Abo
  • Services:
Anzeige
Bürgerfreundliche E-Mail-Verschlüsselung scheint in Brüssel keine hohe Priorität zu haben.
Bürgerfreundliche E-Mail-Verschlüsselung scheint in Brüssel keine hohe Priorität zu haben. (Bild: Martin Wolf/Golem.de)

E-Mail-Verschlüsselung: EU-Kommission hat Angst vor verschlüsseltem Spam

Bürgerfreundliche E-Mail-Verschlüsselung scheint in Brüssel keine hohe Priorität zu haben.
Bürgerfreundliche E-Mail-Verschlüsselung scheint in Brüssel keine hohe Priorität zu haben. (Bild: Martin Wolf/Golem.de)

PGP ist sicher, aber in der Handhabung oft kompliziert, gerade in größeren Unternehmen. Die EU-Kommission will die Technik in einem Pilotprojekt für alle Mitarbeiter einführen. Eine Angst geht dabei um: die vor verschlüsselten Spammails.

Die Parlamentarier in Brüssel müssen wohl selbst gemerkt haben, dass es so nicht weitergehen kann mit der (nicht vorhandenen) E-Mail-Verschlüsselung in ihrem Hause. Die Abgeordneten baten die EU-Kommission schließlich herauszufinden, welche technischen Lösungen wohl am besten gegen Bedrohungen wie Massenüberwachung und gezielte Cyberspionage geeignet seien.

Anzeige

In einer Studie, welche die EU-Kommission bei der IT-Beratungsfirma Everis in Auftrag gegeben hat und die Golem.de exklusiv vorliegt, schlagen die Autoren ein S/MIME-basiertes Zertifikatesystem vor, bei dem die teilnehmenden Institutionen jeweils ihre eigene Public-Key-Infrastruktur (PKI) unterhalten. Quelloffene oder freie Software scheint bei diesen Plänen aber ebenso wenig eine Rolle zu spielen wie die Möglichkeit für normale Bürger, sich vertraulich an ihre gewählten Politiker zu wenden. Letzteres soll aus Schutz vor "verschlüsseltem Spam" sogar explizit ausgeschlossen werden.

Geheime öffentliche Schlüssel

"Die Institutionen werden mit Spam geflutet", sagt uns ein hochrangiger Beamter aus der IT-Abteilung der EU-Kommission. Wären die öffentlichen Schlüssel der Mitarbeiter wirklich öffentlich, böte dies ein "zusätzliches Angriffsszenario für gezielte Phishing-Attacken". Mit Malware verseuchte E-Mails könnten sich dank Verschlüsselung an den serverseitigen Filtern vorbeischleichen. Die E-Mail-Adressen der Beamten sind nach dem Muster vorname.nachname@ec.europa.eu in Kombination mit dem öffentlichen Mitarbeiterverzeichnis tatsächlich einfach zu erraten.

Wir fragen beim Computer Emergency Response Team der EU nach, was man dort über die Gefahren durch verschlüsselten Spam weiß. Auch die Mitarbeiterinnen und Mitarbeiter des Cert-EU sind per verschlüsselter E-Mail zu erreichen, sowohl OpenPGP als auch S/MIME werden unterstützt. Von verschlüsseltem Spam habe man aber noch nie gehört, versichert der stellvertretende Direktor. Zwar könne man sich theoretisch durch Malware verseuchte Mails vorstellen, in der Praxis sei das aber kein Problem.

Vielleicht hat das Cert-EU nicht genügend Praxiserfahrung, denken wir und suchen weiter: Anruf bei Access Now, einer globalen Nichtregierungsorganisation, die für den digitalen Schutz von Dissidenten und Journalisten kämpft. Access Now unterhält weltweit acht Büros, unter anderem in Hotspots wie Tunesien und den Philippinen. Jeder Mitarbeiter, einschließlich Praktikanten, hat einen PGP-Schlüssel. Die öffentlichen Schlüssel sind jeweils auf der Webseite und meist auch auf einschlägigen Keyservern zu finden.

Obwohl man Access Now durchaus als wertvolles Hackerziel sehen kann, ist auch hier noch nicht eine einzige verschlüsselte Spam-Mail eingegangen, versichert uns der Chief Technologist und IT-Sicherheitsexperte der Organisation. "Es ist viel wahrscheinlicher, dass Spam in unverschlüsselter Form mithilfe anderer Strategien durch die Spamfilter rutscht." Die IT-Verantwortlichen einer großen Organisation wie den EU-Institutionen sollten sich sowieso nicht einfach nur auf die serverseitigen Filtersysteme verlassen. "Die effektivste Verteidigung gegen bösartige E-Mails ist die Schulung der Mitarbeiter verbunden mit guter Endgerätesicherheit, vernünftig konfigurierter Firewalls und überwachter Host Intrusion Detection Systeme." In so einem Setup ließe sich E-Mail-Verschlüsselung als Teil der Verteidigung gegen bösartige E-Mails nutzen, anstatt diese als Angriffsvektor fürchten zu müssen.

