ubuntuusers.de

DE Mail der Telekom-wirklich so sicher?

Status: Ungelöst | Ubuntu-Version: Ubuntu
Antworten |

Tommi1965

Anmeldungsdatum:
23. Januar 2010

Beiträge: 45

Hallo Leute!

Zur Zeit macht ja die Telekom für die neue Software DE MAIL groß Werbung. Ist DE Mail wirklich so sicher? Oder lieber bei PgP bleiben? Was meint ihr?

Euer Tommi

zephir

Avatar von zephir

Anmeldungsdatum:
20. März 2006

Beiträge: 2762

Bei DE Mail ist sichergestellt, das der Betreiber, dessen Putzpersonal und der Staat die Mails trotz Verschlüsselung lesen können. Da wir ja alle nichts zu verbergen haben, sondern nur die bösen Terroristen, ist das natürlich viel sicherer. Wer zukünftig Verschlüsselungsverfahren ohne Backdoor einsetzt, sollte als Sicherheitsrisiko sofort eingeknastet werden. (In England ist das schon jetzt möglich, wenn man sich weigert das Paßwort herauszugeben).

Und noch mal ohne Ironie: DE MAIL ist sicherheitstechnisch leider nicht nur ein schlechter Scherz, sondern soll wirklich eingeführt werden. Lachen kann ich nicht.

Hefeweiz3n Team-Icon

Moderator, Webteam
Avatar von Hefeweiz3n

Anmeldungsdatum:
15. Juli 2006

Beiträge: 5813

Wohnort: Ankh-Morpork

Kommt drauf an, nur mit der DE-Mail kannst du z.B. Mails verschicken die rechtlich einem Brief/Fax/Einschreiben gleichgestellt sind. Ansonsten mal http://www.daten-speicherung.de/index.php/boykottiert-das-glaeserne-de-mail/ lesen. Zudem hat die DE-Mail auch eine schwäche bei der Verschlüsselung. Hier wird nämlich nicht Ende-zu-Ende verschlüsselt sondern die Mail wird im Klartext beim DE-Mail Provider weiterverarbeitet und dann neu verschlüsselt (Wenn ich das richtig in Erinnerung habe).

zephir

Avatar von zephir

Anmeldungsdatum:
20. März 2006

Beiträge: 2762

Hefeweiz3n schrieb:

Kommt drauf an, nur mit der DE-Mail kannst du z.B. Mails verschicken die rechtlich einem Brief/Fax/Einschreiben gleichgestellt sind.

Nö, da kommt es bei der Frage nach der Sicherheit nicht drauf an. DE-Mail kann bequem sein, und ist möglicherweise ähnlich sicher wie ein Brief per Post (dessen Umschlag man öffnen kann) oder einem Fax, das auch abgefangen und mitgelesen werden kann.

Ein sicheres Verschlüsselungsverfahren ist es aber aus den von Dir ja auch genannten Gründen nicht.

jug Team-Icon

Ehemalige
Avatar von jug

Anmeldungsdatum:
19. März 2007

Beiträge: 12335

Wohnort: Berlin

Nein, dieser E-Postbrief ist momentan ein Konkurrenzangebot zu DE-Mail.

Viel halten tu ich davon ehrlichgesagt nicht. Sinnvoller wäre mMn gewesen eine Kampagne zu starten und die Signaturfähigkeiten des neuen Personalausweises mit S/Mime auf normalen E-Mails zu ermöglichen. Damit könnte man das Angebot des E-Postbriefes relativ einfach für alle nachbilden.

Die Infrastruktur ist schon lange vorhanden, den meisten Menschen fehlt nur noch ein geeignetes Zertifikat und/oder die amtliche Anerkennung der elektronischen Signatur.

Natürlich wäre der Bund dann die CA, das heißt der kann überall mitlesen. Beim E-Postbrief ist das halt die Post. So gesehen wäre GPG vielleicht noch sicherer gegen Manipulationen oder unbefugtes mitlesen.

