Bis anhin hatte ich keinen Anlass, mich mit diesem Thema zu befassen, bin jetzt aber plötzlich in die Situation gekommen, dass ich Dokumente, die evtl. in einem gerichtlichen Prozess verwendet werden, einem Anwalt zukommen lassen muss. Aus Zeitgründen wäre es optimal, wenn ich dies per e-Maill täte.

Es handelt sich dabei nicht um geheimste Firmenunterlagen , dennoch stellt sich mir irgendwie die Frage nach der Sicherheit.

Die erste Sendung werde ich diese Nacht losschicken. Also bleibt mir keine Zeit, mich ausgiebig kundig zu machen.

Bei mir ist 'Mail' im Einsatz, der Anwalt sitzt vor Windows und sollte die e-Mails und Anhänge problemlos öffnen können.

Habe leider bis jetzt keine Ahnung von eventuell notwendigen Verschlüsselungen oder anderen Massnahmen.

Wäre froh um Meinungsäusserungen!

im Zweifelsfall eine Zip Datei, die mit PW geschützt ist - das kannst ihm dann per Telefon mitteilen. Ist nicht optimal, aber einfach zu händeln und ohne aufwendige Softwareinstallationen zu realisieren.

die *.PGS entfallen, da hier erstmal Software installiert werden muss. Es gibt noch einige On-The-Fly Verschlüsselungsprogramme, aber ich denke, das die dir auf die schnelle auch nicht weiterhelfen werden.

Gruss,

ch

Faxen und punkt.

wobei das ja auch nicht wirklich sicher ist...

Sagt wer @@ harun (also ausser dir)?

Weil's offenbar schnell gehen muss, kommt's wohl im Moment weniger in Frage, fürs nächste Mal: beschäftige Dich mal mit PGP/GnuPG. Das ist extra für solche Fälle gedacht. PGP setzt allerdings -- wie jede andere Verschlüsselung auch -- voraus, dass beide Seiten, Sender wie Empfänger, PGP verwenden bzw. ihre öffentlichen Schlüssel tauschen.

Mac GNU Privacy Guard in Kombination mit
GPGMail

Andere Möglichkeit der Verschlüsselung: via S/MIME. Mehr dazu z.B. auch unter

kann man zum Beispiel hier nachlesen

CH
Zip mit Passwort, das könnte ich morgen mit ihm besprechen.
Jaguar1
Fax müsste ich Hardwaremässig erst einrichten.

Du hast die Frage nach Sicherheit gestellt. Wenn Du ein passwortgeschütztes Zip verschickst, dann kannst Du es eigentlich auch gleich seinlassen, sowas ist zwar eine klitzekleine Hürde, aber im Zweifel in wenigen Sekunden/Minuten geknackt. Ist also nicht sicher, sondern höchstens zur eigenen Gewissensberuhigung.
Dann kannst Du auch ein Schälchen Weihwasser neben Deine Tastatur stellen, das ist dann in etwa genauso sicher...

lol @@ harun! Das Ding ist 10 Jahre alt! Das was da drin steht bzgl. Sicherheit kann man heute 1 zu 1 für Email übernehmen. Und da wird es auch angewendet!

Digitalo
Einfach dorthin gehen, wo es ein Fax gibt

lol @@ sierkb

GNU PG ist erste Sahne! Habe ich auch installiert. Du brauchst ein paar Terminalbefehle zur Installation, ist aber machbar.
Sehr gute Infos und eine ausführliche Anleitung über die Installation findest du im Netz, leider habe ich den Link verbaselt.
Das grundsätzliche Procedere ist:

1. GnuPG installieren
2. GPG Schlüsselbund installieren und dort einen Schlüssel erstellen
3. GPGMail installieren in den Ordner /Library/Mail/Bundles
4. im Terminal schreiben: defaults write com.apple.mail BundleCompatibility -int 3
5. Mail öffnen und Einstellungen festlegen

Evtl. musst du Schritt 4 wiederholen, falls Mail beim Öffnen meckert, dass das Bundle nicht unterstützt sei. Danach geht es dann aber.

Gäbe es ja, nur hat die Post nachts geschlossen.
Das mit dem Weihwasser ist mir zu gefährlich. Kippt es auf die Tastatur wie kürzlich der Kaffee, kann ich die e-Mails heute Nacht nicht mal unverschlüsselt verschicken.
Ich habe mich für die Räucherstäbchen entschieden. Da reicht der Vorrat für die ganze Nacht.

Digitalo
und ich wette mit dir, dass dein Anwalt nachts schläft!

Jaguar1
Bestimmt! Er hat ja Windows, was soll er da nachts schon machen.

Das musst du mir jetzt erklären! Mac User können nachts ruhig ins Bett liegen, während die Windows User mal wieder ihr Windows neu installieren

Könnten sie, stimmt.
Mindestens zwei jedoch machen von dieser Möglichkeit keinen Gebrauch... oder sie definieren 'Nacht' unkonventionell. "Think diffrent" eben!

Ich bin erst am 13 Uhr aufgestanden. Wüsste nicht, was ich jetzt schon im Bett sollte

Ehrlich: Wir haben den Tag synchron eingeleutet.

Digitalo

"eingeleutet"?

So richtig in Menschen reingestopft? Ich geh jetzt auch ins Bettchen, in sechs Stunden ist schon wieder Uni.

mbh

So wird aus einem Fehler eine Wortschöpfung. 'Eingeleutet' kommt mit deiner Deutung verknüpft in meine Wortsammlung.
Gute Nacht!

Ein weiterer Vorschlag wäre Truecrypt. Dann einfach den Container verschicken.

So banal der Hinweis auch ist, aber den Header und den Anhang (Passwortgeschütztes Zip) schon etwas neutraler bzw. uninteressanter bezeichnen, nicht gerade mit "Prozessunterlagen" sondern mit "Geburtstagseinladung" oder so Ebenso beim Inhalt im Body selbst.

Es gibt dafür den S/MIME-Standard. Der ist in nahezu jedem Mail-Client integriert, und ist insbesondere bei der Kommunikation mit Anwälten, Ärzte, etc. das Mittel der Wahl. Das ist der Standard auf dem nämlich amtliche digitale Signaturen basieren.

Wie nutz man das und wie richtet man das ein?
Ist ganz einfach, siehe hier:

Wo bekommt man kostenlos ein Zertifikat her?
Beim Trustcenter seiner Wahl. Z.B. hier:
TC Trustcenter:
InstantSSL:
Thawte:

Man kann sich Zertifikate auch selbst erzeugen, diese verursachen aber gewisse Probleme bei der "Vertrauenswürdigkeit".


Noch zwei Hinweise zu den einzugebenden Daten.
1. Auf keinen Fall Umlaute verwenden.
2. eMail-Adressen schreibt man durchgängig klein.

PS zu S/MIME:
Falls Du ".mac" hast, bekommst Du das sogar dazu.

So, die Nacht ist rum und die „Krähe“ hat Ihre E-Mails hoffentlich schon bekommen.

Falls das noch von Interesse ist: Ich habe eigentlich nur mit Leuten zu tun, die PGP respektive GnuPG verwenden.

Eine gute Anleitung gibt's hier @@

Dann verate mir doch bitte, wie das knacken eines passwortgeschützten ZIPs geht. Wenn der Schutz so wirkungsvoll wie eine Wasserschüssel ist, dürfte es ja kein Geheimnis und auch nichts illegales sein.
Ich hab hier nämlich noch ein altes ZIP, dessen Passwort ich vergessen habe.

jogoto:
FAQ gzip: Does gzip support encryption? (Anmerkung: gzip (GNU zip) ist Bestandteil von MacOSX)
FAQ Info-Zip: Why are encrypting versions of Zip not distributed from your main site?

Reicht das, was dort gesagt wird, um sich lieber gleich mit geeigneteren und sichereren Verschlüsselungsmethoden wie PGP/GnuPG zu beschäftigen bzw. sie zu nutzen?
FAQ Info-Zip: I forgot the password on my archive! How can I recover my data?
FAQ comp.compression: I have lost my password on a .zip file

Ich erinnere nochmal daran, dass in der Ausgangsfrage die Frage nach Sicherheit gestellt worden ist und nicht nach Pseudo-Sicherheit...

Etwa um 05:00 Uhr sind die ersten Mails unverschlüsselt raus, dazu die Frage an den Empfänger, ob er bezüglich nicht verschlüsselter e-Mails Bedenken hat. Ich könnte mir vorstellen, dass Anwälte bezüglich Datenaustausch gewisse Richtlinien haben. Nun warte ich erstmal auf seine Antwort.

Danke euch für die zahlreichen Hinnweise, Tipps und Links!

Hallo zusammen,

warum hat keiner vorgeschlagen die Texte oder was auch immer in einer PDF-Datei zu verschlüsseln?

So kann man Schriftstücke aus WORD und anderen Programmen quasi Orginal weiterreichen. Und jeder auf der Windowsseite kann es ohne Probleme oder Installation von Software öffnen, wenn er das Kennwort kennt.

Weil nach sierkbs Urteil über Pseudosicherheit sich keiner mehr traut.


sierkb

Wen ich will, dass der Geheimdienst meine Mails nicht liest, dann schicke ich einen Kurier.
Deine Aussage zu passwortgeschützten ZIPs ist wohl etwas übertrieben. So wie ich es auf den von Dir verlinkten Seiten lese, ist das Knacken der Verschlüsselung nicht gerade was für jedermann. Ein Schutz ist also bei verirrten Mails durchaus gegeben.

Digitalo
Nochmal: Die Antwort heisst S/MIME.
Den wird auch der Anwalt unterstützen, weil das der Standard ist, und er über die notwendigen Zertifikate verfügt. - Siehe elektronische Gerichtsakte, etc.

Code:

S/MIME. Oder PGP. Wohl eher eine Glaubens- und Vertrauensfrage, welcher der beiden Ansätze mit den eigenen Sicherheitsbedürfnissen eher zusammenpasst. S/MIME geht den Ansatz über eine zentrale Zertifizierungseinrichtung, PGP geht den Ansatz über ein dezentrales Netz des Vertrauens.

Ich könnte mir vorstellen, dass dieses Gebiet für den Anwalt eher Neuland ist und er seine emails bisher sehr wahrscheinlich nicht anders verschickt und entgegennimmt wie die große Masse der Durchschnitts-Benutzer auch: unverschlüsselt und unsigniert als Klartext.

Bzgl. Mail.app und S/MIME finde ich via Google einige sehr hilfreiche Dokumente.

ist eine schöne Gegenüberstellung von S/MIME und PGP. Sie ist zwar schon etwas älter, hat aber an Aktualität sicher nichts verloren.
Interessant davon das Fazit dieses Artikels, dessen letzte Sätze ich hier mal anführen will:

"Während es vor einigen Jahren noch so aussah, als gewinne S/MIME langfristig die Oberhand, scheinen sich viele Firmen aufgrund der erwiesenen Praxistauglichkeit und dem erheblich einfacheren und flexibleren Aufbau für eine OpenPGP-PKI zu entscheiden. Das Rennen ist also noch nicht gelaufen. Denn auch intern scheinen sich nicht einmal die Großen der Branche einig zu sein: Microsofts Produktentwicklung setzt offiziell auf S/MIME, während die Security Bulletins des Microsoft Product Security Notification Service regelmäßig durch OpenPGP-Signaturen authentifiziert sind."

Besonders letzter Satz lässt aufmerken, ihn kann ich bestätigen, und das ist mir auch schon aufgefallen: sowohl Microsoft, als auch Apple als auch sämtliche Linux-Distributoren verteilen ihre email-Security Bulletins mit einer PGP-Signatur, um die Echtheit dieser email sicherzustellen.

Wer ZIPs mit Win-Zip Verschlüsselung 2.0 verschlüsselt, ist es selbst schuld.
Ab WinZip 9 ist AES 256 Bit möglich.

WinZip wird der Anwalt installiert haben. Wenn nicht ist das sehr schnell geschehen. Erscheint für deinen am einfachsten.

