Urteil: TLS-Verschlüsselung bei E-Mail-Rechnungen an Privatkunden zu wenig?
Der Fall einer per E-Mail geschickten Privatkunden-Rechnung, die von Kriminellen manipuliert wurde, wanderte vor Gericht. Der Knackpunkt: die Verschlüsselung.
Sehe ich das richtig
Es muss also E2EE angewendet sein, egal welcher Messenger/Transportmittel
E2EE ist ja eigentlich böse, laut Bullenschweinen usw.
Was ein merkwürdiges Urteil. Es sind genau solche Urteile, die uns in der Digitalisierung wahnsinnig zurückwerfen, getroffen von anscheinend völlig unfähigen Richtern und anscheinend wurde auch kein Experte gefragt:
Doch die Rechnung wurde auf dem Weg zum Empfänger von Kriminellen manipuliert. Sie veränderten nicht nur die Bankverbindung, sondern auch die Farbgestaltung und weitere Details des Dokuments. Wie genau es dazu kommen konnte, dass den Auftraggeber eine manipulierte Rechnung erreichte, ließ sich laut Gericht nicht abschließend klären.
Das ist doch das Entscheidende. Der Fall klingt nämlich nicht so als ob jemand die TLS-Verschlüsselung beim Transport der Mails das Problem wäre, sondern so als ob irgendwer die Mailkonten gehackt hat. Klingt deutlich logischer, dass jemand z.B. im System der Firma hockt und dann ausgehende Rechnungen manipuliert. Auf jeden Fall ist es völlig absurd, dass das Urteil hier wild über E-Mail-Rechnungen urteilt ohne den Sachverhalt an sich aufzuklären.
Ansonsten:
Von daher: Alles sehr merkwürdig. Jetzt werden aber zig Anwälte ihre SEO-optimierten Blogs anwerfen und ohne Sachverstand zum Thema bloggen. Und dann wird das in die Branchenzeitungen kommen und irgendwann ruft Firmenchef Horst-Günter die Gisela aus der Buchhaltung zu sich ins mittelständige Firmenbüro und erzählt, dass sie keine Rechnungen per Mail mehr verschicken darf und doch lieber wieder Faxen soll.
Ich glaube, dem Richter ist nicht klar, wie schwierig ein Man-in-the-Middle Angriff ist. Selbst wenn die Zertifikate nicht geprüft werden, müssen doch die Verbindungen angehalten, modifiziert und analysiert werden. Das alles muss auf den Routern von Netzwerkprovidern passieren - oder es müssen Kabel durchtrennt und mit aktivem Equipment neu verbunden werden.
Und vor allem: Die alternative Theorie, dass eines der Passwörter kompromittiert wurde, ist sicher 1000 mal wahrscheinlicher.
Die Fälle gibt es schon öfter mal. Bekannt ist mir vor allem die Masche eine Korrekturrechnung nach zuschieben. Da hat es dann eindeutig nichts mehr mit dem Transport zu tun. Hier ist wohl auch nicht, aber das wurde ja nich geklärt.
Tatsächliche Manipulation "in transfer" ist bei zwielichtigen VPNs und TOR-Exits öfter beobachtet. Da werden Bitcoinadressen und ähnliches auf Webseiten ausgetauscht. Manchmal auch die Werbung.
Korrekt wäre hier übrigens signierte Mails zu fordern statt E2E. Integrität und Authentizität sind hier die verletzten Schutzziele. Das Vertraulichkeit gar nicht so relevant ist, sagt das Gericht ja selbst.
Dann Postweg empfehlen...
Das ist doch das Entscheidende. Der Fall klingt nämlich nicht so als ob jemand die TLS-Verschlüsselung beim Transport der Mails das Problem wäre, sondern so als ob irgendwer die Mailkonten gehackt hat.
Ja, Du hast natürlich völlig Recht - eine MitM-Attacke ist hier sehr unwahrscheinlich.
Aber davon ab: welche TLS-Verbindung denn überhaupt? Wenn ich jemandem eine Email schicke, dann nimmt ja nicht mein Email-Client eine Verbindung mit dem Ziel-Server auf, sondern der redet mit meinem Email-Server. Da gibt es dann wenigstens hoffentlich eine TLS-Verbindung. Wie es von da aus weitergeht - keine Ahnung, keine Kontrolle. Wenn der Ziel-Server gar kein TLS kann, dann geht es halt unverschlüsselt rüber. Theoretisch über beliebig viele Hops, wenn da noch Relay-Server dazwischen sind. Von der einen Verbindung kann also noch nicht mal geredet werden.
