Wie kann ich Phishing erkennen und andere Email-Themen

Stand Nov. 2021 - Autor: Philipp Schaumann

 

Was ist Phishing

Unter Phishing versteht man Angriffe bei denen ein Benutzer dazu verleitet wird, etwas Unbedachtes zu tun und sich dadurch zum Opfer von Cyberkriminalität zu machen. (Phishing-Angriffe sind übrigens ein Spezialfall einer Technik, die man Social Engineering nennt.)

Viele täglich aktualisierte Beispiele von Phishing bringt die österreichische Website www.watchlist-internet.at. Sie geben auch Hintergrundinfos zu Themen wie Facebook Betrug, Abofallen, gefälschte Rechnungen, Handy Abzocke, Kleinanzeigen Betrug, etc.

Ganz wichtig zu wissen:
Schadsoftware holen Sie sich in 99% der Fälle selbst auf den Rechner oder das Smartphone. Bei modernen Geräten kann ihnen eigentlich nur etwas passieren, wenn Sie eine Aktion setzen, z.B. einen Anhang Aöffnen, auf einen Link klicken oder auf eine Website gehen die Ihr Gerät infiziert. Oder indem Sie einem Link folgen und dann dort ihren Benutzernamen und Passwort eingeben. D.h. solange Sie nichts tun, kann auch nichts passieren, alles ist unter Ihrer Kontrolle. Hier ein Beispiel aus dem US-Wahlkampf 2016: So einfach ließen sich US-Politiker hacken. Kurze Zusammenfassung: jeder große Angriff beginnt mit einem kleinen Fehler bei der Phishing-Erkennung.

Mittels Phishing sollen Sie dazu verleitet werden, einen Fehler zu machen und sich Schadsoftware auf ihr Gerät zu laden oder ihre Passworte zu verraten. Phishing ist nicht email-spezifisch, dies passiert auch oft in Social Networks und bei anderen Web-Aktivitäten.

D.h. wo immer und wie immer man im Web unterwegs ist, überall lauern Fallen, in die man nicht tappen sollte. Die beiden wichtigsten Hilfsmittel sind ein sicheres Gerät, siehe weiter oben, und aktive Vorsicht, die, vor allem bei überraschenden Vorgängen, eine kleine Prüfroutine anlaufen lässt.

Es gibt 2 Grundarten von "bösen" und gefährlichen Nachrichten: Erstens solche mit Links und dann solche mit Anhängen. Hier zuerst mal die Behandlung von Nachrichten/Mails, etc. mit Links (URLs).

 

Das Mail sieht auf den ersten Blick aus, als käme es von Microsoft, dem Betreiber des Email-Service Outlook - ist es aber nicht
Das Mail sieht auf den ersten Blick aus, als käme es von Microsoft, dem Betreiber des Email-Service Outlook. Aber schauen wir mal genauer hin.
Der Absender ist NICHT Microsoft sondern eine kostenlose Outlook-Adresse
Der Absender ist NICHT Microsoft, wie man erwarten sollte, sondern eine von Millionen kostenlosen Outlook-Adressen. Jeder kann diese Adresse anlegen. Wenn Microsoft ihnen schreibt, so kommt das von ......@microsoft.com
Nächster Schritt: Wir schauen uns an, wo die Reise bei dem Klick hinführen würde
mit mouse-over sieht man, wohin ein link wirklich führt
Dafür nutzen wir den Mouse-Over-Trick. Die Mouse fährt (wie im Bild) über den Link und in der Fußzeile steht, wohin der Link führt. Nein, das ist NICHT Microsoft!! Das geht auf eine unbekannte Domaine "ow.ly". Sie können sicher sein, dass ihnen da was untergeschoben werden soll.

Hier noch der Link zu einer guten Anleitung zum Erkennen von Phishingmails die die Uni Wien erstellt hat.

Drei Schritte zur Prüfung von Mails oder Nachrichten

Für Links, egal im Email oder in einer Nachricht, z.B. in einem Social Network, enthält die manuelle Prüfroutine z.B. folgende Schritte:

a) wie gut kenne ich den vermeintlichen Adressaten?