E-Mail-Verschlüsselung für alle EU-Institutionen bereits 2017? 

eye home zur Startseite
Schnarchnase 27. Jun 2016

Nein, das war eine Mischung aus Dummheit und zu weniger Gutsherrenprivilegien für die Krone.

My1 27. Jun 2016

aber auch spammer können ihre mails via PGP signieren.

nicoledos 23. Jun 2016

Die Verschlüsselung ist nur eine Komponente. Diese stellt sicher, dass keine unbefugten...

lear 22. Jun 2016

Hah? Der payload ist ohnehin AES verschlüsselt, nur der Sitzungsschlüssel per RSA und...

Ass Bestos 22. Jun 2016

bestrafen statt menschen schulen? immer diese afd wähler.



Anzeige

Stellenmarkt
  1. operational services GmbH & Co. KG, Stuttgart
  2. CENIT AG, Stuttgart, deutschlandweit
  3. Südwestrundfunk, Stuttgart
  4. GK Software AG, Schöneck, Pilsen (Tschechien)


Anzeige
Top-Angebote
  1. (u. a. London Has Fallen, The Imitation Game, Lone Survivor, Olympus Has Fallen)
  2. (u. a. Der Hobbit 3, Der Polarexpress, Ice Age, Pan, Life of Pi)
  3. (u. a. 96 Hours Taken 3 6,97€, London Has Fallen 9,97€, Homefront 7,49€, Riddick 7,49€)

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Potenzialanalyse für eine effiziente DMS- und ECM-Strategie
  2. Mehr dazu im aktuellen Whitepaper von IBM
  3. Sicherheitskonzeption für das App-getriebene Geschäft


  1. Apollo Lake

    Intel bringt neue NUC-Mini-PCs mit Atom-Antrieb

  2. Ericsson und Intel

    AT&T startet 5G-Test mit Kunden

  3. Samsung

    Akku im Galaxy Note 7 hatte vermutlich zu wenig Platz

  4. Datenbank

    Youtube und Facebook bekämpfen Terrorpropaganda

  5. Gigaset Mobile Dock im Test

    Das Smartphone wird DECT-fähig

  6. Fire TV

    Amazon bringt Downloader-App wieder zurück

  7. Wechselnde Standortmarkierung

    GPS-Probleme beim iPhone 7

  8. Paketlieferungen

    Schweizer Post fliegt ab 2017 mit Drohnen

  9. Apple

    Akkuprobleme beim neuen Macbook Pro

  10. Red Star OS

    Sicherheitslücke in Nordkoreas Staats-Linux



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Robot Operating System: Was Bratwurst-Bot und autonome Autos gemeinsam haben
Robot Operating System
Was Bratwurst-Bot und autonome Autos gemeinsam haben
  1. Roboterarm Dobot M1 - der Industrieroboter für daheim
  2. Roboter Laundroid faltet die Wäsche
  3. Fahrbare Roboter Japanische Firmen arbeiten an Transformers

Super Mario Bros. (1985): Fahrt ab auf den Bruder!
Super Mario Bros. (1985)
Fahrt ab auf den Bruder!
  1. Quake (1996) Urknall für Mouselook, Mods und moderne 3D-Grafik
  2. NES Classic Mini im Vergleichstest Technischer K.o.-Sieg für die Original-Hardware

HPE: Was The Machine ist und was nicht
HPE
Was The Machine ist und was nicht
  1. IaaS und PaaS Suse bekommt Cloudtechnik von HPE und wird Lieblings-Linux
  2. Memory-Driven Computing HPE zeigt Prototyp von The Machine
  3. Micro Focus HP Enterprise verkauft Software für 2,5 Milliarden Dollar

  1. DECT tötet es bevor es Eier legt.

    user0345 | 11:06

  2. Re: Externes Gerät? Token?

    eXeler0n | 11:06

  3. Re: 2FA bei Passwortmanagern?

    My1 | 11:02

  4. Re: Induktiv laden gehört verboten

    jo-1 | 11:00

  5. Re: Ihr macht euch Gefanken über Kosten?!?

    blubberer | 10:57


  1. 10:47

  2. 10:20

  3. 10:02

  4. 09:49

  5. 09:10

  6. 08:29

  7. 07:49

  8. 07:33


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel