Post on 05-Apr-2015
Ist der Einsatz von E-Mail in
Geschäftsprozessen fahrlässig?
Walter Jekat
ICON Systems GmbH
E-Mail Sicherheit aus Anwendersicht
• Mangelnde Vertraulichkeit. E-mail wird als Klartext verschickt und kann durch durch jeden mit Netzwerk- bzw. Systemzugriff ausgewertet werden..
– ist ein Geschäftsrisiko
• Mangelnde Integrität. Keine Sicherungen gegen Änderungen des Inhalts beim Transport oder bei der Speicherung.
• Mangelnde Authentizität. Der Absender einer E-mail kann jederzeit gefälscht werden..
• Mangelnde Nichtabweisbarkeit. Es gibt keine Beweisführung, dass ein bestimmter Absender eine bestimmte Nachricht tatsächlich verschickt hat.
– führen zu Rechtsunsicherheit
• Viren. E-mail Attachments sind inzwischen das beliebteste Medium zum Verteilen von Viren.
• Spam. Ein E-mail Account ist für jede Nachricht von jedem Absender offen.– sind ein Risiko für die Infrastruktur
36 Herausforderungen für Email Administratoren
Access
Content
Delivery
OS
Physical
Verwundbares OS
Kein Remote Management
“Selbstgestrickte” Systeme
Admins sind keine Sicherheitsexperten
Mail flooding und Bomben
Angriffe über das Netzwerk
Komplexe Back-end Server
Rückstand bei Server Patches
Alte Server Software
Uneinheitliche Server Sicherheit
Server offen für Hacker-Scans
Unsichere Passwörter
Schwache Web Access Authentifizierung
Komplexes VPN
Beleidigung der Angestellten
Versand unauthorisierter Daten
Trojanische Pferde als Attachments
Mail Server Relay SetupInternes Adressen Leck
Unverschlüsselte interne Mails
Komplexe Mail Verschlüsselung
Unsichere Default Konfiguration
Unregelmäßige AV Pattern Updates
Ungeschützte Mail-Server
Unvollständige Administration
Unsicherer Web Access
Unsichere interne Emails
Malformed Messages
Zu Hotmail & Yahoo weitergeleitet
Nicht gestattete Attachments
Non-business Content Verteilen von Viren
Abgelaufene AV Software
Nicht authorisierte Verwendung durch Angestellte
SPAM
Keine adäquate Kontrolle
Drei Management Themen beim E-Mail Einsatz
• Viren• Vertraulichkeit • Spam
• Alle Themen verbergen eine höchstkomplexe und zum Teil widersprüchliche Rechtslage
• Der Besuch eines Seminars ist aufgrund der Haftlungslage für Geschäftsführer/Vorstände dringendst zu empfehlen
Einige Gedanken zum Thema E-Mail und Viren
Virenquellen
Quelle: ICSA
Melissa – Das klassische Beispiel eines E-mail WurmsMelissa – Das klassische Beispiel eines E-mail Wurms
Internet
PC
PC
PC
Internet Gateway
ExchangeServer
150 infizierte Mails werden versandt!
Quelle: Trend Micro
Infizierter Exchange Server mit OutlookClientInfizierter Exchange Server mit OutlookClient
Quelle: Trend Micro
Anti-Virus Strategie
• Über 95% aller Geschäftsanwender setzen A/V Software ein
• Warum gibt es trotzdem soviele Viren?• Die Frage ist nicht „ob“, sondern „wo“ und „wie
administriert“• A/V steht und fällt mit der ständigen Aktualisierung
der Viren Musterdateien und mit der konsequenten Umsetzung im Firmennetz
• Hier gilt: „das schwächste Glied....“
Gateway Lösung mit CVPGateway Lösung mit CVP
Internet
Firewall
PC
PC
PCALERT!!
ALERT!!ALERT!
!
CVP-A/V Produkt Quelle: Trend Micro
Funktionsweise eines E-Mail SchutzesFunktionsweise eines E-Mail Schutzes
Internet
PC
PC
PC
Gateway mit
Virenschutz
Mailservermit
Virenschutz
ALERT!!ALERT!!ALE
RT!!
