CCC: Germany-E-Mail versagt in der Praxis häufig

Anlässlich seines aktuellen Jahreskongresses hat der Chaos Computer Club (CCC) die Sicherheits-Versprechen mehrerer großer Provider einer Prüfung unterzogen und kam zu einem wenig erfreulichen Ergebnis. mehr... Logo, Ccc, Chaos Computer Club Bildquelle: Chaos Computer Club Logo, Ccc, Chaos Computer Club Logo, Ccc, Chaos Computer Club Chaos Computer Club

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
tl;dr: War doch hier eh jedem klar.
 
E-Mail? Ist out! Ich setze längst auf Der Postillon!
 
@Rumbalotte: Eine weise Entscheidung! Dem schließe ich mich an!
 
" für langjährige Bestandskunden jedoch werden weiterhin unverschlüsselte Übertragungen durchgeführt. Eine Warnung der Nutzer erfolgt dabei nicht." --- Das ist de Fakto FALSCH. Ich bin seit Jahren Bestandskunde bei 1&1 und habe entsprechende Warnhinweise und Informationen für das Einrichten einer verschlüsselten Email Kommunikation erhalten und auch problemlos umsetzen können!
 
@heidenf: Und ich seit Jahren bei GMX; und ich hab _nichts_ derartiges bekommen.
 
@greeny69: Ich auch, und ich hab eine Meldung bekommen. Ich meine aber nicht per Mail sondern per Meldung bei nem Login auf der Seite.
 
@RebelSoldier: Schräg... Hab 2 GMX-Accounts, aber bei bei beiden nichts bekommen, auch nicht beim Login. :(
 
@greeny69: Das Ganze ist jetzt auch schon aber ein paar Wochen her. Kann es leider nicht mehr genau sagen, da ich das nur kurz gesehen und nicht weiter beachtet hatte weil Thunderbird bereits SSL eingerichtet hatte.
 
@heidenf: Ein weiteres Problem ist ja noch, dass es auch noch optional ist. Das viel größere Problem ist, dass die E-Mail selbst ja eben nicht verschlüsselt ist. Die Leute müssten eben sowas wie PGP verwenden. Dazu hätte ja die De-Mail verwendet werden können. Wer sich den Vortrag angeschaut hat, hat auch gehört und gesehen, dass dies eine einmalige Möglichkeit gewesen wäre, den deutschen Bürgern eine wirklich sichere Kommunikationsmöglichkeit zu bieten (selbst für Laien). Diese Chance hat man total verspielt aufgrund von wirtschaftsinteressen und der Möglichkeit die Bürger weiter zu überwachen. Bei dem Talk wurde auch gesagt, dass kein Staat so doof ist seinen Bürgern eine abhörsichere Kommunikationsmöglichkeit zur Verfügung zu stellen. Die Leute müssen sich halt mal mit verschlüsselter Kommunikation beschäftigen oder eben Leute fragen, die sich damit auskennen. Nur eine sichere Verbindung beim Abruf von E-Mails bringt nur sehr wenig, wenn die E-Mail vorher unverschlüsselt durchs Netz geht.
 
@Seth6699: PGP ist meines Erachtens für den Otto-Normalverbraucher viel zu kompliziert. Wie du richtig erkannt hast, werden die wenigsten wahrscheinlich trotz guter Anleitung und Information selbst die "neu" eingeführte Verschlüsselung nicht konfigurieren, da sie nicht zwingend ist. Da erwartest du, dass sie mit PGP klarkommen? Das Problem liegt viel tiefer. Nämlich im komplett fehlenden Sicherheitsbewußtsein und dem blinden Vertrauen in die Technik bei den meisten Anwendern.
 
@heidenf: Viele etwas IT Wissen leider auch nicht als Allgemeinbildung an.
 
@Thaodan: Wie meinen?
 
@heidenf: Ich meine die Leute denken sie müssen nichts über EDV Wissen, weil es doch nicht wie Kochen oder Putzen lebenswichtig sei.
 
@heidenf: Na ich weiß nicht, die Einrichtung von PGP ist etwas fummelig, ja, aber die Verwendung? Vorallem wenn ich daran denke dass man das ja einfach mal in die Email-Clients integrieren könnte. (Desktopclients und Mailanbieter die nicht von den Mailinhalten ihrer Kunden leben) Wenn das einfach mal mit drinn wäre und ein kurzer Assistent einem das schnell aktiviert und dann automatisch die Schlüssel auf nen Keyserver schmeißt und dann eigenständig alles an andere auf den Servern vorhandenen Absendern verschlüsselt, dann ist das doch für niemandem ein Problem? Man müsste das nur endlich mal benutzerfreundlicher implementieren, damit die Leute keine Angst mehr davor haben. Edit: Quasi das einzige was der Benutzer dann so richtig mitbekommen würde ist die eingabe des Masterpasswortes beim Start des Mailprogramms.
 
