Anmelden


Niederländisches Museum zahlt auf falsches Konto ein - Warum E-Mail-Signatur keine Kunst sein muss

Erst kürzlich fiel das Rijksmuseum Twenthe in Enschede beim Kauf eines Gemäldes des britischen Landschaftsmalers John Constable einer Cyberattacke zum Opfer. Monatelang verhandelte das Museum mit dem Londoner Kunsthändler Dickinson über den Preis für das Bild und einigte sich auf eine Summe von 2,85 Millionen Euro. Per E-Mail erhielt es eine Kontonummer und überwies das Geld. Wie sich später herausstellte, stammte die elektronische Nachricht mit den Zahlungsdaten jedoch von Cyberkriminellen, und die vereinbarte Millionensumme kam nie beim Kunsthändler an.[1]Mit einer digitalen Signatur wäre dies wohl nicht passiert!

Ein Kommentar von Günter Esch, Geschäftsführer der SEPPmail – Deutschland GmbH
Der Bekanntheitsgrad eines Künstlers trägt maßgeblich dazu bei, wie viel ein Gemälde wert ist. Fehlt bei einem Kunstwerk die Unterschrift, lässt sich nur schwer nachvollziehen, wer es gemalt hat. Das Bild muss genaustens analysiert und hinsichtlich Aspekten wie der Bildbeschaffenheit, Farb- und Motivauswahl, Pinseltechnik etc. mit anderen Werken verglichen werden. Nur auf diese Weise ist es möglich, den Künstler ausfindig zu machen und den genauen Wert des Gemäldes zu bestimmen. Wenn die Signatur eines Bildes also derart wichtig ist, warum sind dann noch immer so wenige E-Mails digital unterschrieben?

E-Mail-Signatur – wofür?
Die digitale Signatur dient dem Unterschreiben von elektronischen Dokumenten. Wie bei einem Kunstwerk hat sie zum Ziel, die Identität des Unterzeichners nachzuweisen. Um zu gewährleisten, dass eine eingegangene E-Mail auch wirklich vom entsprechenden Absender stammt und auf dem Versandweg nicht verändert wurde, sollte sie daher immer digital unterschrieben werden. Denn wie das Beispiel des Rijksmuseum Twenthe veranschaulicht, sehen E-Mails von Cyberkriminellen oft täuschend echt aus. Dies kann zur Folge haben, dass Empfänger betrügerische Mails nicht auf den ersten Blick erkennen und den darin genannten Aufforderungen nachkommen.

RFC-konforme Signatur über Zertifikate
Zum Unterzeichnen von E-Mails ist ein Zertifikat, also ein beglaubigter öffentlicher Schlüssel, notwendig. Eine geeignete Signaturlösung sollte ein solches Zertifikat bei einer akkreditierten Zertifizierungsstelle (Certificate Authorithies) beantragen, sobald ein Nutzer die erste E-Mail versendet. Somit steht eine ungebrochene Signatur stellvertretend für Integrität und Authentizität der verschickten elektronischen Nachricht.

Während sich die Unterschrift auf einem Bild leicht fälschen lässt, ist die E-Mail-Signatur über Zertifikate deutlich sicherer. Natürlich spielt in puncto IT-Sicherheit immer auch der „Faktor Mensch“ eine Rolle. Schon die kleinste Unachtsamkeit bietet Cyberkriminellen eine potentielle Angriffsmöglichkeit. So könnte der Empfänger einer E-Mail beispielsweise versäumen, darauf zu achten, ob die Signatur wirklich ungebrochen ist. Doch eines steht fest: Ohne eine digitale Unterschrift steigt die Wahrscheinlichkeit, auf E-Mails Cyberkrimineller hereinzufallen, um ein Vielfaches.

[1] https://nltimes.nl/2020/01/31/rijksmuseum-twenthe-scammed-nearly-eu3-million-cyber-criminals.