Der Fall einer per E-Mail geschickten Privatkunden-Rechnung, die von Kriminellen manipuliert wurde, wanderte vor Gericht. Der Knackpunkt: die Verschlüsselung.
Was ein merkwürdiges Urteil. Es sind genau solche Urteile, die uns in der Digitalisierung wahnsinnig zurückwerfen, getroffen von anscheinend völlig unfähigen Richtern und anscheinend wurde auch kein Experte gefragt:
Doch die Rechnung wurde auf dem Weg zum Empfänger von Kriminellen manipuliert. Sie veränderten nicht nur die Bankverbindung, sondern auch die Farbgestaltung und weitere Details des Dokuments. Wie genau es dazu kommen konnte, dass den Auftraggeber eine manipulierte Rechnung erreichte, ließ sich laut Gericht nicht abschließend klären.
Das ist doch das Entscheidende. Der Fall klingt nämlich nicht so als ob jemand die TLS-Verschlüsselung beim Transport der Mails das Problem wäre, sondern so als ob irgendwer die Mailkonten gehackt hat. Klingt deutlich logischer, dass jemand z.B. im System der Firma hockt und dann ausgehende Rechnungen manipuliert. Auf jeden Fall ist es völlig absurd, dass das Urteil hier wild über E-Mail-Rechnungen urteilt ohne den Sachverhalt an sich aufzuklären.
Ansonsten:
Das Urteil spricht nur von “SMTP mit TLS” ohne irgendwie weitere Details zu ergründen
Eine Man-in-the-Middle-Attacke benötigt auch einen Man-in-the-Middle. Selbst wenn du TLS aufknacken kannst, kannst du noch lange nicht direkt Mails mitlesen, die Gmail an GMX schickt, weil das dann doch nicht über irgendwelche Infrastruktur läuft. Da wird ja größtenteils direkt gepeert.
Diese Attacke, dass Rechnungen ausgetauscht werden, ist anscheinend relativ selten. Dieser Fall war in 2023 und bislang sind mir noch keine Warnungen untergekommen, dass dies ein üblicher Attackvektor wäre. Es wäre aber arg unrealistisch, dass jemand sich einen hochprofitablen Scam ausdenkt und sich nur mit 15k € zufrieden gibt.
Von daher: Alles sehr merkwürdig. Jetzt werden aber zig Anwälte ihre SEO-optimierten Blogs anwerfen und ohne Sachverstand zum Thema bloggen. Und dann wird das in die Branchenzeitungen kommen und irgendwann ruft Firmenchef Horst-Günter die Gisela aus der Buchhaltung zu sich ins mittelständige Firmenbüro und erzählt, dass sie keine Rechnungen per Mail mehr verschicken darf und doch lieber wieder Faxen soll.
Ich glaube, dem Richter ist nicht klar, wie schwierig ein Man-in-the-Middle Angriff ist. Selbst wenn die Zertifikate nicht geprüft werden, müssen doch die Verbindungen angehalten, modifiziert und analysiert werden. Das alles muss auf den Routern von Netzwerkprovidern passieren - oder es müssen Kabel durchtrennt und mit aktivem Equipment neu verbunden werden.
Und vor allem: Die alternative Theorie, dass eines der Passwörter kompromittiert wurde, ist sicher 1000 mal wahrscheinlicher.
Die Fälle gibt es schon öfter mal. Bekannt ist mir vor allem die Masche eine Korrekturrechnung nach zuschieben. Da hat es dann eindeutig nichts mehr mit dem Transport zu tun. Hier ist wohl auch nicht, aber das wurde ja nich geklärt.
Tatsächliche Manipulation “in transfer” ist bei zwielichtigen VPNs und TOR-Exits öfter beobachtet. Da werden Bitcoinadressen und ähnliches auf Webseiten ausgetauscht. Manchmal auch die Werbung.
Korrekt wäre hier übrigens signierte Mails zu fordern statt E2E. Integrität und Authentizität sind hier die verletzten Schutzziele. Das Vertraulichkeit gar nicht so relevant ist, sagt das Gericht ja selbst.
