Die Frage, ob Faxen sicherer ist als E-Mail, wird seit Jahrzehnten debattiert. Die Antwort auf diese Frage ist nicht schwarz-weiß und hängt weitgehend von der Art Ihrer Arbeit ab, der Art der vertraulichen Informationen, die Sie austauschen, dem Grad der Raffinesse der Personen, die versuchen, Ihr Netzwerk anzugreifen, und wie gut Sie Ihr System gesichert haben.
Die Debatte lässt sich in zwei Lager unterteilen: diejenigen, die glauben, dass Faxen weniger anfällig für das Abfangen durch Hacker ist, weil Daten über eine physische Leitung gesendet werden, gegenüber denen, die glauben, dass Hacking bei Faxgeräten kein Problem ist, da sie nicht direkt mit Netzwerken verbunden sind oder ihre Übertragungen über eine Internetverbindung wie E-Mail senden. Es gibt viele Gründe, warum jedes Lager richtig oder falsch liegen könnte. Lassen Sie uns die Argumente derjenigen untersuchen, die denken, dass Faxen sicherer ist als E-Mail.
Sicherheitsaspekte von Fax vs. E-Mail
Sicherheitsaspekte des Faxens
- Erfordert physischen Zugang zur Telefonleitung zum Abhören
- Erfordert physischen Zugang zum Faxgerät, um die Nachricht zu erhalten
- Nachrichten können an einem für andere zugänglichen Ort ankommen
- Einmal abgeholt, bleiben empfangene Nachrichten nicht unbegrenzt auf einem Server
- Fax-Header kann gefälscht werden
- Fälschung ist fast unmöglich zu erkennen
Sicherheitsaspekte von E-Mail
- Erfordert erhebliche Hacking-Fähigkeiten zum Abfangen
- Nachrichten kommen auf einem (normalerweise) gesicherten Computer an
- Nachrichten können unbegrenzt auf einem Server verbleiben und auf Hacking warten
- Anfällig für Phishing
- Bei richtiger Konfiguration: erlaubt keine Fälschung von Absenderdaten
- Fälschung schwer zu erkennen, aber Hinweise können verfügbar sein
Der physische Aspekt
Zugänglichkeit
Das übergeordnete Merkmal von Fax im Vergleich zu E-Mail ist einfach: Es ist physisch. Alle per Fax gesendeten Daten nutzen eine Telefonleitung, was bedeutet, dass Hacker Zugang zu Ihren Telefonleitungen haben müssen, um abzuhören. Sie benötigen physischen Zugang, um per Fax gesendete Informationen abzufangen. Andererseits können motivierte Hacker E-Mails abfangen, die über eine Internetverbindung reisen, ohne in direkten Kontakt mit Ihrem Netzwerk oder System zu kommen.
Sobald ein Hacker physischen Zugang hat, benötigt er immer noch Zeit und Fachwissen, um Telefonleitungen effektiv anzuzapfen. Die raffiniertesten Hacker haben die Fähigkeit, Telefonleitungen anzuzapfen und gesendete oder empfangene Daten abzufangen. Ein Telefon-Tap erfordert ein spezifisches Gerät und benötigt Zeit für die Einrichtung. Und angesichts der aktuellen Raffinesse der Hacker würde das Einbrechen in eine Telefonleitung zu Abfangzwecken als fortgeschrittenes Hacking angesehen werden.
Der physische Aspekt eröffnet jedoch andere Risiken. Beispielsweise kann in einigen Unternehmen das Faxgerät in einem öffentlichen Bereich stehen, wo andere Mitarbeiter Zugang haben. Eine dritte Person könnte eine Nachricht sehen oder stehlen, die angekommen und nicht rechtzeitig abgeholt wurde. Dies ist bei E-Mail unwahrscheinlich, wo Nachrichten typischerweise auf passwortgeschützten Computern ankommen und/oder auf gesicherten E-Mail-Servern liegen.
Der Software-Aspekt
Faxgeräte sind nicht anfällig für computerbasierte Malware. Das bedeutet, dass sie vor diesem Angriffsvektor sicherer sind, aber es gibt immer noch Risiken, die Sie minimieren müssen.
