Wenn Sie von mir eine Mail erhalten, dann finden Sie seit einigen Tagen an dieser Mail einen Anhang mit Namen 0xBB46A4E88051D8E8.asc. Mit diesem Text möchte ich Ihnen erklären, warum ich diesen Anhang mit verschicke. Und in diesem Text möchte ich begründen, warum die politischen Parteien die Forderung aufstellen sollen, daß alle öffentlichen Einrichtungen einen entsprechenden Anhang mit ihren Mails verschicken und natürlich selbst mit gutem Beispiel voran gehen sollen.
Sie haben sicherlich schon einmal Mails mit dubiosem Inhalt erhalten. Also im Stile einer wichtigen Nachricht von Amazon oder der Postbank oder von DHL oder .... Vor etlichen Wochen wartete ich auf ein Paket aus dem Ausland. Zufällig erhielt ich in dieser Zeit eine Mail, daß ein Paket mit der Trackingnummer XXXXX nicht ausreichend frankiert worden sei, weshalb ich 2€ nachzahlen müsse. Und da ich auf ein Paket wartete und es aus dem Ausland kam, dachte ich mir, daß dies mein Paket sei. Und gerade erhielt ich wieder eine solche Mail:
Dieses Beispiel ist natürlich schlecht gemacht, aber ich erhielt auch schon (fast) perfekt aussehende Benachrichtigungen. Bitte reagieren Sie nicht auf solche Mails! Hier finden Sie eine Beschreibung solcher und ähnlicher Mails:
Aktuell würden solche Mails unter Missbrauch der Namen von DHL, UPS und anderer Paketdienste massenhaft verschickt. Teils handelt es sich auch um Dienstleister aus anderen Ländern oder frei erfundene Firmen.
Die gefälschten Mails sind etwa an Betreffzeilen wie «Ihr Paket wurde nicht korrekt zugestellt» zu erkennen. Oder es handelt sich einfach nur um fiktive Versandbestätigungen. Der Polizei sind zudem Varianten bekannt, in denen angeblich Porto nachgezahlt werden muss, damit das Paket zugestellt wird.
Links keinesfalls anklicken.
Quelle: Paket-Benachrichtigungen mit gefährlichen Links kursieren, ZEIT ONLINE vom 13. Januar 2020 (Hervorhebung von mir)
Viele weitere Beschreibungen finden Sie hier: Lass mich das für dich googlen.
Mit der Mail und den fehlenden 2€ Versandkosten hätte ich ein Abo abgeschlossen und hätte vermutlich ca. 70€ gezahlt für eine Dienstleistung, die ich gar nicht haben will. Also Vorsicht.
Wikipedia schreibt zu solchen Versuchen:
Phishing
Unter dem Begriff Phishing (Neologismus von fishing, engl. für ‚Angeln‘) versteht man Versuche, über gefälschte Webseiten, E-Mails oder Kurznachrichten an persönliche Daten eines Internet-Benutzers zu gelangen und damit Identitätsdiebstahl zu begehen. Ziel des Betrugs ist es, mit den erhaltenen Daten beispielsweise Kontoplünderung zu begehen und den entsprechenden Personen zu schaden. Es handelt sich dabei um eine Form des Social Engineering, bei dem die Gutgläubigkeit des Opfers ausgenutzt wird. Der Begriff ist ein englisches Kunstwort, das sich aus password harvesting (Passworte sammeln) und fishing (Angeln, Fischen) zusammensetzt und bildlich das Angeln nach Passwörtern mit Ködern verdeutlicht. Die Schreibweise mit Ph- entstammt ferner dem Hacker-Jargon (vgl. Phreaking).
Phishing-Webseite: Sie sieht aus wie die Seite einer Sparkasse, ist jedoch eine vom Phisher präparierte Webseite. Der Klick auf die Schaltfläche in der Mitte würde den nichts ahnenden Besucher auffordern, persönliche Daten einzugeben, die der Phisher dann abfängt.
Typisch ist dabei die Nachahmung des Internetauftritts einer vertrauenswürdigen Stelle, etwa der Internetseite einer Bank. Um keinen Verdacht zu erregen, wird das Corporate Design der betroffenen Stelle nachgeahmt, so werden etwa dieselben Firmenlogos, Schriftarten und Layouts verwendet.
Quelle: Phishing in der Wikipedia
Wie kann man so etwas verhindern?
Mails
Die Antwort ist einfach: Gar nicht. Aber irgendwie muß man sich doch dagegen schützen können, daß solche Mails versandt werden? Nein, kann man nicht, aber man kann erkennen, ob eine Mail wirklich von dem Absender stammt, den die Mail angibt. Denn der Absendername einer Mail lässt sich leicht fälschen, aber dies gilt auch bereits für einen Brief. Und im Fall einer Mail von mir möchte ich Ihnen zeigen, wie Sie überprüfen können, ob diese Mail wirklich von mir stammt.Und die Antwort hat etwas mit der Datei zu tun, die ich Ihnen ungefragt als Anhang zu meiner Mail mit übersende. Der Weg heißt Digitale Signatur und dieser Begriff gehört zum Oberbegriff Verschlüsselung, aber keine Angst, Sie müssen keine Mails verschlüsseln und erhalten auch keine verschlüsselten Mails. Sie erhalten nur die von mir erstellte Mail plus die Datei 0xBB46A4E88051D8E8.asc.