Falls ich ihn nicht wirklich kennen, bzw. keine Geschäftsbeziehung zu der Firma habe, dann Hände weg, nicht klicken, Dateien oder Emails löschen. Falls sie ihn gut kennen (und die Adresse wirklich stimmt) so müssen sie immer noch damit rechnen, dass sein Account gehackt wurde und der Link trotzdem gefährlich ist. Typisch ist z.B. dass von gehackten Facebook- oder Email-Accounts Notrufe versendet werden ("bin in London, alles Geld gestohlen, bitte überweise ganz schnell 300 Euro mit WesternUnion zu meinen Händen").

b) Wie plausibel ist der Inhalt der Nachricht?

Wenn ich kein Kunde dieser Firma bin, so wird mir diese Firma wohl auch keine Nachricht oder Rechnung senden, d.h. Hände weg. Wenn ich Kunde der Firma bin, und werde ich im Email persönlich angesprochen und der Inhalt bezieht sich auf eine Aktion die für mich plausibel ist, so darf ich das Öffnen eines Mails oder Links erwägen. Wenn ich aber nur den geringsten Zweifel an der Legitimität habe, so werde ich vorher das Helpdesk anrufen, bzw. ein Email an die Firma senden und mich vergewissern. Firmen denen die Sicherheit ihrer Kunden wichtig ist, senden keine Emails oder Nachrichten mit Links.

Und wenn der Inhalt einen drohenden Ton hat ("ihr account wird gesperrt falls sie nicht .....") so ist ganz große Vorsicht geboten. Auch dann große Vorsicht, wenn die Nachricht "too good to be true" ist, z.B. Lottogewinne wenn man nicht gespielt hat. Wenn es auch nur die Spur eines Verdachts gibt dass die Nachricht nicht legitim ist so rufen sie zuerstbei der ihnen bekannten Hotline/Helpdesk des Unternehmens an.

August 2018: Phishing wird gerade noch ein bisschen cleverer. Wir haben eine Zunahme von sog. Targeted Phishing mit persönlichem Password. Das gab es früher nur in Fällen, wo Personen gezielt als Opfer ausgewählt wurden, z.B. weil sie für eine bestimmte Firma oder Behörde arbeiten und diese Organisation angegriffen werden sollte. Jetzt gibt es dies in einer viel simpleren Form: Phishing, das die Adressaten mit ihrem Namen anspricht und sogar ein Passwort mitschickt, das der Person bekannt vorkommt. Woher haben die Angreifer den Namen und das Passwort? Kein Problem. Ständig lassen sich irgendwelche Firmen ihre Benutzerdatenbanken abnehmen. Diese Listen mit aktuellen Passworten sind käuflich und werden für solches Phishing verwendet. An anderer Stelle verlinke ich auf eine ständig aktualisierte Übersicht über Passwort-Verluste.

Hier ein Übersichtsartikel zu targeted phishing: 2018- The Year Targeted Phishing Went Mainstream. Gleich zu Beginn ein Link auf ein Beispiel das finanziell wohl sehr erfolgreich war: Erpressung durch Passwortdiebstahl und Masturbationsvideo. Fazit: selbst wenn der Adressat eines ihrer wirklichen Passworte kennt, so ist dies trotzdem mit 99,999% Wahrscheinlichkeit ein Massenphishing und hat mit Ihnen nichts zu tun, niemand hat ihnen beim Porn-Schauen zugesehen.

 

c) Wenn das Mail oder die Nachricht wirklich plausibel erscheint und ich schon fast bereit bin, auf den zu Link klicken, so schaue ich mir den Link genauer an.

Jetzt wird es etwas technischer.

Verlinkungen, d.h. URLs, prüft man auf einem Desktop oder Laptop VOR DEM KLICKEN mit dem sog. "Mouse-over", siehe Graphik links. Dafür führen sie in ihrem Web-Browser oder Email-Programm die Mouse über den Link, aber ohne zu klicken. Dann wird typischerweise in der Fußzeile des Browsers angezeigt, wohin der Link wirklich führt. Denn der Text des Links ist nicht immer das Ziel des Klicks).

