DACH - Deutschsprachige Community für Deutschland, Österreich, Schweiz

4145 readers

290 users here now

Das Sammelbecken auf feddit.org für alle Deutschsprechenden aus Deutschland, Österreich, Schweiz, Liechtenstein, Luxemburg und die zwei Belgier. Außerdem natürlich alle anderen deutschprechenden Länderteile der Welt.

Für länderspezifische Themen könnt ihr euch in folgenden Communities austauschen:

___

Aus gegebenem Anlass werden Posts zum Thema Palästina / Israel hier auf Dach gelöscht. Dasselbe gilt zurzeit für Wahlumfragen al´a Sonntagsumfrage.
___

Einsteigertipps für Neue gibt es hier.
___

Eine ausführliche Sidebar mit den Serverregeln usw. findet ihr auf der Startseite von feddit.org

___

founded 1 year ago

MODERATORS

Seven@feddit.org

Der_aus_Aux@feddit.org

Urteil: TLS-Verschlüsselung bei E-Mail-Rechnungen an Privatkunden zu wenig? (www.heise.de)

submitted 5 months ago by elmicha@feddit.org to c/dach@feddit.org

30 comments fedilink hide all child comments

you are viewing a single comment's thread
view the rest of the comments

[–] Obelix@feddit.org 20 points 5 months ago* (last edited 5 months ago) (7 children)

Was ein merkwürdiges Urteil. Es sind genau solche Urteile, die uns in der Digitalisierung wahnsinnig zurückwerfen, getroffen von anscheinend völlig unfähigen Richtern und anscheinend wurde auch kein Experte gefragt:

Doch die Rechnung wurde auf dem Weg zum Empfänger von Kriminellen manipuliert. Sie veränderten nicht nur die Bankverbindung, sondern auch die Farbgestaltung und weitere Details des Dokuments. Wie genau es dazu kommen konnte, dass den Auftraggeber eine manipulierte Rechnung erreichte, ließ sich laut Gericht nicht abschließend klären.

Das ist doch das Entscheidende. Der Fall klingt nämlich nicht so als ob jemand die TLS-Verschlüsselung beim Transport der Mails das Problem wäre, sondern so als ob irgendwer die Mailkonten gehackt hat. Klingt deutlich logischer, dass jemand z.B. im System der Firma hockt und dann ausgehende Rechnungen manipuliert. Auf jeden Fall ist es völlig absurd, dass das Urteil hier wild über E-Mail-Rechnungen urteilt ohne den Sachverhalt an sich aufzuklären.

Ansonsten:

Das Urteil spricht nur von "SMTP mit TLS" ohne irgendwie weitere Details zu ergründen
Eine Man-in-the-Middle-Attacke benötigt auch einen Man-in-the-Middle. Selbst wenn du TLS aufknacken kannst, kannst du noch lange nicht direkt Mails mitlesen, die Gmail an GMX schickt, weil das dann doch nicht über irgendwelche Infrastruktur läuft. Da wird ja größtenteils direkt gepeert.
Diese Attacke, dass Rechnungen ausgetauscht werden, ist anscheinend relativ selten. Dieser Fall war in 2023 und bislang sind mir noch keine Warnungen untergekommen, dass dies ein üblicher Attackvektor wäre. Es wäre aber arg unrealistisch, dass jemand sich einen hochprofitablen Scam ausdenkt und sich nur mit 15k € zufrieden gibt.

Von daher: Alles sehr merkwürdig. Jetzt werden aber zig Anwälte ihre SEO-optimierten Blogs anwerfen und ohne Sachverstand zum Thema bloggen. Und dann wird das in die Branchenzeitungen kommen und irgendwann ruft Firmenchef Horst-Günter die Gisela aus der Buchhaltung zu sich ins mittelständige Firmenbüro und erzählt, dass sie keine Rechnungen per Mail mehr verschicken darf und doch lieber wieder Faxen soll.

[–] chris@discuss.tchncs.de 3 points 5 months ago

Die Fälle gibt es schon öfter mal. Bekannt ist mir vor allem die Masche eine Korrekturrechnung nach zuschieben. Da hat es dann eindeutig nichts mehr mit dem Transport zu tun. Hier ist wohl auch nicht, aber das wurde ja nich geklärt.

Tatsächliche Manipulation "in transfer" ist bei zwielichtigen VPNs und TOR-Exits öfter beobachtet. Da werden Bitcoinadressen und ähnliches auf Webseiten ausgetauscht. Manchmal auch die Werbung.

Korrekt wäre hier übrigens signierte Mails zu fordern statt E2E. Integrität und Authentizität sind hier die verletzten Schutzziele. Das Vertraulichkeit gar nicht so relevant ist, sagt das Gericht ja selbst.

Dann Postweg empfehlen...

load more comments (6 replies)