Du verwendest einen veralteten Browser. Es ist möglich, dass diese oder andere Websites nicht korrekt angezeigt werden. Du solltest ein Upgrade durchführen oder einen alternativen Browser verwenden.
Volksverschlüsselung wo fängt die geschäftliche Verwendung an ?
Also ... wenn du nicht gerade Olaf Scholz (oder Friedrich Merz) bist, dann wirst du daran auch nichts ändern können ... in Deutschland geben die Behörden bzw. die Politik vor, wie schnell (oder langsam ...) es in der Digitalisierung vorangeht, bzw. was sie akzeptieren möchten. Die technischen Möglichkeiten wären da.
(Ja ok, gesellschaftliche Akzeptanz gehört natürlich auch dazu, nicht jede Oma kann verschlüsselte E-Mails versenden.)
@CyborgBeta Wie schon gesagt mit kommt es nicht einmal auf das verschlüsseln an, es wäre schön wenn einige da mit gehen würde aber denke nicht. Nur bin ich eben auch froh das letztendlich keiner meiner Dienstleister sich über Änderungen durch Mail beschwert hat.
Auch meinen Antrag wurde von meiner Anwältin durch Mail akzeptiert, da eben so oder so das Schreiben über eine extra Schnittstelle von der Anwältin übertragen würde und somit die Unterschrift nicht mehr handschriftlich wäre. Ist aber auch ein Spiel mit dem Feuer, letztendlich liegt es an mir ob ich hier mit gehe oder eben drauf hinweise. Somit müsste ich aber dann mit der Reaktion leben keine Kulanz mehr zu erfahren und alles postalisch zu versenden was ich ungerne möchte. Ein digitales Postfach bei der Post kostet im die 15 Euro im Monat, das Zertifikat gerade einmal 39 Euro für ein Jahr.
Der Hinweis aber dann nur noch Unterlagen mit Signierung zu akzeptieren, würde bestimmt keine Reaktion auslösen das ganze postalisch zu versenden. Gerade dann wenn die Schreiben zusätzlich Class II signiert sind, das wird aber auslaufen es zeigt sich ob es dann Alternativen gibt. Wenn nicht ist die signierte Mail auch OK und es macht keinen Mehraufwand beim Dienstleister, da eben die meisten Mailanwendungen das Zertifikat bestätigen.
btw., wenn du deinen Mail-Server richtig konfiguriert hast, dann ist die Wahrscheinlichkeit ziemlich hoch, dass die E-Mail Transportverschlüsselung hat, d.h. nur der E-Mail Provider des Empfänger kann die Mail lesen, die wird nicht unverschlüsselt durchs Internet geschickt.
15€ im Monat, das sind die Kosten zu denen man als Privater eine recht ordentliche, virtuelle Maschine bei Hetzner bekommt inkl. Domain oder fertig 1-Clocklösungen mit >=100 Mailfächern und >=100GB Speicher.
Genauso beim Zertifikat, da bekommt man bei Lets Encrypt mittlerweile im Takt von einem Monat sein eigenen Schlüssel zertifiziert, kostenlos.
Es ist eines der größten Probleme, dass derart essentielle Infrastruktur für sichere und rechtssichere Datenübermittlung nicht als Infrastruktur gedacht wird sondern als Profitcenter als mehr oder weniger proprietäre Insellösungen. Digitale Prozesse sollen effizienter, effektiver und günstiger sein und solang eine händige Unterschrift schneller und günstiger ist, wird es nur Scheiße.
CyborgBeta schrieb:
Ja, das ist die erste Ebene der Verschlüsselung, und diese reicht eigentlich auch völlig aus.
Ich bin bei solchen Aussagen und dahinterstehenden Einstellungen immer unentschieden, ob ich kotzen will oder es resigniert als Jobsicherung hinnehme. In Zeiten wo nahezu alle Emailprovider in den Nutzungsbedingungen die automatisierte Auswertung von Emails ankündigen, wo es regelmäßig Datenabflüsse gibt, behaupten Menschen, dass es total ausreicht Emails überall im Klartext liegen zu haben und sich darauf zu verlassen, dass zwischen den Servern Transportverschlüsselung verwendet wird. -.-
Ja, wenn du meinst, dass dein Provider mitliest, wechsel diesen halt. 🤷♂️ Gmail zeigt jedenfalls auch deutlich an, welche Transportsicherheit verwendet wurde, und ich habe auch keinen Grund, daran zu zweifeln.
