1. Cookies optimieren die Bereitstellung unserer Dienste. Mit der Nutzung unserer Dienste erklärst Du dich damit einverstanden, dass wir Cookies verwenden. Weitere Informationen
    Information ausblenden
  2. Willkommen im Forum von DIGITAL FERNSEHEN - dem führenden Portal für digitales Fernsehen, Medien und Entertainment. Wenn du hier neu bist, schau dich ruhig etwas um und melde dich an, um am Forengeschehen teilnehmen zu können.
    Information ausblenden

DE-Mail startet

Dieses Thema im Forum "Computer & Co." wurde erstellt von Worringer, 6. Juli 2010.

  1. Thunderball

    Thunderball Foren-Gott

    Registriert seit:
    21. April 2009
    Beiträge:
    14.263
    Zustimmungen:
    29
    Punkte für Erfolge:
    63
    Anzeige
    AW: DE-Mail startet

    Doch, sie helfen eben dadurch, dass der Empfänger mit verschickt wird.
    So wie z.B. die Kontonummer und der Betrag bei chiptan/smstan Verfahren der Banken.
    Bei DE-Mail kann es ja so sein.
    Der User redete aber über den ebrief der Post.

    Und da gibt es nunmal die HandyTan die durchaus vor Man in the Middle Attacken schützen kann. Genauso wie es auch die smsTAN der Banken tut.
    Na denn...

    Für mich macht es jedenfalls einen großen Unterschied.
    Ob ich nun Thunderbird starte und ne email verschicke ohne irgendwas unternommen zu haben.
    Oder ob ich per webmail mich einloggen muss, und vorm abschicken noch eine TAN eingeben muss, wo sogar eindeutig der Empfänger drin steht...

    Beim letzteren kann ich mir sicherer sein als beim ersteren.
    Beim letzteren müssen zwei Kanäle angegriffen und übernommen werden.
    Naja, leider gibt es beim SMIME Zertifikat durchaus auch Zertifierigungsstellen die nicht die Idendität eindeutig überprüfen, allein das ist schon ein Problem.
    Stimmt, beim Zertifikat kann ich mir da nicht sicher sein.

    Beim ebrief allerdings schon, es ist nämlich sehr unwahrscheinlich, dass 2 Kanäle angegriffen werden.

    Nicht ohne Grund gehört das smsTAN Verfahren der Banken, zu den sichersten Sicherungsverfahren, direkt nach der HBCI Chipkarte.

    Der einzige Schwachpunkt ist und wird immer bleiben, der Nutzer. Wenn dieser die Kontonummer bzw. den Empfänger nicht überprüft, schützt im Grunde gar nichts.
    Aber dann hat er meiner Meinung, auch selbst Schuld.

    Ich persönlich, sehe die Sicherheit beim ebrief jedenfalls als höher an, als beim normalen Brief.
     
    Zuletzt bearbeitet: 30. Juli 2010
  2. usul

    usul Institution

    Registriert seit:
    29. November 2004
    Beiträge:
    15.711
    Zustimmungen:
    0
    Punkte für Erfolge:
    46
    AW: DE-Mail startet

    DAS ist der Punkt, du kannst nicht EMail ohne irgendwas extra zu machen mit Web-Mail mit Extraufwand miteinander vergleichen. Um dich dann zu wundern das das System bei dem du Extraaufwand tätigst sicherer ist.
    Der Vergleich ist nur Fair wenn du beim EMail genau den selben Extraufwand tätigst.

    Das selbe Problem hast du aber auch bei der Web-Portal Lösung.
    Es gibt halt keine Sicherheit für Dummys, Soll ein Nutzer sowas SICHER Nutzen muss er die Grundlagen beherrschen, das ist auch bei DE Mail so, das Versprechen das man mit DE Mail sicher ist ohne irgendeinen Aufwand treiben zu müssen oder zu wissen was man tut ist ein Trugschluss.

    Willst du wirklich Sicherheit für jeden Durchschnittsnutzer dann brauchst du extra Hardware (also klassisch die SmartCard). Alles andere ist die Vorspielung falscher Sicherheit.

    Stimmt, wenns die Zertifizierungstelle verbockt (Sicherheitslücken oder Unfähigkeit) dann fällt das System, genau wie DE Mail, verbockt es da der Anbieter hat man genau die selben Probleme. Und ich habe jetzt keinen Grund anzunehmen das die DE Mail Anbieter qualifizierter sind als die großen Zertifizierungstellen die das schon 15 Jahre lang machen und sofort aus dem Geschäft sind wenn einmal ein Versagen bekannt wird.