Quelle: Trend Micro
10 Regeln für den Umgang mit Viren
• Regelmäßige Aktualisierung des Antiviren-Programms
• Vorsicht bei E-Mail Attachements
• Den Kreis der Anwender reduzieren, die zur Nutzung des einzelnen PCs autorisiert sind
• Rechtzeitig Software-Patches installieren
• Vor der Nutzung mobiler Speichermedien einen Viren-Check durchführen
• Vorsicht bei Software auch von glaubwürdigen Herstellern
• Kombination verschiedener Antivirus Technologien
• Erstellen Sie eine virenfreie Startdiskette für Ihren Computer und bewahren Sie diese an einem sicheren Ort auf
• Regelmäßig Sicherheitskopien erstellen
• Nur keine Panik!
Quelle: Kaspersky Labs
Einige Gedanken zum Thema E-Mail und Vertraulichkeit
E-mail als Klartext Datenstrom
Jeder Netzwerk-Sniffer kann ein Datenstrom auf Muster durchsuchen
Abhörsystem ECHELON Geheimdienste online?
Misawa
Leitrim
Sugar CroveYakima Firing
Center
Waihopai
Shoal Bay
Geraldton Station
Bad Aibling
Menwith Hill
Morwenstow
Abfangpunkte ISP/Mail Provider - Carnivore
Abfangpunkte Büro/Broadband
Zwei Schritte zur sicheren E-Mail
• Verschlüsseln sichert die Vertraulichkeit• Signieren sichert:
– Integrität– Authentizität– Nichtabweisbarkeit
Datenverschlüsselung ist Basistechnologie
Symmetrische Datenverschlüsselung
• Zahlreiche bekannte Algorithmen:– DES
– 3DES
– AES
– CAST
– IDEA
– Blowfish usw.
• Beide Partner benötigen identischen „Shared Secret Key“
Symmetrische Datenverschlüsselung
• Hohe Verschlüsselungsgeschwindigkeit• Sicherheit abhängig von Schlüssellänge• Komplexes Schlüsselmanagement• Ignoriert Authentication• Ignoriert Non-Repudiation
Asymmetrische Datenverschlüsselung
• Zwei bekannte Algorithmen:– RSA– Diffie-Hellman
• Sehr hohe Sicherheit• Sehr niedrige Verschlüsselungsgeschwindigkeit (ca. 500x
langsamer!)• Public/Private Key Verfahren• Einfacheres Schlüsselmanagement, da Public Key verteilt
werden kann
Asymmetrische Datenverschlüsselung
Quelle: Verisign, Inc.
Die Verschlüsselungspraxis
• Kombination von asymmetrischen und symmetrischen Verfahren
• Schritt 1: tausche „Secret Key“ aus über langsames Public/Private Key (asymmetrisches) Verfahren aus
• Schritt 2: schnelle Datenverschlüsselung über Secret Key (symmetrisches) Verfahren
Digitale Signatur
• „ein mit einem privaten Signaturschlüssel erzeugter Siegel...der den Inhaber des Signaturschlüssels und die Unverfälschtheit der Daten erkennen lässt“
Quelle: §2 (1) Gesetz zur digitalen Signatur
Erzeugen einer Signatur
Quelle: Verisign, Inc.
Digitale Zertifikate
• Basis der praktischen Umsetzung digitaler Signaturen• Elektronischer Ausweis:
– Nachweis der Identität (Authentisierung)
– Festlegen der Rechte (Autorisierung)
– Verschiedene Aussteller (Certificate Authorities)
• Normiertes Format durch ITU:– Public Key Infrastructure X.509
Digitale Zertifikate
Quelle: Verisign, Inc.
Zwei technische Ansätze zur Umsetzung bei E-Mail:
• S/Mime– Hierarchischer top down Ansatz– Basiseinstellung: technische Eleganz mit höchster
Sicherheit– Zertifikatsausteller (Certificate Authorities) stehen im
Vordergrund):• Verisign• D-Trust• Telesec• usw.
