Sicherheit gibt es nicht

Diese Mail erhielt ich unlängst von 1&1:

absurder Sicherheitshinweis, leider Alltag

Das Problem habe ich rot umrahmt:

  • Die Mail warnt davor, Anhänge zu öffnen...
  • ...denn auch Verbrecher würden Anhänge verschicken, getarnt als 1&1-Rechnungen.
  • Und weil die Mail ja eine Mail mit Rechnung ist, kommt parallel der Anhang ...
  • ... und den soll (muss) ich natürlich öffnen, denn das ist eine echte Rechnung.

Es gibt für uns Anwender keinen Unterschied zwischen dieser echten Mail und einer gefälschten Malware-Mail mit Virus im Gepäck. Es ist daher eigentlich völlig absurd, diesen Sicherheitshinweis zu verschicken. Die Mail zeigt mustergültig: Viele Sicherheitshinweise sind eigentlich nutzlos. Nicht, weil ihre Autoren dumm sind - der Hinweis ist ja gut gemeint -, sondern weil sie in der Praxis nicht einzuhalten sind.

Wir brauchen Anhänge. Wir wollen im Web surfen. Und wir wollen dabei Flash-Animationen sehen. Und kostenlose Tools downloaden. Online shoppen und banken. Etc. Und solange das so ist, klingelt bei Online-Kriminellen und bei Anbietern von Sicherheitssoftware gleichermaßen die Kasse. Das ist bedauerlich, aber wahr.

Gewöhnen wir uns daran: "Sicherheit" gibt es nicht, es gibt nur ein alltägliches Abwägen zwischen Benutzbarkeit hier und Sicherheit da, nur zu meistern mit Ihrem voll aktiviertem Gehirn.

Übrigens:
Selbstverständlich würde auch die gefälschte, infizierte Mail den Sicherheitshinweis bieten, weil das authentischer wirken würde - genauso wie einem die modernen Spams ja in der Fußnote anlügen, "Dieser Newsletter ist kein SPAM. Sie erhalten ihn, weil Sie bei ihrer Anmeldung bei uns bzw. auf unserer Partnerseite dem Newsletterempfang zugestimmt haben.", was sagen will "Wir haben Ihre Mail irgendwo eingekauft, bei einem, dem Sie aus Versehen mal zugestimmt haben, wahrscheinlich weil Sie mussten, weil Sie nämlich den betreffenden Dienst sonst gar nicht hätten nutzen dürfen. Schön blöd, da nützen Ihnen dann deutsche SPAM-Gesetze gar nichts. Hä hä. Weisen Sie UNS doch mal nach, dass sie da nicht irgendwann & irgendwo mal zugestimmt haben!", aber das ist ein anderes Thema. Wenigstens kann man mit der Phrase "ist kein SPAM" seinen Mail-Filter füttern und so diese Art von Spam gesondert aussondern...

Andreas Winterer

Andreas Winterer ist Journalist, Buchautor und Blogger und beschäftigt sich seit 1992 mit Sicherheitsthemen. Auf unsicherheitsblog.de will er digitale Aufklärung zu Sicherheitsthemen bieten – auf dem Niveau ’normaler Nutzer‘ und ohne falsche Paranoia. Auf der Nachbarseite passwortbibel.de geht’s um Passwörter. Bitte kaufen Sie eines seiner Bücher.

Das könnte Dich auch interessieren...

1 Antwort

  1. Michael sagt:

    Dier "Sicherheitshinweis" von 1&1 ist eigentlich noch deutlich kurioser. Würde sich 1&1 nämlich an lange etablierte Standards halten und seine Rechnungen einfach mit S/MIME oder PGP/GnuPG elektronisch signieren, so wäre die Unterscheidung zwischen "echt" und "gefälscht" geradezu trivial. Anstattdessen schicken sie mit ihren Rechnungen eine technisch wie juristisch völlig sinnlose PDF-Datei mit der "Unterschrift" für die Rechnung. Man kann sich das Leben halt auch schwer machen - oder den eigenen Kunden.