Ist der Einsatz von E-Mail in Geschäftsprozessen fahrlässig? Walter Jekat ICON Systems GmbH
E-Mail Sicherheit aus Anwendersicht Mangelnde Vertraulichkeit. E-mail wird als Klartext verschickt und kann durch durch jeden mit Netzwerk- bzw. Systemzugriff ausgewertet werden.. ist ein Geschäftsrisiko Mangelnde Integrität. Keine Sicherungen gegen Änderungen des Inhalts beim Transport oder bei der Speicherung. Mangelnde Authentizität. Der Absender einer E-mail kann jederzeit gefälscht werden.. Mangelnde Nichtabweisbarkeit. Es gibt keine Beweisführung, dass ein bestimmter Absender eine bestimmte Nachricht tatsächlich verschickt hat. führen zu Rechtsunsicherheit Viren. E-mail Attachments sind inzwischen das beliebteste Medium zum Verteilen von Viren. Spam. Ein E-mail Account ist für jede Nachricht von jedem Absender offen. sind ein Risiko für die Infrastruktur
36 Herausforderungen für Email Administratoren Unsichere interne Emails Unsichere Passwörter Unsichere Default Konfiguration Keine adäquate Kontrolle Server offen für Hacker-Scans Ungeschützte Mail-Server Verwundbares OS Uneinheitliche Server Sicherheit Unvollständige Administration Access Content Delivery OS Physical Alte Server Software Unsicherer Web Access SPAM Malformed Messages Rückstand bei Server Patches Zu Hotmail & Yahoo weitergeleitet Komplexe Back-end Server Nicht gestattete Attachments Angriffe über das Netzwerk Non-business Content Verteilen von Viren Mail flooding und Bomben Nicht authorisierte Verwendung durch Angestellte Admins sind keine Sicherheitsexperten Schwache Web Access Authentifizierung “Selbstgestrickte” Systeme Komplexes VPN Versand unauthorisierter Daten Unverschlüsselte interne Mails Kein Remote Management Abgelaufene AV Software Beleidigung der Angestellten Internes Adressen Leck Mail Server Relay Setup Trojanische Pferde als Attachments Unregelmäßige AV Pattern Updates Komplexe Mail Verschlüsselung
Drei Management Themen beim E-Mail Einsatz Viren Vertraulichkeit Spam Alle Themen verbergen eine höchstkomplexe und zum Teil widersprüchliche Rechtslage Der Besuch eines Seminars ist aufgrund der Haftlungslage für Geschäftsführer/Vorstände dringendst zu empfehlen
Einige Gedanken zum Thema E-Mail und Viren
Virenquellen Quelle: ICSA
Melissa – Das klassische Beispiel eines E-mail Wurms 150 infizierte Mails werden versandt! PC Internet PC Internet Gateway Exchange Server PC Quelle: Trend Micro
Infizierter Exchange Server mit OutlookClient Quelle: Trend Micro
Anti-Virus Strategie Über 95% aller Geschäftsanwender setzen A/V Software ein Warum gibt es trotzdem soviele Viren? Die Frage ist nicht „ob“, sondern „wo“ und „wie administriert“ A/V steht und fällt mit der ständigen Aktualisierung der Viren Musterdateien und mit der konsequenten Umsetzung im Firmennetz Hier gilt: „das schwächste Glied....“
Internet Firewall CVP-A/V Produkt PC PC PC Gateway Lösung mit CVP ALERT!! CVP-A/V Produkt Quelle: Trend Micro
Funktionsweise eines E-Mail Schutzes PC Internet ALERT!! PC Gateway mit Virenschutz Mailserver mit Virenschutz PC Quelle: Trend Micro
10 Regeln für den Umgang mit Viren Regelmäßige Aktualisierung des Antiviren-Programms Vorsicht bei E-Mail Attachements Den Kreis der Anwender reduzieren, die zur Nutzung des einzelnen PCs autorisiert sind Rechtzeitig Software-Patches installieren Vor der Nutzung mobiler Speichermedien einen Viren-Check durchführen Vorsicht bei Software auch von glaubwürdigen Herstellern Kombination verschiedener Antivirus Technologien Erstellen Sie eine virenfreie Startdiskette für Ihren Computer und bewahren Sie diese an einem sicheren Ort auf Regelmäßig Sicherheitskopien erstellen Nur keine Panik! Quelle: Kaspersky Labs
Einige Gedanken zum Thema E-Mail und Vertraulichkeit
E-mail als Klartext Datenstrom Jeder Netzwerk-Sniffer kann ein Datenstrom auf Muster durchsuchen
Abhörsystem ECHELON Geheimdienste online? Menwith Hill Leitrim Morwenstow Bad Aibling Yakima Firing Center Misawa Sugar Crove Shoal Bay Geraldton Station Waihopai
Abfangpunkte ISP/Mail Provider - Carnivore
Abfangpunkte Büro/Broadband
Zwei Schritte zur sicheren E-Mail Verschlüsseln sichert die Vertraulichkeit Signieren sichert: Integrität Authentizität Nichtabweisbarkeit
Datenverschlüsselung ist Basistechnologie
Symmetrische Datenverschlüsselung Zahlreiche bekannte Algorithmen: DES 3DES AES CAST IDEA Blowfish usw. Beide Partner benötigen identischen „Shared Secret Key“
Symmetrische Datenverschlüsselung Hohe Verschlüsselungsgeschwindigkeit Sicherheit abhängig von Schlüssellänge Komplexes Schlüsselmanagement Ignoriert Authentication Ignoriert Non-Repudiation
Asymmetrische Datenverschlüsselung Zwei bekannte Algorithmen: RSA Diffie-Hellman Sehr hohe Sicherheit Sehr niedrige Verschlüsselungsgeschwindigkeit (ca. 500x langsamer!) Public/Private Key Verfahren Einfacheres Schlüsselmanagement, da Public Key verteilt werden kann
Asymmetrische Datenverschlüsselung Quelle: Verisign, Inc.
Die Verschlüsselungspraxis Kombination von asymmetrischen und symmetrischen Verfahren Schritt 1: tausche „Secret Key“ aus über langsames Public/Private Key (asymmetrisches) Verfahren aus Schritt 2: schnelle Datenverschlüsselung über Secret Key (symmetrisches) Verfahren
Digitale Signatur „ein mit einem privaten Signaturschlüssel erzeugter Siegel...der den Inhaber des Signaturschlüssels und die Unverfälschtheit der Daten erkennen lässt“ Quelle: §2 (1) Gesetz zur digitalen Signatur
Erzeugen einer Signatur Quelle: Verisign, Inc.
Basis der praktischen Umsetzung digitaler Signaturen Digitale Zertifikate Basis der praktischen Umsetzung digitaler Signaturen Elektronischer Ausweis: Nachweis der Identität (Authentisierung) Festlegen der Rechte (Autorisierung) Verschiedene Aussteller (Certificate Authorities) Normiertes Format durch ITU: Public Key Infrastructure X.509
Digitale Zertifikate Quelle: Verisign, Inc.
Zwei technische Ansätze zur Umsetzung bei E-Mail: S/Mime Hierarchischer top down Ansatz Basiseinstellung: technische Eleganz mit höchster Sicherheit Zertifikatsausteller (Certificate Authorities) stehen im Vordergrund): Verisign D-Trust Telesec usw. Jährliche Zertifikatskosten Integriert in kommerzielle E-Mail Reader Hat sich nur begrenzt durchgesetzt
Zwei technische Ansätze: PGP (Pretty Good Privacy) Bottom up Ansatz Basiseinstellung: „quick and dirty“ In der Regel erstellt man seine „Zertifikate“ selber Kommerzielle und Freeware Implementationen Unterschiedlichster Integrationsgrad Grosse Verbreitung und Akzeptanz Allmähliches Zusammenwachsen der beiden Ansätze Erst die Kombination sicherer Zertifizierungsstellen mit hoher Anwenderakzeptanz werden eine rechtliche Wirksamkeit von E-Mail ermöglichen
Einige Gedanken zum Thema E-Mail und SPAM (unerwünschte Werbemails)
Schutz vor SPAM SPAM – mehr als nur ein Ärgernis, eine ernsthafte Gefahr für die Produktivität Schätzungsweise 2,3 Milliarden Spams wurden in 2002 verschickt SPAM kann nur zentral abgewehrt werden, benutzerzentrische Ansätze sinnlos Wirksame Verteidigung: Source Address Filter Realtime Blackhole Listen - RBL Content Filter Distributed Checksum Clearinghouse - DCC Statistical Token Analyse (heuristische Analyse) Whitelisten pflegen
Open SMTP Relays Leiten Mails beliebiger Absender an beliebige Empfänger weiter In der Regel falschkonfigurierte Mailserver Spam Szene handelt mit Listen von Open Relays Hohe ISP Kosten für Opfer Opfer geraten schnell auf RBLs mit katastrophalen Folgen Schwerpunkt z.Zt. China und Korea Ähnliche Ansätze: Open HTTP CONNECT Proxies Open SOCKS Proxies Insecure Mail CGI Scripts
Einfachste AbwehrSource Server Filter Nach IP Adressen: z.B. 216.113 Nach Domain-Namen: z.B. freestuff.org Hoher Pflegeaufwand
RBL - Realtime Blackhole Listen Schneller Zugriff auf zentrale Listen mit SPAM Quellen. Grosse Auswahl, z.B.: http://www.mail-abuse.org/ http://www.ordb.org/ http://relays.osirusoft.com/ http://www.spamhaus.org/ Kernproblem: „False Positives“
Spezifiziert Textfilter für: Content Filter Spezifiziert Textfilter für: From To Subject Body Inhalte Verwendet reguläre Ausdrücke für maximale Flexibilität. Geeignet um Ausnahmen (White List) zu erzeugen.
DCC- Distributed Checksum Clearinghouse Wie RBL, eine co-operative Datenbank individueller Checksummen, welche Bulk Mails identifiziert. Basiert auf einer Zählung, wie oft eine Email Nachricht registriert wurde. Sehr schnell. Konfigurierbare Grenzwerte und Verfahrensweisen. vgl. http://www.rhyolite.com/anti-spam/dcc/
Statistical Token Analyse Verwendet Häufigkeitsanalyse von Token (Wörter und Phrasen) aus bekannten SPAM-Mails um „Verhaltensweisen“ zu erkennen. Erzeugt eine Maßeinheit für die Wahrscheinlichkeit, dass ein Token SPAM ausmacht. Diese Maßeinheiten werden kumuliert um die „SPAM-ness“ einer Nachricht zu messen. Konfigurierbare Grenzwerte und Verfahrensweisen.
....aber die Realität Spam wird sich nie gänzlich abstellen lassen, aber in hohem Maße eindämmen Die Versender glänzen durch ein hohes Maß an Erfindungsreichtum Bitte allen Usern klarmachen in keinerlei Form auf Spam zu reagieren („Ernten“ von Adressen)
DANKE für Ihr Interesse!