Sewecom-Mail Sewecom-Standard Mailkonzept für sichere und datenschutzkonforme Kommunikation im Internet Präsentation zur Veranstaltung „Datenschutz in der Hochschulverwaltung“ der Interuniversitären Weiterbildung Rheinland-Pfalz, Hessen, Saarland 3. Februar 2004 Philipps - Universität Marburg

Client-Server-Prinzip Bildungsportal für Internetsicherheit © www.sewecom.de

Bildungsportal für Internetsicherheit © www.sewecom.de Problematik „E-Mail“ Mitlesen der Daten durch Unbefugte Verändern der Daten durch Unbefugte Verlust von eMails Virenverbreitung Trojaner / Schadprogramme Verletzung von Schweigepflicht / Amtsverschwiegenheit § 202a StGB (Ausspähen von Daten) greift nicht, weil die Daten nicht „besonders gesichert“ sind Veröffentlichung der E-Mail-Inhalte Massen-Mails: Spam Bildungsportal für Internetsicherheit © www.sewecom.de

Standard eMail (smtp/POP) Speicherung mindestens bei Sender und Empfänger Adressbuch: Gruppenempfänger Weiterleitungsfunktion Absender ist nicht authentifizierbar Es sind unzählige Provider beteiligt Provider / Reseller-Provider sind nicht kontrollierbar Mögliche Abhilfe ist kompliziert (Verschlüsselung / digitale Signierung) Bildungsportal für Internetsicherheit © www.sewecom.de

Bildungsportal für Internetsicherheit © www.sewecom.de Neuansatz beim Mailen Unterscheidung zwischen: Funktion des Mailens (als zeitversetzter, schriftlicher und elektronisch übermittelter Kommunikation) und Internetdienst „E-Mail“ (smtp/POP) Bildungsportal für Internetsicherheit © www.sewecom.de

Bildungsportal für Internetsicherheit © www.sewecom.de Sewecom-Mail-Ansatz Verzicht auf Internetdienst-E-Mail (smtp/POP) Kommunikation geschieht ausschließlich über Browser Daten bleiben standardmäßig auf einem Rechner Verschlüsselte Übermittlung aller Daten (Vertraulichkeit) Mail kann nicht verloren gehen (Verbindlichkeit) Verschlüsselte Speicherung der Inhalte Daten können per Firewall vor Zugriff geschützt werden E-Mail-Adresse ist nicht mehr erforderlich Kommunikation ist von überall möglich Bildungsportal für Internetsicherheit © www.sewecom.de

Zugangssoftware Sewecom-Mail Mailen wird über dynamische Webseiten realisiert Datenbankbasiertes und webbasiertes Mailen Mögliche Lösung: HTML / PHP / MySQL-Datenbank Geregelter Zugriff auch per VPN bzw. Internet Koordination (über lokales Netz oder VPN) Filiale (über VPN) Kunde / Klient / Externer Nutzer (über Internet) Bildungsportal für Internetsicherheit © www.sewecom.de

Einbindung von Sewecom-Mail (Beispiel) Server VPN Lokales Netz Sewecom-Mail Client Client Client Client Client SSL SSL SSL SSL VPN-Lösung Server Server Client Firewall Firewall SSL SSL SSL Koordination / Filialen / interne Nutzer Webserver SSL Internet Server Server SSL Client Server SSL Client Client Client Externe Kommunikationspartner: (z.B. Kunden / Klienten / Mandanten) Bildungsportal für Internetsicherheit © www.sewecom.de

Bildungsportal für Internetsicherheit © www.sewecom.de Provider-Sicherheit Die Übermittlung der Daten erfolgt über unterschiedliche öffentliche Netze, in denen der Datenverkehr vor unbefugtem Zugriff geschützt ist. Das Virtual Privat Network (VPN) bietet dabei einen geschützten Kommunikationsraum außerhalb des lokalen Netzes. Authentifizierung Der Zugang zum VPN wird für bestimmte Nutzer freigegeben und geschützt. Firewall Die Firewallsysteme des Providers regeln die Zugriffe auf öffentliche (Internet) und interne Server (Intranet) und schützen letztere vor unbefugtem Zugriff. Viruswall Die zentrale Viruswall des Providers scannt den gesamten Internet- und Email-Verkehr, erkennt und beseitigt automatisch Viren. Die Viruswall wird laufend aktualisiert. Internet-Zugang Der Provider bietet seinen Nutzern einen vollwertigen und geschützten Internetzugang an. Bildungsportal für Internetsicherheit © www.sewecom.de

