Immer mal wieder erreichen mich E-Mails, die mit einem Disclaimer der folgenden Art ausgestattet sind:
Wenn man sowas bekommt, kann man davon ausgehen, daß der Absender das technische Drumherum von E-Mails überhaupt nicht durchdrungen hat. Nochmal zum mit-meißeln: Eine unverschlüsselte E-Mail ist nicht vertraulich. Sie ähnelt mehr einer Postkarte. Dazu kommt, daß jeder, der die Finger dran bekommt ein Kopie davon anfertigt, um die Inhalte später zu analysieren (Stichwort: Data-Mining). Geheimdienste, Regierungsstellen, organisierte Kriminalität, die Konkurrenz, alle. Derjenige, der eine derartige Signatur anheftet wiegt sich und den Adressaten in nicht-vorhandener Sicherheit. Dabei existieren komfortable Verschlüsselungsmethoden, die so einen Unfug überflüssig machen, z.B. GnuPG.
lustig ist auch diese nicht unuebliche reihenfolge der anweisungen erst die nachrichten zu loeschen und dann soll sich der geneigte loescher dran erinnern an wen er ne information ueber den bullshit schicken soll … und ja vielleicht noch headerinformation zum debugging … is ja toll geloescht.
in vielen faellen heisst geloescht ja auch nicht unbedingt gleich dass die emails weg ist sondern nur dass sie aus bestimmten ordnern einer clientinstallation verschwunden ist. demgegenueber stehen email archivierungssysteme wie sie zum beispiel banken einsetzen um ihrer gesetzlichen verpflichtung zur unabaenderlichen dauerhaften speicherung der firmenkommunikation (gibts uebrigens auch fuer telefonate … big brother shcneidet mit) nachzukommen.
das heisst der unfaehige absender, der zu bloed ist seine emailserver ordentlich zu konfigurieren, buerdet dann auch noch den ungefragten empfaengern admnistrativen aufwand auf, die selbst erzeugte unordnung aufzuraeumen, respektive die vor ort eventuell geltenden rechtlichen gepflogenheiten zu brechen um die eigene dummheit zu kompensieren.
meines erachtens sind diese discaimer also rein rechtlich weder haltbar noch einklagbar und damit auch den strom nicht wert den der pc gebraucht hat als irgendwer den disclaimer geschrieben hat.
voellig davon abgesehen, das jeder dem was an privatheit der kommunikation liegt vielleicht ein public key verfahren einsetzen sollte. andererseits wollen ja genau die authoritaeten die gerne mitlesen (NSA,BND,BKA,CIA,usw) unterbinden das kryptographie auf dauer legal beibt … insofern bitte keine kryptoverbote und keine softwarepatente so dass dem kleinen man diese moeglichkeit immer bleibt.
Ich denke mal es liegt auch einfach daran das sich noch nie jemand mit der Technik auseinandergesetzt hat. Es ist nicht so das die Leute nicht verstehen was dahinter steckt, sondern es gar nicht erst wissen (und auch nicht wirklich wissen wollen).
Aber du hast natürlich recht, PGP, GnuPG, etc. sind für vertrauliche Mails einfach wirkungsvoller als dieser Satz (der mich übrigens immer wieder zum Schmunzeln bringt).
Aber… wenn sich einer bei der Mailadresse vertut, was bringt dann PGP? Entweder die Mail wird nicht verschlüsselt, weil für die Adresse kein Schlüssel hinterlegt ist, oder es wird eben für den “falschen” Empfänger verschlüsselt. Der dann wieder eine Mail hat die er nicht haben sollte. Evtl. merkt es der Anwender eher, sofern er eine entsprechende Warnung von der Anwendung bekommt (bei fehlendem Schlüssel). Gegen vertippen gibts es IMHO keinen Schutz (außer vor dem Absenden nochmal genau hinsehen, aber das kost’ ja Zeit).
Anmerkung:
Dieser Kommentar und alle Anhänge sind mein Eigentum, oder auch nicht, und nur für die angegeben Personen oder Organisationen bestimmt. Wenn Sie diesen Kommentar irrtümlich erhalten, informieren Sie mit ziemlicher Sicherheit nicht den Absender und löschen diesen vermutlich auch nicht. Wenn Sie nicht der vorhergesehene Empfänger sind, dürfen Sie diesen KOmmentar oder die Anhänge werder ganz noch teilweise verwenden, es sei den Ihnen oder Ihrer Organisation enstehen dadurch monetäre oder wettbewerbliche Vorteile. In diesem Fall leiten Sie den Kommentar sicherlich unverzüglich an die notwendigen Stellen weiter.
