ComputerBase Menü
Aktuelles

Sind unverschlüsselte Mails wirklich unsicher?

A

Ask-me

Commander
Registriert
Apr. 2010
Beiträge
2.749
Hallo,
ich habe mal im Internet gelesen, dass unverschlüsselte Mails "unsicher" seien.

Da aber viele Behörden und Unternehmen personenbezogene Informationen, Anträge, Bescheide per E-Mail verschicken, erschien mir das Ganze doch etwas seltsam. In dem Fall das es tatsächlich unsicher sein sollte, würde ich gerne wissen, welche kostengünstige Alternativen es gebe (abgesehen von Briefen).

Viele Grüße
Ask-me
 
Die Frage ist: Was für Informationen verschickst du Privat? Willst du nur E-Mail Sicherheit? Moderne Mails kommunizieren über TLS/SSL. Wenn du sie speziell verschlüsselst, muss die gegenseite es auch entschlüsseln können. Nutzt du ne Firewall Zuhause, oder geht bei dir alles so durch? :D
 
Du musst unterscheiden:
Auch wenn die Mail selbst unverschlüsselt ist, der Transport (also Transfer von Mailserver zu Mailserver) ist sehr oft sicher verschlüsselt. Ist wie bei Website. Niemand würde auf die Idee kommen Text/Bilder auf Websites speziell zu verschlüsseln, aber eine Transportverschlüsslung (Alle Daten zwischen WebServer und dir werden verschlüsselt) ist trotzdem vorhanden und sinnvoll.

Echte Verschlüsslung benötigt eine entsprechende Technik wie PGP bei eMails wobei Empfänger und Sender Schlüssel austauschen müssen.
 
Die Übertragung von E-Mails war in dem Anfangstagen des Internet Prinzip bedingt unsicher, da bei der Übertragung keine Verschlüsselung im Protokoll war. Seit SSL und TLS ist das kein Problem mehr.

Allerdings, und das ist der Hauptgrund, warum die Aussage korrekt ist, jeder der die E-Mail erhalten hat, kann sie lesen. Auch wer Zugriff auf den Mailserver hat, kann diese dann lesen oder wenn ein falsche Empfänger eingegeben wurde.
Dagegen hilft nur eine individuelle Verschlüsselung jeder E-Mail mit S/Mime PGP etc.
Geht es um sehr geheime Informationen, ist das Pflicht.
 
Die Mails selber sind wie Postkarten, jeder kann sie lesen. Heute werden sie aber über das Internet per Transportverschlüsselung (HTTPS) gesichert. Die Mails liegen aber dann weiterhin unverschlüsselt auf den Mailservern und Administratoren könnten sie lesen. Auch Behörden hätten nach richterlichen Anordnung darauf Zugriff und könnten die Mails durchsuchen/lesen. Dagegen hilft dann nur E2E Verschlüsselung wie z.B. PGP oder S/MIME.
 
Unverschlüsselte Mails kannst du dir vorstellen wie Postkarten. Jeder, der sie unterwegs in die Hand bekommt, kann lesen, was drauf / drin steht.

Zwar verschlüsseln mittlerweile die meisten Anbieter die Mails zumindest auf dem Transport-Weg, aber auch darauf kannst du dich nicht verlassen. Mich erreichen auch heute noch Mails, die von Servern ohne TLS eingeliefert werden. Bzw. erreichen sie mich nicht, da mein Mail-Provider sie abweist und den Empfänger informiert.

Sensible Informationen sollten nur Ende-zu-Ende verschlüsselt versendet werden. Das erfordert allerdings Konfigurationsaufwand bei Sender und Empfänger. Das geht mit PGP oder S/MIME. Für letzteres muss ein kostenpflichtiges Zertifikat erworben werden, dafür ist es im Geschäftsumfeld weiter verbreitet.

Willst du, dass Unternehmen dir verschlüsselte Emails senden, solltest du ein S/MIME-Zertifikat besitzen, welches über DNS abrufbar ist. Bessere Mailprovider bieten diese Möglichkeit.

Allerdings kommt auch das selten vor. Ich habe in den letzten 10 Jahren lediglich zwei S/MIME verschlüsselte Mails erhalten. Eine von einer Krankenkasse, an den anderen Absender kann ich mich gerade nicht erinnern. Ich hatte ein Support-Ticket bei einem Unternehmen eröffnet und die Antwort war verschlüsselt, da das dort verwendete Tool offenbar meinen Key aus dem DNS geholt hat.
 