Das Problem bei der E-Mail Verschlüsselung ist die Infrastruktur und die Einrichtung/Konfig der Infrastruktur. Es gibt keinen WIRKLICHEN Standard, auch wenn hier immer S/MIME genannt wird.

sierkbEben. Sehe ich auch so.
Wenn mal den Prozess flach und einfach halten möchte, würde ich auf jeden Fall die WinZip AES Verschlüsselung nutzen.

sierkb
Jede Kanzlei, die am elektronischen Aktenverkehr teilnimmt, verfügt über einSigG-konformes X.509-Zertifikat. Und das trifft 2008 auf alle mir bekannten Kanzleien zu. Daher sind die auch alle in der Lage via S/MIME zu kommunizieren.

PS: Ich bin an keiner Glaubensdiskussion interessiert.

Schwachsinn! Ich beiße doch nicht!
Hier geht's um die besten Lösungsansätze und überzeugende Argumente und nicht um persönliche Animositäten!
[/quote]

Ein Schutz, der knackbar ist und dessen Verfahren, ihn zu knacken öffentlich bekannt und dokumentiert ist, ist es kein Schutz mehr.
Dann kann ich ihn auch gleich seinlassen. Bzw. ich wende mich Lösungen zu, die in sich schlüssiger und tragender sind.
Und das GnuZip-Projekt (GnuZip ist fester Bestandteil von Darwin resp. MacOSX) hat auf seinen FAQ-Seiten erläutert, warum es ganz bewusst keine Passwort-Verschlüsselung anbietet. Ich glaube da dann eher denjenigen, die darlegen und begründen, warum sie etwas bewusst nicht anbieten obwohl sie könnten als denen, die einfach etwas anbieten und sich dieser Problematik ansonsten aber nicht stellen.

Ich muss mir also erstmal ein spezielles Archivierungs- und Pack-Programm installieren, um verschlüsselte email-Anhänge zu versenden. Zumal Winzip (außer es ist eine alte Test-Version) nicht kostenfrei ist. Und was mache ich, wenn ich den Inhalt/Text der email selber verschlüsseln will bzw. mit einer digitalen Signatur/Unterschrift versehen will, sodass der Empfänger weiß, dass er eine unveränderte email vor sich hat? Da hilft mir dann ein Programm wie Winzip auch nicht weiter.

S/MIME und OpenPGP. Dass diese Verfahren vom gemeinen Nutzer kaum gekannt und genutzt werden heißt nicht, dass sie sich nicht durchgesetzt bzw. etabliert hätten, gerade auf professioneller Ebene. Nach meiner Wahrnehmung in letzter Zeit und langsam sogar OpenPGP gegenüber S/MIME, auch wenn es längere Zeit wohl mal umgekehrt gewesen ist. Es gibt nicht wenige Menschen, die
An einer sicheren Infrastruktur ist eben niemand wirklich interessiert, allen voran diejenigen, die eine solche Infrastruktur forcieren und in der breiten Bevölkerung etablieren könnten: die Regierungen der Welt. Denn sie würden sich auf diese Weise selber davon ausschließen, die Kontrolle zu behalten. Deshalb verläuft das Thema in der Breite so schleppend, auch und gerade was die Digitale Signatur angeht (die ja eigentlich jeder haben will, aber für staatsnahe Organe dann bitte nicht soo sicher, dass von dort aus niemand mehr da an die verschickten Informationen rankann -- genau deswegen ziert sich unser Staat so, was die Förderung solcher Techniken in der Breite/Masse angeht). Aber von der Technik her sind S/MIME und PGP bisher sehr sicher und genau deshalb genutzt und unter denjenigen, die Wert auf Sicherheit und Vertrauen legen, auch verbreitet. Wie oben schon gesagt: in letzter Zeit eher zugunsten von PGP denn zugunsten von S/MIME.

Siehe auch die hierzu sehr lesenswerten Informationen seitens des BSI:
Bundesamt für Sicherheit in der Informationstechnik (BSI): Einsatz von GnuPG oder PGP
Bundesamt für Sicherheit in der Informationstechnik (BSI): Informationen zur Digitalen Signatur (S/MIME und PGP)

,

sierkb

Kein "Schwachsinn" sondern ein Scherz und zwar von mir und nicht von Rodknocker.

Zum zweiten Teil von mir: Sicherheit ist kein absoluter Begriff. Es kommt immer darauf an, vor was ich mich schützen möchte. Und wenn digitalo ausdrücklich schreibt, dass es sich nicht um "geheimste Firmenunterlagen" handelt, wird es im wohl mehr darum gehen, dass Normalbürger X nicht mit einem Klick den Anhang öffnen kann, wenn die Mail falsch zugestellt wurde oder die Gegenseite keinen passwortgeschützten Bildschirmschoner am Laptop hat. Und dafür reichen (gute) Passwörter auf ZIPs oder PDF-Dateien vollkommen aus.
Was in keinster Weise etwas gegen E-Mail Verschlüsselung im Ganzen spricht.

sierkb
Das ein Artikel von Christian Kirsch zu diesem Fazit kommt wundert ja nicht.

Du willst damit jetzt konkret WAS aussagen?

Das BSI kommt zu einer ähnlichen Aussage auf : "GnuPG ist vollständig kompatibel zu OpenPGP, dem heute weltweit am meisten genutzten Standard zur Verschlüsselung von E-Mail."

sierkb
Ich kenne die Unternehmen und die Personen, weil ich in dem Umfeld früher gearbeitet habe.
1. Klück & Kanja == PGP Deutschland.
2. Christian Kirsch ist Produkt Manager dort.

sierkb
Die Aussage ist nur korrekt, wenn man nur die privaten und/oder universitären Anwendung betrachtet.

Das BSI, welches sich zu der Aussage hinreißen lässt: "GnuPG ist vollständig kompatibel zu OpenPGP, dem heute weltweit am meisten genutzten Standard zur Verschlüsselung von E-Mail" ist für Dich also auch verdächtig bzw. zu PGP Deutschland zugehörig?
Bzgl. Christian Kirsch: seit welchem Zeitpunkt ist er Produkt-Manager dort? Schon vor bzw. im Jahre 2001, als er den von mir angeführten Netzartikel schrieb, oder erst später? es ist nicht etwa möglich, dass er sich schon vorher mit dem Thema beschäftigt hat und dann einfach genau wegen dieser Interessensgleichheiten zufällig und ganz bewusst bei PGP Deutschland angeheuert hat?
Sein Artikel (die Fußnote sagt, dass er im Jahre 2001 verfasst worden ist) ist ziemlich neutral und fair gehalten, einzig in seinem Fazit äußert er den Hinweis, dass selbst Microsoft zweigleisig fährt bzw. einerseits S/MIME und andererseits PGP verwendet. Und Letzteres kann ich bestätigen, das ist mir völlig unabhängig von diesem Artikel und diesem Fazit auch schon aufgefallen: bestimmte emails und Mitteilungen, die sicher beim Benutzer ankommen sollen, die werden sowohl von Microsoft als auch von Apple als auch von diversen Linux-Distributoren via PGP-Signatur signiert. Das ist ein auffälliger Fakt. Und dieser Fakt sollte wenigstens zu interessiertem Nachfragen anregen, warum die Genannten das wohl so machen und nicht anders.

Ich habe beispielgebend gleich 3 kommerzielle Nutzer genannt, die ihre per email verschickten Sicherheits-Bulletins per PGP signieren und zur Nutzung von PGP oder S/MIME auch auf ihren betreffenden Security-Seiten aufrufen (wobei PGP sogar bei Microsoft gegenüber S/MIME den Vorzug erhält), wenn mit ihnen sicher kommuniziert werden soll: Apple, Microsoft, diverse Linux- und Unix-Distributoren...
Prüfe es nach, wenn Du es nicht glauben magst.

Die meisten Unternehmen (auch Apple) fahren da zweigleisig, speziell in der Kundenkommunikation. CK hat da bereits für G&K gearbeitet. Was in den Zahlen nicht berücksichtig ist, ist z.B. die Verwendung beim Militär.

Ich kann und darf mich aber aus diversen Gründen nicht beliebig dazu äußern. Für gewöhnlich schätze ich Deine Beiträge, aber in diesem Fall ist die Diskussion nutzlos, da Du imho nicht vom Fach bist. Und Lust auf einen Glaubenskrieg habe ich auch nicht. Geschweige denn die Zeit dafür.

CU

Das habe ich auch nicht bestritten. Aber erkläre mir bitte mal, warum diese Unternehmen auf PGP nicht zugunsten S/MIME verzichten bzw. bestimmte Informationen im Security-Bereich standardmäßig via PGP signieren und nicht via S/MIME bzw. eine PGP-Signatur (und damit das Angebot einer Verschlüsselung und die Verifizierung der Echtheit des Inhalts) S/MIME in diesem Bereich offenbar vorziehen? Welche Gründe könnten diese Unternehmen dafür haben? Hast Du darauf eine plausible Antwort?

CK ist mir völlig egal. Warum ziehst Du Dich an dieser einen Person und dem, was sie gesagt hat, hoch? Es gäbe und gibt sicher noch viele andere Quellen und Aussagen, die seine Worte bestätigen würden. Ich habe ihn einfach mal einigermaßen wahllos herausgepickt, weil er eine Gegenüberstellung gemacht hat.
Und was die Frage des Militärs angeht, so weiß ich nicht, was Du mit dem Stichwort "Militär" hier willst, ohne es näher zu erläutern.

Weswegen nicht? Auf welche Weise bist Du befangen oder eingeengt in Deiner Freiheit, Deine Meinung/Dein Wissen kundzutun?

Sehr schöne Aussage... Erstens: woher nimmst Du diese Gewissheit? Zweitens: auf welche Weise bist Du mehr vom Fach als ich bzw. warum ist Deine Aussage glaubhafter und mehr wert als meine? Mal völlig unabhängig von der Tatsache, dass Du bestimmte genannte Personen persönlich zu kennen scheinst und ich nicht (was für mich völlig unerheblich ist, weil bestimmte Aussagen auch ohne Personenbezug Gültigkeit haben können oder auch tatsächlich haben bzw. belegt/verifiziert werden können).

Auch ich habe da weder Lust drauf noch die Zeit dafür und habe auch nicht vor, einen solchen hier anzuzetteln.

Nun habe ich, auf meine explizite Frage, die Rückmeldung des Anwalts erhalten. Unverschlüsselte PDF-Dokumente erachtet er als unproblematisch - wenigstens in diesem Fall.

Die hier entstandene Diskussion ist für mich sehr informativ und regt zum Nachdenken, auch zum Recherchieren an. Danke jedenfalls für eure Reaktionen.

Und nun mache ich die nächsten Dokumente versandbereit.

Digitalo:

Egal, wofür Du Dich letztendlich entscheidest -- für Dich interessant könnte evtl. noch sein, dass gerade vor wenigen Tagen (6. Oktober) eine Sicherheitslücke in der S/MIME-Implementation von MacOSX öffentlich bekannt und gemeldet worden ist, Details dazu siehe u.a. hier und hier: . Wer S/MIME unter MacOSX nutzt, sollte also hoffen, dass Apple da ziemlich schnell mit einem Security-Fix bei der Hand ist bzw. dieses zügig an die Endnutzer weitergibt und damit nicht, wie schon oft genug und regelmäßig erlebt, Monate damit wartet.

Ich würd's ja faxen

sierkb
Danke dir für den Hinweis.
Das könnte ich mir auch vorstellen. Ob er meine Unerlagen als sensibel einstuft, weiss ich nicht. Dem gemäss ist mir auch nicht klar, ob es hier in der CH einen Standard gibt, wie ihn iCode erwähnt.

Im vorherigen Telefonkontakt waren andere Punkte dringlicher. Ich werde ihn jedoch schon nochmals ansprechen, ob beispielsweise wenigstens verschlüsselte PDF-Dateien nicht angemessener wären.

Ich tät's ja, wenn ich einen Faxer hätt.
Wer startet den Sammelthread? Jede Währung wird angenommen. Das Umrechnen besorge ich dann?

Wenn du einen Festnetzanschluss zuhause hast, hast du 2 Macs die ganz easy faxen können (und einen davon könntest du sogar zu einer Leitung tragen!)...

Aber jetzt mal 'ne ganz doofe Frage: da sich das ganze ja zieht wie ein Kaugummi, warum schickst du es nicht in einem großen Umschlag mit der guten alten Post?