10
Gpg4Win sicher?!?
Hallo an alle...
ich sollte ein verschlüsselten Emailverkehr zwischen meiner Firma und unserem Steuerberater umsetzen. Da habe ich gleich gpg4Win vorgeschlagen, mit einer sehr hohen Verschlüsselungstiefe. Der Steuerberater hat jedoch erst seine IT-Security Mandanten gefragt, ob das OK sei...
Die Antwort im Zitat lautet: ""Die Meinung zu dem von Ihnen vorgeschlagenen Verschlüsselungstool „GPG4Win“ war vernichtend – es entspricht nicht einem Industriestandard und ist eine halbherzige Lösung die nicht empfohlen wird. "
Näher wurde mir diese Meinung nicht erläutert.
Was denkt Ihr über die Sicherheit des Emailverkehrs im Bezug auf gpg4win?
Gruß Mika
ich sollte ein verschlüsselten Emailverkehr zwischen meiner Firma und unserem Steuerberater umsetzen. Da habe ich gleich gpg4Win vorgeschlagen, mit einer sehr hohen Verschlüsselungstiefe. Der Steuerberater hat jedoch erst seine IT-Security Mandanten gefragt, ob das OK sei...
Die Antwort im Zitat lautet: ""Die Meinung zu dem von Ihnen vorgeschlagenen Verschlüsselungstool „GPG4Win“ war vernichtend – es entspricht nicht einem Industriestandard und ist eine halbherzige Lösung die nicht empfohlen wird. "
Näher wurde mir diese Meinung nicht erläutert.
Was denkt Ihr über die Sicherheit des Emailverkehrs im Bezug auf gpg4win?
Gruß Mika
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 618580
Url: https://administrator.de/contentid/618580
Printed on: April 23, 2024 at 06:04 o'clock
10 Comments
Latest comment
Zitat von @Mika909:
Die Antwort im Zitat lautet: ""Die Meinung zu dem von Ihnen vorgeschlagenen Verschlüsselungstool „GPG4Win“ war vernichtend – es entspricht nicht einem Industriestandard und ist eine halbherzige Lösung die nicht empfohlen wird. "
Die Antwort im Zitat lautet: ""Die Meinung zu dem von Ihnen vorgeschlagenen Verschlüsselungstool „GPG4Win“ war vernichtend – es entspricht nicht einem Industriestandard und ist eine halbherzige Lösung die nicht empfohlen wird. "
Typisch MS-Jünger. Die haben keine Ahnúng von der Materie.
(Oder keinen Bock, was anderes zu supporten als das, was sie kennen und ihnen mehr Gewinn bringt).Näher wurde mir diese Meinung nicht erläutert.
Was denkt Ihr über die Sicherheit des Emailverkehrs im Bezug auf gpg4win?
Was denkt Ihr über die Sicherheit des Emailverkehrs im Bezug auf gpg4win?
Richtig angewendet und richtige Schlüsselverwaltung vorausgesetzt, ist das durchaus brauchbar. Ist halt nicht so "einfach" transparent wie ein exchange mit Outlook.
Schick denen doch einfach mal den Link von der BSI:
https://www.bsi.bund.de/DE/Themen/Kryptografie_Kryptotechnologie/Kryptot ...
lks
1
Das Argument "Industriestandard" ist so ziemlich das dümmste, was man bringen kann.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) jedenfalls hat GPG im Allgemeinen und Gpg4Win im Speziellen in die Liste der "Zugelassenen Sicherheitsprodukte" aufgenommen und darf für vertrauliche behördliche Dokument ("nur für Dienstgebrauch") verwendet werden. In der Liste taucht übrigens komischerweise kein einziges Microsoft-Produkt auf...
Hier ist eine extra Informationsseite dazu.
Vielleicht will sich der Steuerberater ja lieber auf Bundesbehörden als seine Industriestandard-Geschädigten Mandanten verlassen.
Aber wenn er so auf Industriestandards steht: Die Firma DATEV, die zweifelsohne zumindest bei Steuerberatern ein Industriestandard ist, beschreibt ebenfalls wie sich die E-Mails gesetzeskonform mit PGP/GPG verschlüsseln lassen und hebt dabei vermutlich ungewollt einen Vorteil hervor: Sie können bei Nutzung von PGP/GPG keine zentrale Entschlüsselung auf ihren Servern vornehmen.
Ansonsten soll er mal einen Gegenvorschlag machen. Dann können wir dir hier die jeweils vernichtenden Urteile über dieses Verfahren liefern, um ihn endgültig zu verwirren
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) jedenfalls hat GPG im Allgemeinen und Gpg4Win im Speziellen in die Liste der "Zugelassenen Sicherheitsprodukte" aufgenommen und darf für vertrauliche behördliche Dokument ("nur für Dienstgebrauch") verwendet werden. In der Liste taucht übrigens komischerweise kein einziges Microsoft-Produkt auf...
Hier ist eine extra Informationsseite dazu.
Vielleicht will sich der Steuerberater ja lieber auf Bundesbehörden als seine Industriestandard-Geschädigten Mandanten verlassen.
Aber wenn er so auf Industriestandards steht: Die Firma DATEV, die zweifelsohne zumindest bei Steuerberatern ein Industriestandard ist, beschreibt ebenfalls wie sich die E-Mails gesetzeskonform mit PGP/GPG verschlüsseln lassen und hebt dabei vermutlich ungewollt einen Vorteil hervor: Sie können bei Nutzung von PGP/GPG keine zentrale Entschlüsselung auf ihren Servern vornehmen.
Ansonsten soll er mal einen Gegenvorschlag machen. Dann können wir dir hier die jeweils vernichtenden Urteile über dieses Verfahren liefern, um ihn endgültig zu verwirren
Typisch MS-Jünger. Die haben keine Ahnúng von der Materie. (Oder keinen Bock, was anderes zu supporten als das, was sie kennen und ihnen mehr Gewinn bringt).
Ach komm, das ist doch rotze, als ob man mit "nicht MS" bzw "nicht gekaufter" Software nicht mehr Gewinn machen kann, als mit entsprechenden closed Lösungen (wo idr ein "EK" Preis auf der Software steht...).
Zur Haltung wäre es eben toll, wenn man ein vollumfassendes Statement bekommen würde und nicht durch dreifache stille Post. Kommt natürlich auch drauf an, wie die Kanzlei generell aufgestellt ist. Schlecht gewartet bringt das Zeug nämlich nichts (aber das gilt für alles!). Aber da kennt man eben das Feindbild
(wobei du nichteinmal weisst, aus welcher Richtung der kommt.)Nebenbei: https://securityboulevard.com/2020/09/the-heartbleed-bug-old-bugs-die-ha ...
Dazu muss verstanden werden, dass gpg4win die Gefahr birgt, dass man es nicht richtig archivieren kann oder bei Schlüsselverlust nicht nur der Kunde, sondern auch der STB haftet, zu dem wollte er offensichtlich eine Transportverschlüsselung ("verschlüsselten Emailverkehr") und keine Emailverschlüsselung, Thema verfehlt. Kannst dir den Schaum vor dem Mund wieder abwischen.
PS: Im passenden Szenario spricht aber neben obigem wenig gegen gpg4win, aber das heisst nicht, dass es eine Messiaslösung ist.
Zitat von @falscher-sperrstatus:
Ach komm, das ist doch rotze, als ob man mit "nicht MS" bzw "nicht gekaufter" Software nicht mehr Gewinn machen kann, als mit entsprechenden closed Lösungen (wo idr ein "EK" Preis auf der Software steht...).
Typisch MS-Jünger. Die haben keine Ahnúng von der Materie. (Oder keinen Bock, was anderes zu supporten als das, was sie kennen und ihnen mehr Gewinn bringt).
Ach komm, das ist doch rotze, als ob man mit "nicht MS" bzw "nicht gekaufter" Software nicht mehr Gewinn machen kann, als mit entsprechenden closed Lösungen (wo idr ein "EK" Preis auf der Software steht...).
