ComputerBase Menü
Aktuelles

G Data Antivirus prüft verschlüsselt übertagene Mails (?)

A

Auslaufmodell

Gast
Hallo,

ich habe mir die Testversion von G Data Antivirus heruntergeladen und beschäftige mich gerade damit.
Zurzeit verwende ich Avira Antivirus Pro, dessen Lizenz aber bald endet. Da ich aber nicht zufrieden mit dem Support bin, möchte ich mich also nach Alternativen umsehen. Dabei fällt mir bei G Data Antivirus auf, dass das Programm die Mails scannen kann, obwohl die doch eigentlich verschlüsselt übertragen werden? Wie kann das sein?
Bei Avira Internet Security Suite gab es mal in dessen Forum die Aussage, das der Avira-Scanner die Mails nur prüfen kann, wenn die Übertragung unverschlüsselt geschieht. Wenn Avira die verschlüsselt gesendeten Mails scannen können soll, dann müsste Avira Zugriff auf den Verkehr haben. Diese Möglichkeit gibt es aber nicht.

Wie kann dann G Data meine Mails scannen, wenn der Verkehr verschlüsselt ist? Zudem blinkt das G-Data Symbol unten im Tray ständig. Es steht selten still. Auch wenn ich die Mail-Prüfung deaktiviere, blinkt es und sagt mir "Mails werden geladen".

Ich verwende Windows 8.1 Update 1 und die Microsoft Mail-App. G-Data, Windows und die Mail-App sind aktuell. Die Mail-Konten verwenden eine SSL-Verbindung.

Kennt sich einer von euch mit G Data aus und kann mir die Thematik erklären? Das wäre super.
 
Auslaufmodell schrieb:
Die Mail-Konten verwenden eine SSL-Verbindung.
Zum Vergrößern anklicken....

Das hat mit Verschlüsselung nichts zu tun. Bei einer SSL Verschlüsselung im Mailverkehr wird idR nur der Login beim Mailserver verschlüsselt. Die Mails selbst werden nicht verschlüsselt übertragen.

Und selbst wenn sie verschlüsselt übertragen würden. Spätestens nach der Übertagung liegen sie im Klartext in Deinem Mailprogramm vor und das Antivirenprogramm kann sie im Klartext lesen.
 
Zuletzt bearbeitet:
So ohne weiteres kann GData das nicht, da im Gegensatz zu dem Zweifelshafen verhalten in dem Sempervideo-video GData das nicht von alleine macht, du musst manuell das entsprechende Zertifikat installieren und die Option aktivieren.

GData-E-Mail.jpg
 
Das Zertifikat musste ich nicht manuell installieren. Es scheint gleich installiert worden zu sein, also zusammen mit GData. Die Option war auch standardmäßig aktiviert.
Zum Video: Wenn ich mich bei zum Beispiel Google Mail anmelde, dann ist es validiert von Google Inc. Es scheint also bei G Data nicht so zu sein, wie im o.g. Video.

Trotzdem verstehe ich nicht, warum es einen extra "E-Mail-Scanner gibt, wenn dann der Klartext meiner Mail auf dem lokalen PC liegt. Da scannt ja eh der Echtzeit-Scanner...? Warum dann einen Mailscanner?
 
Damit Mails schon während des Übertragens gefiltert werden und gar nicht in Deinem Mailprogramm erscheinen. Wer es braucht. Ich halte es für unnötig.
 
der E-Mail-Scanner überprüft die Mail und leitet sie dann erst weiter zu deinem Programm.
SSL/TLS Scan kann aber nicht jedes Programm per Default, bei AVG müsste man es erst kompliziert für jedes Postfach einrichten.
 
Bei G Data kann man ein Zertifikat exportieren, welches man in den Einstellungen findet. Allerdings finde ich dieses Zertifikat bereits in Windows in unter Verwaltung der Benutzerzertifikate. Dort gibt es den Punkt Vertrauenswürdige Stammzertifikate mit dem Eintrag "G Data Mail Scanner Root".
Das scheint es zu sein.
Allerdings prüft ja auch der Mailserver bei den meisten Anbietern auf Viren.
 
Aber ist da die Privatsphäre noch gewährt, wenn sie den Inhalt einer Mail prüfen können? Weiss G Data, was in der Mail steht? Wozu ist das Zertifikat da? Das mit dem Prüfen von https-Verbindungen ist ja ähnlich: In den Einstellungen von G Data steht, das Port 443 geprüft wird. Aber bleiben meine Daten bei mir bzw läuft das alles auf meinen lokalen Rechner ab? Sorry, wenn ich nochmal nachhake, aber so richtig kenne ich mich in dieser Materie nicht aus.
 
