Archive für Juli 23rd, 2010
Quick-News 50
Rechtssichere Bürger-E-Post De-Mail – Und die Nachteile – Update 3
In der Vergangenheit hatte ich hier einiges über Bürger-E-Post De-Mail geschrieben.
Auf Heise.de ist seit gestern Mittag dieser Artikel zu lesen:
Rechtssichere Bürger-E-Post De-Mail: Besonderheiten und Fallstricke
Reißen wir mal dazu einige Aussagen aus dem Artikel:
[...]Die Teilnahme an De-Mail ist freiwillig und kostenpflichtig. Bürger wie Behörden dürfen durch keine Verordnungen gezwungen werden, dem De-Mail-System beizutreten.[...]
Gute Entscheidung. So hat man wenigstens die Wahl.
[...]Hat sich ein Bürger bei einem De-Mail-Provider registriert und einer Behörde mit Preisgabe seiner De-Mail-Adresse angezeigt, dass er die elektronische Kommunikation akzeptiert, so kann diese ihm Verordnungen und Bescheide per Mail zustellen.[...]
Bedeutet, der Dienst ist kostenpflichtig. Genaue Preise habe ich jetzt noch nicht können ermitteln aber ich schätze mal, das es Anfangs günstiger sein wird, als die Zustellung eines klassischen Briefs.
Aber so wie die Deutsche Post AG gelegentlich Ihre Zustellgebühren anheben, so kann das auch bei diesem Dienst geschehen.
[...]Wie bei der Papierpost gilt die Zustellfiktion des Verwaltungszustellungsgesetzes, dass ein Bescheid nach drei Tagen zugestellt ist, auch wenn der Bürger in dieser Zeit nicht in sein De-Mail-Postfach schaut oder im Ausland weilt.[...]
Ok, verpeilt den Briefkasten zu checken oder in Urlaub – Kommt vor. Aber was, wenn ich nicht in der Lage bin meine Mails zu prüfen? Hardwaredefekt am Router oder PC? Ein Ersatzrouter oder Ersatz-PC haben die wenigsten. Netzwerkprobleme des Internet Dienstleisters – Keine WAN Anbindung, keine Mail.
Wenn der Briefträger krank wird, springt ein anderer ein.
[...]Anders als bei der Papierpost gilt diese Frist auch an Sonn- und Feiertagen, zu denen der vorliegende Referentenentwurf keine Aussagen macht.[...]
Na bestens, mit dem verlängerten Wochenend-Ausflug ist es dann auch vorbei (es sei denn, man checkt seine Mails im Kurzurlaub).
[...]Will der Bürger nachweisen, dass ein Bescheid nicht sein Postfach erreicht hat, reicht die Glaubhaftmachung einer nicht oder verspätet erfolgten Zustellung wie bei der Briefpost nicht mehr aus, weil ein “Vollbeweis” erforderlich ist. Im Kommentar des Referentenentwurfes heißt es: “Damit übernimmt der Empfänger in Fällen, in denen das Verwaltungsverfahren auf sein Verlangen in elektronischer Form abgewickelt werden muss, die Beweislast für den Nichtzugang oder verspäteten Zugang des elektronischen Dokuments. Auf diese Weise wird der missbräuchlichen Widerlegung der Zustellungsfiktion, z. B. um eine Genehmigungsfiktion eintreten zu lassen, entgegengewirkt.”[...]
Danke, das war’s dann. Ich muss beweisen, warum der Beamte oder Bedienstete nicht in der Lage war, mir die Mail zuzustellen. Faktisch unmöglich.
[...]Auch bei ausgehenden De-Mail-Nachrichten an die Behörde muss der Bürger die volle Beweislast übernehmen, dass die Nachricht abgeschickt wurde.[...]
Klasse, kann man auch knicken. Wie soll ich beweisen, das der Empfänger den Finger auf der Entf-Taste hatte?
[...]Hierzu kann er bei seinem De-Mail-Provider gegen eine Zusatzgebühr eine digital signierte Versandbestätigung anfordern.[...]
Dann schíckt man das besser per Fax. Ein Fax-Sendeprotokoll wird bei einem ordentlich konfiguriertes Faxgerät nach dem Versenden ausgedruckt, kann dies als gültiger Nachweis des Versands dienen.
Alternativ die Briefpost per Einschreiben mit Rückschein.
Ich bin mal gespannt, wie sich das ab 2011 entwickelt.