Für Thunderbird gibt es ein PGP Plugin, das ordnet die Schlüssel deinen Adreßbucheinträgen zu. Du verschlüsselst also nicht mit dem verkehrten Schlüssel. Das muß natürlich einigermaßen anwenderfreundlich sein. Man braucht auch eine halbwegs ordentliche Schlüsselstärke, damit wenigstens ein gewisser Sicherheitseffekt eintritt.
Ich glaube, daß verschlüsselte Mails derzeit noch so selten sind, daß sie das ganz besondere Interesse der Dataminer hervorrufen (muß ja was interessantes drinstecken, wenn man nicht dran kann). Aber was es andrerseits bedeutet, daß Dritte z.B. die gesamten Geschäftsbeziehungen einer Firma allein durch E-Mail Verläufe rekonstruieren können erscheint es mir als das kleinere Übel.
ps. Computer aus, du hast Urlaub ;-)
alleine das erzeugen oder verwalten von schluesseln ist IMHO nicht der kritische punkt. eher das aktualisieren oder eben archivieren eigener secret keys, respektive deren migration falls man mal ne software deinstalliert oder nen rechner gleich ganz neu aufsetzt.
und wo speichert man secret keys sicher ? auf der eigenen platte ? bei all den boesen malwareverteilern in der welt.
fuer diesen zweck gibts ja smartcards und TPM chips … aber die geistern in der oeffentlichen wahrnehmung als tools zur ueberwachung durch die gegend welche den dataminern ihre arbeit sogar noch erleichtern. … ich frage mich wer diese geruechte staendig wieder neu auflegt.
jedenfalls gibts ja bei windows so etwas wie einen certificate store und mit PKCS#6-12 sogar standards mit welchen man solche schluessel-paare verpacken und archivieren (in zertifikaten verwursten usw.) kann.
ich sags nur ungern aber die kurse hierzu kommen auch sehr schlecht in der einschlaegigen industrie an.
> Für Thunderbird gibt es ein PGP Plugin, das ordnet die Schlüssel deinen
> Adreßbucheinträgen zu. Du verschlüsselst also nicht mit dem verkehrten
> Schlüssel.
Doch, tust du… meine Aussage war, das wenn sich der Anwender in der Adresse vertut, wird entweder nicht verschlüsselt (da kein Schlüssel definiert) oder es wird für den “falschen” Verschlüsselt. Thunderbird kann ja nicht riechen das du dich in der Mailadresse geirrt hast.
Ich denke das ist auch die Hauptaussage dieses so gerne an Emails angehängten Satzes. Wann bekommt man den eine Email die man nicht bekommen sollte? Ich denke in 99% der Fälle liegt es am Anwender, der versehentlich die falsche Adresse eingetippt hat. Das der Mailserver die Mail an den falschen schickt halte ich für sehr unwahrscheinlich.
Und eben in genau diesem Fall bringt dir auch eine Verschlüsselung nichts… der falsche Empfänger bekommt die Mail. Da Thunderbird automatisch den “richtigen” Schlüssel verwendet kann der ungewollte Empfänger der Mail diese auch öffnen.
Ich will damit nicht sagen das man keine Verschlüsselung einsetzen sollte. ich habe hier selber Thunderbird mit Enigmail installiert. Aber gegen Unachtsamkeit schützt das eben nicht.
Stimmt das hast du recht, bei falschem Adressat kann der Empfänger natürlich alles lesen. Gut, aber das ist natürlich derselbe Bug wie wenn der Kurier das Paket mit der Bombe falsch abliefert. Ich glaube aber, daß das in der Praxis nicht so oft passiert. Geschäftspartner drücken doch eher auf “Reply”. Eher geht es beim Weiterleiten z.B. in einen Verteiler anstatt an ein Ziel oder das ‘CC’ ist falsch. Dann ist man aber wieder auf der sicheren Seite (es sei denn, derjenigen verfügt auch über den privaten Schlüssel).
Ich bleibe aber dabei, daß es sich bei der Aussage um konzentrierten Unfug handelt ;-)