Ist der Einsatz von E-Mail in

Geschäftsprozessen fahrlässig?

Walter Jekat

ICON Systems GmbH

E-Mail Sicherheit aus Anwendersicht

• Mangelnde Vertraulichkeit. E-mail wird als Klartext verschickt und kann durch durch jeden mit Netzwerk- bzw. Systemzugriff ausgewertet werden..

– ist ein Geschäftsrisiko

• Mangelnde Integrität. Keine Sicherungen gegen Änderungen des Inhalts beim Transport oder bei der Speicherung.

• Mangelnde Authentizität. Der Absender einer E-mail kann jederzeit gefälscht werden..

• Mangelnde Nichtabweisbarkeit. Es gibt keine Beweisführung, dass ein bestimmter Absender eine bestimmte Nachricht tatsächlich verschickt hat.

– führen zu Rechtsunsicherheit

• Viren. E-mail Attachments sind inzwischen das beliebteste Medium zum Verteilen von Viren.

• Spam. Ein E-mail Account ist für jede Nachricht von jedem Absender offen.– sind ein Risiko für die Infrastruktur

36 Herausforderungen für Email Administratoren

Access

Content

Delivery

OS

Physical

Verwundbares OS

Kein Remote Management

“Selbstgestrickte” Systeme

Admins sind keine Sicherheitsexperten

Mail flooding und Bomben

Angriffe über das Netzwerk

Komplexe Back-end Server

Rückstand bei Server Patches

Alte Server Software

Uneinheitliche Server Sicherheit

Server offen für Hacker-Scans

Unsichere Passwörter

Schwache Web Access Authentifizierung

Komplexes VPN

Beleidigung der Angestellten

Versand unauthorisierter Daten

Trojanische Pferde als Attachments

Mail Server Relay SetupInternes Adressen Leck

Unverschlüsselte interne Mails

Komplexe Mail Verschlüsselung

Unsichere Default Konfiguration

Unregelmäßige AV Pattern Updates

Ungeschützte Mail-Server

Unvollständige Administration

Unsicherer Web Access

Unsichere interne Emails

Malformed Messages

Zu Hotmail & Yahoo weitergeleitet

Nicht gestattete Attachments

Non-business Content Verteilen von Viren

Abgelaufene AV Software

Nicht authorisierte Verwendung durch Angestellte

SPAM

Keine adäquate Kontrolle

Drei Management Themen beim E-Mail Einsatz

• Viren• Vertraulichkeit • Spam

• Alle Themen verbergen eine höchstkomplexe und zum Teil widersprüchliche Rechtslage

• Der Besuch eines Seminars ist aufgrund der Haftlungslage für Geschäftsführer/Vorstände dringendst zu empfehlen

Einige Gedanken zum Thema E-Mail und Viren

Virenquellen

Quelle: ICSA

Melissa – Das klassische Beispiel eines E-mail WurmsMelissa – Das klassische Beispiel eines E-mail Wurms

Internet

PC

PC

PC

Internet Gateway

ExchangeServer

150 infizierte Mails werden versandt!

Quelle: Trend Micro

Infizierter Exchange Server mit OutlookClientInfizierter Exchange Server mit OutlookClient

Quelle: Trend Micro

Anti-Virus Strategie

• Über 95% aller Geschäftsanwender setzen A/V Software ein

• Warum gibt es trotzdem soviele Viren?• Die Frage ist nicht „ob“, sondern „wo“ und „wie

administriert“• A/V steht und fällt mit der ständigen Aktualisierung

der Viren Musterdateien und mit der konsequenten Umsetzung im Firmennetz

• Hier gilt: „das schwächste Glied....“

Gateway Lösung mit CVPGateway Lösung mit CVP

Internet

Firewall

PC

PC

PCALERT!!

ALERT!!ALERT!

!

CVP-A/V Produkt Quelle: Trend Micro

Funktionsweise eines E-Mail SchutzesFunktionsweise eines E-Mail Schutzes

Internet

PC

PC

PC

Gateway mit

Virenschutz

Mailservermit

Virenschutz

ALERT!!ALERT!!ALE

RT!!

Quelle: Trend Micro

10 Regeln für den Umgang mit Viren

• Regelmäßige Aktualisierung des Antiviren-Programms

• Vorsicht bei E-Mail Attachements

• Den Kreis der Anwender reduzieren, die zur Nutzung des einzelnen PCs autorisiert sind

• Rechtzeitig Software-Patches installieren

• Vor der Nutzung mobiler Speichermedien einen Viren-Check durchführen

• Vorsicht bei Software auch von glaubwürdigen Herstellern

• Kombination verschiedener Antivirus Technologien

• Erstellen Sie eine virenfreie Startdiskette für Ihren Computer und bewahren Sie diese an einem sicheren Ort auf

• Regelmäßig Sicherheitskopien erstellen

• Nur keine Panik!

Quelle: Kaspersky Labs

Einige Gedanken zum Thema E-Mail und Vertraulichkeit

E-mail als Klartext Datenstrom

Jeder Netzwerk-Sniffer kann ein Datenstrom auf Muster durchsuchen

Abhörsystem ECHELON Geheimdienste online?

