Sichere E-Mail Kommunikation mit SEPPmail

Günter Esch

Page 2

Secure E-Mail im Trend

Compliance Einhaltung der gesetzlichen Regelungen Haftbarkeit des Managements bei Nichtbeachtung Gesetzlich unterstellte Unternehmen nach SOX, HIPAA,BASEL-III, PCI

Kosten-einsparungen

Digitalisierung bestehender Geschäftsprozesse (ERP Integration, Scansysteme, Lohnabrechnungen etc.)

Modernisierung bestehender, „alter“ Technologie

Umfeld Kunden erwarten in Projekten verschlüsselte Kommunikation Lieferanten bzw. Kunden führen Secure E-Mail Lösungen ein Was der BND kann, können Wirtschaftskriminelle auch !

Image Signatur in E-Mail ist Zeichen für Qualität im E-Mail Verkehr Schutz vor Datenspionage hat hohe Priorität im Geschäftsverkehr

Die Bedürfnisse unserer Kunden, oder warum sichere E-Mails ?

Page 3

Secure E-Mail im TrendWas erwarten unsere Kunden von einer E-Mail Verschlüsselungs-Lösung ?

Hohe Benutzerfreundlichkeit Einfache Administration - unser Anspruch ist (fast) unsichtbar zu werden. Einfachste Integration / kurze Einführungszeit Kompatibel mit anderen Technologien und Anbietern Höchste Sicherheit / Revisionskonform Investitionssicherheit

E-Mail Signatur: Zweck und NutzenE-Mail Verschlüsselung: KönigsdisziplinLarge File Transfer: Große Daten ?

Was erwartet Sie ?

Secure E-Mail im Trend

Page 5

Was ist ein Zertifikat ? Ein Zertifikat ist ein beglaubigter öffentlicher Schlüssel

Schlüssel und Verschlüsselungsarten

Symmetrischer Schlüssel: Der Schlüssel beim Sender und Empfänger ist der Gleiche. Asymmetrischer Schlüssel: Die Schlüssel sind bei Sender (öffentlicher Schlüssel) und

Empfänger (privater Schlüssel) unterschiedlich. Das Schlüsselpaar hängt zusammen und es kann keine Ableitung zum jeweils anderen Schlüssel erstellt werden.

Der Sender verschlüsselt immer mit dem öffentlichen Schlüssel des Empfängers und dieser entschlüsselt mit seinem privaten Schlüssel !

Grundlagen

E-Mail Signatur

Zweck und Nutzen

E-Mail Signatur: Zweck und Nutzen

Page 7

E-Mail Signatur mit Benutzerzertifikat Unveränderlichkeit der elektronischen

Nachricht Verbreitung des eigenen Public Keys Echtheitsbestätigung des Absenders

bzw des versendenden Unternehmens.

Unabstreitbarkeit (Beweismittel)

E-Mail Signatur: Zweck und Nutzen

Page 8

Alle public key‘s werden automatisch aus den Signaturen gesammelt,und bei Bedarf zur Verschlüsselung an den Sender herangezogen.Entlastung des Systemadministrators !

S/MIME

Externer SenderInterner Empfänger

Page 9

Automatische Signatur im Namen des Senders am Gateway

E-Mail Signatur: Zweck und Nutzen

Page 10

SEPPmail managed PKI – Konnektor in Basislizenz enthalten

Zusätzliche Kosten durch Einrichtungsgebühr pro Domäne und jährliche Zertifikatskosten sind zu berücksichtigen.Bezug über Partner, SEPPmail – Deutschland GmbH oder direkt beim CA

u.a.m.

E-Mail Signatur: Zweck und Nutzen

E-Mail Verschlüsselung

Königsdisziplin !?

Eine Hand voll Technologien

Page 12

5openPGP

Page 13

X.509 Zertifikate sollten von einer offiziell anerkannten CA ausgestellt werden, dann funktioniert auch die automatisierte Prüfung einer Signatur.

Funktionalität integriert in den meisten Mail Clients (Outlook, Outlook Express, Netscape,…)

Unterbindet MiM und Phishing Attacken, wenn der Empfänger entsprechend sensibilisiert ist.