~jug

primus_pilus Team-Icon

Ehemalige
Avatar von primus_pilus

Anmeldungsdatum:
8. Oktober 2007

Beiträge: 9144

Wohnort: NRW

zephir schrieb:

Hefeweiz3n schrieb:

Kommt drauf an, nur mit der DE-Mail kannst du z.B. Mails verschicken die rechtlich einem Brief/Fax/Einschreiben gleichgestellt sind.

Nö, da kommt es bei der Frage nach der Sicherheit nicht drauf an. DE-Mail kann bequem sein, und ist möglicherweise ähnlich sicher wie ein Brief per Post (dessen Umschlag man öffnen kann) oder einem Fax, das auch abgefangen und mitgelesen werden kann.

Es kommt halt darauf an was man in dem Fall mit „Sicherheit“ meint. DE-mail stellt sicher dass der Absender der ist für den er sich ausgibt, mehr nicht. Zu dem soll der Absender rechtssicher bestätigt bekommen dass der Empfänger die Nachricht erhalten hat (Was zu einem Problem für den Empfänger werden kann, Stichwort Beweislastumkehr). Harte Kryptographische Sicherheit im Sinne von „kein dritter liest mit“ stellt es nicht sicher auch wenn der Anbieter das sicher gern behaupten wird.

raptor2101

Anmeldungsdatum:
8. Juni 2009

Beiträge: 1249

Wohnort: Stuttgart, Deutschland

DE-Mail als auch E-Post bieten aus Sicht des Nutzers nicht mehr (oder weniger) Sicherheit als eine normale E-Mail. Es kommt keine Signatur zum Einsatz. Es gibt keine Ende zu Ende Verschlüsselung. Die Mails können vom Provider (und müssen) gelesen und verändert werden, das wird für die Virensuche benötigt.

Hier mal ein paar Contra Aspekte:

  • Beim abschließen eines E-Post Vertrages erlaubt man der Deutschen Post den Adresshandel. Die Deutsche Post ist einer der größten Handler in diesem Geschäfft.

  • Fast alle DE-Mail Anbieter verpflichten Mails täglich abzurufen. Das ist nötig, da eine Behörden-Mail als zugestellt gilt, wenn sie in eurem Postfach landen. Die Fristen laufen ab diesem Zeitpunkt. Längere Urlaube ohen Mailcheck sind dann gefährlich - Zum vergleich, ein Einschreiben gilt als zugestellt wenn man es Bekommen und unterschrieben hat.

  • Hat man eine Mail nicht erhalten, muss man gegenüber dem Staat vollständig Beweisen, dass man sie man sie nicht hat*.

  • Hat die Behörde eine Mail nicht erhalten, muss man selber (wiederum) vollständig Beweisen, dass man sie abgeschickt hat*.

  • Der Provider muss jede Mail zustellen auch Spam und Virenmails

wer mehr wissen will dem empfehle ich das ChaosRadio

*"Vollständig" soll in diesem Zusammenhang bedeuten, dass man von Ende-Zu-Ende nachweisen muss warum eine Mail das Ziel nicht erreicht hat. Entweder um sich selbst zu Ent oder die Behörde zu Belasten.

E-POSTBRIEF

Avatar von E-POSTBRIEF

Anmeldungsdatum:
21. Oktober 2010

Beiträge: 4

Hallo zusammen,

auch wir möchten hier zu etwas Klarheit beitragen. Grundsätzlich müssen wir darauf hinweisen, dass der E-POSTBRIEF und die De-Mail nicht miteinander zu verwechseln sind. Das eine ist eine Gesetzesinitiative der Bundesregierung, das andere unsere Telekommunikationsdienstleistung für eine verbindliche, verlässliche und vertrauliche elektronische Kommunikation.

Gerne nehmen wir hier zu einigen Kritikpunkten Stellung.

Datenschutz und Datensicherheit genießen beim E-POSTBRIEF eine hohe Priorität. Der Schutz von personenbezogenen Daten ist somit ein besonderes Anliegen. Wir führen daher natürlich keinen Adresshandel mit den persönlichen Daten unserer E-POSTBRIEF Nutzer durch. Unter "IV. Datenschutzhinweise für die Nutzung des E-POSTBRIEF Portals" in unseren AGB wird der Umgang mit personenbezogenen Daten ganz eindeutig und konkret geregelt.

