Initiative: Sign your Mail!

E-Mail ist nicht nur eine Kommunikationsplattform zwischen Menschen sondern gerade Firmen profitieren davon, wenn die Kommunikation mit Kunden kostengünstig per Mail erfolgen kann. Diese neuen Wege sind natürlich auch für kriminelle Absender interessante Betätigungsfelder. Der Anteil der gut gemachten Phishing-Mails nimmt stetig zu.

Kommunikation und Rechnungen, ehe es E-Mail gab

Dass E-Mail im geschäftlichen (B2B) wie auch im privaten (B2C) Bereich mittlerweile selbstverständlich geworden ist, ist noch nicht allzu lange der Fall. Mittlerweile bekomme ich sogar Waren (z.B. über das Logistikzentrum von Amazon) gesendet, die aber von einer gänzlich anderen Firma verkauft werden. Im Paket liegt nicht mal mehr eine Rechnung bei, sondern die kommt per Mail. Firmen machen dies aber nur aus einem Grund.

Firmen sparen Geld, indem Sie Rechnungen, Bestellbestätigungen, Angebote etc. per Mail zustellen.

Erinnern Sie sich an die Prozesse, ehe E-Mail zum Transportmodul wurde:

  • Papier-Rechnung
    • Sie war bei der Ware dabei oder wurde per Postbrief parallel gesendet
    • Der Absender musste diese "Drucken", Kuvertieren, Frei machen und versenden
    • Der Empfänger konnte diese prüfen und dann bezahlen und abhelfen
      Dabei hat z.B. das Briefpapier, der Poststempel und eventuell auch die unterschrift beigetragen.

Das Missbrauchspotential war gering, da die Druck und Versandkosten es nicht lohnenswert gemacht haben, falsche Rechnungen zu senden.

  • FAX-Angebote
    Die meisten Firmen haben keine Rechnungen per "Fax" akzeptiert aber Angebote und Abstimmungen per Fax sind durchaus üblich. Durch denn Preisverfall der Telefongebühren hat aber auch die Werbung durch unerwünschte Angebotsfaxe zugenommen. Seien es kostenpflichtige Einträge in Branchenbücher, Lederchefsessel oder andere Schnäppchen, auf die eher die Firmengründer herein fallen.
  • Kontoauszüge
    Natürlich haben wir alle lange zeit klassisch die Kontoauszüge aus dem Nadeldrucker der Hausbank gezogen. Aber auch hier gibt es Veränderungen . Das Papierformat ist nicht DIN-A4 und damit nur ungünstig abzulegen und mittlerweile sind fast alle Drucker mit Thermopapier ausgestattet, dessen Haltbarkeit zweifelhaft ist. Nicht nur die Direktbanken ohne Drucker vor Ort senden die Auszüge mitterlweile als PDF oder erzwingen den Download von einem Webportal, wenn man die Strafgebühr für die Zwangszusendung vermeiden will.

Ihre Geschäftspartner "sparen" so richtig Geld, indem Sie nicht nur den Druck, Versand etc. einsparen sondern ihnen auch noch die Arbeit aufbürden. Und all das unter dem Deckmäntelchen der 24x7 Erreichbarkeit am "Self Service Portal".

  • Neue Medien brauchen neue Weg
    Wenn Sie sich die Beschleunigung und neue Anforderungen der Kommunikation betrachten, dann wären viele Dinge ohne Mail gar nicht sinnvoll möglich. Es ist doch ein Service, wenn Amazon, UPS, DHL und andere Versender und Frachtdienstleister ihnen Statusmeldungen zu ihrer Bestellung senden. Und natürlich ist eine Mail mit einem "Rücksetzlink" für viele Plattformen die einfachste Methode ein vergessenes Kennwort eines Service zurückzusetzen.

Zugegeben: Es kostet mich nicht viel mehr, eine Rechnung letztlich auszudrucken, wenn ich diese "abheften" will. Bei all diesen neuen Nachrichten bleibt aber das die Frage, ob der Absender wirklich es gut mit mir meint und der Links, die Anlage etc. wirklich genau das tun, was man mir ankündigt?.

Das Risiko für den Empfänger

Und damit sind wir beim "Risiko" einer solch unbeschwerten Kommunikation. Ich beschreibe im folgenden drei Negativbeispiele. Diese Absender verfolgen z.B.: das Ziel, dass der Empfänger der Anlage vertraut und nicht bemerkt, dass die PDF-Rechnung in Wirklichkeit ein ausführbares Programm ist. Hier am Beispiel einer sehr gut gemachten Rechnung, bei der nur der Absender (msn.com) auffällt aussieht.

Die ZIP-Datei kann man ab dem "PK"-Header erkennen aber der Inhalt muss nicht zwingend auch gültig sein. Hier ist im Notepad aber schon sichtbar, dass eine "Rechnung Inkasso Bonprix Online GmbH AG.com" enthalten ist während der Header "MZ" dem Betriebssystem anzeigt, dass es eine ausführbare EXE-Datei ist. Es muss auch nicht immer eine ZIP-Anlage sein. Auch PDF-Dateien, die Lücken im PDF-Viewer ausnutzen, fallen darunter.

Eine zweite Variante sind Mails, die auf mobile Clients zielen, wie das folgende Beispiel zeigt:

Nicht jeder Anwender durchschaut, dass hier keine kostenfreie App von der Postbank bereit gestellt wurde, sondern eine App lauert, die beim mobilen Banking die Daten verändert und ein Eigenleben entwickelt.

Das dritte Beispiel zeigt, wie es den Anwender angeblich auf die Webseite des Absenders lenken aber in Realität eine falsche Seite. besucht. Ziel sind hier die Zugangsdaten für einen Service, indem der Empfänger z.B. Um eine Bestätigung auf einer Webseite gebeten wird, die aber nur das Kennwort abfischt.

Ein Hack eines Facebook-Konto kann durchaus weitere Folgen haben, weil vermehrt auch andere Webseiten z.B. "Facebook vertrauen", d.h. diese Anmeldung zur Authentifizierung nutzen.

Absender durch Signierung verifizierbar machen

Auf solche "schlechten" Mails fallen die meisten Empfänger auch deswegen herein, weil Sie kaum Möglichkeiten haben, den Absender zu verifizieren. Natürlich gibt es schon viele Ansätze wie DKIM, SPF oder MTAMark um Absender vielleicht zu prüfen. Dies ist aber vom Provider abhängig.und damit nicht durch den Postfachbesitzer beeinflussbar. Einige Provider wie GMX und Web.DE haben Mails bestimmter Absender, die "Werbepartner" waren, sogar gesondert gekennzeichnet. Dieser Schutz ist aber leider nur auf deren Webzugang sichtbar.

Leider wird aber eine weitere Option von den meisten speziell kommerziellen Absendern einfach übersehen: Eine SMIME-Signatur. Der Empfänger muss dazu nicht mal etwas tun, denn die meisten Desktop-Clients können problemlos mit SMIME-Mails umgehen. Nur der Sender muss etwas Geld in die Hand nehmen, um ein Zertifikat von einer vertrauenswürdigen Zertifizierungsstelle zu erwerben. Aber der Empfänger könnte dann den Absender überprüfen.

Allerdings muss der Benutzer natürlich schon auf die genauer Schreibweise des Absenders schauen und zumindest die Firmen, die das Medium E-Mail ernst nehmen, müssten anfangen ihre Mails zu signieren. Aber dann wäre es noch eine Frage der Zeit, bis die Anwender das "Schloss" einfach erwarten.

