Von: Joachim Lindenberg <************@lindenberg.one>
Gesendet: 03.08.2023 19:23
An: <info@allgeier-cyris.de>
Cc: '***************' <***************@allgeier-it.de>
Betreff: AW: Konfigurationsfehler Julia Mailoffice?

 

Sehr geehrter Herr Nitzgen,

bekomme ich die Dokumente noch? Oder wollen Sie die geheim halten? Geheimhaltung halte ich für keine gute Idee – https://blog.lindenberg.one/SecurityByObscurity – oder muss ich vermuten, dass die Kenntnis der Dokumente erlauben würde zu erkennen, dass Julia Mailoffice gar nicht sinnvoll eingesetzt werden kann und das scheinbare Versprechen auf Ihrer Webseite ein besonders leeres ist?

Vielen Dank und viele Grüße

Joachim Lindenberg

 

Von: ************@lindenberg.one <************@lindenberg.one>
Gesendet: Montag, 31. Juli 2023 09:37
An: info@allgeier-cyris.de
Cc: '***************' <***************@allgeier-it.de>
Betreff: AW: Konfigurationsfehler Julia Mailoffice?

 

Sehr geehrter Herr Nitzgen,

vielen Dank für diese Rückmeldung. Dass die Stadt Karlsruhe eine fehlerhafte Konfiguration hat habe ich ja bereits vermutet. Trotzdem möchte ich Sie bitten, mir die gewünschten Unterlagen zuzusenden, auch um die von Ihnen aufgezeigten Alternativen einordnen zu können. Außerdem denke ich, dass die Software unsinnige Kombinationen (gleicher Kanal, auch zeitversetzt) verhindern sollte, denn erfahrungsgemäß liest heutzutage jeder Administrator erst dann die Dokumentation, wenn er auf einen Fehler läuft.

Vielen Dank und viele Grüße

Joachim Lindenberg

 

 

Von: info@allgeier-cyris.de <info@allgeier-cyris.de>
Gesendet: Monday, 31 July 2023 09:01
An: Joachim Lindenberg <************@lindenberg.one>
Cc: *************** <***************@allgeier-it.de>
Betreff: AW: Konfigurationsfehler Julia Mailoffice?

 

Sehr geehrter Herr Lindenberg,

 

Hier ist das Problem, dass der Betreiber – in diesem Fall die Stadt Karlsruhe selbst – die Verschlüsselungsmechanismen (regelbasiert) wählt. Julia mailoffice erlaubt neben S/MIME- und PGP-Verschlüsselung noch PDF-Verschlüsselung und die Aussteuerung auf ein Web-Portal. Für die letzten beiden Verfahren besteht immer das Problem, wie gelangt das Passwort zum Empfänger. Eine Möglichkeit, die julia mailoffice bereit hält die wir aber nicht unbedingt empfehlen, ist der zeitversetzte Versand des Passworts. (diese Variante ist bedingt geeignet bei Einmal-Passwörtern, auch eine Variante, Andere Möglichkeiten sind 3-Wege Handshake, 2 Faktor-Authtentifikation oder Versand des Passworts auf einem anderen Kanal als E-Mail. Und wiederum ist es die Entscheidung des Betreibers, welche Mechanismen zum Einsatz gebracht werden. Insofern ist es sich an uns als Hersteller zu wenden nur bedingt zielführend. Wir können zwar den jeweiligen Betreiber darauf aufmerksam machen, aber die Betriebsmodalitäten legt der Betreiber fest, und dies meistens in Abstimmung mit deren Datenschutz. Wie sie im Betreff dieser E-Mail bereits feststellen, hängt es an der konkreten Konfiguration von julia mailoffice, die vom Betreiber und nicht von uns dem Hersteller vorgenommen wird.

