen. Um eine „Person zu diskreditieren“ (so der Titel der Folie), könnte außerdem deren Foto bei einem sozialen Netzwerk geändert oder ein Blogeintrag veröffentlicht werden, der von einem angeblichen Opfer stammt. Falsche beziehungsweise rufschädigende Informationen könnten auch direkt an „Kollegen, Nachbarn, Freunde etc.“ gemailt werden. Solche und ähnliche Taktiken werden in internen Informationsdokumenten des Geheimdiensts aufgelistet.

Das ist an sich keine neue Erkenntnis. Gerne werden ja schon mal Twitter-Accounts gekapert oder jemand „hackt“ eines anderen Facebook-Account, um in dessen Namen zu schreien „I am gay!!!“

Aber auch in ernsteren Situationen ist das nicht so fern liegend, wie man vielleicht denken möchte. So kann man bei der aktuellen Diskussion über Erdogan auch durchaus die Frage stellen, welchen Wert  neutrale Anreden haben:

„Bist du zu Hause, Sohn?“, fragt die Stimme eines älteren Mannes auf Türkisch.

„Ja, Vater“, antwortet die jünger klingende Stimme.

Das Problem ist, dass unser gesamtes Kommunikationsnetz solchen Attacken fast schutzlos ausgeliefert ist. Es ist denkbar leicht, ein solches Telefonat zu fingieren und dann zu veröffentlichen. Noch leichter ist es Mails unter einem fremden Namen zu versenden und mit den richtigen Mitteln kann ich quasi alle Formen der Online-Kommunikation stören.

Gegenwehrmaßnahmen gibt es wenige und deren Effektivität ist nur durch den Aufwand begrenzt, den man zum Brechen braucht. So kann ich z. B. E-Mails mit PGP/GnuPG signieren. Das schützt aber nicht davor, dass jemand sich dann des private key bemächtigt und über einen Keylogger der Passphrase.

Allerdings ist offensichtlich, dass es schon ein ganz anderes Kaliber ist, ob ich nur den Absender einer Mail fälsche, oder dafür auch noch Dateien „klauen“ und Software-Trojaner oder fingierte Hardware brauche.

Bei anderen Medien sieht es noch düsterer aus: Wenn ich die Möglichkeit habe, mich in die Kommunikation mit Facebook und Co einzuklinken,  habe ich nahezu keine Hindernisse zu überwinden, um nicht nur authentisch aussehende Posts abzusetzen – sondern auch gleich den eigentlichen Nutzer wirksam auszusperren. Bin ich eine Behörde, ist mir das sogar noch leichter.

Und auch Blogs: Ich könnte hier unter jeden Beitrag beliebige Namen setzen. Dummerweise kann aber jemand der Zugriff auf meine WordPress-Datenbank bekommen kann – und das sind eben nicht nur böse Hacker – im Grunde hier alles machen, was er will. Von der Bild- über die Textmanipulation. Ein wirksamer Schutz dagegen ist nicht bekannt – klar, ich könnte alle Beiträge digital signieren, aber stellt Euch mal den Aufwand bei mir vor und dann bei Euch um die Signatur zu prüfen.

Wobei doch gerade das mal eine pfiffige Idee wäre: PGP/GnuPG-Integration in den WordPress, die dem Leser ermöglicht mit dem Public-Key gegenzuprüfen…

Aber ich schweife ab.

Mein Fazit aus den aktuellen Snwoden-Geschehnissen ist eine Umkehr meines Lebensmottos. Eigentlich fordere ich immer, Menschen offen gegenüber zu treten und nicht alle gleich finsterer Absichten zu verdächtigen. Denn, so meine Behauptung: Die Menschen sind im Grunde gut.

Leider scheinen aber die Systeme die wir geschaffen haben, von Grund auf böse. Auch wenn ihre Intention vielleicht mal gut war. Von daher kann man eigentlich nur sagen:

Seid wachsam. Seid kritisch.

Und vor allem: hinterfragt!

Hinterfragen kann man übrigens persönlich immer noch am Besten.