Übriges: Sie können sogar mit einem "Selbst Zertifikat" ihre Mails signieren. Der Empfänger muss dann nur einmalig dieses Zertifikat zu ihrer Mailadresse in den Kontakten speichern und in der Folge sind ihre Mails dann auch vertrauenswürdig.

Millionen gespart, und kein Geld für ein Zertifikat?

Wir werden das Rad nicht zurückdrehen können. Die Kosteneinsparungen beim den Firmen sind einfach zu verlockend und sie tun alles, um ihre Kunden zum "Online-Empfang" zu bringen. Erst mit Rabatten für den Online Versand und mittlerweile werden die Kosten für Porto und Rechnungsversand explizit ausgewiesen. Da dies auch die großen TK-Firmen (z.B. Telekom) machen, hilft es auch nicht auf Wettbewerber auszuweichen. Aber auch als Kunde habe ich ja einen Vorteil davon, zumindest wenn ich die Rechnung einfach nur kontrolliere und dann nicht weiter brauche oder sie direkt elektronisch abspeichere (Immer an das Backup denken !! oder doch besser ausdrucken und abheften ?). Aber wenn die Absender so viel Geld sparen, dann ist es mir unverständlich, dass Sie nicht eine Mindestfunktion bereit stellen, um ihre wertgeschätzten Kunden zu schützen und mit Behelfslösungen ihre Kunden nerven wie z.B. eBay (Stand Aug 2013)

Können sich eBay und all die anderen Firmen kein Zertifikat für diese eine Absenderadresse leisten ? Ich habe mit mal erlaubt meinen Posteingang nach solchen "kommerziellen Mails" zu durchforsten. Die Liste ist nicht vollständig und soll auch nicht als "Pranger" missverstanden werden. Sie können aber schon selbst sehen, dass viele dieser Absender durch eine Signatur ihren "teuren Markennamen" besser schützen könnten und dem Empfänger das Ausfiltern von "schlechten Mails" vereinfacht werden könnte.

Firma Absenderadresse Inhalte Signatur seit

DHL

paket@dhl.de

Versandinformationen

Mai 2014

Amazon

 

Versandinformationen, Partnerinformationen, Kontorücksetzung

PayPal

service@paypal.de

Kontorücksetzung, Kontostand

ebay

 

Versandinformationen, Vorgangsinformationen, Kontorücksetzung, Newsletter

Bahn

info@bahncard.bahn.de

Bahncard Meldungen, Kontorücksetzung

Facebook

 

Anmeldemeldung, Kontorücksetzung

Twitter

info@twitter.com

Anmeldemeldung, Kontorücksetzung

Office 365 Microsoft Online Services Team

msonlineservicesteam@email.microsoftonline.com

Vertragsinformationen

LinkedIn

 

Gruppenmeldungen, Kennwort Rücksetzung

Kabel Deutschland

Rechnung_bitte_nicht_antworten@kabeldeutschland.de

Rechnungsversand

1und1

rechnungsstelle@1und1.de

Rechnungsversand

Telekom Deutschland GmbH

rechnungonline@telekom.de

Rechnungsversand

Interessant wird das natürlich, wenn möglichst alle signieren und ich als Kunde eine unsignierte Mail als "unnormal" ansehen kann.

Warum sich eine digitale Signatur rechnet!

Beim klassischen Postbrief gehört die "Unterschrift" zum guten Ton. Früher war es das Wachssiegel, welches die Authentizität eines Briefs sicherstellen sollte. Warum sollte dies bei der elektronischen Kommunikation nicht auch von Vorteil ?. Eine digitale Signatur stellt sicher, dass der Absender korrekt und der Inhalt unverändert ist. Es gibt aber noch weitere Aspekte bei der Signierung ihrer Mails:

  • Sie schützen damit auch ihren guten Namen und ihre Marke.
    Wenn jemand mit ihrer Adresse sendet, dann können alle Empfänger dies direkt erkennen.
  • Ihr authentischen Mails werden erkennt und gelesen
    Ihre "Gelesen"-Rate ist also deutlich höher als wenn ihre Mail einfach nur in Spams untergeht
  • Weniger False Positive
    Wenn eine Mail mit einem offiziellen Zertifikat signiert ist, dann bewerten dies immer mehr Spamfilter vorteilhaft. Ihre Nachricht wird seltener als Spam aussortiert und Sie erreichen ihre Zielgruppe.
  • Vorarbeiten für den verschlüsselten Rückweg
    Ihr Kommunikationspartner kann allein mit ihrem Zertifikat, welches an der Mail angehängt ist, eine Antwort mit vielen Programmen verschlüsseln. Vielleicht fangen ihre Kunden auch an, ihre Mails zu signieren. Und schon haben beide Seiten einen Vorteil.

Liegt es vielleicht einfach daran, dass Sie noch nie darauf aufmerksam gemacht wurden ?.

Wer kann signieren und versteht Signaturen?

Nahezu alle modernen E-Mail Programme können heute nach S/MIME-Standard signieren. für viele Programme gibt es zusätzlich auch noch ein PGP-Add-On um einen alternativen Standard zu unterstützen. Ihre Programm ist aber sicher auch dabei:

Hinweis: Mobilgeräte sind oft noch nicht in der Lage zu signieren aber sie können signierte Mails empfangen.

Was kostet die Signatur?

Für eine digitale Signatur benötigen Sie ein Zertifikat, was Sie selbst erstellen oder durch eine Zertifizierungsstelle erhalten können. Wer ein offizielles Zertifikat benutzt, muss seine Identität nachweisen und zwischen 10-100 Euro/Jahr vorsehen. für Absender, die dieses Verfahren "produktiv" nutzen, ist dies der empfohlene Weg.

Sie können aber auch selbst ein Zertifikat erstellen und verwenden. Ihre Empfänger bekommen dann natürlich erst einmal eine Warnung aber die meisten Programmer erlauben es dem Empfänger dieses Zertifikat als "vertrauenswürdig" einzustufen und so die folgenden Mails als "korrekt" zu erkennen. Sie müssen nur darauf achten, dass die Mails nun immer signiert sind und "nicht signierte Mails" eben als Fälschung. 

Streiten Sie nicht darüber, ob sie nun PGP oder SMIME oder PDFMail o.ä. nutzen. Sie sollten ihre Mails digital so signieren, dass möglichst viele Empfänger damit etwas anfangen können und das ist nun mal SMIME. Dieser Standard wird von den meisten Programmen direkt ohne weitere Add-ons unterstützt.

Und die Provider ?

Sehr viele Anwender nutzen heute nur noch einen Webbrowser, um ihr Postfach zu bearbeiten. Hier fällt die entscheidende Rolle natürlich dem Provider zu. Die korrekte Anzeige eingehender signierter Mails leisten schon die meisten Provider. Allerdings ist es ungleich schwerer, per Webbrowser auch Mails zu verwenden. Outlook Web Access löst dies über ein Plug-in aber die meisten Privatanwender sind damit wohl überfordert.

Das muss aber nicht der Tod der Lösung bedeuten, denn auch ein Provider kann quasi "im Auftrag" seines Kunden unterzeichnen. Das ist sogar der beste Weg für "Free-Mail" Provider, welche an die Mail ihrer Kunden gerne noch Eigenwerbung addieren. Solch eine nachträgliche Veränderung würde nämlich die Signatur brechen.

Daraus könnte sogar ein "Geschäftsmodell" für Provider werden, die einfach eine eigene Zertifizierungsstelle exklusiv für die Ausstellung von Personenzertifikaten ihrer Kunden nutzen. Stellen Sie sich vor, jede Mail von GMX, WEB, Strato, MSN, HotMail, AOL, Yahoo etc. wäre "signiert". Web.de hat sogar schon ein TrustCenter (http://trust.web.de/)

Weitere Links