Internet & IoT, Kommunikation, News, zAufi

„Andernfalls fällt Sicherheitsniveau eines Briefs auf das einer Postkarte“

Geöffnete Briefe. Foto: Heiko Weckbrodt

Offene Briefe. Foto: Heiko Weckbrodt

Chaos Computer Club warnt davor, geplanten E-Brief-Dienst der Post unverschlüsselt zu nutzen.

Berlin/Hamburg, 31. Juli 2020. Wenn die Post künftig nicht nur Briefumschläge, sondern auch Briefinhalte digitalisiert und vorab per E-Mail dem Empfänger zustellt, birgt das einige Sicherheitsrisiken für das Postgeheimnis. Das hat auf Oiger-Anfrage Jochim Selzer eingeschätzt, der ehrenamtlich für den Hamburger Hacker-Verein „Chaos Computer Club“ (CCC) tätig ist.

„Rein rechtlich erlauben beide Kommunikationspartner, deren Zustimmung erforderlich ist, damit einen Bruch des Postgeheimnisses.“

(Jochim Selzer vom Hackerverein „Chaos Computer Club“

„Hier muss die Post durch entsprechende technische und organisatorische Maßnahmen dafür sorgen, dass ihre Kundinnen weiterhin auf die Vertraulichkeit der im Brief verschickten Informationen setzen können“, betonte Selzer, der hauptberuflich für die Post-Gruppe tätig ist, insofern nicht ganz unbefangen ist. Auch der Empfänger müsse Vorkehrungen treffen: „Hier wäre meine Empfehlung, unbedingt darauf zu achten, die von der Post angebotene Mailverschlüsselung zu nutzen. Andernfalls fällt das Sicherheitsniveau eines Briefs ab dem Moment der Öffnung auf das einer Postkarte.“

1. Stufe: Empfänger bekommen vorab fotografierte Brief-Umschläge

Hintergrund sind neue Dienste, die die Deutsche Post nun schrittweise anbietet. Einerseits können ab sofort Kunden auf eigenen Wunsch eine Vorab-Anmeldung von bald eintreffenden Briefen bekommen. In diesen Fällen fotografieren Automaten die Briefumschläge automatisch im Verteilzentrum ab und stellen dieses Umschlagfoto dem Empfänger per E-Mail vorab zu. Möglich ist das aber nur mit deutschen E-Mail-Konten bei Web.de oder GMX.

2. Stufe: Empfänger bekommt auch vorab digitalisierten Brief-Inhalt

Ab dem Jahr 2021 will die Deutsche Post den Briefempfängern zusätzlich die Option anbieten, den Inhalt der Briefe vorab zu digitalisieren und verschlüsselt vorab per E-Mail zuzustellen.

Schwachpunkt ist vor allem E-Mail-Konto beim Empfänger

„Der erste Schritt, auf Anfrage hin Fotos von Briefumschlägen an eine Mailadresse zu schicken, erscheint mir unkritisch“, meint Jochim Selzer. Der schwächste Punkt in dieser Kette sei das Ziel-Mailkonto: Wenn dessen Passwort schwach sei oder auf andere Weise bekannt werde, könne eine Angreiferin sehen, von der Empfänger Briefe bekommt. „Ich erfahre im Zweifelsfall, bei welcher Bank Sie Ihr Konto haben, wo Sie versichert sind und wer Ihr Arbeitgeber ist, wenn Sie die Lohnabrechnung mit der Post bekommen. Für weitere Social-Engineering-Angriffe kann dieses Wissen interessant sein.“

Wenn Angreifer schon E-Mails mitliest, fallen Umschläge kaum noch ins Gewicht

Aus seiner Sicht fallen die digital zugestellten Briefumschläge aber wenig ins Gewicht, wenn ein Hacker oder Internetkrimineller bereits ohnehin Zugriff auf ein E-Mail-Konto habe: Allein schon durch die E-Mail-Werbung von Facebook, Amazon und eBay und andere Netzkonzerne erfahre ein Angreifer viel über einen Menschen. „Darüber hinaus weiß ich, was Ihr Freundes- und Bekanntenkreis Ihnen schreibt“; betont der „Chaos Computer Club“-Sprecher. „Mit einiger Wahrscheinlichkeit weiß ich also schon genug über Sie, um durch ein paar abfotografierte Umschläge nicht noch wesentlich mehr zu erfahren.“

Autor: Heiko Weckbrodt

Quellen: Anfrage beim Chaos Computer Club, Deutsche Post, Oiger-Archiv

Zum Weiterlesen:

Post bietet nun digitale Ankündigung von Briefen

Kaspersky: Falsche CIA-Agenten wollen Bitcoins