    Abgesehen davon setzt die DE Mail Lösung genau wie SMIME auf die Zertifikate der Firmen die auch die SMIME Zertifikate ausgeben, denn ohne HTTPS braucht man bei DE Mail ganricht erst anfangen. Also muss man bei DE Mail auf die Fähigkeiten von zwei Firmen vertrauen und bei EMail nur auf die Fähigkeit einer diese beiden.

    cu
    usul
     
    Zuletzt bearbeitet: 30. Juli 2010
  3. Thunderball

    Thunderball Foren-Gott

    Registriert seit:
    21. April 2009
    Beiträge:
    14.263
    Zustimmungen:
    29
    Punkte für Erfolge:
    63
    AW: DE-Mail startet

    Das Problem ist aber nunmal, dass es bei der email eben NICHT den gesamten extra Aufwand gibt...

    Gut man könnte es vielleicht besser so vergleichen:

    Email Programm:

    Programm wird geöffnet, email geschrieben und auf absenden geklickt. Eventuell wird noch ein Zertifikat eingefügt, welches allerdings für den Empfänger nicht sofort als legitimiert erkennbar ist (ich musste bei meinen SMIME Zertifikat, bevor ich das von der sparkasse genutzt habe, jedenfalls nicht vorher die adresse bestätigen)...

    Sowohl beim zertifikat (wenn es nicht mithilfe einer Chipkarte funktioniert), als auch beim smtp server, können die Passwörter gespeichert werden.

    EBrief:

    Browser wird geöffnet, es wird sich mit gespeicherten Daten eingeloggt, "email geschrieben", auf absenden geklickt, HandyTAN wird mit empfänger ans Handy geschickt, empfänger wird überprüft, HandyTAN in den Browser eingegeben.
    Empfänger bekommt die email und weiß das der absender sich vorher legitimiert hat (anders kriegt man ja keine adresse ;) )...

    Hier kann lediglich das Passwort für den Login gespeichert werden, weil HandyTAN immer unterschiedlich.

    Nun kann jeder für sich entscheiden welches System zumindest in dem Punkt sicherer ist.
    Für mich ist letzteres allein durch die HandyTAN sicherer. Was nicht automatisch bedeutet, dass ersteres total unsicher ist. (Nur eben nicht unbedingt otto normalo tauglich).

    Aber man muss an die "DAUs" denken und denen kann man nicht unbedingt zumuten, jede der vielen Zertifikatsstellen zu überprüfen.


    Mal abgesehen, sollen DE-Mail und ebrief Ersatzmöglichkeiten für den konventionellen Brief sein und kein Ersatz für die email.

    Wenn man also de-mail/ebrief mit den normalen brief vergleicht, hat sich die Sicherheit durchaus schon erhöht, auch ohne HandyTAN.
    Wie gesagt, wenn jemand den EMpfänger in der SMS nicht überprüft, ist er für mich selbst Schuld.

    Bei solchen Leuten hilft auch keine extra Hardware.
    Wie gesagt, solange die Zertifierungsstellen, den Kunden nicht genau überprüfen, ist das ganze für mich wertlos.
    Wie schon gesagt, bei dem User ging es um den EBRIEF nicht um die DE-Mail.
    Und da gibt es z.B. keine Kommunikation zwischen mehreren Anbietern.

    Folglich ist das einzige wirkliche externe Problem das https Zertifikat...
    Aber auch mit einer fehlerhaften https Zertifzierung, greift immer noch die HandyTAN.


    Ich persönlich sehe jedenfalls immer noch nicht, die großen Sicherheitsprobleme.
    Bei der konventionellen email oder gar dem konventionellen brief, sehe ich immer noch mehr Probleme in Fragen der Sicherheit.
    Und letzteres ist sogar rechtssicherer, als DE-Mail oder EBrief je sein werden.
     
    Zuletzt bearbeitet: 30. Juli 2010
  4. FilmFan

    FilmFan Lexikon

    Registriert seit:
    4. April 2002
    Beiträge:
    28.438
    Zustimmungen:
    11.019
    Punkte für Erfolge:
    273
    Technisches Equipment:
    1x VU+ Solo²
    2x Dreambox DM8000
    2x Topfield SRP-2401CI+ mit HD+
    2x Topfield SRP-2410 mit AlphaCrypt
    3x Topfield CRP-2401CI+ mit AlphaCrypt
    1x Topfield TF5200PVRc (R.I.P.)
    2x Nokia d-Box 1 Kabel (R.I.P.)
    AW: DE-Mail startet

    Die Handy-TAN ist das einzige Sicherheitsmerkmal. Ansonsten ist ein Web-Interface unsicherer als SMTP, da letzteres einmal (richtig) konfiguriert wird. Beim Web-Interface darf ich mich bei der URL nicht vertippen (die kann man zwar auch speichern, aber ...) und auch nicht auf Links in Phishing-Mails klicken.
     