Der E-POSTBRIEF wird beim Versand mit einem portaleigenen Zertifikat verschlüsselt. Er ist somit vom Absender bis zum Empfänger für Dritte nicht einsehbar. Eine Ende-zu-Ende Verschlüsselung des E-POSTBRIEFS ist somit sichergestellt. Wird ein E-POSTBRIEF im Portal abgelegt, so wird dieser ebenfalls verschlüsselt und damit auch weiterhin für Dritte unzugänglich. Dem Nutzer steht die Option frei, seinen E-POSTBRIEF zusätzlich mit einem Zertifikat des Trustcenters SIGNTRUST zu verschlüsseln.

Der E-POSTBRIEF ist das Pendant zum klassischen Brief. In unseren AGB fordern wir Sie unverbindlich dazu auf, mindestens einmal werktäglich Ihr Nutzerkonto zu kontrollieren. Dies bedeutet aber nicht, dass Sie zum täglichen Check des E-POSTBRIEF Postfachs verpflichtet sind. Mit diesem Passus schaffen wir die Analogie zum klassischen Hausbriefkasten. In Rechtsprechung und juristischer Literatur ist seit langer Zeit anerkannt, dass Papierbriefe einem Empfänger auch dann zugehen – und damit beispielsweise Fristen zu laufen beginnen –, wenn der Empfänger im Urlaub ist. Auf eine tatsächliche Kenntnisnahme einer Nachricht kommt es für den Zugang gerade nicht an. Auch ein normaler Brief geht daher in der Regel am Tag nach Einwurf in den Briefkasten zu. Im Zweifelsfall muss der Absender allerdings nachweisen, ob und wann zugestellt wurde. Deshalb wird bei wichtigen Sendungen immer noch das Einschreiben Einwurf bzw. Einschreiben Rückschein oder der Postzustellungsauftrag gewählt. Hier ist die Zustellung nämlich nachgewiesen. Beim E-POSTBRIEF sind Einschreiben daher ebenfalls möglich. Sie haben als E-POSTBRIEF Nutzer im Übrigen den Vorteil, dass Sie Ihren elektronischen Briefkasten jederzeit und überall anschauen können. Um die Kontrolle zu vereinfachen, können Sie sich per kostenloser SMS-Benachrichtigung über neuen Posteingang informieren lassen.

Mit freundlichen Grüßen

Amir Khanzadeh vom Serviceteam E-POSTBRIEF

raptor2101

Anmeldungsdatum:
8. Juni 2009

Beiträge: 1249

Wohnort: Stuttgart, Deutschland

Zitat aus den AGB: 4(2) Falls der Veröffentlichung der Daten im Adressverzeichnis zugestimmt wurde, können diese Angaben von der Deutschen Post AG an andere registrierte Geschäftskunden / Versender auf Anfrage auch beauskunftet werden. Dabei nennt der Geschäftskunde Name und Postanschrift des Empfängers. Anhand dieser Angaben ermittelt die Deutsche Post AG die E-POSTBRIEF Adresse des Empfängers und teilt sie dem Geschäftskunden mit, damit dieser seine Nachricht als E-POSTBRIEF versenden kann. Somit wird dem Geschäftskunden die arbeitsaufwändige Suche jedes einzelnen Empfängers im öffentlichen Adressverzeichnis erspart.

"Die haben als E-POSTBRIEF Nutzer im Übrigen den Vorteil, dass Sie Ihren elektronischen Briefkasten jederzeit und überall anschauen können. Um die Kontrolle zu vereinfachen, können Sie sich per kostenloser SMS-Benachrichtigung über neuen Posteingang informieren lassen."

Die Frage ist ob man das im Urlaub will. Einen Briefkasten kann man im Urlaub nicht "abrufen" eine E-Postfach schon, das ist ein juristischer unterschied.

eine juristische Aufarbeitung der AGBs: http://www.youtube.com/watch?v=8BpmwgyE9f4&feature=player_embedded

encbladexp Team-Icon

Ehemaliger
Avatar von encbladexp

Anmeldungsdatum:
16. Februar 2007

Beiträge: 17518

E-POSTBRIEF schrieb:

Der E-POSTBRIEF wird beim Versand mit einem portaleigenen Zertifikat verschlüsselt.

