Abo
  • Services:
Anzeige
Bürgerfreundliche E-Mail-Verschlüsselung scheint in Brüssel keine hohe Priorität zu haben.
Bürgerfreundliche E-Mail-Verschlüsselung scheint in Brüssel keine hohe Priorität zu haben. (Bild: Martin Wolf/Golem.de)

E-Mail-Verschlüsselung: EU-Kommission hat Angst vor verschlüsseltem Spam

PGP ist sicher, aber in der Handhabung oft kompliziert, gerade in größeren Unternehmen. Die EU-Kommission will die Technik in einem Pilotprojekt für alle Mitarbeiter einführen. Eine Angst geht dabei um: die vor verschlüsselten Spammails.

Die Parlamentarier in Brüssel müssen wohl selbst gemerkt haben, dass es so nicht weitergehen kann mit der (nicht vorhandenen) E-Mail-Verschlüsselung in ihrem Hause. Die Abgeordneten baten die EU-Kommission schließlich herauszufinden, welche technischen Lösungen wohl am besten gegen Bedrohungen wie Massenüberwachung und gezielte Cyberspionage geeignet seien.

Anzeige

In einer Studie, welche die EU-Kommission bei der IT-Beratungsfirma Everis in Auftrag gegeben hat und die Golem.de exklusiv vorliegt, schlagen die Autoren ein S/MIME-basiertes Zertifikatesystem vor, bei dem die teilnehmenden Institutionen jeweils ihre eigene Public-Key-Infrastruktur (PKI) unterhalten. Quelloffene oder freie Software scheint bei diesen Plänen aber ebenso wenig eine Rolle zu spielen wie die Möglichkeit für normale Bürger, sich vertraulich an ihre gewählten Politiker zu wenden. Letzteres soll aus Schutz vor "verschlüsseltem Spam" sogar explizit ausgeschlossen werden.

Geheime öffentliche Schlüssel

"Die Institutionen werden mit Spam geflutet", sagt uns ein hochrangiger Beamter aus der IT-Abteilung der EU-Kommission. Wären die öffentlichen Schlüssel der Mitarbeiter wirklich öffentlich, böte dies ein "zusätzliches Angriffsszenario für gezielte Phishing-Attacken". Mit Malware verseuchte E-Mails könnten sich dank Verschlüsselung an den serverseitigen Filtern vorbeischleichen. Die E-Mail-Adressen der Beamten sind nach dem Muster vorname.nachname@ec.europa.eu in Kombination mit dem öffentlichen Mitarbeiterverzeichnis tatsächlich einfach zu erraten.

Wir fragen beim Computer Emergency Response Team der EU nach, was man dort über die Gefahren durch verschlüsselten Spam weiß. Auch die Mitarbeiterinnen und Mitarbeiter des Cert-EU sind per verschlüsselter E-Mail zu erreichen, sowohl OpenPGP als auch S/MIME werden unterstützt. Von verschlüsseltem Spam habe man aber noch nie gehört, versichert der stellvertretende Direktor. Zwar könne man sich theoretisch durch Malware verseuchte Mails vorstellen, in der Praxis sei das aber kein Problem.

Vielleicht hat das Cert-EU nicht genügend Praxiserfahrung, denken wir und suchen weiter: Anruf bei Access Now, einer globalen Nichtregierungsorganisation, die für den digitalen Schutz von Dissidenten und Journalisten kämpft. Access Now unterhält weltweit acht Büros, unter anderem in Hotspots wie Tunesien und den Philippinen. Jeder Mitarbeiter, einschließlich Praktikanten, hat einen PGP-Schlüssel. Die öffentlichen Schlüssel sind jeweils auf der Webseite und meist auch auf einschlägigen Keyservern zu finden.

Obwohl man Access Now durchaus als wertvolles Hackerziel sehen kann, ist auch hier noch nicht eine einzige verschlüsselte Spam-Mail eingegangen, versichert uns der Chief Technologist und IT-Sicherheitsexperte der Organisation. "Es ist viel wahrscheinlicher, dass Spam in unverschlüsselter Form mithilfe anderer Strategien durch die Spamfilter rutscht." Die IT-Verantwortlichen einer großen Organisation wie den EU-Institutionen sollten sich sowieso nicht einfach nur auf die serverseitigen Filtersysteme verlassen. "Die effektivste Verteidigung gegen bösartige E-Mails ist die Schulung der Mitarbeiter verbunden mit guter Endgerätesicherheit, vernünftig konfigurierter Firewalls und überwachter Host Intrusion Detection Systeme." In so einem Setup ließe sich E-Mail-Verschlüsselung als Teil der Verteidigung gegen bösartige E-Mails nutzen, anstatt diese als Angriffsvektor fürchten zu müssen.

