[HaBo]

Woodchopper

Anzeige

Irgendwie ärgert mich das gerade, dass die mir die Auftragsbestätigung per Mail geschickt haben, worin meine Ausweis-Nr., Anschrift und Kontodaten sind.

Ist sowas heutzutage gang und gäbe?

Ich finde es verantwortungslos sowas über unverschlüsselte Mail zu senden.
Die können doch die Bestätigung per Post schicken, was sowieso noch kommt, wie ich denke...

Sollte ich denen ne Mail schicken, das ich das nicht toll finde?

Cu

Harry Boeck

1. Volle Zustimmung!
2. Ja, leider ist das üblich.

PKI ist jetzt seit - wenn ich richtig liege - 35 Jahren mathematisch entwickelt.
PGP steht seit 15 Jahren jedem Kind zur Verfügung.
Wir haben sogar in der Regierung Datenschutzbeauftragte.

Aber eine Email mit vertraulichem Inhalt vertraulich zu verschicken ist auch den Unternehmen, die Milliarden jährlich umsetzen, nicht möglich. Offenbar können die sich keinen Programmierer leisten, der denen das hinsetzen kann.

Ich mache mir regelmäßig den Scherz, solchen Unternehmen meine Bewerbungsunterlagen zu schicken - unabhängig von eventueller Berufsnot.
Die Standardantwort ist natürlich immer (sinngemäß): "Vielen Dank, unsere Datenschutzstandards entsprechen den Bestimmungen und gehören zu den Besten..."

Elderan

Hallo,
Falsch, die können sich keine Call-Center mit tausend Mann leisten weil 9 von 10 Leute anrufen und sich wundern, warum die ne Email mit so kryptischen Inhalten erhalten.

Dir mit Sicherheit auch nicht!
Ansonsten kannst du mir (nicht einer anderen Person) ja auch mal eine E-Mail vertrauchlich schicken! Ich wette, dies bekommst du nicht hin.

Und dann soll dies ein automatisches Script schaffen?

Ich hoffe du siehst wo dein Denkfehler ist/war.


Ansonsten eine Auftragsbestätigung, die auf keinem vertraulichen Weg kommt, ist nix schlimmes, sofern dort keine sensitiven Daten enthalten sind.
Es reicht aus zu schreiben, dass man von Herrn Müller um 21:30 am 10.12.2007 den Auftrag mit der Nummer 12345 entgegen genommen hat und diesen schnellst möglichst bearbeitet.
Dort Ausweisnummer etc. mitzusenden ist in meinen Augen sinnlos.

Aber ansonsten:
Ja, leider ist es so.
Ich habe vor kurzen auch solch einen Vetrag abgeschlossen, dort wurden mir PIN, PUK und Passwort für den Online-Zugang per Mail gesendet, inklusive Handy-Nummer (als Benutzername beim Login).
Auch bei vielen Boards ist es normal, dass das zufällig erstellte PW beim Registieren per Mail gesendet wird oder per Mail einem nochmal das gewählte PW gesendet wird.

Ansonsten, alle Firmen die die Rechnungen per Email geschicken (viele machen dies, teilweise optional Papierrechnung), senden auch Anschrift und oft auch die Bankdaten mit.

Also, leider Gottes ist es normal.

Was du machen kannst:
Dich bei Fonic beschweren und deine Mitmenschen aufklären, dass eine Email das gleiche ist wie eine Postkarte



Hä? Was hat das mit den Bewerbungsunterlagen zu tun?

rece

hast du die karte über das internet bestellt? wenn ja
dann hat man als angemeldeter user laut deren datenschutzinformationen folgende option :

Harry Boeck

Doch. Mit genau - Moment - 4 Klicks übers GUI, nachdem Dein PGP-Schlüssel an meinem Bund hängt. DAFÜR sind ein paar mehr Klicks notwendig: 5, nachdem der Schlüssel als Datei vorliegt. Bis dahin abhängig vom Email-Programm vielleicht 3 Klicks.

Alles in allem also rund 12 Klicks. Mit Suchen in den Menüs etwa 1 Minute. Nach Einarbeitung als Service-Helfer und noch ohne ein einziges Bit Automatisierung etwa 20 Sekunden.

