eMail Siegel - Wirklich mehr Sicherheit?

In einem anderen Thread wurde es ja schon angesprochen, das eBay, Web.de und GMX jetzt ein neues System zur eMail Sicherheit ausgeklügelt haben, wodurch sich echte Mails von gefälschten Mails leichter unterscheiden lassen sollen und so die Sicherheit der Kommunikation im Internet deutlich gesteigert werden soll.

Mithilfe des Siegels sollen Empfänger von eMails nun leichter unterscheiden können, ob es sich um eine Fake Mail handelt oder um eine echte Mail, die von der jeweiligen Person verschickt wurde. Dies soll Spam noch leichter als solchen erkennen lassen und Phishing deutlich begrenzen und das Vertrauen in die elektronische Post stärken.

Im Grunde gibt es das ja schon und zwar haufenweise. Wenn man einmal alle Möglichkeiten und Varianten zusammenzählt, die da so an Authentifizierungsmöglichkeiten durchs Web geistern, kommt man kaum zu einem Ende. Dumm nur, dass sich davon bis jetzt keine einzige als Standard etabliert oder flächendeckend durchgesetzt hat. eBay, Web.de und GMX haben jetzt also mal wieder ein System mehr auf den Markt geworfen, welches vor allem Phishern das Handwerk legen soll.

Momentan läuft das ganze noch auf Probebasis: Web.de und GMX wollen ein Jahr nach Projektbeginn alle Mails, die eBay an Kunden der beiden Freemailer versendet, authentifizieren und kennzeichnen eBay Usern soll dies nun ermöglichen, Fakes von echten Mails zu unterscheiden und so kein Opfer von Phishing zu werden.

Doch wie funktioniert das ganze und woran erkennt man eine sichere Mail?

Das System arbeitet mit 2 verschiedenen Siegeln, wovon eines im Posteingang und eines im Kopf der Mail erscheint.

Im Posteingang (bei Mails von Web.de oder GMX) erscheint bei Mails von eBay ein eBay Logo und ein Häkchen vor dem Absendernamen. Falls es sich nicht um eine Mail von eBay direkt, sondern von einem eBay Nutzer handelt, erscheint neben dem eBay Logo zusätzlich ein Personensymbol.

Wenn man die Mail öffnet, findet man im Mailkopf die – angeblich - fälschungssichere Kennzeichnung „Original eBay-Nachricht", alternativ, falls die Nachricht von einem eBay Nutzer stammt, „Original-Nachricht eines eBay-Mitglieds“.

Zusätzlich zum neuen eMail Siegel gibt es auf eBay, Web.de und GMX auch weitere Informationen zum Thema Authentifizierung, eMail Kennzeichnung und Erkennung sowie Schutz vor gefälschten eMails.

Ok, du hast zwar jetzt recht schön, das grobe Prinzip erklärt, nachdem dieses neue Siegel funktioniert, aber warum das denn deiner Meinung nach nicht für mehr Sicherheit sorgen soll verrätst du uns leider nicht.

Ich denke, dass es sich bei diesem Siegel um einen sehr guten Ansatz von Ebay handelt, Phishing Mails zu bekämpfen. Ob das System wirklich sicher ist wird denke ich die einjährige Testphase zeigen. Kein System ist unknackbar, aber es gibt Systeme die (im Gegensatz zum letzten sicherheitstechnischen Fehlschlag von Ebay, diesem kleinen Gerät, dass individuelle Login-Codes generieren sollte und innerhalb kürzester Zeit geknackt wurde) zumindest ein recht hohes Maß an Sicherheit bieten.

Wie genau das System funktioniert, werden Ebay und die Mailanbieter wohl für sich behalten, dementsprechend schwierig ist es, den Grad an zusätzlicher Sicherheit den diese Maßnahme bringt, zu bewerten.

Ich halte es auf jeden Fall für einen Schritt in die richtige Richtung und hoffe, dass sich das System als sicher erweisen wird.

Ich merke, für mich ist vieles selbstverständlich hast natürlich recht. Ich dachte das käme indirekt zwischen den Zeilen durch aber warum ich nicht denke, dass es zu mehr Sicherheit beitragen wird, sind folgende Gründe:

1. Bisher konnte man auch die anderen Systeme teilweise aushebeln - nicht gleich, aber über kurz oder lang.
2. Siehe die anderen Systeme, zwar hat man mit eBay einen großen Partner, aber es ist keine Garantie das es sich flächendeckend durchsetzt. Hier ist die Konkurrenz wichtiger als die Vernunft, ein System flächendeckend durchzusetzen.
3. Zudem muss man erst einmal wissen, was diese Symbole bedeuten - einem Großteil der User würde ich unterstellen, sie nicht zu beachten oder gar nicht darauf zu achten.
4. Im Grunde Punkt 2, aber nochmal: Nicht alle mails werden über die drei Partner abgewickelt oder kommen von ihnen hier fehlt eine breite Partnerschaft zwischen verschiedenen Freemailern und größeren Firmen wie Amazon, eBay, Banken usw.
5. Was ich schon in Punkt 3 angesprochen habe: Selbst das schönste Siegel bringt nichts, wenn nach wie vor das Problem zwischen Monitor und Stuhl sitzt, also der Mensch, der wider besseren Wissens einen Fehler begeht oder nicht auf essentielle Sachen achtet. Das war und wird die größte Lücke sein im ganzen System, die Phisher bisher ausnutzten. Ich meien, wer fiel denn schon großartig auf Phishing mails rein? Erfahrene Anwender, die eine verdächtige Mail auch so erkennen oder n00bz, die man selbst mit einem blinkenden roten Ausrufezeichen auf dem Monitor nicht davon abhalten konnte (um es überspitzt zu sagen).

Es gibt genügend sichere Verfahren, die über kurz auch nicht ausgehebelt werden können. Das Problem ist vielmehr die Faulheit der User. Ein Beispiel dafür ist das Ausstellen von Zertifikaten von Webseiten. Ein Hacker müsste schon etwas Aufwand betreiben um das zu umgehen, aber den Aufwand muss er sich ja keiner machen. Zertifikate werden von Nutzer einfach weggeklickt.

Generell wäre es auch kein Problem direkt zwischen EBay und Nutzer fälschungssichere EMails zu verschicken, aber kaum ein Nutzer will sich den Aufwand machen, bzw. hat das Wissen wie man da sicher ist. Wenn ich die Beschreibung richtig verstanden hab, dann basiert das System einfach darauf, dass gmx oder web.de sicher gehen, dass die EMail auch sicher von Ebay kommt und dann da Symbole einfügt, die dann direkt an den Nutzer weitergeleitet werden. Ein Phisher kann so auf diesem Wege theoretisch keine falschen Mails mehr einschleusen, wobei GMX da dann noch ein paar andere Sachen kontrollieren muss.

Würde mich aber wundern, wenn das nicht umgangen werden könnte.