  5. Thunderball

    Thunderball Foren-Gott

    Registriert seit:
    21. April 2009
    Beiträge:
    14.263
    Zustimmungen:
    29
    Punkte für Erfolge:
    63
    AW: DE-Mail startet

    Linnks auf Phishing Emails sollte man generell nicht klicken, aber auch hier hilft die HandyTAN ;).

    Aber mal ehrlich, bevor sich ein Hacker/Cracker auf DE-Mail oder Ebrief versteift, was ja am Ende dann eher nur die Kommunikation zwischen einigen Firmen und Behörden bringt.
    Würde ich mich doch eher lieber denselben Aufwand an anderer Stelle betreiben, z.B. beim OnlineBanking.

    Da hat man doch am Ende mehr von.
     
  6. Gorcon

    Gorcon Kanzler Premium

    Registriert seit:
    15. Januar 2001
    Beiträge:
    156.256
    Zustimmungen:
    31.247
    Punkte für Erfolge:
    273
    Technisches Equipment:
    VU+ Uno 4K SE mit Neutrino HD + VTi
    AW: DE-Mail startet

    So kann man das auch nicht feststellen denn eine Handyabfrage macht es keinesfalls sicher.
     
  7. ach

    ach Guest

    AW: DE-Mail startet

    So ist es ...
     
  8. Thunderball

    Thunderball Foren-Gott

    Registriert seit:
    21. April 2009
    Beiträge:
    14.263
    Zustimmungen:
    29
    Punkte für Erfolge:
    63
    AW: DE-Mail startet

    Natürlich kann man das mit einem PostIdent Verfahren und einer HandyTAN besser erreichen, als mit der normalen Email.
    Und solange man sein Handy nicht rausrückt, macht es das ganze durchaus sicherer...
    Aber vielleicht sollte man das mal den Banken erzählen, dass das sichere smsTAN Verfahren doch im Grunde nutzlos ist. ;)

    Das Problem sind doch nicht diejenigen, die Zuhause in der eigenen Familie sind und Zugang zu Handy und PC haben.
    Das Problem sind RootKits, Trojaner und co.

    Und davor schützt eine HandyTAN durchaus.

    Und auch wenn usul und ach es anders sehen. Solche Leute die andere Hacken, wollen nicht ddie Kündigung den ASV oder ähnliches ändern, die wollen einen eigenen Vorteil haben und dazu müsste auch der Empfänger geändert werden, um z.B. eine Anmeldung eines Abos zu "erzwingen".

    Ist im Grunde wie beim OnlineBanking, da wollen die Hacker auch nicht den Betrag an die Tageszeitung ändern oder an den Vermieter, auch da wollen diejenigen einen eigenen Vorteil haben und sich z.B. selbst was überweisen.

    Beides wird bei richtiger Benutzung der smsTAN verhindert.
     
    Zuletzt bearbeitet: 30. Juli 2010
  9. ach

    ach Guest

    AW: DE-Mail startet

    Die Frage wäre noch, wie man, oder ob man eine ("neue") Mobilfunknummer auf der Portalseite ändern kann ...;)
     
    Zuletzt von einem Moderator bearbeitet: 30. Juli 2010
  10. usul

    usul Institution

    Registriert seit:
    29. November 2004
    Beiträge:
    15.711
    Zustimmungen:
    0
    Punkte für Erfolge:
    46
    AW: DE-Mail startet

    Nicht wenn der Man in the Middle die Bankseite spielt und den Auftrag auf diesem Wege verfälscht. Da helfen auch keine Handy TANs, da hilft nur ne HBCI Karte. Und genau das Problem hat auch DE Mail.

    Beides ist natürlich nur Möglich weil HTTPS in DAU Händen nicht sicher ist. Weil die meisten sind eh ständig im Admin Account unterwegs, und da reicht ein Programm (was übrigens von keinem Virenscanner erkannt wird) was nen passendes Stammzertifikat installiert (und den host Eintrag verändert) aus um den Zugriff auf die Bankseite/DE Mail Seite auf ne Fakeseite umzuleiten. Und dann ist die ganze Sicherheit für die Katz.

    Das Problem ist halt das die meisten keinen Plan von der Technik haben, und dann kommt DE Mail und erzählt das ist alles ganz sicher und das wird erstmal geglaubt. Sicher ist das aber nur wenn der Rechner sicher ist. Und da die meisten Rechner nicht sicher sind zeigt der Bedarf an Virenscannern, die bräuchte man nämlich nicht wenn die Rechner wirklich sicher wären, die braucht man nur wenn unsichere Programme und unwissende Nutzer am Werk sind. Aber Virenscanner helfen in diesem Fall ja nicht.

    cu
    usul
     
    Zuletzt bearbeitet: 30. Juli 2010