Portalkommunikation
Das folgende Beispiel zeigt die teils unsinnigen Auswüchse einer "sichereren Kommunikation" über Portale, weil der Anbieter es als "erforderlich" ansieht aber SMIME/PGP oder andere Wege nicht genutzt werden können. Diese Kommunikation gibt es auch mit diversen Crypto-Gateways, die Mails anhalten und per Browser abrufbar bereitstellen. Dabei aber vergessen, dass die Benachrichtigung eigentlich alles enthält, um die Mail zu lesen und damit eigentlich kein Sicherheitsgewinn möglich ist.
Diese Seite soll kein Bashing einer speziellen Firma sein. Bei Roland ist mit die Thematik nur besonders aufgefallen aber andere sind auch nicht immer besser.
Auslöser
Als Durchschnittsfamilie hat man ja schon die ein oder andere Versicherung, um größere Risiken abzusichern. Eine meiner Versicherungen über die Roland-Gruppe lief seit 2014 und jedes Jahr habe ich Herbst eine Rechnung bekommen, die umgehend bezahlt wurde. Betreut hat mich dabei ein "freier" Versicherungsmakler und es hätte einfach so weiter gehen können. Dass die Rechnung im Herbst 2024 ausgeblieben ist, ist mir erst gar nicht aufgefallen. Es kamen auch keine Mahnungen oder sonstige Hinweise aber im März kam dann ein "Postbrief von einer Inkasso-Firma, die genau diese Rechnung als Forderung zzgl. Mahngebühren und Inkassokosten eintreiben will.
Es ist nun recht unwahrscheinlich, dass ich eine Rechnung übersehe. Seit 30 Jahren bin ich Selbständig und war noch nie mit einem Rechnungsverlust oder Inkasso-Verfahren konfrontiert. Da muss also böse was schiefgegangen sein. Eine telefonische Rückfrage beim Versicherer ergab, dass die Rechnung in "meinem Portal" abgelegt wurde. Auf die Frage, wie denn meine Zugangsdaten dazu wären, wurde mir die Mailadresse meiner Frau mit ihrem alten Familiennamen als Domain genannt, auf die ich natürlich keinen Zugriff habe. Wie die Adresse zu meinem Vertrag hinterlegt wurde, kann ich nur mutmaßen.
Meine Frau hatte früher einmal eine Versicherung beim Versicherer "HDI" und da wurde wohl auch ihre Mailadresse hinterlegt. Eine Zugang zum Portal hatte sie aber noch nicht aber wir konnten das Kennwort anfordern und den Zugang anfordern. Das wurde in einem späteren Antwortschreiben sogar bestätigt:
Nachdem ich über ihren Portalzugang an die von der Hotline erneut im Portal bereitstellten Rechnung hatte, konnte ich die offene Forderung umgehend begleichen. Im Kopf habe ich aber auch gesehen, dass mein Versicherungsmakler meines Vertrauens entfernt und stattdessen die HDI als betreuende Organisation eingetragen wurde.
Ich kann also nur "vermuten", dass irgendjemand oder etwas die Übereinstimmung der Postadresse, Rufnummer o.ä. als Match-Kriterium herangezogen hat. Fakt war, das die Rechnung in einem Kundenportal unter https://secure.roland24.de abgelegt und eine Information an eine Mailadresse ging, über die ich keinen Zugriffe hatte und vielleicht ein Spamfilter o.ä. diese blockiert hat. Wir werden es nie erfahren.
Allerdings hat der Versicherer auf der Original-Rechnung, die mir im Portal bereitgestellt wurde, folgenden Hinweis hinterlassen.
Da ich die Rechnung nach meiner Einschätzung nie erhalten habe, konnte ich sie auch gar nicht bezahlen. Ab wann eine Rechnung als "zugestellt" gewertet wird, habe ich nicht weiter überprüft, da die Versicherung auf meine Beschwerde und Überweisung des reinen Versicherungsbetrags ihrerseits die Mahnkosten und das Inkassoverfahren beendet hat.
Als Ergebnis habe ich nun einen eigenen Portalzugang mit meiner Mailadresse, in der aber noch kein Vertrag zu sehen ist. Ich bin gespannt, wie sich diese Diskrepanz noch lösen lässt. Für mich war dieser Vorgang aber Anlass genug, mich einmal kritisch mit solchen Portalen zu beschäftigen.