Wenn GData versucht den Port 443 zu scannen wird im Normalfall nicht viel geschehen, ob schädlich oder nicht:
Durch die Verschlüsselung ist das für jeden der lauscht einfach eine sinnfreie Bit-folge (ist ja der Sinn der Verschlüsselung), auch GData kann da nicht mitlesen. Ist in dem Video auch anschaulich erklärt.
Anti-Viren Programm die nun ihr eigenes Zertifikat mitbringen spielen dabei einen Man-in-the-Middle "Angriff":
Das Zertifikat des AV Progi wird deinem Browser ungergeschoben und *alle* Verschlüsselten Verbindungen laufen über das AV als Proxy. Dabei wird einmal der Weg von deinem Browser zum AV verschlüsselt, mit dem Zertifikat des Av als Vertrauensbeweis, dort wird entschlüsselt, gescannt und dann zwischen Server und AV nochmal neu verschlüsselt, diesmal mit dem Serverzertifikat zur Identifizierung des Servers.

Die Probleme dabei:
1. Umsonst verschlüsselt man den Spaß nicht, da sollte eigentlich wirklich niemand mitlesen außer Client und Server.
2. Es gab auch schon Fälle, in denen das AV Zertifikatswarnungen ignoriert hat und munter alle Verbindungen akzeptiert. Auch die Warnungen sind nicht zum Spaß im Browser.
3. Nach dem Video oben habe ich mir auch mal genannte Software auf die VM gespielt und siehe da: Das AV kann zwar anständig verschlüsseln, unterstützt (wohl aus Kompaitibilitäsgründen) auch deutlich schlechtere als der IE unter Win 10 an sich, namentlich 3DES als Verschlüsselung, DSS fürs Zertifikat oder RC4 im 1. Handshake.
Dazu die Reihenfolge DHE> RSA > ECDHE - auch nicht optimal und führt bei "suboptimal" konfigurierten Servern entweder zu höherer Last oder schwächerer Verschlüsselung als mit dem IE ohne diesen Schrott.
4. Durch Servereinstellungen wie das Keypinning (oder war das eine andere Einstellung?) soll ein erkannt werden, wenn sich das Zertifikat ändert. Nach Installation des AVs können deswegen einige Seiten eventuell mit Hinweis auf ein geädert, dh evtl gefälschtes Zertifikat nicht mehr aufgerufen werden.
 
Das bedeutet dann aber ja, dass das AV-Programm meine Mails lesen kann (und auch meine Eingaben bei https-Verbindungen), da es ein vertrauenswürdiges Zertifikat besitzt. Man kann dabei nur hoffen, dass es wirklich lokal bleibt, also das AV-Programm zwar den Inhalt kennt, aber es nicht weiter zu G Data geht. Richtig? So verstehe ich das Video...
 
Das verlinkte Video von MyLife #2 ist ja mal richtig gut! Es zeigt das AV Programme von div. Herstellern die Verschlüsselung umgehen und so einen Angiff erst ermöglichen.
Nicht nur Firewalls div. Hersteller sondern auch Av schaffen erst noch zusätzliche Sicherheitslücken. Gleich mal mit Defender/ MSE unter Win7 getestet und keine Validierung wurde ersetzt! Interessant ist auch zu sehen das nicht immer das ECDHE ( was laut Video besser ist als RSA) genommen wurde sondern auch das RSA mit AES 256bit Verschlüsselung ( Bank austria).
Ob das nun besser oder gleich gut ist kann ich nicht beurteilen.Verschlüsselung.pngVerschlüsselung2.png
Ergänzung ()

Auslaufmodell schrieb:
Man kann dabei nur hoffen, dass es wirklich lokal bleibt, also das AV-Programm zwar den Inhalt kennt, aber es nicht weiter zu G Data geht. Richtig? So verstehe ich das Video...
Zum Vergrößern anklicken....

Nicht ganz, es macht eine Art von Angriff erst möglich. Z.B. du machst Online Banking und da das super tolle AV die Verschlüsselung verändert kann jemand deine Daten abgreifen.
Auch egal, Hauptsache es schneidet bei diversen Tests mit Top Noten ab und ist tausendmal besser als das olle Defender /MSE.:):evillol:
 
Zuletzt bearbeitet:
Neronomicon schrieb:
... und da das super tolle AV die Verschlüsselung verändert kann jemand deine Daten abgreifen.
Zum Vergrößern anklicken....

Ja, aber doch nur, wenn schon lokal ein Virus auf dem Rechner ist. Oder meinst du zwischen AV und Server (also die durch das AV verschlüsselte Verbindung)?

Ergänzung:
Also bei eingeschaltetem Webschutz bei G Data sieht es bei mir genau so aus, wie auf deinen sechs Bildschirmfotos aus Firefox. Es sieht aber auch mit eingeschaltetem Webschutz so aus. Macht keinen Unterschied.... Also gibt das AV das Zertifikat 1:1 weiter?
 
Zuletzt bearbeitet von einem Moderator:
Am Schluss im Video wurde gesagt das man nur das AV Programm angreifen muss. Wie es bei GData aussieht weiß ich nicht. Kann ja sein dass das schon immer in Ordnung war oder gefixt wurde.
Er spicht ja von Bitdefender, Avast und sonstige, weiß nicht mehr genau welche er genannt hat.

"Also gibt das AV das Zertifikat 1:1 weiter?"

Dann ist es doch in Ordnung. Du sprichst von 6 Screens. Ich habe noch Google hinzugefügt. Schau mal nach ob es bei dir auch so aussieht.
 
Also ich kann da keinen Unterschied feststellen. Bei sieht alles so aus, wie oben auf den Bildschirmfotos.
Schade, dass das Thema so "verheimlicht" wird von den AV-Programm-Herstellern.

Ergänzung:
Hier mal ein Foto aus dem Einstellungen von G Data Antivirus:

Bildschfoto_GData_EinstellungenWeb.jpg

Interessant ist, dass bei mir die Ports 80 und 443 eingetragen waren, als ich das Ding vor ein paar Tagen installiert habe. Klicke ich auf "Standard", wird nur noch 80 eingetragen. Seltsam.
80 sind die unverschlüsselten Verbindungen und
443 sind die verschlüsselten Verbindungen, oder?
 
Zuletzt bearbeitet von einem Moderator:
Ich glaube, dass GData cert gilt nur für die Mail-Prüfung, verschlüsselten http-Inhalt kann GData dann nicht scannen.
Insbesondere, da ich die Einstellungen, die ich an den CipherSuits im Firefox auch von außen erfassen kann wird da nicht da zwischen sein ;)
Und ja, normalerweise ist Port 80 für http und 443 für https, es gibt jedoch auch nicht Standard Möglichkeiten, dafür wohl die Möglichkeit beim GData das zu verändern.
Denn würden sich alle an die Standards halten wäre es schön und gut, aber ich kann ganz schnell Server finden da möchte man den Admin einmal mitten durch den Server schieben :D
 
Der-Orden-Xar schrieb:
Insbesondere, da ich die Einstellungen, die ich an den CipherSuits im Firefox auch von außen erfassen kann wird da nicht da zwischen sein ;)
Zum Vergrößern anklicken....

Was meinst du damit? Ist für das Scannen von verschlüsselten Verbindungen im Browser kein Zertifikat notwendig?
 
Doch ist es, nur tut GData das anscheinend nicht, ohne den "Trick" mit dem Zertifikat sieht ein AV nur den verschlüsselten Datenstrom und kann da genau 0 rauslesen (wie es sein soll)
Was ich speziell mit dem Zitierten meine:

Ich habe mir alle möglichen CipherSuits auslesen lassen, die der Browser unterstützt: via SSLLabs.
Damit konnte ich schön sehen, wie der Programm im Video auf die Verschlüsselung wirkt: Es bringt eigene, z.T unsicher(er) CipherSuits mit und hat eine gänzlich andere Prioritätenr, als IE, Firefox oder Chrome.
Wenn ich jedoch am Firefox auf meinen Hauptsystemen rumspiel, werden die Änderungen sichtbar UND es sieht auf beiden System gleich aus, obwohl nur eins über GData verfügt.
Da ich kaum glaube, dass GData sich aus dem Browser raus sucht (und dann auch noch für jeden einzeln), was erlaubt ist und was nicht heißt das wohl, dass der da nicht zwischen funkt.
 
Hm ok. Das ist mir als Laie alles zu kompliziert. Ich war nur etwas verunsichert, was die Privatsphäre angeht. Denn ich möchte nicht, dass das AV die gesicherten Verbindungen aufschlüsselt und scannt.
Trotzdem ist es ein interessantes Thema. Z.B. Kaspersky soll ja die SSLs scannen, wie berichtet wurde. G Gata macht es anscheinend nicht. Und wenn, könnte man es sicher abstellen (sollten der Hersteller das irgendwann mal als "Feature" hinzufügen).
Und das Scannen von Mails im Mailclienten sehe ich auch etwas skeptisch. Es mag ja ein vertrtauenswürdiges Zertifikat geben. Allerdings werden viele Mails bereits serverseitig gefiltert. Bei mir kommen vielleicht zwei oder drei Mails im Jahr durch, die Phishing sind. Aber dazu gibt es ja auch noch den gesunden Menschenverstand.
Danke für die interessanten Antworten! Das war wirklich sehr hilfreich.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

L
Microsoft® Outlook für Mac - Mails aus Post Eingang verschieben
Antworten
1
Aufrufe
720
Brudertuck
B
MegaCayman
Alternativ Android MailAPP für Archivierung ?
Antworten
4
Aufrufe
350
cumulonimbus8
cumulonimbus8
CB_usr90
Spam-Ordner seit heute bei Posteo verfügbar
Antworten
8
Aufrufe
1.608
D.S.i.u.S.
D.S.i.u.S.
M
Acronis 11.7 Server und E-Mail verschicken.
Antworten
17
Aufrufe
1.403
MichaelaRegena
M
W
SPF und GMail
Antworten
4
Aufrufe
1.954
Webbee56
W
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz