Verschlüsselte Erreichbarkeit des Kundendienstes

  • Derzeit ist es nicht möglich den Kundendienst via verschlüsselter E-Mail zu kontaktieren,
    dies wäre insbesondere in den Fällen hilfreich, wo es um Hinweise geht, die potenziell die Sicherheit der Infrastruktur betreffen.
    Leider findet man im Impressum und Co. nur die E-Mail Adressen.
    Eventuell wäre es möglich hier ein S/MIME Zertifikat oder GPG Schlüssen zu hinterlegen?
    Oder habe ich nur nicht die passende Stelle gefunden?


    Einen schönen Abend noch. :)

  • Guten Tag,



    das Kunden PGP-Schlüssel bei uns hinterlegen können ist als optionales Sicherheitsmerkmal angedacht. Dieses wurde allerdings mit geringerer Priorität in unserer Projektverwaltung gespeichert. Ich meine hier im Forum wurde darüber schon einmal diskutiert.


    Grund für die geringe Priorität ist der, dass es nur wenige Fälle unserer Meinung nach gibt, wo die aktuellen Verifizierungsmöglichkeiten (CCP, CCP-Kontaktformular, Onlineshop, WCP oder VCP) nicht ausreichen. Wir werden selbst wenn es eine Authentifizierung per E-Mail gibt keine Rebootaufträge, Löschaufträge für Daten oder ähnliches per E-Mail entgegen nehmen können. Wir brauchen hier klar strukturierte Abläufe, die nur über die bestehenden Systeme abgebildet werden können.


    Zudem beherrschen die meisten unserer Kunden kein GnuGP oder dazu gehörenden kommerzielle Lösungen. Würden wir auf Schlüssel bestehen, müssten wir vermutlich unsere Preise verzehnfachen (grob geschätzt) um den daraus resultierenden Supportaufwand finanzieren zu können.


    Uns interessiert es trotzdem, an welche Einsatzzwecke Sie denken, bei denen GPG (oder vergleichbares) Sinn macht. Eventuell gibt es ja Gründe für eine höhere Priorisierung der Idee.



    Mit freundlichen Grüßen


    Felix Preuß

  • Nur meine persönliche Meinung – sagen wir es mal so: Selbst wenn die Verbindung zwischen Mailservern verschlüsselt ist (oder sein sollte), kann man heute wirklich noch irgendeinem Mailserver vertrauen, wo man die eigenen Mails abgelegt hat oder wo sie durchlaufen? Prinzipiell ist jede Kommunikation schützenswert, egal mit welchem Inhalt. Eine Ende-zu-Ende Verschlüsselung wie bei GPG macht durchaus Sinn. Dann kann eine potentielle Schwachstelle nur noch auf der jeweiligen Clientseite eines Kommunikationspartners liegen.


    Dass es sich wirtschaftlich rechnen muss, ist verständlich. Auf Verschlüsselung oder Signierung zu bestehen wäre auch der falsche Weg. Optionales Sicherheitsfeature passt wohl eher.



    MfG Christian

  • Halte es übertrieben, jedes Mail verschlüsseln zu wollen. Wenn ich einen Brief schicke, kann derauch abgefangen werden. Bei Telefongesprächen genauso.


    So eine Verschlüsselung in der Form finde ich irrwitzig, NSA und Konsorten kommen auch so an den Inhalt.

  • Halte es übertrieben, jedes Mail verschlüsseln zu wollen.


    Nur E-Mails mit sensiblen Daten zu verschlüsseln würde aber genau diese Information bereits preisgeben. Außerdem müssten die Geheimdienste dann auch sehr viel weniger Rechenaufwand betreiben um an sensible Daten zu bekommen, als wenn auch alle anderen E-Mails verschlüsselt würden.


    Ich sehe keinen Grund, wieso man sich nicht einfach für jede E-Mail-Adresse ein GPG-Schlüsselpaar generieren sollte.

  • Ich behaupte einmal ein Otto-Normal-User hat keine so sensiblen Daten, dass sie unbedingt verschlüsselt werden müssen. Anders sieht es aus bei großen Firmen und Regierungen.


    Aber klar, ich würde auch liebend gern alles verschlüsseln, aber die Akzeptanz von Dritten ist einfach (noch) grottenschlecht. Ich kann ja nicht mal nur Mails annehmen, die mit einer verschlüsselten Verbindung an mich geschickt werden - sonst kommen 90 % der Mails nie an.

  • Ich behaupte einmal ein Otto-Normal-User hat keine so sensiblen Daten, dass sie unbedingt verschlüsselt werden müssen. Anders sieht es aus bei großen Firmen und Regierungen.


    Ich finde der Grad an Sensibilität ist unerheblich, wenn möglich sollte Verschlüsselt werden - kostet schließlich weder Zeit noch Geld, wenn es einmal eingerichtet ist.


    Aber klar, ich würde auch liebend gern alles verschlüsseln, aber die Akzeptanz von Dritten ist einfach (noch) grottenschlecht. Ich kann ja nicht mal nur Mails annehmen, die mit einer verschlüsselten Verbindung an mich geschickt werden - sonst kommen 90 % der Mails nie an.


    Eben genau das ist tuxmasters Anliegen: Einfach ein S/MIME Zertifikat und/oder GPG Schlüssel im Impressum neben der E-Mail-Adresse angeben und schon sind - nach deinem Zahlenbeispiel - 10% anstatt 0% der E-Mail-Kommunikation verschlüsselt und die Akzeptanz in der Welt der E-Mail-Kommunikation wäre wieder um ein Stück gestiegen.
    Ich bin dafür. :thumbsup:

  • Uns interessiert es trotzdem, an welche Einsatzzwecke Sie denken, bei denen GPG (oder vergleichbares) Sinn macht. Eventuell gibt es ja Gründe für eine höhere Priorisierung der Idee.


    Zum Beispiel wenn man sich bei euch beispielsweise per Personalausweis identifizieren soll. Bisher kann man das euch nur komplett unverschlüsselt zukommen lassen (E-Mail, Fax, Post).