Ich kenne mich mit IT Sicherheit nicht allzu gut aus. Kann jemand erklären, wie es hier möglicherweise dazu kommen konnte?
Was ein merkwürdiges Urteil. Es sind genau solche Urteile, die uns in der Digitalisierung wahnsinnig zurückwerfen, getroffen von anscheinend völlig unfähigen Richtern und anscheinend wurde auch kein Experte gefragt:
Doch die Rechnung wurde auf dem Weg zum Empfänger von Kriminellen manipuliert. Sie veränderten nicht nur die Bankverbindung, sondern auch die Farbgestaltung und weitere Details des Dokuments. Wie genau es dazu kommen konnte, dass den Auftraggeber eine manipulierte Rechnung erreichte, ließ sich laut Gericht nicht abschließend klären.
Das ist doch das Entscheidende. Der Fall klingt nämlich nicht so als ob jemand die TLS-Verschlüsselung beim Transport der Mails das Problem wäre, sondern so als ob irgendwer die Mailkonten gehackt hat. Klingt deutlich logischer, dass jemand z.B. im System der Firma hockt und dann ausgehende Rechnungen manipuliert. Auf jeden Fall ist es völlig absurd, dass das Urteil hier wild über E-Mail-Rechnungen urteilt ohne den Sachverhalt an sich aufzuklären.
Ansonsten:
- Das Urteil spricht nur von “SMTP mit TLS” ohne irgendwie weitere Details zu ergründen
- Eine Man-in-the-Middle-Attacke benötigt auch einen Man-in-the-Middle. Selbst wenn du TLS aufknacken kannst, kannst du noch lange nicht direkt Mails mitlesen, die Gmail an GMX schickt, weil das dann doch nicht über irgendwelche Infrastruktur läuft. Da wird ja größtenteils direkt gepeert.
- Diese Attacke, dass Rechnungen ausgetauscht werden, ist anscheinend relativ selten. Dieser Fall war in 2023 und bislang sind mir noch keine Warnungen untergekommen, dass dies ein üblicher Attackvektor wäre. Es wäre aber arg unrealistisch, dass jemand sich einen hochprofitablen Scam ausdenkt und sich nur mit 15k € zufrieden gibt.
Von daher: Alles sehr merkwürdig. Jetzt werden aber zig Anwälte ihre SEO-optimierten Blogs anwerfen und ohne Sachverstand zum Thema bloggen. Und dann wird das in die Branchenzeitungen kommen und irgendwann ruft Firmenchef Horst-Günter die Gisela aus der Buchhaltung zu sich ins mittelständige Firmenbüro und erzählt, dass sie keine Rechnungen per Mail mehr verschicken darf und doch lieber wieder Faxen soll.
Rechnungen per Mail verschicken finde ich trotzdem von vorne bis hinten wild. Da wandern täglich so viele PDFs auf diesem Weg durch die Welt, müllen Posteingänge zu (Speicherplatz) und wozu? Die sollen die Rechnung einfach selbst bei sich hosten und mir nur Bescheid geben wo ich die Details der Zahlung nachlesen kann.
Ich glaube, dem Richter ist nicht klar, wie schwierig ein Man-in-the-Middle Angriff ist. Selbst wenn die Zertifikate nicht geprüft werden, müssen doch die Verbindungen angehalten, modifiziert und analysiert werden. Das alles muss auf den Routern von Netzwerkprovidern passieren - oder es müssen Kabel durchtrennt und mit aktivem Equipment neu verbunden werden.
Und vor allem: Die alternative Theorie, dass eines der Passwörter kompromittiert wurde, ist sicher 1000 mal wahrscheinlicher.
Als eher-Laie: wie könnte ein Angriffsvektor für so einen Fall aussehen - Zugriff auf die Mails bei einem der Anbieter?
Und: Klar, E2E-Verschlüsselung gut wegen Datenschutz - aber wäre hier nicht eigentlich eine kryptografische Signatur der zentrale Lösungsansatz, um sicherzustellen, dass eine gefälschte Rechnung als solche erkannt wird?
Ganz ehrlich, ich vermute, dass sich hier einfach der Kunde 15.000 € selbst überwiesen und sich dann die Geschichte mit der gefälschten Rechnung ausgedacht hat. Auch wenn theoretisch E-Mails unsicher sind glaube ich, dass der Angriff praktisch echt schwierig ist und hier ein riesiger Haufen von Zufällen aufeinander treffen müssen, um ihn plausibel erscheinen zu lassen.
Oder, Szenario B, das E-Mail Konto des Kunden ist gehackt und jemand hat zufällig die Rechnung gesehen und dann die gefälschte Mail ins Postfach gelegt.
Was kann man jetzt daraus ableiten? Wie soll ein Unternehmen den Rechnungsversand so absichern, dass eine Ende-zu-Ende Verschlüsselung gewährleistet ist?
Mir fällt da eigentlich nur ein, die Rechungen über ein Portal zum Download anzubieten. Alles andere skaliert nicht oder ist nicht sicher genug.
Wie sieht es mit dem Postversand aus? Wenn jemand dem Kunden postalisch eine Rechnung mit falschen Daten schickt?
Ziemlich viele Unternehmen und auch Banken machen das so. Ich hasse das. Bekomme nur die Meldung, dass da was ist und muss mich dann nochmal extra einloggen. Und das Unternehmen bekommt dann natürlich die Bestätigung, dass ich die Nachricht gelesen habe.
In Österreich dürfen wir nicht mehr Faxen :(
Seit Jahresbeginn dürfen Österreichs Ärzte nicht mehr faxen. Patienten müssen warten, während USB-Sticks Taxi fahren und Rettungswägen CD-ROMs liefern. (heise)
Da sind in wir Deutschland ausnahmsweise mal deutlich weiter. Und es ist sogar gescheit umgesetzt
https://www.gematik.de/anwendungen/kim
Ich weiß nicht wieso in Österreich ePA und eRezept lange schon komplett digital sind, aber man das Thema komplett verschlafen hat.
Bei uns fehlt nur das konsequent umgesetzte Faxverbot mit Strafen
2025 Year of the Linux Desktop GPG!
