Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

Ist der Einsatz von in Geschäftsprozessen fahrlässig?

Veröffentlicht von:Adalheidis Laner Geändert vor über 10 Jahren

Ähnliche Präsentationen

Präsentation zum Thema: "Ist der Einsatz von in Geschäftsprozessen fahrlässig?"—  Präsentation transkript:

1 Ist der Einsatz von E-Mail in Geschäftsprozessen fahrlässig?
Walter Jekat ICON Systems GmbH

2 E-Mail Sicherheit aus Anwendersicht
Mangelnde Vertraulichkeit. wird als Klartext verschickt und kann durch durch jeden mit Netzwerk- bzw. Systemzugriff ausgewertet werden.. ist ein Geschäftsrisiko Mangelnde Integrität. Keine Sicherungen gegen Änderungen des Inhalts beim Transport oder bei der Speicherung. Mangelnde Authentizität. Der Absender einer kann jederzeit gefälscht werden.. Mangelnde Nichtabweisbarkeit. Es gibt keine Beweisführung, dass ein bestimmter Absender eine bestimmte Nachricht tatsächlich verschickt hat. führen zu Rechtsunsicherheit Viren. Attachments sind inzwischen das beliebteste Medium zum Verteilen von Viren. Spam. Ein Account ist für jede Nachricht von jedem Absender offen. sind ein Risiko für die Infrastruktur

3 36 Herausforderungen für Email Administratoren
Unsichere interne s Unsichere Passwörter Unsichere Default Konfiguration Keine adäquate Kontrolle Server offen für Hacker-Scans Ungeschützte Mail-Server Verwundbares OS Uneinheitliche Server Sicherheit Unvollständige Administration Access Content Delivery OS Physical Alte Server Software Unsicherer Web Access SPAM Malformed Messages Rückstand bei Server Patches Zu Hotmail & Yahoo weitergeleitet Komplexe Back-end Server Nicht gestattete Attachments Angriffe über das Netzwerk Non-business Content Verteilen von Viren Mail flooding und Bomben Nicht authorisierte Verwendung durch Angestellte Admins sind keine Sicherheitsexperten Schwache Web Access Authentifizierung “Selbstgestrickte” Systeme Komplexes VPN Versand unauthorisierter Daten Unverschlüsselte interne Mails Kein Remote Management Abgelaufene AV Software Beleidigung der Angestellten Internes Adressen Leck Mail Server Relay Setup Trojanische Pferde als Attachments Unregelmäßige AV Pattern Updates Komplexe Mail Verschlüsselung

4 Drei Management Themen beim E-Mail Einsatz
Viren Vertraulichkeit Spam Alle Themen verbergen eine höchstkomplexe und zum Teil widersprüchliche Rechtslage Der Besuch eines Seminars ist aufgrund der Haftlungslage für Geschäftsführer/Vorstände dringendst zu empfehlen

5 Einige Gedanken zum Thema E-Mail und Viren

6 Virenquellen Quelle: ICSA

7 Melissa – Das klassische Beispiel eines E-mail Wurms
150 infizierte Mails werden versandt! PC Internet PC Internet Gateway Exchange Server PC Quelle: Trend Micro

8 Infizierter Exchange Server mit OutlookClient
Quelle: Trend Micro

9 Anti-Virus Strategie Über 95% aller Geschäftsanwender setzen A/V Software ein Warum gibt es trotzdem soviele Viren? Die Frage ist nicht „ob“, sondern „wo“ und „wie administriert“ A/V steht und fällt mit der ständigen Aktualisierung der Viren Musterdateien und mit der konsequenten Umsetzung im Firmennetz Hier gilt: „das schwächste Glied....“

10 Internet Firewall CVP-A/V Produkt PC PC PC Gateway Lösung mit CVP
ALERT!! CVP-A/V Produkt Quelle: Trend Micro

11 Funktionsweise eines E-Mail Schutzes
PC Internet ALERT!! PC Gateway mit Virenschutz Mailserver mit Virenschutz PC Quelle: Trend Micro

12 10 Regeln für den Umgang mit Viren
Regelmäßige Aktualisierung des Antiviren-Programms Vorsicht bei Attachements Den Kreis der Anwender reduzieren, die zur Nutzung des einzelnen PCs autorisiert sind Rechtzeitig Software-Patches installieren Vor der Nutzung mobiler Speichermedien einen Viren-Check durchführen Vorsicht bei Software auch von glaubwürdigen Herstellern Kombination verschiedener Antivirus Technologien Erstellen Sie eine virenfreie Startdiskette für Ihren Computer und bewahren Sie diese an einem sicheren Ort auf Regelmäßig Sicherheitskopien erstellen Nur keine Panik! Quelle: Kaspersky Labs

