Das Problem, das ich hier immer sehe, ist, dass hier die Illusion aufgebaut wird, Email könnte irgendwie ein sicheres Protokoll sein. Immerhin hat das BSI z.B. Gmail die perfekte 5/7 gegeben! Oder mit weniger Witz, web.de 7/7. Nirgendwo in dem Text lese ich, dass Email nicht genutzt werden sollte, wenn es um wirklich sicher zu haltende Daten geht.
Dazu kommt noch, dass der Test, den das BSI hier macht, aus meiner Sicht zum Teil gar nicht relevant ist:
E-Mails sind immer noch der beliebteste Angriffsweg für viele gängige Methoden der Cyberkriminalität. Täter versuchen, mit Phishing-Mails Daten zu erbeuten und Schadsoftware zu verteilen. Sie fangen E-Mails auf dem Weg von Ihrem E-Mail-Postfach zum Empfänger ab - ähnlich wie ein Brief, der während der Zustellung geöffnet werden könnte. Nicht zuletzt verwenden Cyberkriminelle gestohlene Zugangsdaten, um sich in Accounts einzuloggen, mit denen sie Daten und Geld beschaffen, online betrügen oder weitere Straftaten begehen.
Meines Erachtens nach ist der gängigste Weg, dass sich Zugriff zur internen IT verschafft wird und dann E-Mail-Konten von Firmen gekapert werden. Auch Phishing lässt sich mit den Methoden nicht komplett verhindern, was aber ein Problem ist, das alle Protokolle haben, die Nachrichten von beliebiger Quelle erlauben. Das tatsächliche Abfangen von Mails wird sich allerdings für die meisten gewöhnlichen Kriminellen als schwierig erweisen. Nur die Absicherung von Accounts z.B. mit Hardware-Token ist wirklich etwas, was tatsächlich Sicherheit bringt.
Die Absicherung von E-Mail auf dem Transportweg ist ein Securitytheater. Es kann prinzipiell nicht funktionieren. Wenn man Mails so behandelt, ist das auch OK. Aktionen wie diese hier tragen aber zum Gegenteil bei.
Das Problem, das ich hier immer sehe, ist, dass hier die Illusion aufgebaut wird, Email könnte irgendwie ein sicheres Protokoll sein. Immerhin hat das BSI z.B. Gmail die perfekte 5/7 gegeben! Oder mit weniger Witz, web.de 7/7. Nirgendwo in dem Text lese ich, dass Email nicht genutzt werden sollte, wenn es um wirklich sicher zu haltende Daten geht.
Dazu kommt noch, dass der Test, den das BSI hier macht, aus meiner Sicht zum Teil gar nicht relevant ist:
Meines Erachtens nach ist der gängigste Weg, dass sich Zugriff zur internen IT verschafft wird und dann E-Mail-Konten von Firmen gekapert werden. Auch Phishing lässt sich mit den Methoden nicht komplett verhindern, was aber ein Problem ist, das alle Protokolle haben, die Nachrichten von beliebiger Quelle erlauben. Das tatsächliche Abfangen von Mails wird sich allerdings für die meisten gewöhnlichen Kriminellen als schwierig erweisen. Nur die Absicherung von Accounts z.B. mit Hardware-Token ist wirklich etwas, was tatsächlich Sicherheit bringt.
Die Absicherung von E-Mail auf dem Transportweg ist ein Securitytheater. Es kann prinzipiell nicht funktionieren. Wenn man Mails so behandelt, ist das auch OK. Aktionen wie diese hier tragen aber zum Gegenteil bei.