Datensicherheit und Datenschutz Vertraulichkeit (100% der Kommunikation) Verbindlichkeit (unmittelbare Bestätigung) Authentizität der Organisation Authentifizierung bei freigeschalteten Nutzern Anonymität (ggf. mit Anonymisierungsdienst) Integrität Datensparsamkeit (Löschvorgänge standardisiert) Technische Sicherheit (Hard-, Software, Verfügbarkeit) Sicherheitskompetenzen der Mitarbeiter/innen Einbindung in Organisation Bildungsportal für Internetsicherheit © www.sewecom.de

Modellprojekt TelefonSeelsorge Die TelefonSeelsorge Deutschland ist die größte deutschsprachige Internetseelsorge mit bundesweit ca. 30 beteiligten Stellen und über 240 Berater/innen Sie bietet seit 1995 Beratung im Internet an 1995 bis 2002 haben weniger als 1% der Nutzer die optionale PGP-Verschlüsselung genutzt - bei fallender Tendenz Seit Realisierung von Sewecom-Mail am 9.9.2002 sind alle Kontakte verschlüsselt Die Sewecom-Maillösung wurde von den Ratsuchenden gut angenommen, da sie lediglich Benutzername und Passwort eingeben müssen www.telefonseelsorge.de Bildungsportal für Internetsicherheit © www.sewecom.de

Sewecom-Mail - optional Statistik zu Mailaufkommen automatisiert Überblick zum Status der Mailkontakte Filiale kann Kurzinfos an alle zur Filiale gehörigen Mitarbeiter eingeben Koordination kann Infos an alle Mitarbeiter eingeben Koordination kann Infos an alle Nutzer eingeben Zentrale Eingabe von Daten in Datenbank Sichere Foren Sichere Chat-Kommunikation Bildungsportal für Internetsicherheit © www.sewecom.de

Open Source Projekt Sewecom Sewecom-Mail und Sewecom-Standard sind bereits als Open-Source-Knowledge veröffentlicht 2004 soll Sewecom-Mail auch als Open-Source-Software-Lösung herausgebracht werden Dazu werden derzeit 1 bis 2 Institutionen gesucht, möglichst mit Datenschutz- bzw. Sicherheitskompetenz Dabei sollen Standard-Lösungen für unterschiedliche Anwendungsbereiche entwickelt werden: Behörden, Unternehmen, Beratungseinrichtungen, Hochschulen, Freiberufler wie Ärzte, Anwälte, Notare, Psychologen, Wirtschaftsprüfer, Bildungsportal für Internetsicherheit © www.sewecom.de

Anwendungsbeispiele für Hochschulen Vertrauliche Kommunikation ohne Zugangshürden mit Gesprächspartnern weltweit Sichere Übermittlung von Prüfungsergebnissen, die automatisch in gesichertes Postfach des / der jeweiligen Studentin / Studenten durch zentrale Eingabe (über Matrikelnummer) eingepflegt werden Vertrauliche Kommunikation innerhalb der Hochschule (z.B. Anfragen zur Gehaltsabrechnung) Zentrale Informationen an vordefinierte Benutzergruppen Sichere Foren (intern oder auch mit Externen) Sichere Chats (intern oder auch mit Externen) Bildungsportal für Internetsicherheit © www.sewecom.de

Bildungsportal Sewecom Startseite: www.sewecom.de Bildungs-Initiative Internetsicherheit: www.sewecom.de/bildung Sewecom-Standard für sichere Kommunikation im Internet: Konzept: www.sewecom.de/sewecom-standard Lösung: www.sewecom.de/sewecom-mail Sicherheits-Tipps für alle Internetnutzer: www.sewecom.de/pc Bildungsportal für Internetsicherheit © www.sewecom.de