Das ist doch das Entscheidende. Der Fall klingt nämlich nicht so als ob jemand die TLS-Verschlüsselung beim Transport der Mails das Problem wäre, sondern so als ob irgendwer die Mailkonten gehackt hat.
Ja, Du hast natürlich völlig Recht - eine MitM-Attacke ist hier sehr unwahrscheinlich.
Aber davon ab: welche TLS-Verbindung denn überhaupt? Wenn ich jemandem eine Email schicke, dann nimmt ja nicht mein Email-Client eine Verbindung mit dem Ziel-Server auf, sondern der redet mit meinem Email-Server. Da gibt es dann wenigstens hoffentlich eine TLS-Verbindung. Wie es von da aus weitergeht - keine Ahnung, keine Kontrolle. Wenn der Ziel-Server gar kein TLS kann, dann geht es halt unverschlüsselt rüber. Theoretisch über beliebig viele Hops, wenn da noch Relay-Server dazwischen sind. Von der einen Verbindung kann also noch nicht mal geredet werden.
Rechnungen per Mail verschicken finde ich trotzdem von vorne bis hinten wild. Da wandern täglich so viele PDFs auf diesem Weg durch die Welt, müllen Posteingänge zu (Speicherplatz) und wozu? Die sollen die Rechnung einfach selbst bei sich hosten und mir nur Bescheid geben wo ich die Details der Zahlung nachlesen kann.
Warum sollte das wild sein? Du versendest die Mail mit Standardsoftware. Die Rechnung ist dann im Posteingang des Kunden. Die Mailaddi hat er dir selbst angegeben. Nur er hat Zugriff. Wenn du Rechnungen selbst hostest, musst du dir Gedanken machen über so nicht-trivialen Krams wie “Useraccounts”, “Zugriffsschutz” und “Löschungsfristen” und darfst dich dann mit Kunden rumschlagen, die ihre Logins vergessen haben, die die Rechnungen vor der Löschungsfrist nicht heruntergeladen haben und am Ende … wenn Hacker die PDF im Anhang einer Mail verändern können, können sie dich auch auf ein gefälschtes Downloadportal leiten. Sicherheitsgewinn gleich null für riesigen Aufwand.
Du siehst das ganze aus Unternehmenssicht, ich sehe es aus Kundensicht. Ich habe keinen Bedarf an dutzenden Rechnungen pro Monat, die alle als PDFs daherkommen zwischen Newslettern und x anderen Mails.
Naja, ich hab auch überhaupt keine Lust mich dann monatlich mit irgendwelchen Zugangsdaten bei meinen dutzenden Lieferanten einzuloggen, um die Rechnungen herunterzuladen. Dann lasse ich lieber allen eCommerce-Krams in einen Unterordner im Postfach filtern und gut ist
Was ein merkwürdiges Urteil. Es sind genau solche Urteile, die uns in der Digitalisierung wahnsinnig zurückwerfen, getroffen von anscheinend völlig unfähigen Richtern und anscheinend wurde auch kein Experte gefragt:
Das ist doch das Entscheidende. Der Fall klingt nämlich nicht so als ob jemand die TLS-Verschlüsselung beim Transport der Mails das Problem wäre, sondern so als ob irgendwer die Mailkonten gehackt hat. Klingt deutlich logischer, dass jemand z.B. im System der Firma hockt und dann ausgehende Rechnungen manipuliert. Auf jeden Fall ist es völlig absurd, dass das Urteil hier wild über E-Mail-Rechnungen urteilt ohne den Sachverhalt an sich aufzuklären.
Ansonsten:
Von daher: Alles sehr merkwürdig. Jetzt werden aber zig Anwälte ihre SEO-optimierten Blogs anwerfen und ohne Sachverstand zum Thema bloggen. Und dann wird das in die Branchenzeitungen kommen und irgendwann ruft Firmenchef Horst-Günter die Gisela aus der Buchhaltung zu sich ins mittelständige Firmenbüro und erzählt, dass sie keine Rechnungen per Mail mehr verschicken darf und doch lieber wieder Faxen soll.