Auf Basis des 0-8-15 - kostenlos-GPG.

Mit GUI Seit über 10 Jahren Standard.

Mit Autohotkey auf genau zwei Maus-Klicks oder einen Tastaturklick reduzierbar.

404

@Harry Boeck: Das setzt aber voraus, dass du vorher den Schlüssel auf einem sicheren Weg an ihn übermittelt haben musst.
Bei einer Auftragsbestätigung (= erster Kontakt mit dem neuen Kunden) kannst du noch keinen Schlüssel übermittelt haben

Die einzige Lösung wäre, dem Kunden den Schlüssel per Post zukommen zu lassen - und dann kann man ihm auch gleich die komplette Auftragsbestätigung per Post zukommen lassen

__________________
Major Fault, General Error and Colonel Panic came together to celebrate timeout.

Harry Boeck

Die Übermittlung auf einem dritten Wege wäre eine weitere Erhöhung der Sicherheit.

Die bewußte Prüfung des dritten Weges auf Sicherheit und/oder die Verifikation über einen vierten Weg wäre das I-Tüpfelchen, was mich Freudensprünge machen ließe.
DANN wären wir endlich auf dem Stand, der theoretisch seit 35 Jahren erreichbar ist.

Aber schon der Umstand, daß ein vollkommen neuer Vertragspartner die von ihm für mich eingerichteten Zugangsdaten über genau den von mir mitgelieferten öffentlichen Schlüssel verschlüsselt, wäre gegenüber dem OFFENEN Versenden per Email eine Verbesserung um etliche Größenordnungen. In Bezug auf die Menge der Möglichkeiten, die Daten auszuspionieren versus den Aufwand dafür:

Es wäre schon per se unmöglich, durch bloße Auswertung von Logdaten irgendetwas mit dem Zeug anzufangen:

Öffentlicher Schlüssel + mit diesem verschlüsselte Nachricht == Null Info

Ein Angreifer muß dafür bereits eine Man-in-the-Middle-Attacke aufbauen.
Wodurch mit einem Schlag bis auf extrem wenige und gefilterte Maßnahmen von NSA, BND oder ähnlichen Geheimdiensten (oder gleichstatuierter Hacker) sämtliche Möglichkeiten des Mißbrauchs aus der Welt wären.

Das ist ein Unterschied wie Tag und Nacht. Ohne Wolken und ohne Mondschein.

Merke: Perfektionismus ist immer ein interessantes Fernziel. (Ich bin selbst diesem welchen gern und häufig verfallen...)

Für die Praxis tun es viel einfachere Maßnahmen meistens auch. Und viel effektiver.

Chakky

das liest sich wie aus einen lehrbuch....nur die frage theorie und praxis? kosten/zeit/nutzn?

__________________
cu
Chakky

we are dreaming in digital
we are living in realtime
we are thinking in binary
we are talking in IP
welcome to our world

end4win

@ Harry
Vergiss es.
Es ist wie Elderan beschrieben hat.
Ich selbst habe schon böse Anrufe bekommen, weil ich Informationen als PDF
verschickt habe. "Ich soll doch Dateiformate nützen, die alle öffnen können oder
ist dass ein Virus."
Jetzt stell dir vor ich hätte verschlüsselt gesendet.

Gruss

__________________

Elderan

Hallo,
Das Problem ist, ich besitzte keinen PGP Key (jetzt ohne Witz), ergo kann er auch nicht an deinem Bund hängen, woraus leider folgt, dass du mir keine Email auf vertraulicher Weise senden kannst (sofern ich deiner Argumentation richtig Folge).

Genauso wenig kann dann ein automatisches Skript an eine beliebige Email Addy mit unter Verwendung des richtigen Key eine Nachricht gesendet werden.
Was der Kunde also zuvor machen müsste, wäre über eine sichere Verbindung dem Anbieter seinen PGP Key übersenden.
Dies könnte man z.B. gleich bei der Anmeldung machen und die Daten dann per SSL übertragen, allerdings, wie hoch ist wohl der Prozentsatz der Kunden die einen PGP Key verwenden und den da angeben würden?
Der tendiert leider gegen 0, weswegen soetwas nicht nur mehr oder weniger überflüssig wäre (aus Sicht des Anbieters), sondern auch nicht so bewanderte Kunden irritieren würde.