Wo liegt dieses Zertifikat?

Dem Nutzer steht die Option frei, seinen E-POSTBRIEF zusätzlich mit einem Zertifikat des Trustcenters SIGNTRUST zu verschlüsseln.

Nun, kaum jemand hier im Portal dürfte von dieser CA was halten. Ist es möglich Zertifikate zu verwenden die man selbst signiert hat oder welche von vertrauenswürdigen CAs wie z.B. CACert kommen?

mfg Betz Stefan

E-POSTBRIEF

Avatar von E-POSTBRIEF

Anmeldungsdatum:
21. Oktober 2010

Beiträge: 4

Raptor 2101 schrieb:

Zitat aus den AGB: 4(2) Falls der Veröffentlichung der Daten im Adressverzeichnis zugestimmt wurde, können diese Angaben von der Deutschen Post AG an andere registrierte Geschäftskunden / Versender auf Anfrage auch beauskunftet werden. Dabei nennt der Geschäftskunde Name und Postanschrift des Empfängers. Anhand dieser Angaben ermittelt die Deutsche Post AG die E-POSTBRIEF Adresse des Empfängers und teilt sie dem Geschäftskunden mit, damit dieser seine Nachricht als E-POSTBRIEF versenden kann. Somit wird dem Geschäftskunden die arbeitsaufwändige Suche jedes einzelnen Empfängers im öffentlichen Adressverzeichnis erspart.

Hallo Raptor 2101,

es handelt sich bei dem zitierten Auszug aus unseren AGB um einen Hinweis auf einen reinen Auskunftsservice für registrierte Geschäftskunden / Versender, so wie zum Beispiel bei einer Telefonauskunft.

Dabei muss der Geschäftskunde bereits den Namen und die Postanschrift des Empfängers kennen - analog zur Telefonauskunft, wo Sie auch wissen müssen, von wem Sie die Telefonnummer erhalten möchten. Dann beauskunften wir, ob der Empfänger auch eine E-POSTBRIEF Adresse hat und wie diese lautet. Das geschieht nur, wenn der Empfänger der Veröffentlichung seiner Daten im internen Adressverzeichnis des E-POSTBRIEF Portals zugestimmt hat - quasi ob Sie im Telefonbuch stehen.

Wie wir bereits in unserem ersten Post von heute mitgeteilt haben: "Der E-POSTBRIEF ist das Pendant zum klassischen Brief. [...] In Rechtsprechung und juristischer Literatur ist seit langer Zeit anerkannt, dass Papierbriefe einem Empfänger auch dann zugehen – und damit beispielsweise Fristen zu laufen beginnen –, wenn der Empfänger im Urlaub ist." Wenn Sie in Ihrem Urlaub nicht über neue E-POSTBRIEFE per SMS informiert werden möchten, dann können Sie die SMS-Benachrichtigung in Ihren Portaleinstellungen deaktivieren.

Zu den Kritikpunkten des Videos vom 22. Juli 2010 haben wir auf unserer Homepage eine FAQ veröffentlicht: https://go.post.de/w4hao

Mit freundlichen Grüßen

Amir Khanzadeh vom Serviceteam E-POSTBRIEF

E-POSTBRIEF

Avatar von E-POSTBRIEF

Anmeldungsdatum:
21. Oktober 2010

Beiträge: 4

encbladexp schrieb:

E-POSTBRIEF schrieb:

Der E-POSTBRIEF wird beim Versand mit einem portaleigenen Zertifikat verschlüsselt.

Wo liegt dieses Zertifikat?

Dem Nutzer steht die Option frei, seinen E-POSTBRIEF zusätzlich mit einem Zertifikat des Trustcenters SIGNTRUST zu verschlüsseln.

Nun, kaum jemand hier im Portal dürfte von dieser CA was halten. Ist es möglich Zertifikate zu verwenden die man selbst signiert hat oder welche von vertrauenswürdigen CAs wie z.B. CACert kommen?

mfg Betz Stefan

Hallo Herr Betz,

weiterführende Informationen zum persönlichen Zertifikat können Sie aus unseren FAQ unter https://go.post.de/qdt8w entnehmen.

