Die nächste Panne bei der Bundeswehr im Einsatz: Am Wochenende fielen die Kryptosysteme aus und als Beschwichtigung wird einem mal wieder (mindestens) ein Bär aufgebunden. Weiterlesen
Tag Archiv für S/MIME
Bei Bundeswehr fielen Kryptosysteme aus
Gefälschte e-Mails rund um die SPD
Gleich zweimal hintereinander geriet die SPD wegen gefälschter e-Mails in die Schlagzeilen und beide Fälle zeigen mal wieder ihre Inkomptenz im Umgang damit. Weiterlesen
Niederländischer Inlandsgeheimdienst hört Rechtsanwälte ab
Stück für Stück vervollständigt sich das Bild der sich nicht an rechtstaatliche Prinzipien gebunden fühlenden Geheimdienste in den sogenannten westlichen Demokratien. Nun ist öffentlich geworden, daß der niederländische Inlandsgeheimdienst AIVD (Algemene Inlichtingen- en Veiligheidsdienst) gezielt Rechtsanwälte abhört.
Jeder Rechtsanwalt und andere (berufliche) Geheimnisträger die heute noch Dienste über das Internet offerieren ohne einen Schlüssel (PGP, S/MIME) für eine sichere Kommunikation anzubieten, handeln grob fahrlässig, gegen die Interessen ihres Mandanten und müssen sich dem Vorwurf des mutwilligen Mandantenverrats gefallen lassen, da sie eine grobe Verletzung ihrer Fürsorgepflicht begehen. Das rechtswidrige Handeln von Geheimdiensten gehört zwar ebenfalls unterbunden, was jedoch immer nur national erfolgt, kann aber nicht zur Entlastung der Berufsgeheimnistäger beitragen, da sie von der Abhörpraxis Kenntnis haben, jedoch keinen Versuch unternehmen die Kommunikation mit ihren Mandanen adäquat zu schützen.
Zum Thema hier im Blog:
PGP ist zu kompliziert
Auf Zeit Online gab’s neulich mal wieder einen Artikel zum Thema e-Mailverschlüsselung und über die wie Pilze aus dem Boden sprießenden e-Mailanbieter, die dem Benutzter e-Mailverschlüsselung nahebringen wollen. Nicht das ich an dieser Stelle den Neulingen per se unterstellen möchte, quasi Ausgründungen der Geheimdienstwelt zu sein, aber eine gewisse Vorsicht scheint angebracht zu sein, bevor man sich womöglich in falscher Sicherheit wiegt. Ich persönlich habe eine prinzipielle Abneigung gegen alle Verfahren, bei denen private Schlüssel, in welcher Form auch immer, beim Anbieter erzeugt werden und/oder dort verbleiben. Diese Sammlungen werden immer, auch wenn der Anbieter keine verdeckte Agenda hat, ein primäres Ziel von Angreifern (Justiz, Geheimdienste, Hacker) darstellen. Private Schlüssel gehören grundsätzlich nicht in fremde Hände — auch nicht in die Cloud —, sondern ausschließlich auf den eigenen Rechner. Will der Angreifer unter diesen Bedingungen an private Schlüssel kommen, ist er gezwungen jeden einzelnen Rechner zu infiltrieren, was derzeit ein pauschales Abgreifen im Vorübergehen bei Millionen von Nutzern wirkungsvoll aushebelt. Ist der Angreifer allerdings Willens und in der Lage den Rechner eines Benutzers zu infiltrieren, hat der Benutzer ein echtes Problem, denn an diesem Punkt verliert die Wichtigkeit zum Zugang des privaten Schlüssels enorm an Bedeutung, da der Angreifer Zugriff auf die Daten vor der Ver-, bzw. nach der Entschlüsselung hat. Auch eine verschlüsselte Festplatte ist dann nutzlos. Trotz aller Sammelwut der Geheimdienste und der sie beauftragenden Regierungen, würde eine individuelle Infiltration immer noch hochselektiv erfolgen. Derzeit werden die Daten nur deshalb in dem ungeheuren Ausmaß gesammelt, weil es eben sehr einfach ist und sich praktisch niemand dagegen zur Wehr setzt. Weiterlesen
Rechtsanwalt für Internetrecht klagt gegen BND, bietet aber keinen PGP-Schlüssel an
Wie der Spiegel berichtet (via CR-Online), klagt der Berliner Anwalt Niko Härting (Twitter: @nhaerting) vor dem Bundesverwaltungsgericht gegen eine Durchleuchtung von e-Mails aus dem Jahre 2010, da aus dem Jahresbericht (vgl. hier) des parlamentarischen Kontrollgremiums hervorging, daß der BND 37 Mio. e-Mails abgefangen, aber nur in 12 Fällen auf nachrichtendienstlich relevantes Material gestoßen sein soll. Soweit so gut, je mehr Klagen vor unterschiedlichen Gerichten gegen diese Schnüffelei vorliegen, desto größer ist auch die Wahrscheinlichkeit, daß Licht in die Sache kommt und Verantwortliche mindestens Rede und Antwort stehen müssen (man wird ja bescheiden, bei dieser Regierung).
