Erfahrungsberichte

  • Guten Morgen zusammen!


    Ich würde gerne einmal die Meinung der breiten Foren-Öffentlichkeit zum Thema "Verschlüsselung & digitale Unterschrift" in Erfahrung bringen.


    Sowohl im privaten als auch im geschäftlichen Bereich (wo durchaus täglich sensible Daten haufenweise verschickt werden) treffe ich ausschließlich auf Unverständnis und Ahnungslosigkeit diesbezüglich. Ich werde ausgelacht, ich würde wohl Geheimnisse per Mail verschicken, wenn ich das Bedürfnis hätte sie zu verschlüsseln, und außerdem hätten wir ja einen gut geschützten Exchange-Server an dem wir aus Sicherheitsgründen alle drei Monate das Kennwort ändern müssen. Den Versuch eine Erklärung zu unternehmen, dass diese Aussagen völlig am Thema vorbei gehen und das eine absolut nichts mit dem anderen zu tun hat, stoßen auf noch mehr Unverständnis und Gelächter. Auch beim Systemadmin.


    Was ist eigentlich so schwer an dieser Thematik und warum ist sie überhaupt nicht bekannt oder weitläufig verbreitet? Oder gehts nur mir in meinem Umfeld so?


    Freue mich auf Eure Erfahrungen.
    Gute Nacht! :)

  • Hallo Chris78,


    naja, jeder hat da seine Meinung zu und ich eben meine (und genau die gebe ich jetzt zum besten). Wenn Du nur das verschlüsselt, was wirklich geheim ist, hast du schon Informationen weitergegeben. Es geht einfach überhaupt niemanden etwas an, wann ich mich mit wem verabrede, welche Dinge ich in welchem Supermarkt besorgen soll und ob ich zu einer Geburtstagsfeier eingeladen werde. Daher ist es sinnvoll.


    Im Firmennetzwerk macht es etwas weniger Sinn, da man ja schon im Netz sein muss, um auf die unverschlüsselten Mails zugreifen zu können. Nichtsdestotrotz wäre es eine zusätzliche Sicherheitsmaßnahme. Bei externen Mails sieht die Welt schon wieder anders aus, denn diese Mails gehen durch das frei zugängliche Netz. Als ich in meiner alten Firma die IT auf Verschlüsselung ansprach, schlug mir völliges Unverständnis entgegen (bis hin zur absoluten Ahnungslosigkeit, aber das ist meine Interpretation der Antworten). Nur zum Verständnis und zur Einordnung: Wir reden gerade von einem DAX-Konzern.


    Auch was bei anderen Gesellschaften an sensiblen Daten (Bilanzdaten, sonstige Finanzdaten, interne Dokumente usw.) einfach unverschlüsselt per Mail versendet wird, lässt mich jedes Mal grausen. Und spricht man die Leute darauf an, ändert sich - nichts! Lieber schreibt man in einen Vorvertrag einen Passus, der einem von jeder Verantwortung (heißt Schadensersatz) frei spricht, als dass man sich Gedanken über so einen Unsinn macht. Ich möchte nicht wissen, wie viel Wirtschaftsspionage nur durch das Filtern und Mitlesen von Mails betrieben wird.


    Die Praxis zeigt also, dass es extrem schwer ist, Leute zu motivieren, sich überhaupt mit dem Thema zu beschäftigen, und dann auch noch aktiv zu werden. Ich habe enigmail mittlerweile nur nach, damit ich an alte von mir verschlüsselte Mails komme. Wirklich nutzen tue ich das nicht, denn in meinem privaten Umfeld hatten nur drei Leute einen Schlüssel bzw. ließen sich darauf ein, einen zu erstellen. Erschwerend kommt hinzu, dass FireGPG für Firefox nicht mehr weiterentwickelt wird und daher via Webmail gesendete Mails kaum noch zu verschlüsseln sind.


    Gruß
    slengfe

    Meine Beiträge sind subjektiv und manipulativ, erheben Anspruch auf Allwissenheit und können Spuren von Ironie oder Sarkasmus enthalten.