S/MIME (Secure Multipurpose Internet Mail Extensions) 5

5 Technologien

5 Technologien

Page 14

Zertifikate werden selbst ausgestellt und in einem „Web of Trust“ verteilt

Gekauft von Network Associates Inc. 1997

Windows, Unix, Mac: PGP, GnuPG

Sowohl OpenSource (GnuPG, WinPT) als auch kommerzielle Versionen (PGP) erhältlich

openPGP (Pretty Good Privacy)

5openPGP

entwickelt von Phil Zimmermann (erste Version 1991)

Zitat 1991: “Today, email can be routinely and automatically scanned forinteresting keywords, on a vast scale, without detection. This is likedriftnet fishing” Diese Aussage ist leider 25 Jahre später immer noch gültig !

Page 15

SEPPmail Managed Domain Service Domainverschlüsselung zu Fremdsysteme

5openPGP

Vollautomatische Verschlüsselung des gesamten Mailverkehrs von Domaine zu Domaine

Alle SEPPmail Appliances kennen sich (SEPPmail Managed Domain Service)

Wird erreicht indem der Public Key beider Maschinen ausgetauscht wird

Ist bei SEPPmail in der Basislizenz enthalten

Encryption Tunnel

Fremdsystem

Domainverschlüsselung

5 Technologien

Page 16

„Punkt-zu-Punkt“ Verbindung zwischen Mailservern

Leitungsverschlüsselung only ! Vergleichbar mit einem „https für Mailserver“

Geeignet für einzelne Verbindungen

Hoher Verwaltungsaufwand

TLS (Transport Layer Security)

5openPGP

5 Technologien

Page 17

5openPGP

Was tun, wenn Empfänger unbekannt ist und/oder

„nichts hat„ ?

Patentierte Primärtechnologie

5 Technologien

Lösungsansätze Secure E-Mail „für alle“

Page 18

Ansatz 1: Passwortgeschützte PDF – Dateien ( .pdf )

VORTEIL: • Die verschlüsselte Datei wird ausgeliefert.

NACHTEILE:•Ist ein zusätzlicher Technologielayer der so seine Tücken hat :

• Abhängigkeit von der PDF–Reader – Version des Empfängers• Ist eine Einbahnstraße – eine sichere Antwort ist nur auf Umwegen möglich und nicht praxistauglich• Es ist nur das zur PDF-Erstellung verwendete Passwort gültig und nicht veränderbar, da es gleichzeitig der Schlüssel ist. Konflikt – sicher vs. merkbar !• Damit sind Brute-force Attacke auf Passwort möglich• Schlechter Ruf von PDF-Sicherheit (werden mittlerweile schon von Firewalls geblockt)• Formatierungsprobleme bei der Umwandlung der E-Mail in ein PDF

Page 19

Ansatz 2: Web-Portal oder „sicheres Webmail“ : Mails werden am Server zurückgehalten und nur ein Link dazu versendet

VORTEILE:• Keine zusätzlichen Technologien auf Empfängerseite notwendig• Sicherer Rückkanal zum Antworten vorhanden

NACHTEILE:• Storage-Bedarf wächst ständig.• Speicherung der gesamten, als wichtig eingestuften Kommunikation an einem Ort - beim

Absender!• Backup und Sicherung notwendig !• Ist durch Mailspoofing bzw. Phishing einfach kompromittierbar!

Lösungsansätze Secure E-Mail „für alle“

Der Vorgang

Page 20

kombiniert die VORTEILE beider Technologien und eliminiert die Nachteile

• Die verschlüsselte Datei wird ausgeliefert.• Keine zusätzlichen Technologien auf Empfängerseite notwendig• Sicherer Rückkanal zum Antworten vorhanden

Page 21

SenderSenderSender EmpfängerEmpfängerEmpfänger

Schritt 1: Schreiben und Empfangen:

• Der Sender verfaßt in seinem Standard E-Mail Client eine vertrauliche Mail und markiertdiese entweder mit dem „Vertaulichkeits-Flag“, vermerkt im Betreff zB „[vertraulich]“,oder er verwendet das kostenlose Plugin vonSEPPmail.