Was denkt du warum gängige Mail-Provider (GMail, GMX, Hotmail usw) kostenlos sind? Und selbst wenn du für einen Mail-Provider bezahlst kann auch nicht ausgeschlossen werden, dass die E-Mails nicht gelesen werden. (und das werden sie, immer). Da hilft nur PGP, doch das nutzt so gut wie niemand.
 
Den Einwand von TE finde ich ich interessant: [… Da aber viele Behörden und Unternehmen personenbezogene Informationen, Anträge, Bescheide per E-Mail verschicken, erschien mir das Ganze doch etwas seltsam. …]

Zählt das nicht bei diesem Thread?
Könnet ich jetzt nicht beantworten, trotz den guten Argumenten bezüglich PGP.
 
Ja, das ist war ja auch meine Überlegung. So unsicher können unverschlüsselte Mails ja nicht sein...
 
Helge01 schrieb:
Heute werden sie aber über das Internet per Transportverschlüsselung (HTTPS) gesichert.
Zum Vergrößern anklicken....
https? wohl kaum, eher ssl/tls. und ob die kommunikation des absenders zum mailserver oder der mailserver untereinander verschlüsselt ist, kann man als empfänger nicht herausfinden. daher sind mails, die nicht per smime/pgp verschlüsselt sind, als unverschlüsselt zu betrachten.
 
Ask-me schrieb:
ich habe mal im Internet gelesen, dass unverschlüsselte Mails "unsicher" seien.
Da aber viele Behörden und Unternehmen personenbezogene Informationen, Anträge, Bescheide per E-Mail verschicken,
Zum Vergrößern anklicken....

Wenn es schlaue Behörden und Unternehmen sind, machen sie das nicht, da sie keine Datenschutz relevanten Dinge per Mail verschicken. Aus dem Grund gibt es ja mittlerweile bei vielen Versicherungen oder Banken zB online Portale mit denen man dann in deren abgesicherten Bereich kommuniziert.

Die Frage die sich mir stellt, vor wem willst du dich denn schützen?
Hast du Angst, dass jemand fremdes die Mail von der Behöre oder Unternehmen mitliest? Oder dein Mail Provider?
Wie schon genannt, wurde hier von Transportverschlüsselung gesprochen, aber wenn dein Mailprovider Google, Hotmail, gmx, usw. heisst, dann lesen die alle fleissig die Inhalte der Mails und werden das irgendwie für sich nutzbar machen. Dann könntest du dich vielleicht schützen mit einem Mail Konto bei einem vertrauenswürdigen Provider wie posteo, protonmail oder mailbox.org, die sagen, dass sie nicht mitlesen
 
  • Gefällt mir
Reaktionen: chrigu
Also wir verschicken durchaus personenbezogene Daten, wie Eigentümerdaten von Flurstücken und ähnliches. Allerdings werden die Dateien mit einem individuellen Passwort versehen, und der Empfänger muss das dann telefonisch erfragen.
 
Ask-me schrieb:
So unsicher können unverschlüsselte Mails ja nicht sein...
Zum Vergrößern anklicken....
Sind sie aber, sie sind wie Postkarten.

Nicht zuletzt deswegen bieten viele Firmen für den den Upload sensibler Daten bzw. Anfragen Kontaktformulare mit SSL-Verschlüsselung über den Browser an, bzw. erzwingen diesen Kontaktweg. Das hat auch Sicherheitsgründe.
 
  • Gefällt mir
Reaktionen: chrigu
Art Vandelay schrieb:
Die Frage die sich mir stellt, vor wem willst du dich denn schützen?
Hast du Angst, dass jemand fremdes die Mail von der Behöre oder Unternehmen mitliest? Oder dein Mail Provider?
Zum Vergrößern anklicken....
Das ist die zentrale Frage meiner Meinung nach. Oft ist auf CB auch zu lesen, dass Menschen "sicher" sein möchten, was ich grundsätzlich nachvollziehen kann. Aber es macht Sinn sich mit IT zu beschäftigen und vorher ein Thread-Model (Gefahrenanalyse) zu erstellen bzw. sich konkret zu Fragen vor was möchte ich mich absichern, wie komme ich da hin, was sind potenzielle Gefahren etc.

In aller Regel ist PGP für Privatmails eher overkill, bei sensiblen Daten macht es aber durchaus Sinn sie zu verschlüsseln.