    Windows 10 Professional 64 Bit | Thunderbird 32 Bit | Firefox 64 Bit | Avira Free Security Suite

  • Hallo Chris78,


    es ist gut, dass du dir über den Schutz sensibler Daten Gedanken machst.
    Eigentlich könnte ich jetzt den Text von meinem "Vorredner" kopieren und unterschreiben. Er hat alles gesagt ... .


    Für mich ist dieses Thema ja nicht nur Hobby, sondern auch Beruf. Und obwohl "bei uns" so ziemlich jeder eine Chipkarte mit X.509-Zertifikaten besitzt, so nutzt sie doch kaum jemand zur Verschlüsselung seiner Mails. Ob das nun Dummheit, Unverständnis, Faulheit oder fehlender Zwang ist, steht mir nicht zu festzustellen.
    Ich habe mir angewöhnt, auf eine unverschlüsselte Mail nur noch mit einer verschlüsselten Mail zu antworten (der publik Key der Empfänger ist ja vorhanden). In der Regel kommt dann ein Anruf, wo mir der Empfänger sagt, dass er den Anhang ".p7m" nicht öffnen könne. Nach kurzer Anleitung kann er es dann auf einmal, und er bleibt auch dabei, zumindest in der Korrespondenz mit mir und meinem Team ... . (Es wird wohl doch am fehlenden Zwang, gepaart mit Unwissenheit liegen.)


    Und privat habe ich das ähnlich gemacht. Angefangen mit Familie und Freunden stelle ich für Interessenten in meinem (gar nicht mehr so kleinen!) privaten "TrustCenter" X.509-Zertifikate her. Es fing mal mit 20 Stück pro Jahr an, mittlerweile sind es jährlich einige Hundert. Klar, es kostet schon Überzeugungskraft, aber es funktioniert. Oftmals spreche ich bei beruflichen Vorträgen an, dass es das auch für "privat" gibt, aber ich bringe dieses Thema auch bei meinen Computerkursen an der VHS. Und in der Regel folgen dann die "Aufträge".
    Auch sonst macht sich Werbung gut. Mein effektivster Werbeträger ist (garantiert ungewollt ...) ein sehr prominenter dt. Rollstuhlfahrer.


    Und, Chris, auf deine Frage, warum das nicht genügend verbreitet ist:
    Zum einen ist die Verschlüsselung von "der Obrigkeit" gar nicht so sehr gewollt. Warum wohl ... . Schon Herr Kanther wollte sie uns verbieten. Heute geht man das schlauer an, und ich befürchte, dass es bald wieder einmal so weit ist.
    Zum anderen fehlt der persönliche Leidungsdruck! Die Generation Facebook ist es gewohnt, die intimsten persönlichen Daten ins Netz zustellen. Da werden (selbstverständlich unverschlüsselt) ganze Bewerbungsmappen mit Zeugnissen, Lebensläufen usw. durch die Welt geschickt. Zu einer Zeit, wo nakt abgebildete Frauen in der B***d-Zeitung damit angeben, mit wievielen Männer sie Sex hatten, denkt doch niemand über Verschlüsselung von Mails nach ... .
    Was würde wohl passieren, wenn die gleichen Leute Briefe erhielten, die nachweislich auf ihrem Weg geöffnet wurden?