Bei Smartphones funktionert diese vorherige Identifizierung des Ziels eines Links/einer URL ebenfalls. Wenn man den Finger auf dem Link (der URL) gedrückt hält, so erscheint nach kurzer Zeit ein Text der die wirkliche Verlinkung, d.h. die wirkliche URL, anzeigt. Bei Smartphones gibt es aber keine einfache Möglichkeit, sich das Zertifikat der Website anzusehen und von dem Link sehen sie manchmal nur die ersten Zeichen. Angreifer nutzen dies aus und simulieren Links, bei denen die ersten 10 Zeichen korrekt ausschauen, aber nicht relevant sind. Das eigentliche Ziel ist der Teil der direkt vor dem Slash (/) steht.

(Noch eine kleine Komplikationen: Bei Links werden oft URL-Shortening-Dienste verwendet, wie z.B. bit.ly. Um in so einem Fall das wirkliche Ziel zu finden müssen Sie auf die Seite des jeweiligen Dienstes gehen. Dort gibt es oft eine Möglichkeit, den verkürzten Link in die lange Form übersetzen zu lassen.)

Wenn das Mail oder die Nachricht behauptet z.B. von ebay zu kommen und das Mouse-over zeigt eine Adresse die nichts mit der Firma eBay zu tun hat oder auch Variationen wie http://ebay-helpdesk.ua oder http://ebay-helpdesk.com so ist bereits ganz klar dass der Link zu Schadsoftware oder Phishing führt (eine legitime ebay-Adresse könnte z.B. helpdesk.ebay.com sein - der Punkt statt Bindestrich zwischen helpdesk und ebay macht einen gigantischen Unterschied)

Jede wirkliche ebay-adresse würde immer die Zeichenfolge "ebay.com/" enthalten. Jeder kann eine Website registrieren, die irgendwo im Text ebay enthält, aber nur die Firma selbst besitzt die Adresse "ebay.com". Weiter unten gibt es mehr Beispiele dafür.

d) wenn ich neugierig bin und genügend Zeit habe, so kann ich den Text der Nachricht in eine Suchmaschine eingeben (mit dem Zusatz "scam") und dann finde ich sehr oft Geschichten von anderen Personen, die auf diesen Link hereingefallen sind.

Plausibler Domain- NameSicher gefälschter Domain- NameGrund
mail.google.demail-google.degoogle.de wird von Google kontrolliert, mail-google kann jeder anmelden
accounts. google.comaccounts-google.comgoogle.de wird von Google kontrolliert, accounts-google kann jeder anmelden
helpdesk. ebay.comhelpdesk-ebay.comebay.com wird von eBay kontrolliert, helpdesk-ebay kann jeder anmelden
www. amazon.jobswww.amazon-jobs.comamazon.jobs wird von Amazon kontrolliert, amazon-jobs.com kann jeder anmelden
services. amazon.comwww.amazon-services.comamazon.com wird von Amazon kontrolliert, amazon-services.com kann jeder anmelden
sellercentral. amazon.comsellercentral-amazon.comamazon.com wird von Amazon kontrolliert, sellercentral-amazon.com kann jeder anmelden

 

Beispiele für korrekte und inkorrekte Internet-Domains

Leider sind die Fälschungen der Absender-Domains nicht immer so plump wie in den Bild-Beispielen oben rechts. Oft werden für solche Angriffe plausiblere Domains extra angemeldet (so eine Domain kostet nicht viel).

Was ist eine Domain?
Eine Domain ist der Namen einer Internet-Adresse. Firmen (und Privatpersonen) kaufen solche Domains und können sie dann als Adresse im Internet nutzen. "sicherheitskultur.at" ist eine solche Domain, oder "google.com" oder "microsoft.com". Wer der Besitzer der Domain google.com ist, der kann auch eine Web-Adresse support.google.com einrichten, d.h. eine sog. Subdomain. D.h. wer die Haupt-Domain besitzt, kann Sub-Domains davor setzen. Daher ist sicher, dass auch mail.google.com im Besitz von Google ist.

