Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

Ist der Einsatz von E-Mail in Geschäftsprozessen fahrlässig? Walter Jekat ICON Systems GmbH.

Ähnliche Präsentationen


Präsentation zum Thema: "Ist der Einsatz von E-Mail in Geschäftsprozessen fahrlässig? Walter Jekat ICON Systems GmbH."—  Präsentation transkript:

1 Ist der Einsatz von in Geschäftsprozessen fahrlässig? Walter Jekat ICON Systems GmbH

2 Sicherheit aus Anwendersicht Mangelnde Vertraulichkeit. wird als Klartext verschickt und kann durch durch jeden mit Netzwerk- bzw. Systemzugriff ausgewertet werden.. –ist ein Geschäftsrisiko Mangelnde Integrität. Keine Sicherungen gegen Änderungen des Inhalts beim Transport oder bei der Speicherung. Mangelnde Authentizität. Der Absender einer kann jederzeit gefälscht werden.. Mangelnde Nichtabweisbarkeit. Es gibt keine Beweisführung, dass ein bestimmter Absender eine bestimmte Nachricht tatsächlich verschickt hat. –führen zu Rechtsunsicherheit Viren. Attachments sind inzwischen das beliebteste Medium zum Verteilen von Viren. Spam. Ein Account ist für jede Nachricht von jedem Absender offen. –sind ein Risiko für die Infrastruktur

3 36 Herausforderungen für Administratoren Access Content Delivery OS Physical Verwundbares OS Kein Remote Management Selbstgestrickte Systeme Admins sind keine Sicherheitsexperten Mail flooding und Bomben Angriffe über das Netzwerk Komplexe Back-end Server Rückstand bei Server Patches Alte Server Software Uneinheitliche Server Sicherheit Server offen für Hacker-Scans Unsichere Passwörter Schwache Web Access Authentifizierung Komplexes VPN Beleidigung der Angestellten Versand unauthorisierter Daten Trojanische Pferde als Attachments Mail Server Relay SetupInternes Adressen Leck Unverschlüsselte interne Mails Komplexe Mail Verschlüsselung Unsichere Default Konfiguration Unregelmäßige AV Pattern Updates Ungeschützte Mail-Server Unvollständige Administration Unsicherer Web Access Unsichere interne s Malformed Messages Zu Hotmail & Yahoo weitergeleitet Nicht gestattete Attachments Non-business ContentVerteilen von Viren Abgelaufene AV Software Nicht authorisierte Verwendung durch Angestellte SPAM Keine adäquate Kontrolle

4 Drei Management Themen beim Einsatz Viren Vertraulichkeit Spam Alle Themen verbergen eine höchstkomplexe und zum Teil widersprüchliche Rechtslage Der Besuch eines Seminars ist aufgrund der Haftlungslage für Geschäftsführer/Vorstände dringendst zu empfehlen

5 Einige Gedanken zum Thema und Viren

6 Virenquellen Quelle: ICSA

7 Melissa – Das klassische Beispiel eines Wurms Internet PC Internet Gateway Exchange Server 150 infizierte Mails werden versandt! Quelle: Trend Micro

8 Infizierter Exchange Server mit OutlookClient Quelle: Trend Micro

9 Anti-Virus Strategie Über 95% aller Geschäftsanwender setzen A/V Software ein Warum gibt es trotzdem soviele Viren? Die Frage ist nicht ob, sondern wo und wie administriert A/V steht und fällt mit der ständigen Aktualisierung der Viren Musterdateien und mit der konsequenten Umsetzung im Firmennetz Hier gilt: das schwächste Glied....

10 Gateway Lösung mit CVP Internet Firewall PC ALERT!! CVP-A/V Produkt Quelle: Trend Micro

11 Funktionsweise eines Schutzes Internet PC Gateway mit Virenschutz Mailserver mit Virenschutz ALERT!! Quelle: Trend Micro

12 10 Regeln für den Umgang mit Viren Regelmäßige Aktualisierung des Antiviren-Programms Vorsicht bei Attachements Den Kreis der Anwender reduzieren, die zur Nutzung des einzelnen PCs autorisiert sind Rechtzeitig Software-Patches installieren Vor der Nutzung mobiler Speichermedien einen Viren-Check durchführen Vorsicht bei Software auch von glaubwürdigen Herstellern Kombination verschiedener Antivirus Technologien Erstellen Sie eine virenfreie Startdiskette für Ihren Computer und bewahren Sie diese an einem sicheren Ort auf Regelmäßig Sicherheitskopien erstellen Nur keine Panik! Quelle: Kaspersky Labs

13 Einige Gedanken zum Thema und Vertraulichkeit

14 als Klartext Datenstrom Jeder Netzwerk-Sniffer kann ein Datenstrom auf Muster durchsuchen

15 Abhörsystem ECHELON Geheimdienste online? Misawa Leitrim Sugar Crove Yakima Firing Center Waihopai Shoal Bay Geraldton Station Bad Aibling Menwith Hill Morwenstow

16 Abfangpunkte ISP/Mail Provider - Carnivore

17 Abfangpunkte Büro/Broadband

18 Zwei Schritte zur sicheren Verschlüsseln sichert die Vertraulichkeit Signieren sichert: –Integrität –Authentizität –Nichtabweisbarkeit

19 Datenverschlüsselung ist Basistechnologie

20 Symmetrische Datenverschlüsselung Zahlreiche bekannte Algorithmen: –DES –3DES –AES –CAST –IDEA –Blowfish usw. Beide Partner benötigen identischen Shared Secret Key

21 Symmetrische Datenverschlüsselung Hohe Verschlüsselungsgeschwindigkeit Sicherheit abhängig von Schlüssellänge Komplexes Schlüsselmanagement Ignoriert Authentication Ignoriert Non-Repudiation

22 Asymmetrische Datenverschlüsselung Zwei bekannte Algorithmen: –RSA –Diffie-Hellman Sehr hohe Sicherheit Sehr niedrige Verschlüsselungsgeschwindigkeit (ca. 500x langsamer!) Public/Private Key Verfahren Einfacheres Schlüsselmanagement, da Public Key verteilt werden kann

23 Asymmetrische Datenverschlüsselung Quelle: Verisign, Inc.

24 Die Verschlüsselungspraxis Kombination von asymmetrischen und symmetrischen Verfahren Schritt 1: tausche Secret Key aus über langsames Public/Private Key (asymmetrisches) Verfahren aus Schritt 2: schnelle Datenverschlüsselung über Secret Key (symmetrisches) Verfahren

25 Digitale Signatur ein mit einem privaten Signaturschlüssel erzeugter Siegel...der den Inhaber des Signaturschlüssels und die Unverfälschtheit der Daten erkennen lässt Quelle: §2 (1) Gesetz zur digitalen Signatur

26 Erzeugen einer Signatur Quelle: Verisign, Inc.

27 Digitale Zertifikate Basis der praktischen Umsetzung digitaler Signaturen Elektronischer Ausweis: –Nachweis der Identität (Authentisierung) –Festlegen der Rechte (Autorisierung) –Verschiedene Aussteller (Certificate Authorities) Normiertes Format durch ITU: – Public Key Infrastructure X.509

28 Digitale Zertifikate Quelle: Verisign, Inc.

29 Zwei technische Ansätze zur Umsetzung bei S/Mime –Hierarchischer top down Ansatz –Basiseinstellung: technische Eleganz mit höchster Sicherheit –Zertifikatsausteller (Certificate Authorities) stehen im Vordergrund): Verisign D-Trust Telesec usw. –Jährliche Zertifikatskosten –Integriert in kommerzielle Reader –Hat sich nur begrenzt durchgesetzt

30 Zwei technische Ansätze: PGP (Pretty Good Privacy) –Bottom up Ansatz –Basiseinstellung: quick and dirty –In der Regel erstellt man seine Zertifikate selber –Kommerzielle und Freeware Implementationen –Unterschiedlichster Integrationsgrad –Grosse Verbreitung und Akzeptanz Allmähliches Zusammenwachsen der beiden Ansätze –Erst die Kombination sicherer Zertifizierungsstellen mit hoher Anwenderakzeptanz werden eine rechtliche Wirksamkeit von ermöglichen

31 Einige Gedanken zum Thema und SPAM (unerwünschte Werb s)

32 Schutz vor SPAM SPAM – mehr als nur ein Ärgernis, eine ernsthafte Gefahr für die Produktivität Schätzungsweise 2,3 Milliarden Spams wurden in 2002 verschickt SPAM kann nur zentral abgewehrt werden, benutzerzentrische Ansätze sinnlos Wirksame Verteidigung: –Source Address Filter –Realtime Blackhole Listen - RBL –Content Filter –Distributed Checksum Clearinghouse - DCC –Statistical Token Analyse (heuristische Analyse) –Whitelisten pflegen

33

34

35 Open SMTP Relays Leiten Mails beliebiger Absender an beliebige Empfänger weiter In der Regel falschkonfigurierte Mailserver Spam Szene handelt mit Listen von Open Relays Hohe ISP Kosten für Opfer Opfer geraten schnell auf RBLs mit katastrophalen Folgen Schwerpunkt z.Zt. China und Korea Ähnliche Ansätze: –Open HTTP CONNECT Proxies –Open SOCKS Proxies –Insecure Mail CGI Scripts

36 Einfachste AbwehrSource Server Filter Nach IP Adressen: –z.B Nach Domain-Namen: –z.B. freestuff.org Hoher Pflegeaufwand

37 RBL - Realtime Blackhole Listen Schneller Zugriff auf zentrale Listen mit SPAM Quellen. Grosse Auswahl, z.B.: –http://www.mail-abuse.org/ –http://www.ordb.org/ –http://relays.osirusoft.com/ –http://www.spamhaus.org/ Kernproblem: False Positives

38 Content Filter Spezifiziert Textfilter für: –From –To –Subject –Body Inhalte Verwendet reguläre Ausdrücke für maximale Flexibilität. Geeignet um Ausnahmen (White List) zu erzeugen.

39 DCC- Distributed Checksum Clearinghouse Wie RBL, eine co-operative Datenbank individueller Checksummen, welche Bulk Mails identifiziert. Basiert auf einer Zählung, wie oft eine Nachricht registriert wurde. Sehr schnell. Konfigurierbare Grenzwerte und Verfahrensweisen. –vgl.

40 Statistical Token Analyse Verwendet Häufigkeitsanalyse von Token (Wörter und Phrasen) aus bekannten SPAM-Mails um Verhaltensweisen zu erkennen. Erzeugt eine Maßeinheit für die Wahrscheinlichkeit, dass ein Token SPAM ausmacht. Diese Maßeinheiten werden kumuliert um die SPAM-ness einer Nachricht zu messen. Konfigurierbare Grenzwerte und Verfahrensweisen.

41 ....aber die Realität Spam wird sich nie gänzlich abstellen lassen, aber in hohem Maße eindämmen Die Versender glänzen durch ein hohes Maß an Erfindungsreichtum Bitte allen Usern klarmachen in keinerlei Form auf Spam zu reagieren (Ernten von Adressen)

42 DANKE für Ihr Interesse!


Herunterladen ppt "Ist der Einsatz von E-Mail in Geschäftsprozessen fahrlässig? Walter Jekat ICON Systems GmbH."

Ähnliche Präsentationen


Google-Anzeigen