Der Fall einer per E-Mail geschickten Privatkunden-Rechnung, die von Kriminellen manipuliert wurde, wanderte vor Gericht. Der Knackpunkt: die Verschlüsselung.
Email ist, war und wird niemals ein sicheres Übertragungsmedium sein. Ich kann Mail anfangen und ändern, wenn ich beim Provider sitze, ich kann sie abfangen und ändern wenn ich nen anderen MX konfiguriere für dein Kleinunternehmen (weil ich irgendwann an Deine credentials gekommen bin für Deine DNS settings) usw usw.
Aus diesem Grund darf ich z. B. auch in meinem Job keine personenbezogenen und keine Kundendaten per Mail schicken, wenn die Mail nicht verschlüsselt ist.
Am Rande, weil jetzt jemand gesagt hat in einem der Kommentare - dann will der Firmenchef bestimmt wieder faxen - Nein, auch Fax ist kein gerichtssicheres Verfahren. Ausser, du kannst sicherstellen, dass am anderen Ende ein manipulationssicheres Gerät steht (und nicht z. B. ein Fax to Mail Gateway)
Email ist, war und wird niemals ein sicheres Übertragungsmedium sein.
Was denn dann? Einen Brief kann auch einfach jeder ausdrucken, unterschreiben und in die Post geben - da gibt es streng genommen auch keine Möglichkeit, die Authentizität zu prüfen. Wenn ein Angreifer die Information hat, dass ein Kunde oder eine Firma auf eine Rechnung wartet, und die Höhe kennt…
Technisch gesehen wäre das beste gewesen, die elektronische Rechnung digital zu signieren, aber wer welcher private Kunde weiss denn dann, wie er an das Zertifikat zur Überprüfung der Signatur kommt, oder wie das dann funktioniert?
War in den 70ern und 80ern ein erfolgreicher Scam: Todesanzeigen durchgehen und den Witwen Rechnungen für Pornos schicken. (auf den Namen des Verstorbenen)
Nicht zu hoch, damit die lieber aus Scham bezahlen.
Oder Briefe, die wie Rechnungen aussehen (Aber Aufträge für irgendwelche nichts bringende Scheisse sind, z. B. “Branchenbuch”) an Firmen schicken.
Tatsächlich eine Signatur, oder eben z. B. eine Rechnungseinsicht auf der Webseite des Anbieters. Oder zumindest ein PDF Passwort, das man sich auf anderem Wege abholen muss.
Wir haben ja in DE auch schon mal versucht “sichere Mail” zu etablieren (DE-Mail), da waren aber die Rahmenbedingungen echt so hirnrissig. (Keine Notification über klassische Mail, wenn ich mich recht entsinne, war ein DE Mail Postfach aber genug für eine offizielle Zustellung - d. h. wenn Du da nicht jede Woche geguckt hast, hättest Du rechtliche Fristen verpassen können, weil ne Mail dahin ja zählt wie ein Einschreiben.)
Das Problem mit solchen Sachen wird (da die Echtzeitüberweisung häufiger wird) in Zukunft auch noch größer werden.
Vielleicht wäre ein Bankprodukt sinnvoll, mit dem ich an einen verifizierten Empfänger überwiesen kann. Wäre jedenfalls eine hilfreiches Ding. Ggf. gegen Gebühr, aber dann incl. Versicherung
Email ist, war und wird niemals ein sicheres Übertragungsmedium sein. Ich kann Mail anfangen und ändern, wenn ich beim Provider sitze, ich kann sie abfangen und ändern wenn ich nen anderen MX konfiguriere für dein Kleinunternehmen (weil ich irgendwann an Deine credentials gekommen bin für Deine DNS settings) usw usw.
Aus diesem Grund darf ich z. B. auch in meinem Job keine personenbezogenen und keine Kundendaten per Mail schicken, wenn die Mail nicht verschlüsselt ist.
Am Rande, weil jetzt jemand gesagt hat in einem der Kommentare - dann will der Firmenchef bestimmt wieder faxen - Nein, auch Fax ist kein gerichtssicheres Verfahren. Ausser, du kannst sicherstellen, dass am anderen Ende ein manipulationssicheres Gerät steht (und nicht z. B. ein Fax to Mail Gateway)
Was denn dann? Einen Brief kann auch einfach jeder ausdrucken, unterschreiben und in die Post geben - da gibt es streng genommen auch keine Möglichkeit, die Authentizität zu prüfen. Wenn ein Angreifer die Information hat, dass ein Kunde oder eine Firma auf eine Rechnung wartet, und die Höhe kennt…
Technisch gesehen wäre das beste gewesen, die elektronische Rechnung digital zu signieren, aber wer welcher private Kunde weiss denn dann, wie er an das Zertifikat zur Überprüfung der Signatur kommt, oder wie das dann funktioniert?
Ein wirklich problematisches Urteil m.M.n.
Ja, Briefe können auch abgefangen werden.
Reicht ja vielleicht schon, einen Tag schneller eine zu schicken, dann muss man nicht mal was manipulieren.
War in den 70ern und 80ern ein erfolgreicher Scam: Todesanzeigen durchgehen und den Witwen Rechnungen für Pornos schicken. (auf den Namen des Verstorbenen)
Nicht zu hoch, damit die lieber aus Scham bezahlen.
Oder Briefe, die wie Rechnungen aussehen (Aber Aufträge für irgendwelche nichts bringende Scheisse sind, z. B. “Branchenbuch”) an Firmen schicken.
Ja, wenn jemand die Infos hat, welche Rechnung erwartet wird.
Tatsächlich eine Signatur, oder eben z. B. eine Rechnungseinsicht auf der Webseite des Anbieters. Oder zumindest ein PDF Passwort, das man sich auf anderem Wege abholen muss.
Wir haben ja in DE auch schon mal versucht “sichere Mail” zu etablieren (DE-Mail), da waren aber die Rahmenbedingungen echt so hirnrissig. (Keine Notification über klassische Mail, wenn ich mich recht entsinne, war ein DE Mail Postfach aber genug für eine offizielle Zustellung - d. h. wenn Du da nicht jede Woche geguckt hast, hättest Du rechtliche Fristen verpassen können, weil ne Mail dahin ja zählt wie ein Einschreiben.)
Das Problem mit solchen Sachen wird (da die Echtzeitüberweisung häufiger wird) in Zukunft auch noch größer werden.
Vielleicht wäre ein Bankprodukt sinnvoll, mit dem ich an einen verifizierten Empfänger überwiesen kann. Wäre jedenfalls eine hilfreiches Ding. Ggf. gegen Gebühr, aber dann incl. Versicherung