Brief
Mal angenommen, Sie schreiben einen Brief. Diesen stecken Sie dann in einen Briefumschlag, versehen diesen mit einer Briefmarke und stecken den Briefumschlag in einen Briefkasten. Die Post übernimmt jetzt den weiteren Transport Ihres Briefes bis zur Zustellung an den Empfänger. Warum stecken Sie den Brief in einen Umschlag und verschließen diesen?Wenn Sie den Brief in einen Briefkasten einwerfen geben Sie diesen Brief in fremde Hände. Sie haben keine Kontrolle mehr darüber, was auf dem Transportweg mit diesem Brief geschieht. Und deshalb verwenden Sie den Umschlag, um Ihren Brieftext vor fremden Augen zu schützen. Dabei verlassen Sie sich auf den gesetzlichen Rahmen (= Brief-, Post- und Fernmeldegeheimnis) und auf den Staat, der Ihre Privatsphäre schützen soll.
Und was machen Sie mit Ihren Mails?
Ein Paar Schlüssel
Bei Computern gibt es keinen Briefumschlag, aber ich möchte Ihnen eine Technik vorstellen, die im letzten Schritt zu verschlüsselten Mails führt. Aber halt, ich möchte Ihnen hier und heute nur den ersten Schritt vorstellen. Und dieser erste Schritt verwendet eine Technik mit einem Paar zueinander gehörender Schlüssel, denn sie müssen zueinander passen. Diese Schlüssel sind nichts anderes als einige Zahlen, die jedoch sehr groß sind, aus Sicherheitsgründen.Sie müssen immer noch nichts tun. Lediglich ich habe bisher etwas getan, nämlich auf meinem Computer ein solches Schlüsselpaar erzeugt. Einer dieser Schlüssel ist der private (oder geheime) Schlüssel, der andere ist der öffentliche Schlüssel. Und mit jeder Mail, die ich jetzt verschicke, verschicke ich diesen öffentlichen Schlüssel mit.
Öffentlicher Schlüssel
Wenn Sie jetzt gar nichts machen, dann erhalten Sie eine Mail plus einer Datei als Anhang (die Datei mit Namen 0xBB46A4E88051D8E8.asc). Den Mailtext können Sie lesen wie bisher auch, den Anhang können Sie einfach ignorieren.Gehen Sie über einen Browser auf Ihr Mailpostfach, also z.B. direkt auf www.gmx.de oder www.web.de oder www.t-online.de oder ...., dann gilt das eben geschriebene auch.
Verwenden Sie aber auf Ihrem Computer ein Mailprogramm und haben Sie dort diesen (=meinen öffentlichen) Schlüssel installiert, dann können Sie eine solche Mail von mir (d.h. eine Mail mit meiner Mailadresse als Absender) prüfen. Präziser: Ihr Mailprogramm wird dann ohne Ihr Zutun diese Mail prüfen und verwendet dazu meinen (öffentlichen) Schlüssel. Das ist alles. Im Ergebnis sagt Ihnen das Mailprogramm dann, daß die Signatur geprüft und in Ordnung ist oder daß die Signatur nicht in Ordnung ist. Im letzteren Fall sollten Sie bei dieser Mail vorsichtig sein, sehr vorsichtig.
Geprüfte Mail
Als Mailprogramm verwende ich Thunderbird (plus Erweiterung Enigmail) und dieses Programm nimmt die Prüfung automatisch vor, d.h. ich bemerke diesen Vorgang der Prüfung einer Mail nicht einmal. So sieht es dann aus bei mir (bitte beachten Sie die grüne Zeile):Alles OK, diese Mai stammt wirklich von mir, sagt mein Mailprogramm. Und dem ist auch so.
Digitale Signatur
Eine Digitale Signatur ist wie eine Unterschrift unter ein schriftliches Dokument. Eine Unterschrift bezeugt die Echtheit des Inhalts des Textes und bestätigt, daß dieser Inhalt von meiner Person stammt. Und die digitale Signatur ist das Gegenstück dazu in der digitalen Welt.Auf meiner Seite mache ich dazu folgendes: Bei jeder Mail erzeugt mein Mailprogramm eine entsprechende digitale Signatur, wozu mein privater (=geheimer) Schlüssel verwendet wird. Diese Signatur wird an den Mailtext angehängt, was für Sie unsichtbar ist. Und mit meinem öffentlichen Schlüssel können Sie den Text der Mail und die digitale Signatur überprüfen.