 

Beste Grüße

Ralf Nitzgen 
Geschäftsführer 

Allgeier CyRis GmbH 
Hans-Bredow-Strasse 60 | 28307 Bremen 

T: +49 421 43841875 
M: +49 17********* 
Ralf.Nitzgen@allgeier-it.dewww.allgeier-cyris.de

cid1067760248*image001.png@01D8B171.A9EE30D0cid1067760248*image002.png@01D8B171.A9EE30D0cid1067760248*image003.png@01D8B171.A9EE30D0
cid1067760248*image004.jpg@01D8B171.A9EE30D0

Allgeier CyRis GmbH  
Amtsgericht Bremen | HRB 37552 HB 
Geschäftsführer: Ralf Nitzgen, Veit-Gunnar Schüttrumpf  
St.-Nr. 60 104 214 28 | USt.-ID-Nr. DE351887674 

Diese E-Mail enthält vertrauliche und/oder rechtlich geschützte Informationen. Wenn Sie nicht der richtige Adressat sind oder diese E-Mail irrtümlich erhalten haben, informieren Sie bitte sofort den Absender und vernichten Sie diese Mail. Das unerlaubte Kopieren sowie die unbefugte Weitergabe dieser E-Mail sind nicht gestattet.  
This message (and any associated files) is intended only for the *** of the sender and may contain information that is confidential, subject to copyright or constitutes a trade secret. If you are not the sender you are hereby notified that any dissemination, copying or distribution of this message, or files associated with this message, is strictly prohibited. If you have received this message in error, please notify us immediately by replying to the message and deleting it from your computer. Any views or opinions presented are solely those of the author and do not necessarily represent those of the company.

 

 

 

Von: Joachim Lindenberg <************@lindenberg.one>
Datum: Samstag, 29. Juli 2023 um 14:51
An: info@allgeier-cyris.de <info@allgeier-cyris.de>
Betreff: Konfigurationsfehler Julia Mailoffice?

Sehr geehrte Damen und Herren,

 

im Vorfeld mit meiner Veröffentlichung https://blog.lindenberg.one/AufsichtEmail habe ich auch Kontakt mit dem Datenschutz der Stadt Karlsruhe aufgenommen, weil leider auch die Stadt in der ich wohne Emailverschlüsselung und die im Artikel kritisierte Orientierungshilfe nicht ernst nimmt. Im Briefwechsel schrieb die Stadt, sie verwende bei sensiblen Daten Julia Mailoffice. In einem – ich nenne es Mal Test – hat der Datenschutz mir eine Email mit verschlüsseltem PDF gesandt, und das Passwort kam nahezu zeitgleich in einer weiteren Email. Beide Emails verwendeten weder obligatorische noch qualifizierte Transportverschlüsselung, und wenn verschlüsselte Daten und der Schlüssel dazu über den gleichen ungeschützten Kanal kommuniziert werden, dann liefert die Verschlüsselung keine bessere Sicherheit als der Klartext.

 

Auf https://www.allgeier-cyris.de/de/loesungen/julia-mailoffice.html schreiben Sie: „Die Umsetzung von Compliance-Richtlinien sowie gesetzlichen Vorgaben, zum Beispiel durch die DSGVO, bedarf der Erfüllung einer sicheren digitalen Geschäftskommunikation – denn Bußgelder durch Datenschutzverstöße, können bis zu 20 Mio. oder 4% des Jahresumsatzes betragen!“ Nun denn, eine öffentliche Stelle zahlt keine Bußgelder. Allerdings frage ich mich, wie es bei einem – meine Wahrnehmung Ihrer Beschreibungen – regelbasierten System zu dieser unsinnigen Passwortübermittlung kommen konnte, die ganz bestimmt keine Compliance-Richtlinie erfüllt.

 

Ich darf Sie bitten, mir

  • die Dokumentation für Administratoren und Endanwender zuzusenden (ggfs. für alle Versionen in Wartung),
  • den Prüfbericht des Bundesamts für Sicherheit in der Informationstechnik zuzusenden,
  • Anhaltspunkte zu geben, was in Karlsruhe falsch konfiguriert worden ist.

 

Das Beifügen meines Presseausweises erspare ich mir, ich weiß auch dass Sie nicht antworten müssen. Ich denke aber, dass Sie selbst daran interessiert sein werden, die Ursache solcher Schwachstellen auszumerzen, und das nicht nur in Karlsruhe sondern bei allen Kunden.

 

Vielen Dank und viele Grüße

Joachim Lindenberg