Rechnungen per Mail verschicken finde ich trotzdem von vorne bis hinten wild. Da wandern täglich so viele PDFs auf diesem Weg durch die Welt, müllen Posteingänge zu (Speicherplatz) und wozu? Die sollen die Rechnung einfach selbst bei sich hosten und mir nur Bescheid geben wo ich die Details der Zahlung nachlesen kann.
Warum sollte das wild sein? Du versendest die Mail mit Standardsoftware. Die Rechnung ist dann im Posteingang des Kunden. Die Mailaddi hat er dir selbst angegeben. Nur er hat Zugriff. Wenn du Rechnungen selbst hostest, musst du dir Gedanken machen über so nicht-trivialen Krams wie "Useraccounts", "Zugriffsschutz" und "Löschungsfristen" und darfst dich dann mit Kunden rumschlagen, die ihre Logins vergessen haben, die die Rechnungen vor der Löschungsfrist nicht heruntergeladen haben und am Ende ... wenn Hacker die PDF im Anhang einer Mail verändern können, können sie dich auch auf ein gefälschtes Downloadportal leiten. Sicherheitsgewinn gleich null für riesigen Aufwand.
Als eher-Laie: wie könnte ein Angriffsvektor für so einen Fall aussehen - Zugriff auf die Mails bei einem der Anbieter?
Und: Klar, E2E-Verschlüsselung gut wegen Datenschutz - aber wäre hier nicht eigentlich eine kryptografische Signatur der zentrale Lösungsansatz, um sicherzustellen, dass eine gefälschte Rechnung als solche erkannt wird?
Mensch die Bürokraten waren so froh dass sie verstanden haben dass Verschlüsselung wichtig ist und jetzt willst du dass sie auch noch Signaturen verstehen und unterscheiden wann was welche Garantien gibt?!
Ganz ehrlich, ich vermute, dass sich hier einfach der Kunde 15.000 € selbst überwiesen und sich dann die Geschichte mit der gefälschten Rechnung ausgedacht hat. Auch wenn theoretisch E-Mails unsicher sind glaube ich, dass der Angriff praktisch echt schwierig ist und hier ein riesiger Haufen von Zufällen aufeinander treffen müssen, um ihn plausibel erscheinen zu lassen.
Oder, Szenario B, das E-Mail Konto des Kunden ist gehackt und jemand hat zufällig die Rechnung gesehen und dann die gefälschte Mail ins Postfach gelegt.
Was kann man jetzt daraus ableiten? Wie soll ein Unternehmen den Rechnungsversand so absichern, dass eine Ende-zu-Ende Verschlüsselung gewährleistet ist?
Mir fällt da eigentlich nur ein, die Rechungen über ein Portal zum Download anzubieten. Alles andere skaliert nicht oder ist nicht sicher genug.
Wie sieht es mit dem Postversand aus? Wenn jemand dem Kunden postalisch eine Rechnung mit falschen Daten schickt?
Ziemlich viele Unternehmen und auch Banken machen das so. Ich hasse das. Bekomme nur die Meldung, dass da was ist und muss mich dann nochmal extra einloggen. Und das Unternehmen bekommt dann natürlich die Bestätigung, dass ich die Nachricht gelesen habe.
Wäre eher blöd, wenn man den Leuten angewöhnt Wichtige_Rechnung.pdf.exe im Anhang der Mail einer "Bank" auszuführen. Am besten noch mit "Klicken Sie hier und geben Sie alle Ihre Daten ein"-Link.
Rechnung zum Download anbieten auf einem unternehmenseigenen Server müsste doch nicht unbedingt hinter einer Login-Schranke liegen, oder? Einmallink per Mail verschicken, mit dem kommt man zur Rechnung, kann sie herunterladen und zahlen.
Warum bleiben wir nicht einfach beim Fax? /s
In Österreich dürfen wir nicht mehr Faxen :(
Seit Jahresbeginn dürfen Österreichs Ärzte nicht mehr faxen. Patienten müssen warten, während USB-Sticks Taxi fahren und Rettungswägen CD-ROMs liefern. (heise)
Was kann man jetzt daraus ableiten?