    Mit sehr nachdenklichen Grüßen!
    Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • Ich kenne das Problem auch. Die Standardantwort, die ich bekomme, wenn ich jemandem dieses Thema ans Herz legen möchte, ist (und wenn ich darauf wetten könnte, wäre ich mittlerweile reich): "Ich schreib' nichts so Geheimes, als dass ich das verschlüsseln müsste." (& Varianten). Und dann ist es auch noch bestimmt "zu aufwändig".
    Mein Eindruck:
    Das System e-Mail funktioniert. Die wenigsten Menschen machen sich Gedanken darüber, was denn passieren könnte, wenn jemand ihre Mail/ihre Korrespondenz mitliest, denn das macht sich nicht unmittelbar bemerkbar. Und was sich nicht bemerkbar macht, das stört mich in meinem Leben auch nicht, daher bin ich zu bequem es zu ändern, denn, wie schon gesagt, das System funktioniert ja.
    Die Tatsache, dass viele Privatmails über zig Rechner gehen, ist den meisten Leuten genauso egal, wie die Tatsache, dass Facebook jedes ihrer gesetzten Zeichen, ihre Surfgewohnheiten und was nicht noch alles auswertet. Denn was man nicht bemerkt, kann man ausblenden, ohne einen unmittelbaren Nachteil zu haben. (Und der mittelbare Nachteil wird dann meistens nicht mit dieser Ursache in Verbindung gebracht, wenn er überhaupt bemerkt wird. Stichwort personalisierte und somit besonders beeinflussende Werbung, ich behaupte jetzt mal, kaum jemand, der sein Leben auf Facebook ausbreitet, ist sich bewusst, wie beeinflusst man durch personalisierte Werbung wird. Und genauso können sich viele nicht vorstellen, dass der Inhalt ihrer Mails irgendwann mal zu ihrem Nachteil eingesetzt werden könnte. Und wenn's kein Nachteil ist, ist's ja auch kein Problem.
    Somit stimme ich meinen Vorrednern in Sachen nicht vorhandenem Leidensdrucks (aber explizit auch in ihren anderen Punkten) vollkommen zu.
    Und ich stimme Peter auch gerade in dem Punkt zu, dass in Zeiten von Staatstrojaner, Vorratsdatenspeicherung & Co. digitale Intimsphäre der Bürger meinem Eindruck nach nicht (mehr?) gewünscht ist.


    Soweit mein Senf dazu. Ich wünschte, es wäre anders.

  • Naja... "Seien wir mal ehrlich"... :) IM GEGENSATZ zu dem ganzen Müll der auf Facebook rumfliegt, versenden die Leute per Email eben keine für sie wirklich sensiblen Daten. Natürlich kann man sofort etliche Beispiele aus dem Leben aufführen, bei welchen die Daten garnicht so unsensibel sind, aber deren Abgreifen benötigt meist "staatlichen" Aufwand.
    Sonst, welchen auch immer Dreck man mit den Clientdaten treiben will, die Clients in Massen anzugreifen ist um Universen einfacher. Email-Verschlüsselung dient dagegen nur dem "auf dem Weg" Schutz. Es gibt schlicht kaum Fälle mit Konsequenzen, also reagiert man da nur sehr träge.


    Der 0815 Otto ist extrem pragmatisch und treibt nur einen zusätzlichen Aufwand, wenn er Konsequenzen vermutet. Virenscaner werden installiert, damit man bei Verseuchung das ganze System nicht neu installieren muß... Wenn man dagegen alle möglichen mehr oder weniger theoretsichen Probleme mit UNverschlüsselten Emails aufführt, dann werden sie zwar sehr wohl erkannt, aber als eine REALE Problemzone nicht anerkannt. Daher passiert hier meist recht wenig.


    Diese Einstellung wird durch die Einstellung des Staates, die uns der CCC nun klar presentierte, nun nur noch untermauert ;) Was nützt einem Email-Verschlüsselung, wenn der Staat Spyware auf den Clients installiert.


    Das ist jetzt wie gesagt nicht meine Argumentation, aber diesen Pragmatismus kann man garnicht so leicht entkräften...


    Außerdem bleibt das nbachwievor eine frage des Handlings, bei 96% der Benutzer. Die fertigen Lösungen für Linux haben mich da vom Handling her eher erstaunt. Für Windows muß man entweder durch gpg4win durch, was ich garnicht für so trivial halte, oder man sützt sich gleich auf die Musterlösung Tb/Enigmail. Sobald es aber nicht Tb/Enigmail ist, scheint der Aufwand gegenüber dem Pragmatismus keine Chance zu haben.


    Wobei das mit OpenPGP ist, selbst wenn man den "Aufwand" am Ende doch nicht treiben möchte, für die meisten nach 10min., Gespräch noch relativ überschaubar. Meine Erfahrungen halt. Bei S/MIME winkten bis jetzt alle geschätzt bereits nach einer Minute ab :P


    p.s.:
    Ob der Staat da wirklich ausschliesslich nur den tiefschwarze Peter mimt... So klar kann man das wohl garnicht so sagen
    https://www.bsi.bund.de/Conten…eue_Version_15032011.html