Leserbriefe

Sie schreiben: „Von Haus aus kommt Thunderbird ohne ein Verschlüsselungsmodul, die Nachrichten werden im Klartext verschickt wie Feldpostkarten.“

Dieser Satz ist einfach nur falsch, und ich kann ihn nicht unkommentiert stehen lassen. Seit dem Erscheinen der ersten von mir genutzten Thunderbird-Version (v 1.?) ist von Hause aus eine Mailverschlüsselung mit S/MIME eingebaut. Diese Funktion ist voll funktionsfähig und IMHO auch recht komfortabel implementiert.

Ich selbst realisiere damit eine Verschlüsselung und elektronische Signatur von ca. 80 % meiner sehr umfangreichen E-Mail-Kommunikation. Und das schon mindestens seit 8 Jahren. Es ist sogar problemlos möglich, vorhandene Signaturkarten diverser Anbieter inklusive ihrer CSP einzubinden und zu nutzen.

Sie sollten bitte bei Ihrer Recherche nicht nur einseitig auf PGP oder GnuPG als die „Kryptografie für die Massen“ sehen.

Peter_Lehmann, via E-Mail

Verschlüsselung ist gut und schön und sollte in bestimmten Bereichen (Business, heikle Bereiche …) die völlig normale Vorgehensweise sein.

Aber normale Leute brauchen einfach kein PGP und werden auch keinen Nutzen daraus ziehen. Denn das Problem, dass Geheimdienste unsere demokratischen Grundwerte durch den Dreck ziehen und die Demokratie als Ganzes unterwandern, das lässt sich auch durch 100 % flächendeckende Verschlüsselung nicht beheben. Das ist ein tief greifendes politisches Problem und kann auch nur auf dieser Ebene gelöst werden.

Darum ist es auch falsch, von Nicht-IT-Leuten den Einsatz komplexer Technologien zu erwarten – und naiv ist es sowieso. Das wird nie passieren, und selbst wenn es das würde, wären die eigentlichen Probleme immer noch da. Denn es wird ja auch illegal über die Handynetze abgehört und Standorte getrackt, es werden automatisiert Videokameras überall ausgewertet, es werden Produkte privater Firmen infiltriert, und es wird gelogen, dass sich die Balken biegen.

PGP wird daran nichts ändern.

workingclasshero, aus dem iX-Forum

Sollen normale Leute überhaupt verschlüsseln? Ich habe zunehmend das Gefühl, dass dies gar nicht gewünscht ist. Und zwar nicht gewünscht von der Community. Warum ich das glaube? Nun, sogar mein 10 Jahre alter Neffe nutzt GPG. Wieso? Ganz einfach, weil ich es ihm gezeigt habe und Kinder sich schnell für solche Dinge begeistern lassen.

Insgesamt habe ich aber den Eindruck, dass die Community nicht so gerne ihr Wissen teilt. Lieber schaukelt man sich bei Fefe gegenseitig die Eier (excuse my French), wie schlecht und vor allem unwissend die Welt doch ist. Das scheint irgendwie mehr Spaß zu machen. Ist ein bisschen so wie Unterschichten-TV gucken. Auch wenn ich selbst das ein oder andere Defizit habe, muss ich mir ja nur jemanden suchen, den es (scheinbar) noch weitaus schlimmer erwischt hat, und schon geht es mir wieder gut.

Blöd ist nur, dass wir alle irgendwann in einer total überwachten Welt leben. Dem kann sich keiner entziehen. Wenn niemand einen GPG-Schlüssel besitzt, dann muss auch ich letztlich meine Mails unverschlüsselt verschicken.

Spaghetticode, aus dem iX-Forum

Ich vermute, der Artikel „Durchgegraben“ wurde nicht aus der Netzwerkprofi-, sondern eher aus der beschriebenen Anwendersicht verfasst, und habe daher dazu kleine Anmerkungen:

Das Beispiel zur Umgehung von Mailfiltern durch die Umbenennung von Anhängen nach „.txt“ halte ich für schlecht gewählt – ich bezweifle, dass alle MUAs Text-MIME-Types binärsicher übermitteln, und würde eine Zerstörung der Binärdatei durch eine Normalisierung der enthaltenen Newline-Zeichen erwarten. Die Umbenennung nach „.bin“, „.dat“ oder „.kennstenicht“ funktioniert in der Praxis vermutlich besser.

Auch das Einrichten eines MIME-Type-Sniffers für E-Mails (oder auch in Application Level Proxies für andere Protokolle wie HTTP) ist nicht absolut zuverlässig und kann selber ein Einfallstor für Angriffe sein (nur als Beispiele: CVE-2012-1571, CVE-2013-7345, CVE-2014-1943, CVE-2014-2270 usw.).

Was das Beispiel mit der EXE-Datei auf dem Webserver und dem angehängten Fragezeichen angeht, halte ich die Erklärung für schlicht falsch. Ich bin mir ziemlich sicher, dass der Webserver das Fragezeichen als Trenner für den Query-Part der URL interpretiert und nicht als Regular-Expression-Sonderzeichen. Als Query-Part-Trennzeichen ist das Fragezeichen natürlich nicht Bestandteil der URL-Pfadangabe.

Selbst wenn der Webserver das Fragezeichen als Regular-Expression-Sonderzeichen behandeln würde, wäre die Erklärung im Artikel falsch, denn in Regular Expressions steht ein Fragezeichen nicht für ein beliebiges oder kein Zeichen, sondern bedeutet, dass die direkt vorhergehende Teil-Regular-Expression, in diesem Fall das Zeichen „e“, optional ist.

Für ein beliebiges Zeichen steht das Fragezeichen in Glob-Patterns, also den oft von Shells/Kommandozeilen verwendeten Matching-Patterns, aber dort steht das Fragezeichen dann für ein „Pflicht-Zeichen“, d. h. ein beliebiges Zeichen, das aber vorhanden sein muss.

Mir stellt sich die Frage, ob es eine gute Idee ist, mit diesem Verständnis der Funktionsweise von E-Mail und HTTP Firewall- und Sicherheitssysteme zum Schutz von Firmennetzwerken zu konzipieren oder zu testen. Ich selber halte mich auch auf keinen Fall für einen Sicherheitsexperten in diesem Bereich, würde aber genau deswegen diese Aufgabe für mein Unternehmen qualifizierten Fachleuten übertragen.

Aktuell setzen wir als Kleinstunternehmen auf die im Fazit des Artikels empfohlene Strategie der Sensibilisierung der Mitarbeiter für die drohenden Gefahren.

Gunter Ohrner, Böblingen