Aber was ist mit mail-google.com oder google-mail.com? Der Punkt hat in einer URL eine besondere Bedeutung, alle anderen Sonderzeichen sind Teil des Domain-Namens, z.B. hier die "-" (minus) im Namen. Diese Domains sind mit sehr großer Sicherheit NICHT im Besitz von Google. Diese Domains kann nämlich eigentlich jeder kaufen. Er kann langfristig Aauml;rger mit den Anwälten von Google bekommen, weil er evt. gegen Markenrecht verstößt. Aber bis dahin ist die Phishing-Kampagne längst vorbei und dann werden neue Domains gekauft.

Das Mail behauptet von FedEx zu sein. Falls sie nichts bestellt haben, so sollten sie es gleich löschen. Falls doch, so müssen sie sich die Nachricht genauer ansehen.
Leider wird in diesem Fall nicht so bequem gleich die gefälschte Adresse präsentiert, aber nachdem man mit der Mouse über die Adresse fährt, so öffnet sich das Fenster und wir sehen, das Mail kommt von dandd@homesteadbk.com. Das klingt aber gar nicht nach FedEx. Da hat sich wohl jemand seinen Mail-Account wegnehmen lassen und der wird jetzt für Betrug verwendet. Damit ist eigentlich schon alles klar, aber wenn wir neugierig sind, dann prüfen wir noch den Link mit Mouse-Over:
Nein, dieses Kauderwelsch ist sicher keine FedEx-Adresse. Hier noch mal in einem anderen Browser

 

Nachrichten mit Anhängen

Anhänge, egal was da angeblich für eine Datei dranhängt, sind immer potentiell gefährlich und sollten nur in Ausnahmefällen geöffnet werden. Beispiele für solche positiven Ausnahmefälle sind z.B. Anhänge die sie explizit von dieser person oder dieser Firma angefordert haben, bzw. wo sie auf einem anderen Kanal, z.B. per Telefon eine Bestätigung für die Legitimität bekommen haben.

In allen andern Fällen ist Vorsicht angesagt. Es gibt nur wenige Dateien, bei denen Schadsoftware mit absoluter Sicherheit ausgeschlossen werden kann. viele Formate, wie z.B. Office Dokumente oder PDFs können sog. Macros enthalten, die Schadsoftware beinhalten können. falls ihr Gerät wirklich aktuelle Software und Schutz gegen Schadsoftware enthält, so sollten sie in allen kritischen Fällen eine Warnung bekommen. Auf jeden Fall "böse" sind ausführbare Dateien (nicht nur .exe, es gibt viele Formate) und die sollten sie auf keinen Fall installieren.

Falls sie schon fast bereit sind, die Datei auf ihren Rechner zu laden oder eine angehängte Datei zu öffnen so gehen sie zur Sicherheit noch mal die 3 Schritte durch, die wir bei Links bereits hatten:

  1. Wie gut kenne ich den Adressaten
  2. Ist die Zusendung wirklich plausibel
  3. Ist das wirklich die Absenderadresse der Person oder der Firma (es gelten die gleichen Regeln wie oben: mail-google.com oder helpdesk-ebay.com sind keine legitimen Google oder Ebay Adressen! - Erklärung siehe oben)

 

 

 

Auch das BSI-fuer-Bürger hat eine Website zu Phishing.

Und hier ist eine (englische) aktualisierte Übersicht über Phishing-Tricks in 2023.

 
 
Zurück nach oben

 

Email-Themen

Emails und Vertraulichkeit

Früher hat man gesagt "ein Email ist so vertraulich wie eine Postkarte", aber in diesen modernen Zeiten weiß die jüngere Generation wohl kaum noch, was eine Postkarte ist.

Der wichtige Punkt ist, dass unverschlüsselte Emails für sensible Kommunikationen wohl die schlechteste von allen elektronischen Methoden ist. Emails (wenn unverschlüsselt) werden im Klartext versendet, werden möglicherweise nicht nur beim Empfänger und Absender in Klartext gespeichert und archiviert. Überall wo die Mails gespeichert werden, können sie auch "verloren gehen". Prominente Beispiele sind die veröffentlichten Dokumente von Sony Pictures Entertainment, des Democratic National Committee, Hacking Team und viele andere, die in den meisten dieser Fälle zum schnellen Ende von vielversprechenden Karrieren geführt haben.