– Jährliche Zertifikatskosten– Integriert in kommerzielle E-Mail Reader– Hat sich nur begrenzt durchgesetzt
Zwei technische Ansätze:
• PGP (Pretty Good Privacy)– Bottom up Ansatz
– Basiseinstellung: „quick and dirty“
– In der Regel erstellt man seine „Zertifikate“ selber
– Kommerzielle und Freeware Implementationen
– Unterschiedlichster Integrationsgrad
– Grosse Verbreitung und Akzeptanz
• Allmähliches Zusammenwachsen der beiden Ansätze– Erst die Kombination sicherer Zertifizierungsstellen mit
hoher Anwenderakzeptanz werden eine rechtliche Wirksamkeit von E-Mail ermöglichen
Einige Gedanken zum Thema E-Mail und SPAM (unerwünschte Werbemails)
Schutz vor SPAM
• SPAM – mehr als nur ein Ärgernis, eine ernsthafte Gefahr für die Produktivität
• Schätzungsweise 2,3 Milliarden Spams wurden in 2002 verschickt
• SPAM kann nur zentral abgewehrt werden, benutzerzentrische Ansätze sinnlos
• Wirksame Verteidigung:– Source Address Filter– Realtime Blackhole Listen - RBL– Content Filter– Distributed Checksum Clearinghouse - DCC– Statistical Token Analyse (heuristische Analyse)– Whitelisten pflegen
Open SMTP Relays
• Leiten Mails beliebiger Absender an beliebige Empfänger weiter• In der Regel falschkonfigurierte Mailserver• Spam Szene handelt mit Listen von Open Relays• Hohe ISP Kosten für Opfer• Opfer geraten schnell auf RBLs mit katastrophalen Folgen• Schwerpunkt z.Zt. China und Korea• Ähnliche Ansätze:
– Open HTTP CONNECT Proxies– Open SOCKS Proxies – Insecure Mail CGI Scripts
Einfachste AbwehrSource Server Filter
• Nach IP Adressen:– z.B. 216.113
• Nach Domain-Namen:– z.B. freestuff.org
• Hoher Pflegeaufwand
RBL - Realtime Blackhole Listen
• Schneller Zugriff auf zentrale Listen mit SPAM Quellen.
• Grosse Auswahl, z.B.:– http://www.mail-abuse.org/– http://www.ordb.org/– http://relays.osirusoft.com/– http://www.spamhaus.org/
• Kernproblem: „False Positives“
Content Filter
• Spezifiziert Textfilter für:– From– To– Subject– Body Inhalte
• Verwendet reguläre Ausdrücke für maximale Flexibilität.
• Geeignet um Ausnahmen (White List) zu erzeugen.
DCC- Distributed Checksum Clearinghouse
• Wie RBL, eine co-operative Datenbank individueller Checksummen, welche Bulk Mails identifiziert.
• Basiert auf einer Zählung, wie oft eine Email Nachricht registriert wurde.
• Sehr schnell.• Konfigurierbare Grenzwerte und Verfahrensweisen.
– vgl. http://www.rhyolite.com/anti-spam/dcc/
Statistical Token Analyse
• Verwendet Häufigkeitsanalyse von Token (Wörter und Phrasen) aus bekannten SPAM-Mails um „Verhaltensweisen“ zu erkennen.
• Erzeugt eine Maßeinheit für die Wahrscheinlichkeit, dass ein Token SPAM ausmacht.
• Diese Maßeinheiten werden kumuliert um die „SPAM-ness“ einer Nachricht zu messen.
• Konfigurierbare Grenzwerte und Verfahrensweisen.
....aber die Realität
• Spam wird sich nie gänzlich abstellen lassen, aber in hohem Maße eindämmen
• Die Versender glänzen durch ein hohes Maß an Erfindungsreichtum
• Bitte allen Usern klarmachen in keinerlei Form auf Spam zu reagieren („Ernten“ von Adressen)
DANKE für Ihr Interesse!