Das ist ja keine wirkliche Lösung, weil man eben nicht sicher weiß, wer ggf. mitliest und wer nicht. Genau deshalb will man ja Ende-zu-Ende-Verschlüsselung haben. Damit eben egal ist, ob man dem Transporteur vertrauen kann oder nicht.
CyborgBeta schrieb:
Gmail zeigt jedenfalls auch deutlich an, welche Transportsicherheit verwendet wurde, und ich habe auch keinen Grund, daran zu zweifeln.
Transportsicherheit hat nichts damit zu tun, ob der Mailprovider mitliest oder nicht. Dabei gehts darum, ob die Mail auf dem Weg zum Server verschlüsselt wurde.
@CyborgBeta
Ja, weil gefälschte SMTP Header hat es noch NIE gegeben.
Und das wechseln vom Emailprovider. Es bringt mir nichts einen anderen Email-Provider zu haben, wenn die Gegenstelle nicht mindestens den selben Standard hält.
Tun sie nicht.
Ganz im Gegenteil, die Standards für das elektronische Anwaltspostfach und KIM der Telematikinfrastruktur (Medizin) ist so gestaltet, dass eine automatisierte Auswertung auf den Servern stattfinden kann/muss. Daher selbst die sensibelsten Bereiche sind mit Absicht absoluter Bockmist.
Transportsicherheit hat nichts damit zu tun, ob der Mailprovider mitliest oder nicht. Dabei gehts darum, ob die Mail auf dem Weg zum Server verschlüsselt wurde.
Dann halt 4096-Bit GPG-Key erstellen, Nachricht + Betreff verschlüsseln und signieren. Kann keiner zurzeit mitlesen, nicht mal, wenn man 5000 CPUs darauf ansetzt.
Wenn ihr meint, dieser Aufwand sei nötig. 🤷♂️
Piktogramm schrieb:
Ja, weil gefälschte SMTP Header hat es noch NIE gegeben.
DKIM schließt das aus (beide Seiten müssen das halt unterstützen).
Piktogramm schrieb:
Tun sie nicht.
Ganz im Gegenteil, die Standards für das elektronische Anwaltspostfach und KIM der Telematikinfrastruktur (Medizin) ist so gestaltet, dass eine automatisierte Auswertung auf den Servern stattfinden kann/muss. Daher selbst die sensibelsten Bereiche sind mit Absicht absoluter Bockmist.
Das interessiert mich eigentlich nicht. Ich wäre schon froh, wenn ich Zugriff auf meine elektronische Patientenakte hätte. Habe ich aber nicht, weil EU und so. /rant
Ich wäre vor allem froh, wenn das System so gestaltet wäre, das ich die wirkliche Hohheit über die Daten habe (was das barrierefreie Lesen können mit einschließt).
Leider ist das eher so ausgestaltet, das es Industrieförderung kombiniert mit "Geschäftsmodelle mit Patientendaten ermöglichen".
Ich meine, es kann sein, dass (bei allen gängigen E-Mail-Providern) E-Mail-Nachrichten bzw. -Betreffe bzw. -Header (Header auf jeden Fall) zwar automatisch verarbeitet werden (auch wegen KI und so), aber keine sensiblen Informationen (von einem Menschen ...) "abgegriffen" bzw. gelesen werden.
Naja. Das weißt Du halt nicht zweifelsfrei. Deshalb will man ja Ende-zu-Ende-Verschlüsselung.
Außerdem können auch Meta-Informationen schon problematisch genug sein.
Dann halt 4096-Bit GPG-Key erstellen, Nachricht + Betreff verschlüsseln und signieren. Kann keiner zurzeit mitlesen, nicht mal, wenn man 5000 CPUs darauf ansetzt.
[...]
DKIM schließt das aus (beide Seiten müssen das halt unterstützen).
4096bit ist eine typische Schlüssellänge für RSA. GPG ist eine Implementierung um PGP zu ersetzen und kann u.a. RSA-Keys nutzen.
DKIM ist keine Maßnahme, die für die Endpunkte irgendwas (belastbares) bedeutet.
CyborgBeta schrieb:
Das interessiert mich eigentlich nicht. Ich wäre schon froh, wenn ich Zugriff auf meine elektronische Patientenakte hätte. Habe ich aber nicht, weil EU und so. /rant
Wieso EU?