Neben dem großen Datendiebstahl den zum Glück nur wenige erleiden mussten hat vermutlich jeder von uns kleine Email-Katastrophen erlebt:

  • Die Mails bei denen die automatische Namenserkennung die falsche Person in die Adresszeile eingefügt hat,
  • die Mails die nur für den einen Adressaten bestimmt waren, von diesem jedoch weitergeleitet wurden,
  • die fremden Emails die man weitergeleitet bekommt und bei denen weiter unten in der langen Mailkette Informationen drin sind, die eigentlich nicht für den neuen Adressatenkreis bestimmt waren.

Die strenge Regel kann daher nur sein:

In ein Email gehört nichts hinein, von dem man sich nicht trauen würde, es in einem größeren Kreis laut zu verkünden.

Zum Beispiel keine Kritik über Dritte, die man nicht sehr detailliert begründen und belegen kann, keine negativen Aussagen über den Arbeitgeber die nicht beweisbar sind, etc. Die Wahrscheinlichkeit, dass solche Mails weitergeleitet werden ist groß, speziell dann wenn die Kritik "knackig" und prägnant oder süffisant formuliert ist. Ich muss immer über den direkten Adressatenkreis hinaus denken und planen, denn wenn das Email abgeschickt ist, so habe ich die Kontrolle über seine Verbreitung vollständig verloren. Und da ist es eigentlich egal, ob es sich um private oder Firmen-Emails handelt.

Frage: Und wie kann ich vertrauliche Kommunikation besser gestalten?
Zum Beispiel indem ich mich mit der Person treffe, die Türe zu mache und wir reden F2F (face-to-face). Oder vielleicht noch besser: man geht gemeinsam spazieren. Natürlich gibt es verschlüsselte Emails, aber die sind (immer noch) etwas komplizierter und haben sich daher bisher nicht wirklich durchgesetzt (an anderer Stelle mehr Details). Aber es gibt heute eine ganze Reihe von Messengern /Chat Anwendungen, die zum Teil sehr sicher sind.

 

Wie wär's mit etwas mehr Datenschutz?

Bevor wir zu der Zahl der notwendigen Adressen kommen, so schlage ich vor, dass Sie sich ernsthaft überlegen, ob eine kostenlose amerikanische Email-Adresse bei einem der großen US-Anbieter eigentlich die richtige Wahl für ihre wirklich private Kommunikation ist. Bitte bedenken Sie die alte Regel: "Da wo ich nichts zahle, da bin ich nicht Kunde sondern die Ware". Wollen Sie ihre persönliche Kommunikation wirklich zur Auswertung durch Datenhändler zur Verfügung stellen?

Es gibt als Alternative deutsche Anbieter die zwar nicht kostenlos, aber durchaus erschwinglich sind: 1 Euro pro Monat pro Mailbox. Die Stiftung Warentest hat 15 Dienste geprüft und 2 davon als sehr empfehlenswert beurteilt: Posteo und Mailbox.org. Diese Firmen unterliegen dem europäischen Datenschutzvorschriften und leben auch nicht davon, dass sie die Kundendaten für Werbung verwenden müssen. Ich persönlich bin seit einigen Jahren zufriedener Kunde von mailbox.org. Beide bieten Webzugang und die Unterstützung von Mailprogrammen wie Outlook oder Mozilla Thunderbird an, und auch verschlüsselte Emails, mehr dazu weiter unten.

 

Wie viele Email-Adressen braucht man heute?

Mailadressen brauchen Sie heute für viele Zwecke. Der Hauptzweck ist, dass Ihnen Ihre Freunde, Bekannten und Familienmitglieder Nachrichten senden wollen (auch wenn das immer mehr durch Messaging Apps ersetzt wird), nennen wir das mal Ihre Hauptadresse. Diese ist sinnvollerweise "sprechend", d.h. sie enthält den Namen der Person. Für diese Email-Adresse sollten sie sich ernsthaft überlegen, ob sie die wirklich eines der kostenlosen Angebote nutzen wollen, denn "wer nicht zahlt, der ist nicht Kunde, sondern die Ware", sie zahlen dann eben mit ihren Daten. Ich verwende z.B. mailbox.org, ein deutscher Anbieter, unterliegt dem europäischen Datenschutzrecht, kostet mit 1 Euro im Monat und ist nicht darauf angewiesen, aus meinen Daten Geld zu machen.