13 Einige Gedanken zum Thema E-Mail und Vertraulichkeit

14 E-mail als Klartext Datenstrom
Jeder Netzwerk-Sniffer kann ein Datenstrom auf Muster durchsuchen

15 Abhörsystem ECHELON Geheimdienste online?
Menwith Hill Leitrim Morwenstow Bad Aibling Yakima Firing Center Misawa Sugar Crove Shoal Bay Geraldton Station Waihopai

16 Abfangpunkte ISP/Mail Provider - Carnivore

17 Abfangpunkte Büro/Broadband

18 Zwei Schritte zur sicheren E-Mail
Verschlüsseln sichert die Vertraulichkeit Signieren sichert: Integrität Authentizität Nichtabweisbarkeit

19 Datenverschlüsselung ist Basistechnologie

20 Symmetrische Datenverschlüsselung
Zahlreiche bekannte Algorithmen: DES 3DES AES CAST IDEA Blowfish usw. Beide Partner benötigen identischen „Shared Secret Key“

21 Symmetrische Datenverschlüsselung
Hohe Verschlüsselungsgeschwindigkeit Sicherheit abhängig von Schlüssellänge Komplexes Schlüsselmanagement Ignoriert Authentication Ignoriert Non-Repudiation

22 Asymmetrische Datenverschlüsselung
Zwei bekannte Algorithmen: RSA Diffie-Hellman Sehr hohe Sicherheit Sehr niedrige Verschlüsselungsgeschwindigkeit (ca. 500x langsamer!) Public/Private Key Verfahren Einfacheres Schlüsselmanagement, da Public Key verteilt werden kann

23 Asymmetrische Datenverschlüsselung
Quelle: Verisign, Inc.

24 Die Verschlüsselungspraxis
Kombination von asymmetrischen und symmetrischen Verfahren Schritt 1: tausche „Secret Key“ aus über langsames Public/Private Key (asymmetrisches) Verfahren aus Schritt 2: schnelle Datenverschlüsselung über Secret Key (symmetrisches) Verfahren

25 Digitale Signatur „ein mit einem privaten Signaturschlüssel erzeugter Siegel...der den Inhaber des Signaturschlüssels und die Unverfälschtheit der Daten erkennen lässt“ Quelle: §2 (1) Gesetz zur digitalen Signatur

26 Erzeugen einer Signatur
Quelle: Verisign, Inc.

27 Basis der praktischen Umsetzung digitaler Signaturen
Digitale Zertifikate Basis der praktischen Umsetzung digitaler Signaturen Elektronischer Ausweis: Nachweis der Identität (Authentisierung) Festlegen der Rechte (Autorisierung) Verschiedene Aussteller (Certificate Authorities) Normiertes Format durch ITU: Public Key Infrastructure X.509

28 Digitale Zertifikate Quelle: Verisign, Inc.

29 Zwei technische Ansätze zur Umsetzung bei E-Mail:
S/Mime Hierarchischer top down Ansatz Basiseinstellung: technische Eleganz mit höchster Sicherheit Zertifikatsausteller (Certificate Authorities) stehen im Vordergrund): Verisign D-Trust Telesec usw. Jährliche Zertifikatskosten Integriert in kommerzielle Reader Hat sich nur begrenzt durchgesetzt

30 Zwei technische Ansätze:
PGP (Pretty Good Privacy) Bottom up Ansatz Basiseinstellung: „quick and dirty“ In der Regel erstellt man seine „Zertifikate“ selber Kommerzielle und Freeware Implementationen Unterschiedlichster Integrationsgrad Grosse Verbreitung und Akzeptanz Allmähliches Zusammenwachsen der beiden Ansätze Erst die Kombination sicherer Zertifizierungsstellen mit hoher Anwenderakzeptanz werden eine rechtliche Wirksamkeit von ermöglichen

31 Einige Gedanken zum Thema E-Mail und SPAM (unerwünschte Werbemails)

32 Schutz vor SPAM SPAM – mehr als nur ein Ärgernis, eine ernsthafte Gefahr für die Produktivität Schätzungsweise 2,3 Milliarden Spams wurden in 2002 verschickt SPAM kann nur zentral abgewehrt werden, benutzerzentrische Ansätze sinnlos Wirksame Verteidigung: Source Address Filter Realtime Blackhole Listen - RBL Content Filter Distributed Checksum Clearinghouse - DCC Statistical Token Analyse (heuristische Analyse) Whitelisten pflegen