Und damit Sie diese Prüfung durchführen können, hänge ich zusätzlich noch meinen öffentlichen Schlüssel an meine Mails dran, denn diesen Schlüssel brauchen Sie für diese Prüfung.
Technik
Sinn und Zweck dieses Blogs ist der Themenbereich IT und Politik, bevorzugt Kommunalpolitik, denn dort liegt vieles im Argen, insbesondere in der IT dieser Stadt. Deshalb möchte ich jetzt auch nicht eingehen auf das Thema, wie Sie mit diesem Mailanhang umgehen, was Sie mit dieser Datei 0xBB46A4E88051D8E8.asc machen sollen. Anleitungen dazu finden Sie im Internet, hier nur eine kleine Auswahl solcher Anleitungen:Forderung an die Stadtpolitik: Digitale Signatur für alle Mails der Stadt Wiesbaden
Mit der Stadt Wiesbaden und ihren Einrichtungen bzw. ihren Mitarbeitern kann man ja mittlerweile per Mail kommunizieren. Mal angenommen, Sie erhalten eine Mail, die sich präsentiert als Mail von einer Stelle der Stadt Wiesbaden. Trauen Sie dieser Mail? Ich möchte auf die Sätze im Eingang dieses Textes verweisen: Wenn Sie eine Mail erhalten von DHL ("Ihr Paket vom ...."), trauen Sie dieser Mail? Wenn Sie eine Mail von Amazon erhalten ("Ihre Bestellung vom ...."), trauen Sie dieser Mail? Wenn Sie eine Mail von der Postbank erhalten ("wichtige Information zu Ihrem Konto ...."), trauen Sie dieser Mail? Usw.Bisher landete noch keine von der Stadt Wiesbaden angeblich kommende, aber in Wirklichkeit gefälschte Mail in meinem Postfach, aber das kann ja noch kommen. Und bevor dies passiert möchte ich die Methode vorschlagen, die so etwas verhindert (oder wenigsten einen solchen Versuch erkennbar macht). Deshalb lautet meine Forderung an die Stadtpolitik:
Denn wenn Sie Ihre Wohnung verlassen, dann schließen Sie ja auch die Wohnungstür ab, obwohl (vermutlich) noch nie bei Ihnen eingebrochen wurde. Bevor also Mißbrauch getrieben wurde mit Mails der Stadt Wiesbaden soll dies durch die digitale Signatur unter allen Mails verhindert werden.
Nachtrag
Das Thema Verschlüsselung und digitale Signatur wurde hier auf diesem Blog bereits mehrfach angesprochen. Hier finden Sie frühere Texte dazu:- hQEMA5FkqPE4rOofAQf9Ek0j/4zaCtlFhAHHvDPyPGipKIvCkVmDFgHE01AXhaSF
In diesem Text habe ich dargestellt, wie die einzelnen Schritte aussehen, wenn man eine Mail erstellt, die einmal verschlüsselt und einmal unverschlüsselt erstellt wird. Gleiches habe ich dargestellt für den Empfang einer Mail, jeweils einmal verschlüsselt und einmal unverschlüsselt.
Bitte vergleichen Sie die jeweiligen Vorgehensweisen. Sie werden feststellen, daß die Verschlüsselung ganz einfach ist (für den Computer bedeutet dies eine Menge Arbeit, aber diese Arbeit übernimmt Ihr Computer bestimmt gerne. - "Verschlüsselung ist zu aufwändig"
Mit diesem Zitat bezog ich mich auf eine Aussage, gefallen im Oktober 2019 im Ausschuss für Bürgerbeteiligung und Netzpolitik. Und ich habe dargestellt, was eine digitale Signatur ist, wie sie aussieht und warum man sie benötigt, wie auch in diesem Text. In diesem älteren Text hatte ich schon einmal die Forderung nach digitaler Signatur unter Mails der Stadt Wiesbaden aufgestellt und erläutert. - https://piwi.wiesbaden.de
Am Beispiel dieser Seite habe ich dargestellt, daß die Stadt Wiesbaden durchaus in der Lage ist, Texte zu verschlüsseln. Alle Text auf dieser Seite werden verschlüsselt übertragen, trotzdem können Sie eine Seite von dieser Seite abrufen und auch lesen.
Ihre Bank macht dies genauso, d.h. bei einem Zugriff auf Ihre Bank kann Ihre Bank die Daten lesen und Sie können Ihre Daten (Kontostand, Überweisungsauftrag etc.) lesen, aber dazwischen kann niemand die Daten lesen. Und so soll das auch sein.
Die Verschlüsselung und Entschlüsselung der jeweiligen Seite erfolgt ohne Ihr Zutun. Sie bemerken diesen Vorgang nicht einmal.
Digitale Signatur und Verschlüsselung hängen miteinander zusammen. Aber eine digitale Signatur ist einfacher zu realisieren, deshalb stelle ich diese Forderung an den Anfang.