Ich glaube, dem Richter ist nicht klar, wie schwierig ein Man-in-the-Middle Angriff ist. Selbst wenn die Zertifikate nicht geprüft werden, müssen doch die Verbindungen angehalten, modifiziert und analysiert werden. Das alles muss auf den Routern von Netzwerkprovidern passieren - oder es müssen Kabel durchtrennt und mit aktivem Equipment neu verbunden werden.
Und vor allem: Die alternative Theorie, dass eines der Passwörter kompromittiert wurde, ist sicher 1000 mal wahrscheinlicher.
Die Fälle gibt es schon öfter mal. Bekannt ist mir vor allem die Masche eine Korrekturrechnung nach zuschieben. Da hat es dann eindeutig nichts mehr mit dem Transport zu tun. Hier ist wohl auch nicht, aber das wurde ja nich geklärt.
Tatsächliche Manipulation “in transfer” ist bei zwielichtigen VPNs und TOR-Exits öfter beobachtet. Da werden Bitcoinadressen und ähnliches auf Webseiten ausgetauscht. Manchmal auch die Werbung.
Korrekt wäre hier übrigens signierte Mails zu fordern statt E2E. Integrität und Authentizität sind hier die verletzten Schutzziele. Das Vertraulichkeit gar nicht so relevant ist, sagt das Gericht ja selbst.
Dann Postweg empfehlen…
Ja, Du hast natürlich völlig Recht - eine MitM-Attacke ist hier sehr unwahrscheinlich.
Aber davon ab: welche TLS-Verbindung denn überhaupt? Wenn ich jemandem eine Email schicke, dann nimmt ja nicht mein Email-Client eine Verbindung mit dem Ziel-Server auf, sondern der redet mit meinem Email-Server. Da gibt es dann wenigstens hoffentlich eine TLS-Verbindung. Wie es von da aus weitergeht - keine Ahnung, keine Kontrolle. Wenn der Ziel-Server gar kein TLS kann, dann geht es halt unverschlüsselt rüber. Theoretisch über beliebig viele Hops, wenn da noch Relay-Server dazwischen sind. Von der einen Verbindung kann also noch nicht mal geredet werden.
Rechnungen per Mail verschicken finde ich trotzdem von vorne bis hinten wild. Da wandern täglich so viele PDFs auf diesem Weg durch die Welt, müllen Posteingänge zu (Speicherplatz) und wozu? Die sollen die Rechnung einfach selbst bei sich hosten und mir nur Bescheid geben wo ich die Details der Zahlung nachlesen kann.
Warum sollte das wild sein? Du versendest die Mail mit Standardsoftware. Die Rechnung ist dann im Posteingang des Kunden. Die Mailaddi hat er dir selbst angegeben. Nur er hat Zugriff. Wenn du Rechnungen selbst hostest, musst du dir Gedanken machen über so nicht-trivialen Krams wie “Useraccounts”, “Zugriffsschutz” und “Löschungsfristen” und darfst dich dann mit Kunden rumschlagen, die ihre Logins vergessen haben, die die Rechnungen vor der Löschungsfrist nicht heruntergeladen haben und am Ende … wenn Hacker die PDF im Anhang einer Mail verändern können, können sie dich auch auf ein gefälschtes Downloadportal leiten. Sicherheitsgewinn gleich null für riesigen Aufwand.
Du siehst das ganze aus Unternehmenssicht, ich sehe es aus Kundensicht. Ich habe keinen Bedarf an dutzenden Rechnungen pro Monat, die alle als PDFs daherkommen zwischen Newslettern und x anderen Mails.
Naja, ich hab auch überhaupt keine Lust mich dann monatlich mit irgendwelchen Zugangsdaten bei meinen dutzenden Lieferanten einzuloggen, um die Rechnungen herunterzuladen. Dann lasse ich lieber allen eCommerce-Krams in einen Unterordner im Postfach filtern und gut ist