• Der Empfänger erhält eine Standardnachricht mitErklärung und einem html-Attachment (rot markiert)welches die vollständig ausgelieferte verschlüsselteNachricht beinhaltet. Parallel dazu empfängt er einInitialpasswort als SMS. Die Mobiltelefonnummer erhältdas System via Rückfrage E-Mail vom Sender, oderdieser liefert die Nummer schon in der Betreffzeile mit.

www

SMS-InitialpasswortSMS-Initialpasswort

Der Vorgang

Page 22

Schritt 2: Anmelden und Lesen

• Der Empfänger öffnet das html-Attachment und wird zur Eingabe seines Initialpasswortes aufgefordert (a) . • Anschließend muß er sich einmalig am System registrieren und sein eigenes Passwort vergeben. Sowie optional

für die automatisierte Passwortrücksetzung eine Sicherheitsfrage + Antwort festlegen (b).• Danach ist die entschlüsselte E-Mail im Webmailer sichtbar (c). Aus diesem kann verschlüsselt geantwortet, die

Mails als Klartext ins System gespeichert werden, eigene Key‘s hochgeladen oder seine Einstellungen verändert werden.

a) b) c)

www

Entschlüsselungsvorgang findet im Hintergrund statt: siehe nächste Folie

Der Vorgang

Page 23

via https Strecke wird die entschlüsselte E-Mail zum Empfänger ausgeliefert und verschwindet von der SEPPmail Appliance.

Weitere Vorteile des patentierten GINA Verfahrens:

• Wird vom Sender eine Lesebestätigung gewünscht,wird diese von der Appliance in dem Augenblickversendet, wenn die Mail zur Entschlüsselungeingeliefert wird.

• Das Zugriffspasswort kann jederzeit vom Empfängergeändert werden.

• Spontane sichere Kommunikation in beide Richtungenmöglich

• Die GINA Oberfläche und alle Texte können 100% perCSS-Stylesheet verändert werden.

• Empfänger können sich vorgängig anmelden und soIhre bevorzugte Verschlüsselungsform (Passwort oderZertifikatskey) wählen.

• Empfänger kann über das Portal seine bevorzugteVerschlüsselungsform einstellen.

www

via https Strecke wird die verschlüsselte E-Mail beim Anmeldeprozess des Empfängers zum Entschlüsseln temporär an die SEPPmail Appliance gesendet

Der Vorgang

Page 24

Vorführung

Page 25

1 x Appliance – 1 x Administration – 3 x Lösungen

Signatur und mPKIVerschlüsselung

Large File Transfer

SEPPmail Key Points

Gateway Lösung, problemlose Integration in bestehende Infrastruktur

Out-of-the Box Lösung als Firmware

Als Hardware oder VM erhältlich

Revisionskonforme Secure E-Mail Kommunikation

Unterstützt alle wichtigen Standards

Langfristige Investitionssicherheit

Nutzenorientiertes Lizenzsystem

Skalierbar und clusterfähig

Multidomain & Mandantenfähig

SEPPmail Leistungsübersicht

Page 26

CH:Helvetia VersicherungSchweizeriche BankiervereinigungRaiffeisen BankSwiss LifeHubert & Suhner

www.hin.ch (175.000 User nutzt das HIN netzwerk täglich)

INCA-Mail SwissPostSolutions

A:Genossenschaftliches RZ – Banken Allgemeines RZ – BankenÖsterreichische Bundesbahnen (ÖBB)

D:SVG Bundeszentralgenossenschaft (Frankfurt)FC Bayern München (München)Helaba Invest (Frankfurt)Kunst- und Ausstellungshaus (Bonn)Hellmann Logistik (Osnabrück)TÜV-Saarland, TÜV-RheinlandKlinikum Wolfsburg, Barmh. Brüder (München)Noerr Gruppe (München)Kreis Herzogtum LauenburgKVJS , CaritasLufthansa Systems (PCI)

u.v.m. siehe auch www.seppmail.de

SEPPmail Referenzen (Auszug)

Page 27

• SEPPmail AG in Neuenhof bei Zürich• SEPPmail – Deutschland GmbH in Bunnthal bei München• Entwicklung von Secure E-Mail Lösungen• 15 Jahre Erfahrung mit Secure E-Mail Technologien• Firma zu 100% eigenfinanziert (keine Investoren)• Kunden und Vertriebspartner in ganz Europa (2-stufiges Vertriebsmodel)

Stefan Klein CEO

SEPPmail Unternehmen

Page 28

Bei Fragen fragen !esch@seppmail.de