Was den Fall aber interessant macht ist etwas Anderes und genau passend zu zwei anderen Artikeln zu Rechtsanwälten hier im Blog (hier und dort): Weiterlesen
Diese e-Mail enthält vertrauliche Informationen
Regelmäßig findet sich in der Signatur von e-Mails im Gechäftsverkehr mit Firmen, Freiberuflern — Rechtsanwälte eingeschlossen! — ein Passus, manchmal sogar in drei oder vier Sprachen, der mehr oder weniger höflich bis drohend darauf hinweist, daß die e-Mail und deren Anhänge vertrauliche und/oder rechtlich geschützte Informationen enthalte und daß man, sofern man nicht der intendierte Empfänger ist, sowohl den Absender informieren möge, als auch die Weitergabe der Informationen — unter Strafandrohung — zu unterbleiben habe. In etlichen Fällen enthalten diese E-Mails durchaus Informationen, die nicht für jedermann bestimmt sind. Offensichtlich ist man sich der Problematik bewusst, daß e-Mails technisch bedingt deutlich weniger vertraulich sind, als Briefe. Gemeinsam ist diesen e-Mails aber, jedenfalls bei dem was ich bisher gesehen habe, dass sie niemals irgendeinen Hinweis auf einen kryptografschen Schlüssel, sei es PGP oder S/MIME, enhalten. Man möchte zwar die Vertraulichkeit gewahrt wissen, ist aber selbst nicht bereit etwas dafür zu tun. Allein der Einsatz einer kryptografischen Signatur könnte die Irrläuferquote reduzieren, da sie bereits beim Absender mit hoher Wahrscheinlichkeit entdeckt werden würden, weil der Einsatz eines zwar zu der e-Mailadresse passenden Schlüssels, aber falschen Empfängers nicht vollständig vermeidbar wäre, aber einfache Tippfehler in den Mailadressen zu einer Rückmeldung führen würden. Weiterlesen
Die Verschlüsselungskompetenz der Abgeordneten
Die FAZ hat mal bei den Abgeordneten nachgefragt, wie sie’s mit der Verschlüsselung halten.[1, 2] Das Endergebnis ist ernüchternd, aber nicht überraschend. Etliche Aussagen von Abgeordneten sind bezeichnend dafür, daß sie das Problem überhaupt nicht verstanden haben. „Ich gehe davon aus, dass alle von meinem Bundestags-Account verschickten E-Mails geschützt sind.“ so Dagmar Enkelmann (Die Linke), wohingegen Enak Ferlemann (CDU) seine e-Mails, man höre und staune, „nach den Vorschriften des Bundesdatenschutzgesetzes“ verschlüsselt.[2] Inkompentenz an allen Ecken. Diese Leute werden nicht in der Lage sein, die NSA-Spionageaffäre aufzuklären, denn dazu muss man wenigstens näherungsweise wissen worum es geht. Schlimmer noch erscheint mir jedoch, daß Einige ihre Funktion als Abgeordnete nicht verstanden haben. Weiterlesen
Kundenverarsche „E-Mail made in Germany“
Die Deutsche Telekom und United Internet (Web.DE & GMX) haben heute ihr gemeinsames Projekt „E-Mail made in Germany“ vorgestellt, bei dem sie in Zukunft den Mailverkehr zwischen ihren Mail-Servern verschlüsselt übertragen werden, d.h. der Transportweg wird verschlüsselt, das ist etwas anderes als wenn die e-Mails verschlüsselt werden, denn am Ende des Weges wird wieder entschlüsselt. Es ist sicherlich nicht prinzipiell falsch was Deutsche Telekom und United Internet hier vorhaben, aber es geht im Grunde am eigentlichen Problem vorbei. Zunächst stammt der dazugehörige Standard STARTTLS (RFC 2595, RFC 3207) bereits von 1999 und 2002. Man muss sich also fragen, wieso die das erst jetzt implementieren und dies nicht schon vor zehn Jahren erfolgt ist. Bei den genannten Providern kann der Endkunde bereits seit Jahren seine e-Mails verschlüsselt über TLS (Nachfolger des veralteten SSL) einreichen, sofern er dies auf seinem Rechner in seinem e-Mailprogramm konfiguriert hat, d.h. die Technik ist bei den Unternehmen schon lange im Einsatz und wird jetzt nur auf den Austausch der E-Mails zwischen ihnen ausgedehnt. Weiterlesen
Sollte man seine e-Mails verschlüsseln? Ja, aber …
Seit langem wird aus aktuellem Anlass mal wieder darüber diskutiert, ob man seine e-Mails verschlüsseln sollte oder nicht. Ich persönlich würde sagen ja. Das gilt uneingeschränkt für Privatleute und Unternehmen. Wie die Projekte Prism und Tempora hoffentlich eindrucksvoll gezeigt haben, ist das Mitlesen der über TCP/IP-laufenden Kommunikation deutlich einfacher, als bei herkömmlichen Kommunikationsformen und -wegen, da dies vollautomatisch und vor allen Dingen spurlos erfolgt. Die Verschlüsselungssoftware (GnuPG, S/MIME) ist frei verfügbar und nach einmaliger Einrichtung auch problemlos nutzbar. Man sollte die Verschlüsselung als eine Art von Notwehr verstehen: Weiterlesen