E-Mail-Verschlüsselung für alle EU-Institutionen bereits 2017? 

eye home zur Startseite
Schnarchnase 27. Jun 2016

Nein, das war eine Mischung aus Dummheit und zu weniger Gutsherrenprivilegien für die Krone.

My1 27. Jun 2016

aber auch spammer können ihre mails via PGP signieren.

nicoledos 23. Jun 2016

Die Verschlüsselung ist nur eine Komponente. Diese stellt sicher, dass keine unbefugten...

lear 22. Jun 2016

Hah? Der payload ist ohnehin AES verschlüsselt, nur der Sitzungsschlüssel per RSA und...

Ass Bestos 22. Jun 2016

bestrafen statt menschen schulen? immer diese afd wähler.



Anzeige

Stellenmarkt
  1. DRÄXLMAIER Group, Garching
  2. T-Systems International GmbH, Berlin
  3. LEGIAL AG, München
  4. MBtech Group GmbH & Co. KGaA, Sindelfingen, Stuttgart


Anzeige
Top-Angebote
  1. 179,00€
  2. 5,00€ inkl. Versand über Saturn
  3. 5,00€ inkl. Versand über Saturn

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Mit digitalen Workflows Geschäftsprozesse agiler machen
  2. Praxiseinsatz, Nutzen und Grenzen von Hadoop und Data Lakes
  3. Kritische Bereiche der IT-Sicherheit in Unternehmen


  1. Breath of the Wild

    Zelda bietet auf Switch bessere Auflösung und Sounds

  2. Android Wear 2.0

    Neue Tag-Heuer-Smartwatch soll im Mai 2017 erscheinen

  3. FTC

    Qualcomm soll Apple zu Exklusivvertrag gezwungen haben

  4. Wechsel zu VP9

    Youtube spielt keine 4K-Videos in Safari ab

  5. Steadicam Volt

    Steadicam-Halterung für die Hosentasche

  6. Eingefrorene Macs

    Apple aktualisiert Sicherheitsupdate

  7. Android Wear 2.0

    Erste neue Smartwatches kommen von LG

  8. Open Data

    Thüringen stellt Geodaten kostenfrei zur Verfügung

  9. Whistleblowerin

    Obama begnadigt Chelsea Manning

  10. Stadtnetz

    Straßenbeleuchtung als Wifi-Standort problematisch



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Reverse Engineering: Mehr Spaß mit Amazons Dash-Button
Reverse Engineering
Mehr Spaß mit Amazons Dash-Button

Glasfaser: Nun hängt die Kabel doch endlich auf!
Glasfaser
Nun hängt die Kabel doch endlich auf!
  1. Fake News Für Facebook wird es hässlich
  2. Nach Angriff auf Telekom Mit dem Strafrecht Router ins Terrorcamp schicken oder so
  3. Soziales Netzwerk Facebook wird auch Instagram kaputt machen

Western Digital Pidrive im Test: Festplatte am Raspberry Pi leicht gemacht
Western Digital Pidrive im Test
Festplatte am Raspberry Pi leicht gemacht
  1. Sopine A64 Weiterer Bastelrechner im Speicherriegel-Format erscheint
  2. Bootcode Freie Firmware für Raspberry Pi startet Linux-Kernel
  3. Raspberry Pi Compute Module 3 ist verfügbar

  1. Vielleicht ein Hebelprodukt der CI A ... ?

    Shrykull | 11:00

  2. Re: Die Obama-Enttäuschung

    thecrew | 11:00

  3. Kommt da eine neuer Großkonzern

    xenofit | 10:58

  4. Re: crackberry.com

    Hahjo | 10:58

  5. Re: "Wir bauen mehr Glasfaser als jeder andere...

    neocron | 10:57


  1. 11:11

  2. 10:56

  3. 10:41

  4. 08:59

  5. 08:44

  6. 08:21

  7. 08:18

  8. 06:01


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel