Die zweite Episode des Risikozone-Podcasts greift die E-Mail-Thematik aus der ersten Episode auf. Prof. Dr. Andreas Noack und Viktor Garske diskutieren im ersten Teil eine E-Mail-Betrugskampagne, die aktuell im Umlauf ist, und gehen im zweiten Teil genauer auf den Schutz von Inhalten in E-Mails ein. Sie erklären die Möglichkeiten der digitalen Signaturen sowie der Verschlüsselung und legen den Einsatz der Verfahren im Kontext von S/MIME und PGP dar. So können z. B. E-Mails von Unternehmen, die zunehmend sensible Daten wie Rechnungen oder persönliche Informationen enthalten, integritätsgeschützt und/oder vor Zugriff unbefugter Dritter wirksam geschützt werden.
Die zweite Episode des Risikozone-Podcasts greift die E-Mail-Thematik aus der ersten Episode auf. Prof. Dr. Andreas Noack und Viktor Garske diskutieren im ersten Teil eine E-Mail-Betrugskampagne, die aktuell im Umlauf ist, und gehen im zweiten Teil genauer auf den Schutz von Inhalten in E-Mails ein. Sie erklären die Möglichkeiten der digitalen Signaturen sowie der Verschlüsselung und legen den Einsatz der Verfahren im Kontext von S/MIME und PGP dar. So können z. B. E-Mails von Unternehmen, die zunehmend sensible Daten wie Rechnungen oder persönliche Informationen enthalten, integritätsgeschützt und/oder vor Zugriff unbefugter Dritter wirksam geschützt werden.
In der Nachrichtensektion geht es um einen PayPal-Phishing-Scam, also eine Betrugskampagne, die PayPal instrumentalisiert. Siehe hierzu die Originalnachricht auf krebsonsecurity.com, dem Blog von Brian Krebs.
Das Schwerpunktthema der heutigen Episode ist die Verschlüsselung und Signierung von E-Mails. Dies ist immer dann wichtig, wenn der Inhalt
Es ist an dieser Stelle hervorzuheben, dass eine Digitale Signatur mit der typischen „E-Mail-Signatur“ nichts gemein hat: letztere ist ein simpler Text, der an das Ende der E-Mail angefügt wird, erstere ist das Ergebnis einer kryptographischen Operation.
Im Folgenden einige hilfreiche Links zu den entsprechenden Themen:
Wer E-Mails verschlüsseln bzw. signieren möchte, kann also zwischen S/MIME und PGP wählen, mitunter auch seine E-Mails durch beide Techniken schützen. Obgleich beide Techniken an sich nicht miteinander kompatibel sind, kann aber z. B. eine E-Mail sowohl mit S/MIME als auch mit PGP signiert werden.
Der Unterschied zwischen den Verfahren liegt, wie in der Folge von Andreas erwähnt, in der Vertrauensetablierung: Bei S/MIME gibt es Zertifizierungsstellen (CA), denen der E-Mail-Client automatisch vertraut (diese Liste wurde vom Hersteller des E-Mail-Clients voreingestellt). Eine von diesen CAs stellt für die E-Mail-Adresse nach einer Verifizierung ein Zertifikat mit dem Public Key aus, das in Verbindung mit einem Public-Key verwendet werden kann. Bei GPG kann man sich Public- und Private-Key selber generieren. Es erfolgt keine Verifizierung durch eine zentrale Stelle, vielmehr können Freunde und Bekannte digital signieren, dass das Keypair aus Public- und Private-Key auch wirklich zu der Person gehört. Sie nehmen somit dezentral im Kollektiv die Aufgabe der CA wahr.
Eine S/MIME-CA lässt sich die Dienstleistung der Verifikation in der Regel bezahlen. Wir können in der Kürze keine Übersicht möglicher oder gar empfehlenswerter S/MIME-CAs aufbereiten. Wichtig für die eigenen Recherche ist nur, dass die CA in den meisten E-Mail-Clients, mit denen man kommuniziert, bereits vorhinterlegt sein sollte. Spezialfälle wie unternehmensinterne CAs, die evtl. von Partnerunternehmen anerkannt werden, lassen wir an dieser Stelle aus.
Wer unmittelbar die Technik hinter dem Verschlüsseln und Signieren ausprobieren möchte und Mozilla Thunderbird einsetzt, kann dies mit OpenGPG (eine Form von PGP) kostengünstig (= kostenlos) ausprobieren, da Thunderbird dies seit Version 78 nativ unterstützt. Eine Anleitung hierzu steht in der Thunderbird-Hilfe auf support.mozilla.org bereit.
Die Hintergrundmusik wurde uns freundlicherweise von Jason Shawn von Audionautix.com unter der CC-BY-4.0-Lizenz bereitgestellt!
Die im Podcast erwähnten Methoden und Werkzeuge für Angriffe dienen ausschließlich dem Bildungszweck zur Verbesserung der IT-Sicherheit. Es wird ausdrücklich angemerkt, dass u. a. das Ausspähen und Abfangen von Daten sowie die Computersabotage strafbar sind.
Zur Verbesserung der Barrierefreiheit verfügt diese Episode über ein automatisiert erstelltes Transkript. Da die zugrundeliegende Technik in einem frühen Stadium ist, sind die Ergebnis teilweise nutzbar, aber noch nicht zuverlässig richtig oder gar vollständig. Im Zweifelsfall ist ausschließlich das gesprochene Wort maßgeblich. Weitere Hinweise befinden sich auf der Unterseite „Transkript“.