Eine weitere Nutzung von Email-Adressen ist die Registrierung auf einer Website. Dies ist wichtig, z.B. für Passwort-Rücksetzungen. Überlegen Sie, ob Sie wirklich auf jeder Website Ihre "sprechende" Hauptadresse hinterlassen wollen (die ihren Namen beinhaltet)? Websites sind unterschiedlich seriös und wenn Sie sich z.B. für ein Gewinnspiel registrieren wollen so können Sie eher damit rechnen, dass diese Adresse weiter verkauft und später zugespamt wird. Wenn Sie für solche Fälle bei denen der Verlust der Registrierung und des Zugangs nicht wirklich weh tut eine anonyme kostenlose "Wegwerfadresse" nutzen so können sie den Account einfach ignorieren wenn dort zu viel Spam reinkommt (der Anbieter wird den Account nach 1 jahr Inaktivität dann löschen).

Andere Registrierungen wollen Sie auf keinen Fall verlieren, z.B. wenn auf einer Website ihre Kaufhistorie im Webshop hinterlegt ist oder sie dort Daten gespeichert haben. Die dort hinterlegte Adresse wird für das Erneuern des Passworts genutzt und ist daher recht kritisch. Wer Zugang zu diesem Mailkonto hat, der kann auch diesen Shopping-Account übernehmen, schlimmstenfalls die Lieferadresse ändern und auf ihre Rechnung einkaufen. Das ist bei einem Zeitungsabo vielleicht nicht so dramatisch (außer dort ist ihre Kreditkarte hinterlegt), aber wer an ihr Amazonkonto kann (weil er das Passwort zurücksetzen kann), der kann auf ihre Kreditkarte einkaufen gehen. Und wenn diese Adresse wegen Inaktivität abgelaufen ist, so können Sie ihr Passwort nicht mehr zurücksetzen.

Außerdem verwendet man eine separate Email-Adresse auch oft um sich wöchentliche oder monatliche Newsletter zusenden zu lassen (auch diese Website bietet so einen Dienst an). Überlegen sie, ob sie dafür eine weitere Adresse reservieren. Wichtig: Wenn Sie kostenlose Adressen immer nur für Mail-Eingang nutzen so laufen diese nach 1 Jahr in der Regel ab und sind verloren und dann bleibt dieser Newsletter überraschend aus.

Frage: Wie kann man denn den Überblick über die Registrierungen behalten?
Heute wo in ganz großer Teil des Lebens über das Internet organisiert wird ist es wichtig, auch dort den Überblick zu behalten. Sie sollten irgendwo eine Liste aller Registrierungen auf Websites gespeichert haben mit allen, was dabei wichtig sein könnte.

Das kann entweder ein Passwortsafe (an anderer Stelle besprochen) oder das ist eine einfache Datei in der Sie diese Informationen speichern. Der Passwortsafe hat den Vorteil, dass die Daten dort verschlüsselt und mit ihrem Masterpasswort geschützt sind.

In der Datei, oder besser, dem Passwortsafe können Sie alle Websites vermerken auf denen Sie registriert sind. Vorschlag: speichern Sie dort nicht nur das jeweilige Passwort sondern auch die dort hinterlegte Email-Adresse, eventuelle Sicherheitsfragen, PIN-codes, Helpdesk tel-Nr., das (falsche) Geburtsdatum das Sie dort eingegeben haben, welche Handynummer Sie dort für Passwort-Rücksetzungen hinterlegt haben, welche Kreditkartennummer dort gespeichert ist, etc. So können sie checken, welche Registrierungen sie z.B. bei einem Wechsel der Handynummer ändern müssen. Ob Sie das Passwortsafe ins Netz synchronisieren lassen wollen, sollten sie sich gut überlegen (siehe weiter oben).

