Abo
  • Services:

E-Mail-Verschlüsselung: EU-Kommission hat Angst vor verschlüsseltem Spam

PGP ist sicher, aber in der Handhabung oft kompliziert, gerade in größeren Unternehmen. Die EU-Kommission will die Technik in einem Pilotprojekt für alle Mitarbeiter einführen. Eine Angst geht dabei um: die vor verschlüsselten Spammails.

Ein Bericht von veröffentlicht am
Bürgerfreundliche E-Mail-Verschlüsselung scheint in Brüssel keine hohe Priorität zu haben.
Bürgerfreundliche E-Mail-Verschlüsselung scheint in Brüssel keine hohe Priorität zu haben. (Bild: Martin Wolf/Golem.de)

Die Parlamentarier in Brüssel müssen wohl selbst gemerkt haben, dass es so nicht weitergehen kann mit der (nicht vorhandenen) E-Mail-Verschlüsselung in ihrem Hause. Die Abgeordneten baten die EU-Kommission schließlich herauszufinden, welche technischen Lösungen wohl am besten gegen Bedrohungen wie Massenüberwachung und gezielte Cyberspionage geeignet seien.

Inhalt:
  1. E-Mail-Verschlüsselung: EU-Kommission hat Angst vor verschlüsseltem Spam
  2. E-Mail-Verschlüsselung für alle EU-Institutionen bereits 2017?
  3. Verschlüsseln, ja - aber nicht für geheime Dokumente

In einer Studie, welche die EU-Kommission bei der IT-Beratungsfirma Everis in Auftrag gegeben hat und die Golem.de exklusiv vorliegt, schlagen die Autoren ein S/MIME-basiertes Zertifikatesystem vor, bei dem die teilnehmenden Institutionen jeweils ihre eigene Public-Key-Infrastruktur (PKI) unterhalten. Quelloffene oder freie Software scheint bei diesen Plänen aber ebenso wenig eine Rolle zu spielen wie die Möglichkeit für normale Bürger, sich vertraulich an ihre gewählten Politiker zu wenden. Letzteres soll aus Schutz vor "verschlüsseltem Spam" sogar explizit ausgeschlossen werden.

Geheime öffentliche Schlüssel

"Die Institutionen werden mit Spam geflutet", sagt uns ein hochrangiger Beamter aus der IT-Abteilung der EU-Kommission. Wären die öffentlichen Schlüssel der Mitarbeiter wirklich öffentlich, böte dies ein "zusätzliches Angriffsszenario für gezielte Phishing-Attacken". Mit Malware verseuchte E-Mails könnten sich dank Verschlüsselung an den serverseitigen Filtern vorbeischleichen. Die E-Mail-Adressen der Beamten sind nach dem Muster vorname.nachname@ec.europa.eu in Kombination mit dem öffentlichen Mitarbeiterverzeichnis tatsächlich einfach zu erraten.

Wir fragen beim Computer Emergency Response Team der EU nach, was man dort über die Gefahren durch verschlüsselten Spam weiß. Auch die Mitarbeiterinnen und Mitarbeiter des Cert-EU sind per verschlüsselter E-Mail zu erreichen, sowohl OpenPGP als auch S/MIME werden unterstützt. Von verschlüsseltem Spam habe man aber noch nie gehört, versichert der stellvertretende Direktor. Zwar könne man sich theoretisch durch Malware verseuchte Mails vorstellen, in der Praxis sei das aber kein Problem.

Stellenmarkt
  1. Fraunhofer-Institut für Arbeitswirtschaft und Organisation IAO, Stuttgart, Esslingen
  2. eco Verband der Internetwirtschaft e.V., Köln

Vielleicht hat das Cert-EU nicht genügend Praxiserfahrung, denken wir und suchen weiter: Anruf bei Access Now, einer globalen Nichtregierungsorganisation, die für den digitalen Schutz von Dissidenten und Journalisten kämpft. Access Now unterhält weltweit acht Büros, unter anderem in Hotspots wie Tunesien und den Philippinen. Jeder Mitarbeiter, einschließlich Praktikanten, hat einen PGP-Schlüssel. Die öffentlichen Schlüssel sind jeweils auf der Webseite und meist auch auf einschlägigen Keyservern zu finden.

Obwohl man Access Now durchaus als wertvolles Hackerziel sehen kann, ist auch hier noch nicht eine einzige verschlüsselte Spam-Mail eingegangen, versichert uns der Chief Technologist und IT-Sicherheitsexperte der Organisation. "Es ist viel wahrscheinlicher, dass Spam in unverschlüsselter Form mithilfe anderer Strategien durch die Spamfilter rutscht." Die IT-Verantwortlichen einer großen Organisation wie den EU-Institutionen sollten sich sowieso nicht einfach nur auf die serverseitigen Filtersysteme verlassen. "Die effektivste Verteidigung gegen bösartige E-Mails ist die Schulung der Mitarbeiter verbunden mit guter Endgerätesicherheit, vernünftig konfigurierter Firewalls und überwachter Host Intrusion Detection Systeme." In so einem Setup ließe sich E-Mail-Verschlüsselung als Teil der Verteidigung gegen bösartige E-Mails nutzen, anstatt diese als Angriffsvektor fürchten zu müssen.

E-Mail-Verschlüsselung für alle EU-Institutionen bereits 2017? 
  1. 1
  2. 2
  3. 3
  4.  


Anzeige
Hardware-Angebote
  1. täglich neue Deals bei Alternate.de
  2. 149,90€ + Versand (im Preisvergleich ab 184,95€)

Schnarchnase 27. Jun 2016

Nein, das war eine Mischung aus Dummheit und zu weniger Gutsherrenprivilegien für die Krone.

My1 27. Jun 2016

aber auch spammer können ihre mails via PGP signieren.

nicoledos 23. Jun 2016

Die Verschlüsselung ist nur eine Komponente. Diese stellt sicher, dass keine unbefugten...

lear 22. Jun 2016

Hah? Der payload ist ohnehin AES verschlüsselt, nur der Sitzungsschlüssel per RSA und...

Ass Bestos 22. Jun 2016

bestrafen statt menschen schulen? immer diese afd wähler.


Folgen Sie uns
       


Amazons Echo Show (2018) - Test

Wir haben den neuen Echo Show getestet. Der smarte Lautsprecher mit Display profitiert enorm von dem größeren Touchscreen - im Vergleich zum Vorgängermodell. Die Bereitstellung von Browsern erweitert den Funktionsumfang des smarten Displays.

Amazons Echo Show (2018) - Test Video aufrufen
Yuneec H520: 3D-Modell aus der Drohne
Yuneec H520
3D-Modell aus der Drohne

Multikopter werden zunehmend auch kommerziell verwendet. Vor allem machen die Drohnen Luftbilder und Inspektionsflüge und vermessen. Wir haben in der Praxis getestet, wie gut das mit dem Yuneec H520 funktioniert.
Von Dirk Koller


    IMHO: Valves Ka-Ching mit der Brechstange
    IMHO
    Valves "Ka-Ching" mit der Brechstange

    Es klingelt seit Jahren in den Kassen des Unternehmens von Gabe Newell. Dabei ist die Firma tief verschuldet - und zwar in den Herzen der Gamer.
    Ein IMHO von Michael Wieczorek

    1. Artifact im Test Zusammengewürfelt und potenziell teuer
    2. Artifact Erste Kritik an Kosten von Valves Sammelkartenspiel
    3. Virtual Reality Valve arbeitet an VR-Headset und Half-Life-Titel

    IT: Frauen, die programmieren und Bier trinken
    IT
    Frauen, die programmieren und Bier trinken

    Fest angestellte Informatiker sind oft froh, nach Feierabend nicht schon wieder in ein Get-together zu müssen. Doch was ist, wenn man kein Team hat und sich selbst Programmieren beibringt? Women Who Code veranstaltet Programmierabende für Frauen, denen es so geht. Golem.de war dort.
    Von Maja Hoock

    1. Job-Porträt Die Cobol Cowboys auf wichtiger Mission
    2. Software-Entwickler CDU will Online-Weiterbildung à la Netflix
    3. Job-Porträt Cyber-Detektiv "Ich musste als Ermittler über 1.000 Onanie-Videos schauen"

      •  /