Nagelfahr schrieb:
Also wir verschicken durchaus personenbezogene Daten, wie Eigentümerdaten von Flurstücken und ähnliches. Allerdings werden die Dateien mit einem individuellen Passwort versehen, und der Empfänger muss das dann telefonisch erfragen.
Zum Vergrößern anklicken....
Ist das DSGVO konform? Kann ich mir irgendwie nicht vorstellen :confused_alt:

Viele Grüße
 
JX666 schrieb:
Ist das DSGVO konform? Kann ich mir irgendwie nicht vorstellen :confused_alt:
Zum Vergrößern anklicken....
Wenn in Dokumenten (Office, PDF, etc.) Passwörter zum Öffnen festgelegt werden, werden die Dokumente mit dem Passwort verschlüsselt (AES-128 oder AES-256). Es gibt also keinen anderen Weg ohne Passwort an den Inhalt der Dokumente zu kommen.

In der DSGVO und im Datenschutzgesetz gibt es keine generelle Pflicht zur verschlüsselten E-Mail-Kommunikation. Es wird allgemein nur empfohlen, wenn es um sensible oder persönliche Daten geht.
 
JX666 schrieb:
Ist das DSGVO konform? Kann ich mir irgendwie nicht vorstellen :confused_alt:

Viele Grüße
Zum Vergrößern anklicken....
Warum nicht? Es bekommt jeder Nutzer sein eigenes Passwort für den aktuellen Vorgang. Sollte er später wieder was bestellen, bekommt er ein neues. Wir vergeben jetzt auch nicht 123 als PW.
Oder meinst du dass generell beispielsweise Eigentümerdaten bekanntgegeben werden?
Da sind wir sehr wählerisch was rausgegangen wird. Wenn Hinz anruft bekommt er nicht die Auskunft zu irgendeinen beliebigen Flurstück. Er muss schon berechtigtes Interresse nachweisen. Da gibt es einen klar abgesteckten Rahmen für. Reine Neugierde reicht da nicht.
Ergänzung ()

PC295 schrieb:
Wenn in Dokumenten (Office, PDF, etc.) Passwörter zum Öffnen festgelegt werden, werden die Dokumente mit dem Passwort verschlüsselt (AES-128 oder AES-256). Es gibt also keinen anderen Weg ohne Passwort an den Inhalt der Dokumente zu kommen.

In der DSGVO und im Datenschutzgesetz gibt es keine generelle Pflicht zur verschlüsselten E-Mail-Kommunikation. Es wird allgemein nur empfohlen, wenn es um sensible oder persönliche Daten geht.
Zum Vergrößern anklicken....
Genau so machen wir das auch. Dass Passwort muss telefonisch abgefagt werden. Da wird schon versucht das so sicher wie möglich zu gestalten. (mit vertretbaren Aufwand)
 
Ne sinnvolle Lösung ist das halt nicht, sondern nur ne Behelfs-Krücke. Asymmetrische Verschlüsselung zeichnet sich ja eben dadurch aus, dass man keinen weiteren Kanal benötigt, um ein gemeinsames Geheimnis auszutauschen.

Die Politik könnte das längst ändern. Z.B. könnte die Bundesdruckerei eine CA betreiben und für jeden deutschen Bürger kostenfrei S/MIME-Zertifikate bereitstellen. Wenn so verschlüsselte und signierte Mails dann für die Behördenkommunikation der Schriftform gleichgesetzt würden, ergäbe sich der Rest von selbst.

Stattdessen entwickelt man völlig an der Realität vorbei so Schwachsinns-Projekte wie DE-Mail oder die QES auf dem E-Perso.

Und deshalb schicken wir im Jahr 2023 noch passwortgeschützte Zip-Archive hin und her. Weil wir hier in Deutschland sind und die Digitalisierung 20 Jahre lang verpennt haben. Tja.
 
Ich sehe das anders. Das Problem sind zwei Standards zur E-Mailverschlüsselung, die zueinander inkompatibel sind und eine Usability aus der Hölle besitzen. Darum setzt sich E-Mailverschlüsselung nicht breit durch. Man hätte schon vor langer Zeit SMTP und POP3/IMAP4 wegwerfen und durch einen zeitgemäßen Standard inklusive Verschlüsselung ersetzen müssen.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

G
MS-SQL und Exchange Server
2
Antworten
26
Aufrufe
5.264
YforU
YforU
S
Leserartikel Dell Latitude E6400
2
Antworten
25
Aufrufe
33.772
Bueller
B
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz