Sichere E -Mail Kommunikation mit SEPPmail · Sichere E -Mail Kommunikation mit SEPPmail Günter...
Transcript of Sichere E -Mail Kommunikation mit SEPPmail · Sichere E -Mail Kommunikation mit SEPPmail Günter...
Sichere E-Mail Kommunikation mit SEPPmail
Günter Esch
Page 2
Secure E-Mail im Trend
Compliance Einhaltung der gesetzlichen Regelungen Haftbarkeit des Managements bei Nichtbeachtung Gesetzlich unterstellte Unternehmen nach SOX, HIPAA,BASEL-III, PCI
Kosten-einsparungen
Digitalisierung bestehender Geschäftsprozesse (ERP Integration, Scansysteme, Lohnabrechnungen etc.)
Modernisierung bestehender, „alter“ Technologie
Umfeld Kunden erwarten in Projekten verschlüsselte Kommunikation Lieferanten bzw. Kunden führen Secure E-Mail Lösungen ein Was der BND kann, können Wirtschaftskriminelle auch !
Image Signatur in E-Mail ist Zeichen für Qualität im E-Mail Verkehr Schutz vor Datenspionage hat hohe Priorität im Geschäftsverkehr
Die Bedürfnisse unserer Kunden, oder warum sichere E-Mails ?
Page 3
Secure E-Mail im TrendWas erwarten unsere Kunden von einer E-Mail Verschlüsselungs-Lösung ?
Hohe Benutzerfreundlichkeit Einfache Administration - unser Anspruch ist (fast) unsichtbar zu werden. Einfachste Integration / kurze Einführungszeit Kompatibel mit anderen Technologien und Anbietern Höchste Sicherheit / Revisionskonform Investitionssicherheit
E-Mail Signatur: Zweck und NutzenE-Mail Verschlüsselung: KönigsdisziplinLarge File Transfer: Große Daten ?
Was erwartet Sie ?
Secure E-Mail im Trend
Page 5
Was ist ein Zertifikat ? Ein Zertifikat ist ein beglaubigter öffentlicher Schlüssel
Schlüssel und Verschlüsselungsarten
Symmetrischer Schlüssel: Der Schlüssel beim Sender und Empfänger ist der Gleiche. Asymmetrischer Schlüssel: Die Schlüssel sind bei Sender (öffentlicher Schlüssel) und
Empfänger (privater Schlüssel) unterschiedlich. Das Schlüsselpaar hängt zusammen und es kann keine Ableitung zum jeweils anderen Schlüssel erstellt werden.
Der Sender verschlüsselt immer mit dem öffentlichen Schlüssel des Empfängers und dieser entschlüsselt mit seinem privaten Schlüssel !
Grundlagen
E-Mail Signatur
Zweck und Nutzen
E-Mail Signatur: Zweck und Nutzen
Page 7
E-Mail Signatur mit Benutzerzertifikat Unveränderlichkeit der elektronischen
Nachricht Verbreitung des eigenen Public Keys Echtheitsbestätigung des Absenders
bzw des versendenden Unternehmens.
Unabstreitbarkeit (Beweismittel)
E-Mail Signatur: Zweck und Nutzen
Page 8
Alle public key‘s werden automatisch aus den Signaturen gesammelt,und bei Bedarf zur Verschlüsselung an den Sender herangezogen.Entlastung des Systemadministrators !
S/MIME
Externer SenderInterner Empfänger
Page 9
Automatische Signatur im Namen des Senders am Gateway
E-Mail Signatur: Zweck und Nutzen
Page 10
SEPPmail managed PKI – Konnektor in Basislizenz enthalten
Zusätzliche Kosten durch Einrichtungsgebühr pro Domäne und jährliche Zertifikatskosten sind zu berücksichtigen.Bezug über Partner, SEPPmail – Deutschland GmbH oder direkt beim CA
u.a.m.
E-Mail Signatur: Zweck und Nutzen
E-Mail Verschlüsselung
Königsdisziplin !?
Eine Hand voll Technologien
Page 12
5openPGP
Page 13
X.509 Zertifikate sollten von einer offiziell anerkannten CA ausgestellt werden, dann funktioniert auch die automatisierte Prüfung einer Signatur.
Funktionalität integriert in den meisten Mail Clients (Outlook, Outlook Express, Netscape,…)
Unterbindet MiM und Phishing Attacken, wenn der Empfänger entsprechend sensibilisiert ist.
S/MIME (Secure Multipurpose Internet Mail Extensions) 5
5 Technologien
5 Technologien
Page 14
Zertifikate werden selbst ausgestellt und in einem „Web of Trust“ verteilt
Gekauft von Network Associates Inc. 1997
Windows, Unix, Mac: PGP, GnuPG
Sowohl OpenSource (GnuPG, WinPT) als auch kommerzielle Versionen (PGP) erhältlich
openPGP (Pretty Good Privacy)
5openPGP
entwickelt von Phil Zimmermann (erste Version 1991)
Zitat 1991: “Today, email can be routinely and automatically scanned forinteresting keywords, on a vast scale, without detection. This is likedriftnet fishing” Diese Aussage ist leider 25 Jahre später immer noch gültig !
Page 15
SEPPmail Managed Domain Service Domainverschlüsselung zu Fremdsysteme
5openPGP
Vollautomatische Verschlüsselung des gesamten Mailverkehrs von Domaine zu Domaine
Alle SEPPmail Appliances kennen sich (SEPPmail Managed Domain Service)
Wird erreicht indem der Public Key beider Maschinen ausgetauscht wird
Ist bei SEPPmail in der Basislizenz enthalten
Encryption Tunnel
Fremdsystem
Domainverschlüsselung
5 Technologien
Page 16
„Punkt-zu-Punkt“ Verbindung zwischen Mailservern
Leitungsverschlüsselung only ! Vergleichbar mit einem „https für Mailserver“
Geeignet für einzelne Verbindungen
Hoher Verwaltungsaufwand
TLS (Transport Layer Security)
5openPGP
5 Technologien
Page 17
5openPGP
Was tun, wenn Empfänger unbekannt ist und/oder
„nichts hat„ ?
Patentierte Primärtechnologie
5 Technologien
Lösungsansätze Secure E-Mail „für alle“
Page 18
Ansatz 1: Passwortgeschützte PDF – Dateien ( .pdf )
VORTEIL: • Die verschlüsselte Datei wird ausgeliefert.
NACHTEILE:•Ist ein zusätzlicher Technologielayer der so seine Tücken hat :
• Abhängigkeit von der PDF–Reader – Version des Empfängers• Ist eine Einbahnstraße – eine sichere Antwort ist nur auf Umwegen möglich und nicht praxistauglich• Es ist nur das zur PDF-Erstellung verwendete Passwort gültig und nicht veränderbar, da es gleichzeitig der Schlüssel ist. Konflikt – sicher vs. merkbar !• Damit sind Brute-force Attacke auf Passwort möglich• Schlechter Ruf von PDF-Sicherheit (werden mittlerweile schon von Firewalls geblockt)• Formatierungsprobleme bei der Umwandlung der E-Mail in ein PDF
Page 19
Ansatz 2: Web-Portal oder „sicheres Webmail“ : Mails werden am Server zurückgehalten und nur ein Link dazu versendet
VORTEILE:• Keine zusätzlichen Technologien auf Empfängerseite notwendig• Sicherer Rückkanal zum Antworten vorhanden
NACHTEILE:• Storage-Bedarf wächst ständig.• Speicherung der gesamten, als wichtig eingestuften Kommunikation an einem Ort - beim
Absender!• Backup und Sicherung notwendig !• Ist durch Mailspoofing bzw. Phishing einfach kompromittierbar!
Lösungsansätze Secure E-Mail „für alle“
Der Vorgang
Page 20
kombiniert die VORTEILE beider Technologien und eliminiert die Nachteile
• Die verschlüsselte Datei wird ausgeliefert.• Keine zusätzlichen Technologien auf Empfängerseite notwendig• Sicherer Rückkanal zum Antworten vorhanden
Page 21
SenderSenderSender EmpfängerEmpfängerEmpfänger
Schritt 1: Schreiben und Empfangen:
• Der Sender verfaßt in seinem Standard E-Mail Client eine vertrauliche Mail und markiertdiese entweder mit dem „Vertaulichkeits-Flag“, vermerkt im Betreff zB „[vertraulich]“,oder er verwendet das kostenlose Plugin vonSEPPmail.
• Der Empfänger erhält eine Standardnachricht mitErklärung und einem html-Attachment (rot markiert)welches die vollständig ausgelieferte verschlüsselteNachricht beinhaltet. Parallel dazu empfängt er einInitialpasswort als SMS. Die Mobiltelefonnummer erhältdas System via Rückfrage E-Mail vom Sender, oderdieser liefert die Nummer schon in der Betreffzeile mit.
www
SMS-InitialpasswortSMS-Initialpasswort
Der Vorgang
Page 22
Schritt 2: Anmelden und Lesen
• Der Empfänger öffnet das html-Attachment und wird zur Eingabe seines Initialpasswortes aufgefordert (a) . • Anschließend muß er sich einmalig am System registrieren und sein eigenes Passwort vergeben. Sowie optional
für die automatisierte Passwortrücksetzung eine Sicherheitsfrage + Antwort festlegen (b).• Danach ist die entschlüsselte E-Mail im Webmailer sichtbar (c). Aus diesem kann verschlüsselt geantwortet, die
Mails als Klartext ins System gespeichert werden, eigene Key‘s hochgeladen oder seine Einstellungen verändert werden.
a) b) c)
www
Entschlüsselungsvorgang findet im Hintergrund statt: siehe nächste Folie
Der Vorgang
Page 23
via https Strecke wird die entschlüsselte E-Mail zum Empfänger ausgeliefert und verschwindet von der SEPPmail Appliance.
Weitere Vorteile des patentierten GINA Verfahrens:
• Wird vom Sender eine Lesebestätigung gewünscht,wird diese von der Appliance in dem Augenblickversendet, wenn die Mail zur Entschlüsselungeingeliefert wird.
• Das Zugriffspasswort kann jederzeit vom Empfängergeändert werden.
• Spontane sichere Kommunikation in beide Richtungenmöglich
• Die GINA Oberfläche und alle Texte können 100% perCSS-Stylesheet verändert werden.
• Empfänger können sich vorgängig anmelden und soIhre bevorzugte Verschlüsselungsform (Passwort oderZertifikatskey) wählen.
• Empfänger kann über das Portal seine bevorzugteVerschlüsselungsform einstellen.
www
via https Strecke wird die verschlüsselte E-Mail beim Anmeldeprozess des Empfängers zum Entschlüsseln temporär an die SEPPmail Appliance gesendet
Der Vorgang
Page 24
Vorführung
Page 25
1 x Appliance – 1 x Administration – 3 x Lösungen
Signatur und mPKIVerschlüsselung
Large File Transfer
SEPPmail Key Points
Gateway Lösung, problemlose Integration in bestehende Infrastruktur
Out-of-the Box Lösung als Firmware
Als Hardware oder VM erhältlich
Revisionskonforme Secure E-Mail Kommunikation
Unterstützt alle wichtigen Standards
Langfristige Investitionssicherheit
Nutzenorientiertes Lizenzsystem
Skalierbar und clusterfähig
Multidomain & Mandantenfähig
SEPPmail Leistungsübersicht
Page 26
CH:Helvetia VersicherungSchweizeriche BankiervereinigungRaiffeisen BankSwiss LifeHubert & Suhner
www.hin.ch (175.000 User nutzt das HIN netzwerk täglich)
INCA-Mail SwissPostSolutions
A:Genossenschaftliches RZ – Banken Allgemeines RZ – BankenÖsterreichische Bundesbahnen (ÖBB)
D:SVG Bundeszentralgenossenschaft (Frankfurt)FC Bayern München (München)Helaba Invest (Frankfurt)Kunst- und Ausstellungshaus (Bonn)Hellmann Logistik (Osnabrück)TÜV-Saarland, TÜV-RheinlandKlinikum Wolfsburg, Barmh. Brüder (München)Noerr Gruppe (München)Kreis Herzogtum LauenburgKVJS , CaritasLufthansa Systems (PCI)
u.v.m. siehe auch www.seppmail.de
SEPPmail Referenzen (Auszug)
Page 27
• SEPPmail AG in Neuenhof bei Zürich• SEPPmail – Deutschland GmbH in Bunnthal bei München• Entwicklung von Secure E-Mail Lösungen• 15 Jahre Erfahrung mit Secure E-Mail Technologien• Firma zu 100% eigenfinanziert (keine Investoren)• Kunden und Vertriebspartner in ganz Europa (2-stufiges Vertriebsmodel)
Stefan Klein CEO
SEPPmail Unternehmen
Page 28
Bei Fragen fragen [email protected]