DAT036 Ist E-Mail sicher genug?

Shownotes

Follow-up:

Mögliche Google Analytics-Alternativen: Matomo, fusedeck 🇨🇭, Friendly Analytics 🇨🇭
Google Analytics via Proxy-Server (CNIL)

Weblinks:

Neue Kreditkarte: Migros-Bank stösst treue Cumulus-Kunden vor den Kopf (Schweizer Radio und Fernsehen, SRF)
Diskussion über E-Mail ohne Ende-zu-Ende-Verschlüsselung (LinkedIn)
Pretty Good Privacy (PGP) (Englischsprachige Wikipedia)
GNU Privacy Guard (GnuPG oder GPG) (Englischsprachige Wikipedia)
S/MIME (Secure/Multipurpose Internet Mail Extensions) (Englischsprachige Wikipedia)
Popular encrypted email standards are unsafe: researchers (Reuters)
The PGP Problem (Latacora)
15 reasons not to start using PGP (Secushare)
Fernmeldegeheimnis (Deutschsprachige Wikipedia)
DAT032 Methode Rosenthal (Datenschutz Plaudereien)
Email-Verschlüsselung: Transportverschlüsselung, Inhaltsverschlüsselung und die DSGVO (Dr. DSGVO)

Über die Datenschutz Plaudereien

Rechtsanwalt Martin Steiger und Andreas Von Gunten, Co-Gründer von Datenschutzpartner, plaudern über Aktuelles, Bemerkenswertes und Persönliches rund um den Datenschutz.

Impressum: https://www.datenschutzpartner.ch/impressum/

Kommentare (1)

Ein Aargauer

‧

Hallo, sehr interessantes Thema! Allerdings ist der TLS-Schutz nur wirksam, wenn auch das Zertifikat des Servers validiert wird. Findet keine Validierung statt, ist der Schutzmechanismus praktisch unwirksam. Ein Angreifer kann dem Server einfach ein ungültiges oder abgelaufenes Zertifikat vorlegen, und der sendende Server sagt: "Gut, ich schicke dir die E-Mail TLS-verschlüsselt." Die E-Mail wird also verschlüsselt übertragen, aber an die falsche Person, den Angreifer. Der Klassiker: Fehlende Authentifizierung führt zu einem MITM-Angriff. Auch DNS-Antworten können gefälscht werden. Aus diesem Grund wurde DNSSEC erfunden. Leider setzt es nicht jeder ein. Selbst wenn alle DNSSEC verwenden würden, nützt es herzlich wenig, wenn die Gültigkeit nicht überprüft wird. Es gibt auch Probleme, wenn man seine eigenen Daten herunterladen will. Wenn ich eine Website besuche und meinen Datensatz anfordere, erhalte ich möglicherweise eine E-Mail mit hochsensiblen Daten über mich, und ich weiss nicht, über welchen dubiosen E-Mail-Anbieter diese E-Mail geleitet wird. Ich würde es vorziehen, wenn ich die Daten direkt von der Website herunterladen könnte. Selbst Bewerbungen werden heutzutage oft per E-Mail verschickt. Der gesamte Lebenslauf, die gesamte Persönlichkeit ist in dieser E-Mail enthalten, plus eine Kopie eines Zeugnisses. So etwas kann man sich nicht ausdenken. Wenn etwas in die falschen Hände gerät ... Bisher habe ich nur ein einziges Unternehmen gesehen, das einen öffentlichen PGP-Schlüssel auf seiner Website anbietet und Bewerbungen Ende-zu-Ende-verschlüsselt annimmt. Ich möchte auch keine E-Mail mit einer Krankheitsdiagnose erhalten. Wer weiss, wer meine E-Mail mit einer KI scannt, um seine Dienste zu "verbessern". Viele Unternehmen brechen TLS intern auf, um den Virenscanner "hineinschauenzulassen". Was der Virenscanner dann mit dem Inhalt macht und möglicherweise irgendwo hochlädt, bleibt verborgen. Mit viel Aufwand ist es meiner Meinung nach möglich, eine E-Mail ohne PGP (nur über TLS) sicher zu versenden. Dazu müssten allerdings beide bzw. alle beteiligten E-Mail-Anbieter mitspielen. Wenn nur einer von ihnen aus der Reihe tanzt, ist es vorbei mit dem sicheren Mailversand über TLS.

Shownotes

Kommentare (1)

Neuer Kommentar