Die Gematik mit ihrer Telematikinfrastruktur ist ein Deutsches Projekt, welches mit den üblichen Antipattern verkackt wurde. Organisatorisch war und ist es eine Katastrophe, die Teilstandards wiederholen Fehler die seit Dekaden als solche bekannt sind, es ist darauf optimiert Umsätze für Unternehmen zu generieren, die zertifizierten Produkte drumherum sind durchgehend Müll, immer wenn Bfdi und BSI ihre Einschätzung geben wurden sie ignoriert sodass ein Veto zu späterem Zeitpunkt erfolgte, CCC und Dunstkreis werden ignoriert und beschimpft bis zum nächsten Hack der zeigt das alles kaputt ist, der internationale Standard zum Austausch von Gesundheitsdaten wird und wurde ignoriert.
Die EU hat damit garnichts zu tun. Die DSGVO ist nicht so viel anders wie das vorher bestehende Datenschutzgesetz, die Telematikinfrastruktur würde da genauso dran scheitern. An den Anforderungen von NIST2 muss sich die Gematik nicht halten, da unsere Politiker so "schlau" waren die Gematik davon auszunehmen.[1]
[1] Irgendwie ist es witzig. Es wird von der Politik gern behauptet wie toll das alles ist. Kaum gibt es mal härtere Anforderungen für ein Minimum an IT-Sicherheit und schon haben die selben Politiker es irgendwie drauf diese Jauchgrube von diesen Anforderungen auszunehmen. Das ist schon eine interessante Flexibilität..
Ergänzung ()
CyborgBeta schrieb:
Ich meine, es kann sein, dass (bei allen gängigen E-Mail-Providern) E-Mail-Nachrichten bzw. -Betreffe bzw. -Header (Header auf jeden Fall) zwar automatisch verarbeitet werden (auch wegen KI und so), aber keine sensiblen Informationen (von einem Menschen ...) "abgegriffen" bzw. gelesen werden.
15€ im Monat, das sind die Kosten zu denen man als Privater eine recht ordentliche, virtuelle Maschine bei Hetzner bekommt inkl. Domain oder fertig 1-Clocklösungen mit >=100 Mailfächern und >=100GB Speicher.
Genauso beim Zertifikat, da bekommt man bei Lets Encrypt mittlerweile im Takt von einem Monat sein eigenen Schlüssel zertifiziert, kostenlos.
Ist da die Wartung inbegriffen? Monitoring von 0-Day Schwachstellen für den eingesetzten Technologiestack? Haftungsübernahme bei Problemen? Wie viel technischer Support ist inbegriffen wenn etwas nicht funktionieren während du dringend diese eine E-Mail abschicken musst?
Diese 1-Click Lösungen klingen da schon etwas besser.
andy_m4 schrieb:
Transportsicherheit hat nichts damit zu tun, ob der Mailprovider mitliest oder nicht. Dabei gehts darum, ob die Mail auf dem Weg zum Server verschlüsselt wurde.
Wenn der Mailserver nicht gerade einem Konzern gehört, deren Hauptgeschäftsmodell der Handel von Daten ist - wie z.B. bei Google/Alphabet - sehe ich persönlich da kein großes Problem. Man sollte halt zu einem Unternehmen gehen, deren Hauptgeschäftsmodell das Anbieten von E-Mail Postfächern und vergleichbaren Diensten ist - wie z.B. mailbox.org.
Ist das so? Ist das bei gmail nicht klar, dass sie die E-Mails analysieren und die Daten verkaufen bzw. kommerziell nutzen? Die hatten vor ein paar Jahren doch mal was geändert.
Man sollte halt zu einem Unternehmen gehen, deren Hauptgeschäftsmodell das Anbieten von E-Mail Postfächern und vergleichbaren Diensten ist - wie z.B. mailbox.org.
Ja. Das nützt mir aber nix, wenn mein Mailpartner das etwas lockerer sieht. Und der ist dann vielleicht nicht bei mailbox.org sondern bei gmail oder sonstwo.
BeBur schrieb:
Ist das so? Ist das bei gmail nicht klar, dass sie die E-Mails analysieren und die Daten verkaufen bzw. kommerziell nutzen?
Hab ich auch nirgends bestritten.
Ich meinte auch eher den umgekehrten Fall. Das ich eben nicht zweifelsfrei sagen kann, das dies nicht geschieht und daher es immer sinnvoll ist, Maßnahmen zu treffen die schützen und es immer ein guter default ist davon auszugehen, das der Mailprovider (und alle die sonst noch dazwischen hängen) mitlesen.
