Sicherer Austausch von Zugangsdaten

Aus all-connect Hilfe-Center
Zur Navigation springen Zur Suche springen

Geheime Daten (z.B. Passwörter oder Dokus) dürfen nicht als Klartext per E-Mail versendet werden. Zwischen Ihnen und uns als IT-Dienstleister bzw. Provider möchten wir sicherstellen, dass sensible Daten nicht von Fremden mitgelesen werden oder von Kriminellen missbraucht werden.

So können wir Daten sicher und geheim austauschen:

  1. Verschlüsselte E-Mail mit all-connect - auch an unser Ticket-System
  2. https://sealed.all-connect.net/ - Webdienst für selbst zerstörende Einmal-Nachrichten

SEALED-Webdienst

Insbesondere wenn Sender und Empfänger für E-Mails mit PGP oder S/MIME Verschlüsselung noch keinen öffentlichen Schlüssel angelegt haben, bietet unser SEALED-Webdienst eine einfache und schnelle Möglichkeit, um sensible Nachrichten zu schützen und sicher zu übermitteln.

Die sichere Übermittlung einer versiegelten Information ist mit https://sealed.all-connect.net/ sehr einfach.

Anleitung zum Abruf

  • Der Abruf ist nur einmal möglich! Nehmen Sie sich Zeit, um die Nachricht in Ruhe auf einem sicheren PC (z.B. im Büro oder zuhause) abzurufen.
  • Notieren Sie sich die Zugangsdaten sofort. Ein späterer Abruf ist nicht mehr möglich. Zugangsdaten müssten dann ggf. zurückgesetzt werden.
  • Nutzen Sie z.B. einen Passwort-Manager, um die geheimen Informationen auf Ihrem PC zu speichern.

Im Detail:

  1. Sie erhalten von uns eine E-Mail mit einem Einmal-Link über den Sie Ihre Zugangsdaten (o.ä. geheime Informationen) sicher abrufen können.
  2. Optional kann der Link durch einen TAN-Code geschützt sein. Geben Sie den TAN-Code ein, um die Nachricht abzurufen.
  3. Wenn Sie den Link anklicken, wird die Nachricht auf Ihrem PC im Browser entschlüsselt und die Nachricht ist im Klartext sichtbar.

ACHTUNG: Der Abruf funktioniert nur ein Mal (1x !), dann ist die Nachricht gelöscht.

Beachten Sie zum Abruf des Links auch, dass dieser nur für einen beschränkten Zeitraum funktioniert (z.B. eine Woche lang). Danach wird der Link ungültig und die verschlüsselte Nachricht wird ebenfalls endgültig gelöscht. Sie kann nicht wiederhergestellt werden.

Hinweis zum TAN-Code: Der TAN-Code schützt nur vor versehentlichem Abruf. Dies ist zweckmäßig, weil durch den Abruf das Siegel gebrochen wird und die Nachricht anschließend gelöscht wird.

Was soll ich tun, wenn eine Nachricht nicht (mehr) verfügbar ist?

Es gibt folgende Gründe:

  1. Möglicherweise ist die Gültigkeit des Links abgelaufen.
  2. Sie haben die Nachricht bereits abgerufen und die Nachricht wurde unwiderruflich gelöscht.
  3. Ein Dritter (Fremder) hat die E-Mail abgefangen und bereits auf den Link geklickt.

Im letzten Fall müssen umgehend neue Zugangsdaten erzeugt werden. Gerne helfen wir Ihnen hierbei weiter. Nehmen Sie hierfür sofort Kontakt mit uns auf!

Anleitung zum Versenden

So erzeugen Sie innerhalb von 20 Sekunden eine verschlüsselte Nachricht mit einem versiegelten Einmal-Link, den Sie per E-Mail sicher versenden können:

  1. SEALED-Webdienst Tool im Browser öffnen: https://sealed.all-connect.net/ (Link aufrufen!)
  2. Geheime Nachricht (z.B. Kennwort) eingeben
  3. Auf Wunsch Optionen festlegen
    • Ablaufzeit: Zeit, wie lange die verschlüsselte Nachricht maximal verfügbar sein soll. Der Empfänger muss die Nachricht innerhalb dieser Zeit abrufen.
    • Nach dem Lesen löschen: Hiermit wird die Nachricht beim Abruf durch den Empfänger unwiderruflich zerstört (= Versiegelung)
    • TAN-Code-Feld: Zum Abruf des Links wird dieser TAN-Code abgefragt. Dies schützt den Link vor versehentlichem Abruf, wodurch das Siegel gebrochen und die Nachricht gelöscht werden würde.
    • Format: Es kann "nur Text", "Quellcode" (mit farblichen Syntax-Highlighting) oder "Markdown"-Text, also Text mit Format-Anweisungen (z.B. *Kursiv*, **Fett**) versendet werden.
  4. Zum Abschluss klicken Sie auf den Knopf "Senden". Nun wird Ihnen ein URL-Link erzeugt, den Sie in die Zwischenablage kopieren können.
  5. Den erzeugten Einmal-Link können Sie in einer normalen E-Mail versenden.

Anleitung zur Nutzung mit mehreren Partnern

  • Ohne die Option Nach dem Lesen löschen kann die Nachricht mehrfach abgerufen werden. So können Geheimnisse zum mehrmaligen Abruf (z.B. für mehrere Partner) geteilt werden.
  • Geheimnisse zum mehrmaligen Abruf haben keine Siegel-Funktion! Ein unbekannter Dritter könnte die geheime Information unbemerkt ebenfalls abrufen.
  • Um Geheimnisse mit mehreren Partnern zu teilen, muss ein gemeinsamer starker TAN-Code vorab an jeden Partner einzeln als Einmal-Link erstellt und versendet werden! Der TAN-Code dient dann als gemeinsames Passwort zwischen den Kommunikationspartnern.

Warum der SEALED-Webdienst sicher ist

Die Übermittlung des Einmal-Links garantiert einen ähnlichen Schutz wie ein Einmalkennwort (siehe https://de.wikipedia.org/wiki/Einmalkennwort). Er ist nur für eine einmalige Verwendung gültig und kann kein zweites Mal benutzt werden (Prinzip der Versiegelung).

  • Die geheime Information wird auf Ihrem PC im Browser mit 256 Bit AES ver- und entschlüsselt. Dies entspricht echter Ende-zu-End-Verschlüsselung, weil zum oder vom Server niemals die Klartext-Information übermittelt wird.
  • Auf dem Server wird niemals eine Klartext Information gespeichert, weil die verschlüsselte Information vom Browser bereits verschlüsselt an den Server übertragen wird.
  • Die die geheime Information kann nur ein einziges Mal abgerufen werden. Durch den einmaligen Abruf entsteht das Prinzip eines Siegels - wird die Nachricht abgerufen, wird auch das Siegel gebrochen. Der Empfänger erkennt somit, dass ein fremder Dritte die Nachricht "abgehört" hat. In diesem Fall muss das Passwort als ungültig betrachtet werden und dringend geändert werden.

Gegen das Angriffsszenario Man in the Middle hilft der Einmal-Link nicht. Ein Angreifer könnte die geheime Nachricht also auslesen. Durch das Prinzip der Versiegelung bemerkt der Empfänger jedoch zwangsläufig, dass das Siegel gebrochen wurde, weil die Nachricht nicht noch einmal abgerufen werden werden kann. So ist sichergestellt, dass kompromittierte Zugangsdaten erkannt werden und Zugangsdaten bei Bedarf zurückgesetzt werden.

Die Verschlüsselung erfolgt doppelt:

  1. Ver- und Entschlüsselung mit 256 Bit AES im Browser, wobei der für die Entschlüsselung nötige Schlüssel allein im generierten Einmal-Link enthalten ist. Ein Angreifer auf dem Server und wir als Betreiber des Servers haben ohne diesen Link also keinen Zugriff auf den notwendigen Schlüssel zum Entschlüssen der gespeicherten Nachricht.
  2. SSL-Verschlüsselung (TLS) zwischen https://sealed.all-connect.net/ und Ihrem PC mit HTTP Strict Transport Security (HSTS) und Einsatz einer Content-Security-Policy.

Weitere Informationen zur Sicherheit und Funktionsweise sowie die Überprüfung des Quellcodes erhalten Sie unter https://privatebin.info/.

Abgerufen von „https://hilfe.all-connect.net/index.php?title=Sicherer_Austausch_von_Zugangsdaten&oldid=4216