Portal nicht zu Ende gedacht
Im Grunde ist das Verfahren ja durchaus löblich, um Porto und Papier zu sparen. Banken machen dies ja schon immer so, dass sie sensible Dokumente nicht einfach per unverschlüsselter Mail senden, sondern in einem eigenen Portal ablegen und dem Empfänger nur eine Nachricht zukommen lassen oder sich der Empfänger selbst um den Abruf kümmern muss. Bei Kontoauszügen ist das ja auch üblich und machen wir alle hoffentlich regelmäßig. Das mag bei einer Versicherung, die aber nur einmal im Jahr eine Rechnung schickt, etwas anders sein. Andere Firmen, z.B. Internetprovider wie IONOS, HostEurope etc. machen sogar beides: Sie senden die Rechnung per Mail und ich kann sie auch im Portal abrufen. Das ist dann Service und Weckruf und mal ehrlich: Wie "geheim" ist denn eine Rechnung?
Die Bereitstellung über ein Portal hat für den Betreiber noch einen zweiten großen Vorteil: Er kann genau nachverfolgen, wann sich seine Kunden angemeldet und eine Nachricht gelesen haben. Das ist vielen Nutzern vermutlich nicht bewusst, wenn das Lesen einer zugestellten Mail kann ein Anbieter nur über die Anforderung einer "Gelesen-Quittung" ermitteln, wenn diese denn dann vom Client auch gesendet wird. Das bedeutet aber umgekehrt auch, dass der Anbieter sehr wohl erkennen kann, welche Zugänge nicht genutzt werden und demnach auch, welche bereitgestellten Dokumente nicht vom Nutzer abgerufen wurden.
Dann stellt sich natürlich die Frage, wie der Anbieter damit umgeht. Er könnte erneut eine Benachrichtigungsmail senden oder letztlich die Meldung per Briefpost zustellen lassen. So verfahren einige Banken, die Kontoauszüge kostenpflichtig zustellen, wenn Sie nicht Online abgerufen werden. Die HUK Coburg sendet z.B. auch einen Postbrief, wenn die Meldung im Portal nicht innerhalb von 4 Wochen abgerufen wird. Das ist hier ausgeblieben.
Damit stellt sich natürlich auch die Frage, ab wann ein Dokument rechtsgültig zustellt wurde. Reicht es, wenn der Anbieter das Dokument auf seinem Portal ablegt und eine Benachrichtigung versendet? Das Dokument selbst ist bei mir ja weder im postalischen noch elektronischen Briefkasten eingegangen. Wenn ein Postpaket nicht zugstellt wird, wirft der Postbote eine Benachrichtigung in den Briefkasten und die nächste Lagerstellehält das Paket nur eine bestimmte Zeit zur Abholung vor. Danach geht es an den Absender zurück. Vielleicht bezahlen ich meine Rechnungen demnächst einfach dergestalt, dass ich den Betrag in einem Kuvert in eine Schließfach zustelle und dem Empfänger den Abholcode zukommen lasse oder er holt sich den Betrag an meiner Haustür ab? Klingt befremdlich aber warum sollte ich eine "unsichere Mail" an die auf dem Anschreiben angegeben Mailadresse senden? Kosten- und Zeit-Einsparungen nutze ich genauso gerne. Ein letzer Punkt ist mit in dem Portal noch aufgefallen:
Leider habe ich die Change verpasst, erst auf das Portal zuzugreifen, ehe ich die Service-Hotline angerufen habe. Die Hotline hat nämlich die Rechnungen samt der zwei Mahnungen erneut zugestellt. Ich konnte also nicht sehen, ob die Rechnungen vom Herbst 2024 noch im Portal zum Abruf vorgelegen hätten oder vielleicht schon nach 3 Monaten gelöscht wurden.
Info-Mails
Natürlich habe ich mir auch die Mails angeschaut, die in meinem Postfach gelandet sind. Hier die Nachricht vom 17. März, die mich schon über die Antwort des Versicherers über meine Einwendung informiert
Zuerst habe ich mir mal den Laufweg angeschaut, der schon mal interessant ist. Hier taucht weder Roland noch HDI sondern Server der Firma "Pallas".
Das muss nicht schlecht sein und es ist nicht unüblich, dass solche Benachrichtigungen im B2C-Geschäft nicht über die eigenen Mailserver der Firma laufen.
SPF, DKIM, DMARC
Als Versender sollte man sich aber an den aktuellen Entwicklungen orientieren und da gibt es schon einige große Hoster von Konsumentenpostfächern, die eine gewisse Hausordnung durchsetzen.