Viren
Ein Faxgerät ist ein geschlossenes, hardwarebasiertes System. Daher können Sie keine Art von Computervirus oder Malware auf einem analogen Faxgerät installieren. Dies macht traditionelle Faxgeräte unfähig, Viren über Telefonleitungen zu übertragen, was bedeutet, dass ein Absender auch keine Viren an den Empfänger über ein Faxgerät übertragen kann.
Malware
Obwohl es möglich sein könnte, Malware zu erstellen, die Faxgeräte angreift, und insbesondere High-End-Multifunktionsgeräte mit Internet-Fax-Fähigkeit, die effektiv große Computer sind, sind gewöhnliche Faxgeräte derzeit nicht als gangbarer Angriffsvektor bekannt. Es ist für Malware-Autoren viel lohnender, Computer und Smartphones anzugreifen als Faxgeräte.
Verschlüsselung
Wir begegnen häufig der Frage: "Sind Faxgeräte verschlüsselt?"
Wenn Sie ein Fax auf einem normalen Faxgerät senden, das Sie in Ihrem lokalen Bürobedarfsgeschäft oder bei Amazon gekauft haben, ist das übertragene Fax nicht verschlüsselt. Es wird in einem bekannten digitalen Übertragungsformat namens ITU-T Fax Gruppe 3 oder 4 (früher CCITT Fax Gruppe 3 oder 4) gesendet und kann von jedem abgefangen und gelesen werden, der die Fähigkeit hat, Ihre Telefonleitung anzuzapfen.
Es gibt Lösungen zur Verschlüsselung von Faxübertragungen, wie sie beispielsweise von diplomatischen Missionen und Hochsicherheitsinstitutionen verwendet werden. Diese erfordern jedoch dedizierte, gegenseitig kompatible Geräte sowohl auf der Sender- als auch auf der Empfängerseite. Daher können wir von ihnen nicht auf eine typische Faxnutzung verallgemeinern.
Es ist wichtig zu beachten, dass wenn Online-Faxdienstanbieter behaupten, verschlüsseltes Fax anzubieten, wie es einige in den unten gezeigten Google-Suchergebnissen zu tun scheinen, sie sich nicht auf die eigentliche Faxübertragung beziehen. Stattdessen könnten sie sich beziehen auf: ihre Dateispeicherung, den Zugang zu ihren Systemen oder die Sicherheit der Übermittlung von Faxnachrichten per E-Mail oder API vor und nach ihrer Übertragung und ihrem Empfang als Faxe.
Verschlüsseltes Fax? Nicht wirklich
Der Faxdienstanbieter, der als erstes Ergebnis bei Google für den Suchbegriff "encrypted fax" erscheint, bestätigt dies mit der Aussage:
Die Sicherheit von Nachrichten, die über das InterFAX-System gesendet werden, kann durch Verschlüsselung Ihrer E-Mails verbessert werden. Während dies die Faxübertragung von unseren Servern zum Faxgerät selbst NICHT verschlüsselt, WIRD es den Inhalt Ihrer Nachricht während des Transits von Ihrem Computer zu unseren Servern sichern. – upland InterFAX
In praktischer Hinsicht sind auch die meisten E-Mails nicht verschlüsselt, obwohl die Möglichkeit, E-Mails zu signieren und zu verschlüsseln, seit langem besteht und auf den meisten modernen E-Mail-Clients verfügbar ist.
Diesen Mangel abmildernd ist jedoch die Tatsache, dass die meisten E-Mail-Server heute TLS untereinander "sprechen", was Abhören und Manipulation von E-Mail-Übertragungen effektiv unmöglich macht.
Der menschliche Faktor
Phishing
Angreifer bevorzugen E-Mail gegenüber Faxgeräten, da diese weniger unmittelbar anfällig für Phishing sind. Für böswillige Hacker besteht der Vorteil von E-Mail gegenüber Faxen darin, dass sie ihr Ziel erreichen können, indem sie einen Benutzer dazu verleiten, einen gefährlichen Anhang zu öffnen.
In diesem Sinne ist es für Angreifer einfacher, E-Mail zu verwenden, um Benutzer mit Malware zu infizieren. Im Gegensatz zu E-Mail haben Faxgeräte jedoch kein Postfach, in dem sie Nachrichten von der Außenwelt sammeln können. Und selbst wenn sie elektronisch gespeichert werden, müssen eingehende Faxe manuell von jemandem, der weiß, was er tut, in den Speicher übertragen werden. Sie könnten dies als zusätzliche Schutzschicht gegen Angriffe und Bedrohungen betrachten.
Spoofing
E-Mail-Spoofing ist eine Technik, bei der Angreifer das "Von"-Feld einer E-Mail-Nachricht ändern, damit es so aussieht, als käme sie von jemand anderem. Normalerweise wird dies für kriminelle Zwecke wie Betrug oder Phishing verwendet. Dies kann gemindert werden, hängt aber davon ab, dass die gespoofte Partei ihre E-Mail-Server (genauer gesagt ihre DNS-Server) korrekt einrichtet.
Ähnlich ist Spoofing auch beim Faxen möglich. Im Kontext des Faxens kann Spoofing zwei Dinge bedeuten:
- Senden eines Fax-Headers (CSID), der vorgibt, einen anderen als den tatsächlichen Absender anzuzeigen.
- Senden eines Faxes mit einer gefälschten Anrufer-ID. Dies erfordert tieferen Zugang zu Telefonieeinstellungen.
Fax-Header (CSID) Spoofing
Ein Fax kann so eingestellt werden, dass es einen Header an die empfangende Partei sendet. Der Header ist ein langes Textstück, das alles enthalten kann, aber normalerweise das Sendedatum und die Uhrzeit, die Faxnummer, von der das Fax gesendet wurde, den Absendernamen und andere Informationen zeigt. So präsentiert es ein Canon-Benutzerhandbuch:
Bild: Canon
Die Absender-Faxnummer und der Name, auf die sich der Faxempfänger verlassen könnte, um die Echtheit des Faxes zu überprüfen, sind ziemlich einfach über die regulären Einstellungen des sendenden Faxgeräts zu ändern, was Faxbestätigungen für die Verifizierung unzuverlässig macht.
Fälschung
Das Fälschen des Inhalts von sowohl E-Mails als auch Faxen ist ziemlich einfach. Aber während Faxe relativ wenige Hinweise über ihre Absender liefern, bieten E-Mails eine Fülle von Informationen über den Weg, den sie genommen haben, um anzukommen. Und selbst wenn eine E-Mail nicht als gefälscht bezeichnet werden kann, kann häufig der Ruf des Absenders einen Hinweis auf die Möglichkeit ihrer Echtheit geben.
Das Fälschen eines Faxes ist eine einfache Übung in jedem Bildbearbeitungsprogramm. Zugang zum Briefkopf eines Unternehmens zu erhalten, ist über das Internet leicht gemacht, und alles, was bleibt, ist, die Details auszufüllen. Das Vertrauen der Menschen, gefaxte Dokumente wegen ihrer Unterschriften zu akzeptieren, ist in dieser Hinsicht ziemlich naiv. Sobald dies erledigt ist, ist es wiederum ziemlich einfach, die Einstellungen eines Faxgeräts so zu konfigurieren, dass das oben beschriebene Fax-Header-Spoofing durchgeführt wird. Dies lässt den Empfänger mit wenig Informationen zurück, um seine Entscheidung zu leiten, ob ein Dokument echt oder gefälscht ist, abgesehen vom gesunden Menschenverstand.
In gewissem Sinne ist das Fälschen einer E-Mail genauso einfach. Aber zumindest wenn eine E-Mail ankommt, bringt sie eine große Menge an Metadaten mit, die ihre Analyse ermöglichen, wie das folgende Bild zeigt.
Fazit
Wie Sie sehen können, gibt es wirklich keine Möglichkeit zu sagen, ob Faxen mehr oder weniger sicher ist als E-Mail, wenn beide Optionen für Angriffe offen sind. Die Wahrheit ist, dass alles von der spezifischen Natur Ihrer Arbeit und den Risiken abhängt, denen Sie gegenüberstehen, da diese beiden Kommunikationsmethoden keine unterschiedliche Bedrohung schaffen.
Referenzen