@Alle: Ich empfinde das schon als benutzerfreundlich. Es wäre bei mir nur ein Klick um Mails zu verschlüsseln, und vielleicht 3 bis 4 Klicks um es das erste mal zu aktivieren, die Anleitung des Herstellers ist eigentlich auch ganz gut, wenn ich es denn in meinem eMail-Client verwenden würde. Würde? Ja, ich benutze es nicht. Mal abgesehen davon, dass es für mich nicht ganz umsonst ist, Newsletter, Forenbenachrichtigungen usw. wozu? Selbst eine Amazonbestellbestätigung, auf die ich sowieso keinen Einfluss habe, wäre für mich nicht schützenswert. Sollte ich dir wirklich eine verschlüsselte Mail schicken, hättest du noch das Problem, dass du mit meiner Verschlüsselung gar nichts anfangen könntest und ich mit deiner auch nichts.
(Ach ja, ich vergas zu erwähnen, ich verwende /würde verwenden MS-Outlook + S/Mine)
 
@Lastwebpage: Bei SMime musst du ein Zertifikat installieren, das deinen Public/Private-Key enthält. Meistens bekommst du das Zertifikat von deinem Provider und so hat er auch alles um deine Mails mitzulesen. Bei PGP generierst du dir dieses Schlüsselpaar selbst und schickt den Publickey jeden mit dem du kommunizieren willst, bzw. lädst Ihn auf einen Keyserver hoch. So kann man hier dann sicher sein das der Privatekey, der zum entschlüsseln der Nachrichten nötig ist nur mir bekannt ist.
 
@basti2k: Nee, nicht wirklich... die Liste vertrauenswürdiger "zertifikatsaussteller" (ich kenne jetzt den Fachbegriff nicht) ist bei MS sehr übersichtlich, 1&1 ist bestimmt nicht in der Liste. (Andere würde ich auch nicht installieren, wenn es denn geht. Mal abgesehen von Sicherheitswarnungen, ist dass dann ähnlich wie diese Unsitte mit https://meine-tolle-neue-Homepage.de mit einem Wald und Wieses SSL Zertifikat) Mir ist in groben Zügen schon klar wie das funktioniert, bloß ein PGP Thunderbird Nutzer wird an einen S/Mine Outlook Nutzer wohl keine verschlüsselte EMail schicken können und umgekehrt auch nicht.
 
@heidenf: Stichwort 1&1 (selber Kunde), ja, ich bin informiert wurde. Nur generell empfinde ich die Informationspolitk, was die öffentliche Kundenkommunikation angeht, also Kommentare zu 1&1 Blogs, Facebookseite und Kunden-Forum eher subopitmal, wenn da mal kritische Fragen kommen, heißt es entweder "Sie haben ein eMail bekommen", Fragen werden gar nicht beantwortet oder auf einmal ist die Frage weg.
 
Vielleicht sollten alle eMail mit "Diffie-Hellman" verschlüsselt werden!
Das mathematische Verfahren ist unter dem Namen Diffie-Hellman bekannt. Ob das Verfahren benutzt wird, lässt sich in den Eigenschaften einer SSL-Verbindung an Angaben erkennen, die das Schlüsselaustauschverfahren mit vorangestelltem "DHE_" oder "ECDHE_" bezeichnen, zum Beispiel "ECDHE_RSA". Doch leider benutzt kaum einer der populären Web-Dienste ein solches Verfahren. Google gehört bislang zu den Ausnahmen. Auch ein paar deutsche Mail-Anbieter wie GMX oder Web.de unterstützen PFS.

Mfg
 
@doll-by-doll: Ist doch Schwachsinn, denn Diffie-Hellman generiert bei jeder Session einen neuen Public/Private-Key, der am Ende der Session von beiden Teilnehmern vergessen wird. So fällt die Sicherheitslücke weg, sodass man wenn der Privatekey des Servers öffentlich wird, den Traffic nachträglich entschlüsseln kann. Wenn du das auf Mails umsetzen willst, musst du einfach für jede eMail einen neuen Public/Privatekey generieren. (Ich hoffe du erkennst, wie ineffizient/nutzlos das bei Mails ist)
Kommentar abgeben Netiquette beachten!