Meine Vorhersage:
Der Bürger nimmt dieses Medium nicht in Anspruch. die Kosten der Bereitstellung dieser Dienstleistung für den Bürger überschreiten deutlich den angepeilten Spareffekt und nach einigen Jahren wird das Projekt eingestampft.
Update 1:
Weitere Gründe gegen De-Mail hier. (Danke für den Hinweis Manfred)
Update 2:
Weitere Infos und Argumente auf www.daten-speicherung.de zu dem Thema.
Update 3:
Thomas Lapp, Anwalt und IT-Experte der Bundesrechtsanwaltskammer der Frankfurter Rundschau schreibt, das er wegen der Verschlüsselung schwere Bedenken hat.
Eine durchgängige Verschlüsselung wird hier nicht gewährleistet.
Details dazu hier im Artikel von FR-Online.de
Kritische Sicherheitslücke in vBulletin geschlossen
Heise.de berichtet in diesem Artikel, dass die Forensoftware vBulletin in der Version vor 3.8.6 von einer kritischen Schwachstelle betroffen ist, welche es Angreifern erlaubt, das MySQL-Login über das FAQ Modul auszulesen.
Die Entwickler von vBulletin haben die fehlerbereinigte Version 3.8.6 PL1 zum Download zur Verfügung gestellt.
Foren-Admins sollten dringend dieses Patch einspielen.
Laut dem Heise-Artikel sollen sich nach einer Google-Recherche noch zahlreiche Foren zu finden sein, die verwundbar sind.
Trojaner Stuxnet weiter auf dem Vormarsch
Das Thema hatte ich in diesem Artikel eingeleitet.
Allerdings wird dieses mit 5 Updates allmählich etwas unübersichtlich. Deshalb habe ich eine neue Kategorie namens “TROJ_STUXNET” für weitere Artikel angelegt.
Die Thematik geht mittlerweile in die heiße Phase. Pierre-Marc Bureau schreibt im ESET Threat Blog, dass der Schädling Win32/TrojanDownloader.Chymine.A in freier Wildbahn entdeckt wurde. Dieser nimmt Kontakt mit einem Server auf und ladet weitere Malware (Keylogger) herunter. Auch der Wurm Win32/Autorun.VB.RP nutzt die LNK-Lücke als Verbreitungsweg.
Laut dem Microsoft Security Advisory (2286198) kommen auch Microsoft Office Dokumente mit eingebetteten Verknüpfungen als Verbreitungsweg in Frage:
[...] In addition, an attacker could embed an exploit in a document that supports embedded shortcuts or a hosted browser control (such as but not limited to Microsoft Office documents).
Darüber hinaus sollen auch PIF-Dateien verwundbar sein.
Core Security Technologies hat in diesem Flash-Video verdeutlicht, wie einfach eine Infektion eines Systems ist.
Somit käme unter Umständen auch eine Verbreitung via E-Mail in Frage:
Exploit Information for CORE IMPACT Customers:
CORE IMPACT Pro provides three exploit modules for this vulnerability:
- The first module exploits the vulnerability via a USB drive.
- The second provides a typical IMPACT client-side attack via email.
- The third is delivered the exploit through a web page via WebDAV.
Quelle: http://www.coresecurity.com/content/Microsoft-…Execution-Vulnerability
PC-Welt.de hat das Thema ebenfalls aufgegriffen und schreibt, das Siemens in Zuge der Bedrohung ein Tool namens SysClean von Trend Micro bereit stellt, mit dem man ein System auf einen Befall überprüfen und im Fall einer Infektion eine Bereinigung (wenn möglich) durchführen kann.
SysClean von Trend Micro ist allerdings ein kostenloses Tool, das jeder nutzen kann.
Ich habe hier eine Dokumentation gefunden, welche die Bedienung des Tools erklärt.
Vorteil: SysClean muss nicht installiert werden und kann somit ohne Probleme im Abgesicherten Modus ausgeführt werden.
Von SysClean werden neben anderen Schadprogrammen aktuell 4 Varianten von StuxNet erkannt:
- LNK_STUXNET.SM
- RTKT_STUXNET.A
- TROJ_STUXNET.DX
- WORM_STUXNET.SM
Auch das BSI hat die derzeitige Bedrohung mit einer eigenen Warnung gewürdigt.
Unter den derzeit gegebenen Umständen kann das ein heißer Sommer für die Windows Nutzer werden, wenn Microsoft nicht zeitnah mit einem Patch daher kommt.
