Heute kamen zwei E-Mails der DB hier in der Buchhaltung an: Erst eine mit einem Passwort im Mail-Text, dann eine mit ZIP-Anhang, bei dem man das Passwort braucht. Da fällt mir nichts mehr ein.
Die Mails sehen in aus wie Phishing. Angreifer schicken derzeit besser gemachte Mails. Die Mails sind aber echt. Es ist für mich unverständlich, dass ein so großes Unternehmen im Jahr 2024 immer noch Passwort und Inhalt auf demselben Weg schickt.
Abgesehen davon sind im ZIP gar keine sensiblen Daten enthalten. Die Dateien im (immerhin mit „AES-256 Deflate“ verschlüsselten) ZIP:
- die Rechnung (als PDF 1.4, nicht signiert, nicht barrierefrei)
- eine Leistungsaufstellung (als XLS; XLSX wäre sinnvoller, CSV würde reichen)
1 „Gefällt mir“
Traurig aber wahr. Meine Initiative für mehr Emailsicherheit in https://blog.lindenberg.one/AufsichtEmail zeigt, dass Sicherheit weder von Organisationen noch Aufsichten ernst genommen wird. Ich würde trotzdem Beschwerde einreichen, aber wie Du am Beispiel https://blog.lindenberg.one/AufsichtEmail#DeutscheBahn musste ich das Verwaltungsgericht bemühen, damit die Beschwerde angesehen wurde, verstanden worden ist sie anscheinend nicht.
Wie hast Du denn eine Mail mit Rechnungen erhalten? Ich habe letzt alle einzeln heruntergeladen, eine Email wäre mir lieber 
Die Mails/Rechnung/Leistungsaustellung sind an die Personalabteilung/Buchhaltung meiner Firma adressiert: Es geht um die Deutschlandtickets der Mitarbeitenden. Da liegt auch das Problem: Das Deutschlandticket wurden so schnell eingeführt, dass die Bahn noch kein Portal dafür gebaut hat. Denn die Mitarbeitenden der Personalabteilung sind nicht selbst Bahnfahrer, haben also kein „bahn.de-Konto“. Dennoch: Lieber keine Verschlüsselung als „fake security“. So macht es den Mitarbeitenden der Buchhaltung und Personalabteilungen nur das Leben schwer.
Richtig peinlich ist aber, dass die Liste der Mitarbeiter:innen, die Fahrkarten beziehen, weiterhin unverschlüsselt ankommen – natürlich auch als Excel im alten Binärformat. An personenbezogenen Daten enthalten sind hier übrigens nur Vor- und Nachname und die Art der Fahrkarte, z.B. Deutschland-Ticket.