Wegwerfadressen - Vor- und Nachteile

Es gibt Anbieter von sog. Wegwerf-Email-Adressen anbieten. Die Idee dahinter ist, dass eine solche Adresse verwendet werden kann um sich bei einer Website zu registrieren der man nicht wirklich vertraut, bzw. die nicht die wirkliche "sprechende" Adresse kennen soll (z.B. eine Pornowebsite). Diese Mail-Anbieter löschen die Adresse nach einer bestimmten Zeit, z.B. 24 Stunden. Gelöschte Adresse, das bedeutet dass sicher kein Spam kommt und sicher auch kein böses Phishing Mail.

Aber so eine Adresse ist nicht geeignet für die Registrierung bei einem Dienst auf dem ich Daten hinterlegt habe auf die ich nicht verzichten möchte. Denn die Registrierungsadresse die ich bei einer Website angebe ist auch die Adresse, über die ich mein Passwort wiederherstellen kann. Wegwerfadressen bedeuten dass keine Passwort-Aauml;nderungen möglich sind, egal ob von mir durch falsche Passworteingabe ausgelöst oder durch den Anbieter, z.B. weil es dort ein Datenleck gab.

D.h. Wegwerfadressen sind nur dann empfehlenswert, wenn eine Passwort-Wiederherstellung nicht notwendig ist. Und das könnte sogar für eine Porno-Website notwendig sein, z.B. wenn ich dort meine Kreditkarte eingegeben habe und diesen Dienst stornieren möchte.

Auch noch zu bedenken ist, dass eine solche Wegwerfadresse bei weitem nicht ausreicht um anonym im Web unterwegs zu sein. Dies ist eine sehr komplexe Aufgabe, die ich an anderer Stelle ausführlich behandelt habe. Dabei komme ich z.B. um eine Software wie TOR nicht herum. Mehr zum Thema Anonymität an anderer Stelle.

 

Email-Verschlüsselung

Explizite Email-Verschlüsselung ist leider auch nach Jahrzehnten der Verfügbarkeit immer noch nicht wirklich einfach zu nutzen. Hier ist eine Verlinkung auf einen Artikel der die alternativen Optionen zu Email-Verschlüsselung darstellt.

Eine wichtige Entscheidung ist, ob man die sicherste Methode verwenden will: nämlich Entschlüsselung der Mails nur auf dem eigenen Gerät zu Hause oder Entschlüsselung auch auf dem Webserver des Mailbetreibers. Beide oben empfohlenen deutschen Anbieter unterstützen beide Optionen. Bei Ver- und Entschlüsselung auf dem Webserver des Anbieters liegt natürlich der private Schlüssel (auch) dort.

Ich selbst habe früher GnuPG als Plugin zu Outlook verwendet, was aber den Nachteil hat, dass ich von unterwegs keine verschlüsselten Mails senden und entziffern kann. Heute (2020) verlasse ich mich aber darauf, dass die Email-Provider die Mails zwischen ihren Servern gut verschlüsseln (was sie eigentlich auch ganz OK tun).

Und wenn etwas wirklich vertraulich sein soll, so sendet man das heute nicht mehr per Email - heute gibt es die sauber verschlüsselnden Messenger (Signal, Matrix, aber auch Whatsapp) und die unterstützen Ende zu Ende-Verschlüsselung. Das reicht für den:die Normalverbraucher:in.

Das gilt aber nicht unbedingt für sog. exponierte Personen. Das sind nicht nur Journalisten, Politiker, LGBT-Aktivisten, etc. sondern z.B. auch Menschen mit gewalttätigen Partnern. Mehr zu diesen Problemen gibt es beim vorigen Link.

 


Philipp Schaumann, https://sicherheitskultur.at/


zeigende Hand als Hinweis auf Verlinkung zur HauptseiteHome

Copyright-Hinweis:
Das Copyright des Materials auf diesen Webseiten liegt, falls kein anderer Autor genannt wird, bei Philipp Schaumann. Creative Commons License Icon
Diese Texte sind lizensiert unter der Create Commons Attribution-Noncommercial-Share Alike 2.0 Austria Lizenz. Natürlich gelten auch die Regeln des Fair Use und über Ausnahmen bzgl. der Lizenz kann jederzeit mit den Autoren gesprochen werden.