Glaub mir, ich habe genug "Systemhäuser" gesehen, die sobald etwas anderes als ein "MS-Produkt" als Lösung in Betracht gezogen wurde, sofort auf die Barrikaden gingen. Ich weiß also, wovon ich rede.
Und es heißt ja nicht, daß man für OpenSource kein Geld nehmen dürfte. Da kann man genauso gut Umsätze und Gewinne generieren. Nur assoziieren viel mit Open Source kostenlos. Und das stimmt definitiv nicht. Irgendhjemand bezahlt immer dafür!
Zur Haltung wäre es eben toll, wenn man ein vollumfassendes Statement bekommen würde und nicht durch dreifache stille Post. Kommt natürlich auch drauf an, wie die Kanzlei generell aufgestellt ist. Schlecht gewartet bringt das Zeug nämlich nichts (aber das gilt für alles!). Aber da kennt man eben das Feindbild (wobei du nichteinmal weisst, aus welcher Richtung der kommt.)
(wobei du nichteinmal weisst, aus welcher Richtung der kommt.)Mein Kristallkugel ist meistens recht zuverlässig. Die hat da große Erfahrung.
Nebenbei: https://securityboulevard.com/2020/09/the-heartbleed-bug-old-bugs-die-ha ...
Dazu muss verstanden werden, dass gpg4win die Gefahr birgt, dass man es nicht richtig archivieren kann oder bei Schlüsselverlust nicht nur der Kunde, sondern auch der STB haftet, zu dem wollte er offensichtlich eine Transportverschlüsselung ("verschlüsselten Emailverkehr") und keine Emailverschlüsselung, Thema verfehlt. Kannst dir den Schaum vor dem Mund wieder abwischen.
Man kaann das druchaus ordentlich archivieren. Und man muß natürlich die Schlüssel auch ordentlich sichern. Ist nur eine Frage des Aufwandes und der Organisation.
PS: Im passenden Szenario spricht aber neben obigem wenig gegen gpg4win, aber das heisst nicht, dass es eine Messiaslösung ist.
Nein, gpg4win ist nicht die Messiaslösung, dazu ist es zu "unausgegoren". Aber es ist zumindest eine Lösung, die oft die Anforderungen erfüllt. Aber von vorhnerein zu sagen, daß wäre ein "sicherheitstechnisches Fiasko" zeugt nicht von der Sachkunde der "Bewerter".
lks
Hehe, ich wusste schon, dass du wieder schäumst und von sicherlich schlechten Systemhäusern (die gibt es!) Schwadronierst. Aber wie willst du wissen, ob es leichter Hand war? Ob es überhaupt passt? Vielleicht setzen die etwas besseres oder schlicht zielgerichtetes ein? Bisher haben wir eine Zeile, nicht mehr, nicht weniger.
Ich rate dir, werde ###schüler, die arbeiten gerne auf der Faktenbasis. :D
PS:
Kosten=Gewinn hoch zwo
Widerspricht sich super zu der Aussage es geht dem man Systemhaus nur um den höheren Gewinn. Also welche Spur willst du nun? Beide gehen nicht.
PPS wtf hier wird k o r a n zensiert?
Ich rate dir, werde ###schüler, die arbeiten gerne auf der Faktenbasis. :D
PS:
Ist nur eine Frage des Aufwandes und der Organisation.
Kosten=Gewinn hoch zwo
Widerspricht sich super zu der Aussage es geht dem man Systemhaus nur um den höheren Gewinn. Also welche Spur willst du nun? Beide gehen nicht.
PPS wtf hier wird k o r a n zensiert?
Zitat von @falscher-sperrstatus:
Hehe, ich wusste schon, dass du wieder schäumst und von sicherlich schlechten Systemhäusern (die gibt es!) Schwadronierst. Aber wie willst du wissen, ob es leichter Hand war? Ob es überhaupt passt? Vielleicht setzen die etwas besseres oder schlicht zielgerichtetes ein? Bisher haben wir eine Zeile, nicht mehr, nicht weniger.