33

34

35 Open SMTP Relays Leiten Mails beliebiger Absender an beliebige Empfänger weiter In der Regel falschkonfigurierte Mailserver Spam Szene handelt mit Listen von Open Relays Hohe ISP Kosten für Opfer Opfer geraten schnell auf RBLs mit katastrophalen Folgen Schwerpunkt z.Zt. China und Korea Ähnliche Ansätze: Open HTTP CONNECT Proxies Open SOCKS Proxies Insecure Mail CGI Scripts

36 Einfachste AbwehrSource Server Filter
Nach IP Adressen: z.B Nach Domain-Namen: z.B. freestuff.org Hoher Pflegeaufwand

37 RBL - Realtime Blackhole Listen
Schneller Zugriff auf zentrale Listen mit SPAM Quellen. Grosse Auswahl, z.B.: Kernproblem: „False Positives“

38 Spezifiziert Textfilter für:
Content Filter Spezifiziert Textfilter für: From To Subject Body Inhalte Verwendet reguläre Ausdrücke für maximale Flexibilität. Geeignet um Ausnahmen (White List) zu erzeugen.

39 DCC- Distributed Checksum Clearinghouse
Wie RBL, eine co-operative Datenbank individueller Checksummen, welche Bulk Mails identifiziert. Basiert auf einer Zählung, wie oft eine Nachricht registriert wurde. Sehr schnell. Konfigurierbare Grenzwerte und Verfahrensweisen. vgl.

40 Statistical Token Analyse
Verwendet Häufigkeitsanalyse von Token (Wörter und Phrasen) aus bekannten SPAM-Mails um „Verhaltensweisen“ zu erkennen. Erzeugt eine Maßeinheit für die Wahrscheinlichkeit, dass ein Token SPAM ausmacht. Diese Maßeinheiten werden kumuliert um die „SPAM-ness“ einer Nachricht zu messen. Konfigurierbare Grenzwerte und Verfahrensweisen.

41 ....aber die Realität Spam wird sich nie gänzlich abstellen lassen, aber in hohem Maße eindämmen Die Versender glänzen durch ein hohes Maß an Erfindungsreichtum Bitte allen Usern klarmachen in keinerlei Form auf Spam zu reagieren („Ernten“ von Adressen)

42 DANKE für Ihr Interesse!

Herunterladen ppt "Ist der Einsatz von in Geschäftsprozessen fahrlässig?"

Ähnliche Präsentationen

Security Lösungen, die Ihnen echten Schutz bieten!

Security Lösungen, die Ihnen echten Schutz bieten!
Internetsicherheit Wie kann ich mich sicher im Internet bewegen? Firewall Anti- Viren Schutz Spyware Schutz Downloads.

Internetsicherheit Wie kann ich mich sicher im Internet bewegen? Firewall Anti- Viren Schutz Spyware Schutz Downloads.
Inxmail GmbH Vertrieb und Pflege des Marketing Tools.

Inxmail GmbH Vertrieb und Pflege des Marketing Tools.
E-Mail.

.
Mündliche Fachprüfung

Mündliche Fachprüfung
Voice over IP (VoIP).

Voice over IP (VoIP).
Sicherheit in Netzwerken

Sicherheit in Netzwerken
Surfen im Internet.

Surfen im Internet.
Präsentation Der Gruppe: Boll, Barbosa, Blädel Klasse: WG 05 a.

Präsentation Der Gruppe: Boll, Barbosa, Blädel Klasse: WG 05 a.
Internet-Sicherheit (2)

Internet-Sicherheit (2)
Asymmetrische Kryptographie

Asymmetrische Kryptographie
Systemverwaltung wie es Ihnen gefällt.

Systemverwaltung wie es Ihnen gefällt.
ASP - Software zum Mieten

ASP - Software zum Mieten
7.3. Viren, Würmer, Trojaner Mail von der Nachbarin

7.3. Viren, Würmer, Trojaner Mail von der Nachbarin
Schwachstellenanalyse in Netzen

Schwachstellenanalyse in Netzen
Gefährdung durch Viren

Gefährdung durch Viren
Konfiguration eines VPN Netzwerkes

Konfiguration eines VPN Netzwerkes
Z1 Backbone of Trust Server- und XML-basierte Lösung zentrales Zertifikatsmangement der Königsweg zur anwenderfreundlichen eBusiness-Infrastruktur.

Z1 Backbone of Trust Server- und XML-basierte Lösung zentrales Zertifikatsmangement der Königsweg zur anwenderfreundlichen eBusiness-Infrastruktur.
Internet-Sicherheit: Probleme und Lösungen

Internet-Sicherheit: Probleme und Lösungen
IKS – Informations und Kommunikations-systeme

IKS – Informations und Kommunikations-systeme

Ähnliche Präsentationen

Google-Anzeigen