Da die Sicherheit und der Datenschutz bei uns einen sehr hohen Stellenwert haben, bitten wir Sie um Verständnis dafür, dass wir keine genauen Angaben zu unseren Sicherheitssystemen machen (Security through obscurity: http://de.wikipedia.org/wiki/Security_through_obscurity). Darüber hinaus ist es nicht möglich, externe Zertifikate in das E-POSTBRIEF Portal einzubinden.

Mit freundlichen Grüßen

Amir Khanzadeh vom Serviceteam E-POSTBRIEF

RvD Team-Icon

Avatar von RvD

Anmeldungsdatum:
26. Mai 2006

Beiträge: 2870

Der Fachbegriff für solche Taktiken lautet übrigens Schlangenöl. Schön erklärt wird dies von Bruce Schneier.

zephir

Avatar von zephir

Anmeldungsdatum:
20. März 2006

Beiträge: 2762

Hallo Herr Khanzadeh

user:E-POSTBRIEF (Khanzadeh):] schrieb:

Da die Sicherheit und der Datenschutz bei uns einen sehr hohen Stellenwert haben, bitten wir Sie um Verständnis dafür, dass wir keine genauen Angaben zu unseren Sicherheitssystemen machen (Security through obscurity: http://de.wikipedia.org/wiki/Security_through_obscurity). Darüber hinaus ist es nicht möglich, externe Zertifikate in das E-POSTBRIEF Portal einzubinden.

Schön das sie ausgerechnet auf diesen Wikipediaartikel verlinken, sonst hätte ich es getan. Vielleicht sollten sie Ihn auch mal lesen. Ich zitiere mal daraus:

Auf diese Weise führt security by obscurity zu einem Verlust von Sicherheit, da wegen security by obscurity die vermeintlichen Sicherheits-Methoden nicht auf ihre Wirksamkeit überprüft, die unwirksamen Methoden nicht frühzeitig als solche verworfen werden.

Und was die angebliche end to end Verschlüsselung angeht, eine Verschlüsselung, die "mit einem portaleigenen Zertifikatl" geschieht, ist das eben nicht. Hier hat ein dritter, nämlich "das Portal" die Möglichkeit mitzulesen.

Eine Verschlüsselung durch den persönlichen Schlüssel des Empfängers, die nur optional angeboten wird, könnte eine solche sein, wenn man den dem "security by obscurity" Ansatz vertraut. Da nehme ich doch lieber offene Verfahren, wo die Sicherheit belegt ist.

zephir

Avatar von zephir

Anmeldungsdatum:
20. März 2006

Beiträge: 2762

Ergänzend noch aus den FAQ, die Sie als Antwort auf das Video verlinkt haben:

Das Fernmeldegeheimnis bietet einen hohen Schutz gegen unberechtigte Zugriffe auf die Kommunikationsinhalte, also hier auf die E-POSTBRIEFE. Der Eingriff in das Fernmeldegeheimnis darf nur unter strengen gesetzlichen Vorschriften erfolgen, weil es einen Eingriff in das Persönlichkeitsrecht eines jeden Nutzers darstellt. Die Anordnung der Telekommunikationsüberwachung darf deshalb insbesondere nur unter zwei Voraussetzungen erfolgen: 1) aufgrund richterlicher Anordnung und 2) wegen des Verdachts einer schweren Straftat. Auskunftsberechtigte Stellen sind z.B. das Bundesamt für Verfassungsschutz, das Amt für den Militärischen Abschirmdienst und der Bundesnachrichtendienst. Bei Gefahr im Verzug darf die Staatsanwaltschaft die Überwachung anordnen.

Das ist nichts weiter als das Versprechen, wir lesen nicht mit, es sei denn der Gesetzgeber ordnet es an. Damit ist die angebliche end to end Verschlüsselung nichts weiter als ein Pendant zum Briefumschlag: Solange man Ihn nicht aufmacht, kann man den Brief nicht lesen. Es wird aber wohl keiner auf die Idee kommen, das als sicheres Verschlüsselungsverfahren zu bezeichnen.

Antworten |