Ich rate dir, werde ###schüler, die arbeiten gerne auf der Faktenbasis. :D
PS:
Kosten=Gewinn hoch zwo
Widerspricht sich super zu der Aussage es geht dem man Systemhaus nur um den höheren Gewinn. Also welche Spur willst du nun? Beide gehen nicht.
PPS wtf hier wird k o r a n zensiert?
Hehe, ich wusste schon, dass du wieder schäumst und von sicherlich schlechten Systemhäusern (die gibt es!) Schwadronierst. Aber wie willst du wissen, ob es leichter Hand war? Ob es überhaupt passt? Vielleicht setzen die etwas besseres oder schlicht zielgerichtetes ein? Bisher haben wir eine Zeile, nicht mehr, nicht weniger.
Ich rate dir, werde ###schüler, die arbeiten gerne auf der Faktenbasis. :D
PS:
Ist nur eine Frage des Aufwandes und der Organisation.
Kosten=Gewinn hoch zwo
Widerspricht sich super zu der Aussage es geht dem man Systemhaus nur um den höheren Gewinn. Also welche Spur willst du nun? Beide gehen nicht.
PPS wtf hier wird k o r a n zensiert?
Wird vermutlich in er Liste der "bösen" Wörter sein, die heir ausgeixt werden.
lks
Hi auch,
ich sehe keine Probleme hinsichtlich der Sicherheit zumal ich hier tatsächlich eine E2E-Verschlüsselung sehe.
Wir setzen bei uns für verschlüsselte Kommunikation ebenfalls auf GPG/4Win und fahren damit gut.
Gruß
bdmvg
ich sehe keine Probleme hinsichtlich der Sicherheit zumal ich hier tatsächlich eine E2E-Verschlüsselung sehe.
Wir setzen bei uns für verschlüsselte Kommunikation ebenfalls auf GPG/4Win und fahren damit gut.
Gruß
bdmvg
Zitat von @falscher-sperrstatus:
Dazu muss verstanden werden, dass gpg4win die Gefahr birgt, dass man es nicht richtig archivieren kann oder bei Schlüsselverlust nicht nur der Kunde, sondern auch der STB haftet, zu dem wollte er offensichtlich eine Transportverschlüsselung ("verschlüsselten Emailverkehr") und keine Emailverschlüsselung, Thema verfehlt.
Dazu muss verstanden werden, dass gpg4win die Gefahr birgt, dass man es nicht richtig archivieren kann oder bei Schlüsselverlust nicht nur der Kunde, sondern auch der STB haftet, zu dem wollte er offensichtlich eine Transportverschlüsselung ("verschlüsselten Emailverkehr") und keine Emailverschlüsselung, Thema verfehlt.
Ich bin mir sehr sicher und schließe aus dem gesamten Kontext, dass es sehr wohl um E2E-Verschlüsselung geht. Transportverschlüsselung mit GPG ist mir zumindest in freier Wildbahn nicht begegnet.
Was den Schlüsselverlust angeht, ist das eine Gefahr die du prinzipbedingt bei jeder ernstzunehmenden Art von E2E-Verschlüsselung hast. Deshalb gehört es zu den Technisch-Organisatorischen Maßnahmen, den Schlüssel ordentlich zu sichern und ggf. auch dem Archiv beizufügen.
Außerdem wäre es technisch natürlich auch bei GPG möglich, durch Hinterlegen des Schlüssels auf dem Archivserver die E-Mails dort zu entschlüsseln.
Wir arbeiten bei uns im Büro so, dass die GPG-Schlüssel zentral generiert und ausgegeben werden und so immer ein Schlüsselbund mit allen jemals ausgegebenen privaten Schlüsseln existiert. Die Benutzer erhalten ihren Schlüssel in Form einer Smartcard mit PIN und wenn die mal verschusselt wird, können wir zum einen den Key revoken, zum anderen aber weiterhin nötigenfalls alle Mails jederzeit entschlüsseln.