Leider stimmt dies nicht, sondern ist ein völlig falscher Trugschluß.

Die von dir angesprochenen Geheimdienste intressieren sich oft gar nicht was in einer Nachricht steht, sondern nur wer wann mit wem kommuniziert.
D.h., da diese Meta Daten ja in Klartext vorhanden sein müssen, bieten sie auch reichlich an Informationen, selbst wenn man den Inhalt der Nachrichten gar nicht lesen kann.

Dies nennt sich Traffic Analyse




Natürlich wäre es schön, wenn sie die Verschlüsselung anbieten würden, nur leider stimmt die Kosten/Nutzen-Rechnung für die Unternehmer nicht.
Außerdem, viele Webprogrammierer sind Quereinsteiger, sie haben sich irgendwann mal HTML/CSS beigebracht und musst dann PHP (o.ä.) lernen um noch am Markt zu bestehen.
Diese Leute haben nur selten eine sicherheitstechnische Qualifizierung genossen um den das nötige Know-How zu besitzten.
Dann ist es auch noch so, dass der BWLer ihm im Nacken sitzt und dieser sich noch deutlich weniger für den Datenschutz seiner Kunden sich intressiert. Er denkt an Profit, dort sind solch 'unwichtige' Datenschutz-Maßnahmen überflüssig, macht ja auch keiner seiner Konkurrenten und 99,...% seiner Kunden ist es egal.

Leider ist es nuneimal so.


PS (bzgl. PKI):
Theorie und Praxis liegen leider meists sehr weit auseinander.

Harry Boeck

Korrekt, all die Antworten - für die jeweilige Person.

Der Themenstarter - Woodchopper - hatte dagegen explizit wegen der und gegen die unverschlüsselte Versendung seiner privaten Daten argumentiert. Und darin teile ich seinen Standpunkt und kann neben PGP auch noch andere Alternativen bieten (dasselbe Prinzip, andere Protokolle).

Naturgemäß kann man keine verschlüsselten Daten an jemanden schicken, der mit den verschlüsselten Daten nicht umgehen kann. Dasselbe trifft zu, wenn man jemandem die Uhrzeit mitteilen will, der nicht weiß, was ne Stunde ist. Diese Art von Gegenargumenten ist also ungeeignet, um im Sinne des Themenstarters in eine positive Richtung zu diskutieren.

Letztlich stellt solches auch eine Argumentation dar, die darauf baut, einzelne Brocken der Argumentation des Streitpartners herauszubrechen und in einem willkürlich aufgesetzten (vom ursprünglichen Thema nicht gar nicht zur Diskussion stehenden) Zusammenhang an Beispielen zu zeigen, daß sie dort halt nicht zutreffen würden. Von der Fehlerhaftigkeit einer solchen Argumentation im mathematischen Sinne abgesehen, ist es dem Themenstarter wahrscheinlich ziemlich schnuppe, daß Geheimdienste normalerweise unmöglich die Kapazität haben können, die Geschäftsmails von jedem dahergelaufenen Bürger zu lesen.
Da wäre allerdings auch Woodchopper der korrektere Ansprechpartner. Es geht ja immerhin vordergründig um SEIN Sicherheitsinteresse...

Elderan

Hallo,
Also in meinen Augen gehts hier darum, ob soetwas heutzutage normal ist.
Und warum soll ich (bzw. der Anbieter) etwas implementieren was mehr kostet als nutzt (ist eben das Grundprinzip der Gewinnoptimierung)?

Und weil dies 99,..% leider nicht können, bieten die Anbieter auch keine Möglichkeit für die verbleibenden Personen an.
Woraus folgt, dass vertrauliche Daten gerne mal unverschlüsselt gesendet werden und zwar an alle, egal ob mit dem Know How oder ohne.