Das dem Richter keine Ahnung von dem Thema über das er recht spricht hat.
2025 Year of the Linux Desktop GPG!
Email ist, war und wird niemals ein sicheres Übertragungsmedium sein. Ich kann Mail anfangen und ändern, wenn ich beim Provider sitze, ich kann sie abfangen und ändern wenn ich nen anderen MX konfiguriere für dein Kleinunternehmen (weil ich irgendwann an Deine credentials gekommen bin für Deine DNS settings) usw usw.
Aus diesem Grund darf ich z. B. auch in meinem Job keine personenbezogenen und keine Kundendaten per Mail schicken, wenn die Mail nicht verschlüsselt ist.
Am Rande, weil jetzt jemand gesagt hat in einem der Kommentare - dann will der Firmenchef bestimmt wieder faxen - Nein, auch Fax ist kein gerichtssicheres Verfahren. Ausser, du kannst sicherstellen, dass am anderen Ende ein manipulationssicheres Gerät steht (und nicht z. B. ein Fax to Mail Gateway)
Email ist, war und wird niemals ein sicheres Übertragungsmedium sein.
Was denn dann? Einen Brief kann auch einfach jeder ausdrucken, unterschreiben und in die Post geben - da gibt es streng genommen auch keine Möglichkeit, die Authentizität zu prüfen. Wenn ein Angreifer die Information hat, dass ein Kunde oder eine Firma auf eine Rechnung wartet, und die Höhe kennt....
Technisch gesehen wäre das beste gewesen, die elektronische Rechnung digital zu signieren, aber wer welcher private Kunde weiss denn dann, wie er an das Zertifikat zur Überprüfung der Signatur kommt, oder wie das dann funktioniert?
Ein wirklich problematisches Urteil m.M.n.
Ja, Briefe können auch abgefangen werden.
Tatsächlich eine Signatur, oder eben z. B. eine Rechnungseinsicht auf der Webseite des Anbieters. Oder zumindest ein PDF Passwort, das man sich auf anderem Wege abholen muss.
Wir haben ja in DE auch schon mal versucht "sichere Mail" zu etablieren (DE-Mail), da waren aber die Rahmenbedingungen echt so hirnrissig. (Keine Notification über klassische Mail, wenn ich mich recht entsinne, war ein DE Mail Postfach aber genug für eine offizielle Zustellung - d. h. wenn Du da nicht jede Woche geguckt hast, hättest Du rechtliche Fristen verpassen können, weil ne Mail dahin ja zählt wie ein Einschreiben.)
Das Problem mit solchen Sachen wird (da die Echtzeitüberweisung häufiger wird) in Zukunft auch noch größer werden.
Vielleicht wäre ein Bankprodukt sinnvoll, mit dem ich an einen verifizierten Empfänger überwiesen kann. Wäre jedenfalls eine hilfreiches Ding. Ggf. gegen Gebühr, aber dann incl. Versicherung
Ich kenne mich mit IT Sicherheit nicht allzu gut aus. Kann jemand erklären, wie es hier möglicherweise dazu kommen konnte?
Der Angreifer erlangt Kontrolle über den Mailserver des Absenders oder Empfängers und verhindert den Versand der echten Mail und ersetzt sie durch die gefälschte. Oder er löscht sie aus dem Postfach des Empfängers und lädt stattdessen die falsche Mail hoch. Zugang zum Managementsystem beim Webhoster reicht dafür aus.
Die andere Variante ist, dass der Angreifer direkt Kontrolle über das versendende/empfangende Gerät hat und die Mail dort manipuliert.
Eine echte Man-in-the-Middle Attacke ist schwierig. Der schwächste Punkt ist wahrscheinlich der Router der Firma oder des Kunden, sonst muss man Internet-Infrastruktur angreifen, die (hoffentlich) besser gewartet und überwacht ist. Versand und Empfang auf der letzten Meile (Mailprogramm/Webbrowser <-> Mailserver) laufen aber mittlerweile eigentlich immer mit TLS. Da müsste man die Verschlüsselung knacken oder die Zertifikatsvalidierung aushebeln. Beides sollte für normale Kriminelle nicht möglich sein.