Außerdem verstehe ich nicht, weshalb der Steuerberater haftet, wenn ich als Absender/Mandant meinen Schlüssel verschludere?
1
Nachdem ich diese Woche irgendwo davon gelesen habe, dass unsere Deutsche Bundesbahn ihre Daten bei Microsoft und Amazon sichert
https://www.chip.de/news/Deutsche-Bahn-schaltet-Rechenzentren-ab-Warum-I ...
, muss ich noch etwas mehr von dem Zitat preisgeben...
Zitat:
"Kontakt zu unserem Mandaten aufgenommen, der auf IT-Sicherheit spezialisiert ist und Sicherheitskonzepte unter anderem bei der Deutschen Bundesbahn sowie bei der Deutschen Rentenversicherung umgesetzt hat.
Die Meinung zu dem von Ihnen vorgeschlagenen Verschlüsselungstool „GPG4Win“ war vernichtend – es entspricht nicht einem Industriestandard und ist eine halbherzige Lösung die nicht empfohlen wird"
Jetzt muss ich mich natürlich schelmisch fragen, warum die DB mit MS und Amazon arbeitet. Haben die Sicherheitskonzepte des Mandanten für IT-Sicherheit doch nicht für die DB gereicht oder war das der Löungsvorschlag: die Daten von MS und Amazon lagern zu lassen? So langsam zweifel ich an der Kompetenz mancher "IT-Sicherheitsexperten". Ich bin Administator, d.H. ich kann alles ein wenig und nix richtig in die Tiefe... aber ein Experte für IT-Sicherheit sollte seinem Kunden gegenüber etwas kompetenter Auftreten in punkto Sicherheit. Aber ich kann mir schon vorstellen, dass hier ein "teures" Angebot gemacht wurde, wie die Sicherheit umgesetzt werden kann.
https://www.chip.de/news/Deutsche-Bahn-schaltet-Rechenzentren-ab-Warum-I ...
, muss ich noch etwas mehr von dem Zitat preisgeben...
Zitat:
"Kontakt zu unserem Mandaten aufgenommen, der auf IT-Sicherheit spezialisiert ist und Sicherheitskonzepte unter anderem bei der Deutschen Bundesbahn sowie bei der Deutschen Rentenversicherung umgesetzt hat.
Die Meinung zu dem von Ihnen vorgeschlagenen Verschlüsselungstool „GPG4Win“ war vernichtend – es entspricht nicht einem Industriestandard und ist eine halbherzige Lösung die nicht empfohlen wird"
Jetzt muss ich mich natürlich schelmisch fragen, warum die DB mit MS und Amazon arbeitet. Haben die Sicherheitskonzepte des Mandanten für IT-Sicherheit doch nicht für die DB gereicht oder war das der Löungsvorschlag: die Daten von MS und Amazon lagern zu lassen? So langsam zweifel ich an der Kompetenz mancher "IT-Sicherheitsexperten". Ich bin Administator, d.H. ich kann alles ein wenig und nix richtig in die Tiefe... aber ein Experte für IT-Sicherheit sollte seinem Kunden gegenüber etwas kompetenter Auftreten in punkto Sicherheit. Aber ich kann mir schon vorstellen, dass hier ein "teures" Angebot gemacht wurde, wie die Sicherheit umgesetzt werden kann.
Zitat von @Mika909:
Zitat:
"Kontakt zu unserem Mandaten aufgenommen, der auf IT-Sicherheit spezialisiert ist und Sicherheitskonzepte unter anderem bei der Deutschen Bundesbahn sowie bei der Deutschen Rentenversicherung umgesetzt hat.
Zitat:
"Kontakt zu unserem Mandaten aufgenommen, der auf IT-Sicherheit spezialisiert ist und Sicherheitskonzepte unter anderem bei der Deutschen Bundesbahn sowie bei der Deutschen Rentenversicherung umgesetzt hat.
Also, wenn der Konzepte bei der Deutschen Bundesbahn umgesetzt hat, dann ist sein technischer Stand möglicherweise ziemlich veraltet ....