- Google Spamschutz 2024
- Google and Yahoo are upping their game in 2024!
https://blog.mxtoolbox.com/2023/10/20/google-and-yahoo-are-upping-their-game-in-2024/ - Google and Yahoo Updated Email Authentication Requirements
for 2024
https://www.youtube.com/watch?v=qxuCKEMC5S8 - Your 2024 guide to Google & Yahoo’s new requirements for
email senders
https://postmarkapp.com/blog/2024-gmail-yahoo-email-requirements - Smart Network Data Service
https://sendersupport.olc.protection.outlook.com/snds/ - Getting started with Microsoft SNDS: Sender reputation
https://www.mailgun.com/blog/deliverability/microsoft-snds-understanding-sender-reputation/
Also habe ich die Absenderdomain "roland-rechtsschutz.de" als auch die des Dienstleisters einmal untersucht. Mein Provider IONOS hinterlegt nämlich einen "Authentication-Results"-Header und da wird schon ausgegeben, dass es keine DKIM-Signatur gibt.
Ich habe dann noch mal in den Header geschaut und tatsächlich sendet hier ein Dienstleister vermutlich tausende Mails, u.a. auch an Gmail etc., die schon länger auf DKIM bestehen.
Return-Path: <service@roland-rechtsschutz.de> Authentication-Results: kundenserver.de; dkim=none Received: from smtpo.pallas-security.com ([194.45.33.66]) by mx.kundenserver.de (mxeue102 [217.72.192.67]) with ESMTPS (Nemesis) id 1Mt9od-1t1Kxw1yK9-012XRY for <frank@carius.de>; Tue, 18 Mar 2025 14:27:49 +0100
Also habe ich das Dreigestirn SPF,DKIM,DMARC am 18 März soweit geprüft, wie ich das konnte:
| Kriterium | roland-rechtsschutz.de | pallas.de | pallas-security.com |
|---|---|---|---|
SPF |
SoftFail (~all) |
SoftFail (~all) |
SoftFail (~all) |
DKIM |
keine Signatur in der Mail |
Nicht geprüft |
Nicht geprüft |
DMARC |
Kein Eintrag |
Kein Eintrag! |
Kein Eintrag! |
Die DKIM-Prüfung kann ich nur machen, wenn in der Mail auch ein Selector enthalten ist. Die beiden Checks auf "pallas.de" als auch "pallas-security.com" sind für die Mail nicht relevant, da der Absender immer aus der Domain roland-rechtsschutz.de gekommen ist. Allerdings würde ich mich nicht wundern, wenn viele diese Benachrichtigungen gar nicht bekommen.
Nicht umsonst plädiere ich für die Umsetzung von "SPF, DKIM und DMARC jetzt!"
Aus meiner Sicht ist es unverständlich, warum Roland seine Mails aus dem Portal nicht per DKIM signiert. So werden Mails zukünftig immer häufiger im Spamfilter des Empfängers landen. Verbunden mit der "Löschung" im Portal nach 3 Monaten ist das kein gutes Design.
Einschätzung
Die TLS-Verschlüsselung von Webserververbindungen ist mittlerweile anerkannter Standard, Browser warnen vor Zugriffen ohne das "s" hinter http und mit Let's Encrypt ist das Verteilen von Zertifikaten auch kein Hexenwerk mehr. Dabei geht es aber nur um eine "Transportverschlüsselung" und Zertifikate können jederzeit getauscht werden. Bei Mails kann die Übertragung per SMTP ebenfalls per TLS gesichert werden und ist mittlerweile auch Standard aber meist nur "opportunistisch", d.h. ohne zwingende Prüfung der Zertifikate und der Anwender sieht es nicht. Erst eine echte Verschlüsselung oder zumindest Signierung per SMIME könnte hier helfen. Dies ist aber alles andere als einfach, da der Empfänger dazu erst ein Zertifikat bereitstellen muss, welches der Absender dann auch abrufen kann und wenn das Schlüsselpaar verloren geht, kann den Anwender seine eigenen Mails nicht mehr lesen.
Das sind deutlich erschwerte Bedingungen und eine Bereitstellung über ein Portal erscheint daher geradezu als Ideallösung. Das kann funktionieren, aber muss dann natürlich auch besser umgesetzt werden, z.B. dass die Benachrichtigungsmails auch per DKIM signiert, die einliefernden Mailserver per SPF:-all definiert und per DMARC konfiguriert sind und es primär eine einseitige Kommunikation ist, z.B. Kontoauszüge oder Rechnungen.
Es entbindet den Betreiber aber nicht davon zu kontrollieren, ob sein Kunde die Information auch tatsächlich aus dem Portal abgerufen hat. Erfolgt dies nicht, gilt die Information nicht als zugestellt.
Ich kann ja auch nicht meine Ausgangspost auf meine eigene Fensterbank legen und den Empfänger anrufen, er möge sie doch bitte abholen.