Misawa

Leitrim

Sugar CroveYakima Firing

Center

Waihopai

Shoal Bay

Geraldton Station

Bad Aibling

Menwith Hill

Morwenstow

Abfangpunkte ISP/Mail Provider - Carnivore

Abfangpunkte Büro/Broadband

Zwei Schritte zur sicheren E-Mail

• Verschlüsseln sichert die Vertraulichkeit• Signieren sichert:

– Integrität– Authentizität– Nichtabweisbarkeit

Datenverschlüsselung ist Basistechnologie

Symmetrische Datenverschlüsselung

• Zahlreiche bekannte Algorithmen:– DES

– 3DES

– AES

– CAST

– IDEA

– Blowfish usw.

• Beide Partner benötigen identischen „Shared Secret Key“

Symmetrische Datenverschlüsselung

• Hohe Verschlüsselungsgeschwindigkeit• Sicherheit abhängig von Schlüssellänge• Komplexes Schlüsselmanagement• Ignoriert Authentication• Ignoriert Non-Repudiation

Asymmetrische Datenverschlüsselung

• Zwei bekannte Algorithmen:– RSA– Diffie-Hellman

• Sehr hohe Sicherheit• Sehr niedrige Verschlüsselungsgeschwindigkeit (ca. 500x

langsamer!)• Public/Private Key Verfahren• Einfacheres Schlüsselmanagement, da Public Key verteilt

werden kann

Asymmetrische Datenverschlüsselung

Quelle: Verisign, Inc.

Die Verschlüsselungspraxis

• Kombination von asymmetrischen und symmetrischen Verfahren

• Schritt 1: tausche „Secret Key“ aus über langsames Public/Private Key (asymmetrisches) Verfahren aus

• Schritt 2: schnelle Datenverschlüsselung über Secret Key (symmetrisches) Verfahren

Digitale Signatur

• „ein mit einem privaten Signaturschlüssel erzeugter Siegel...der den Inhaber des Signaturschlüssels und die Unverfälschtheit der Daten erkennen lässt“

Quelle: §2 (1) Gesetz zur digitalen Signatur

Erzeugen einer Signatur

Quelle: Verisign, Inc.

Digitale Zertifikate

• Basis der praktischen Umsetzung digitaler Signaturen• Elektronischer Ausweis:

– Nachweis der Identität (Authentisierung)

– Festlegen der Rechte (Autorisierung)

– Verschiedene Aussteller (Certificate Authorities)

• Normiertes Format durch ITU:– Public Key Infrastructure X.509

Digitale Zertifikate

Quelle: Verisign, Inc.

Zwei technische Ansätze zur Umsetzung bei E-Mail:

• S/Mime– Hierarchischer top down Ansatz– Basiseinstellung: technische Eleganz mit höchster

Sicherheit– Zertifikatsausteller (Certificate Authorities) stehen im

Vordergrund):• Verisign• D-Trust• Telesec• usw.

– Jährliche Zertifikatskosten– Integriert in kommerzielle E-Mail Reader– Hat sich nur begrenzt durchgesetzt

Zwei technische Ansätze:

• PGP (Pretty Good Privacy)– Bottom up Ansatz

– Basiseinstellung: „quick and dirty“

– In der Regel erstellt man seine „Zertifikate“ selber

– Kommerzielle und Freeware Implementationen

– Unterschiedlichster Integrationsgrad

– Grosse Verbreitung und Akzeptanz

• Allmähliches Zusammenwachsen der beiden Ansätze– Erst die Kombination sicherer Zertifizierungsstellen mit

hoher Anwenderakzeptanz werden eine rechtliche Wirksamkeit von E-Mail ermöglichen

Einige Gedanken zum Thema E-Mail und SPAM (unerwünschte Werbemails)

Schutz vor SPAM

• SPAM – mehr als nur ein Ärgernis, eine ernsthafte Gefahr für die Produktivität

• Schätzungsweise 2,3 Milliarden Spams wurden in 2002 verschickt

• SPAM kann nur zentral abgewehrt werden, benutzerzentrische Ansätze sinnlos

• Wirksame Verteidigung:– Source Address Filter– Realtime Blackhole Listen - RBL– Content Filter– Distributed Checksum Clearinghouse - DCC– Statistical Token Analyse (heuristische Analyse)– Whitelisten pflegen

Open SMTP Relays

• Leiten Mails beliebiger Absender an beliebige Empfänger weiter• In der Regel falschkonfigurierte Mailserver• Spam Szene handelt mit Listen von Open Relays• Hohe ISP Kosten für Opfer• Opfer geraten schnell auf RBLs mit katastrophalen Folgen• Schwerpunkt z.Zt. China und Korea• Ähnliche Ansätze:

– Open HTTP CONNECT Proxies– Open SOCKS Proxies – Insecure Mail CGI Scripts

Einfachste AbwehrSource Server Filter

• Nach IP Adressen:– z.B. 216.113

• Nach Domain-Namen:– z.B. freestuff.org

• Hoher Pflegeaufwand

RBL - Realtime Blackhole Listen

• Schneller Zugriff auf zentrale Listen mit SPAM Quellen.

• Grosse Auswahl, z.B.:– http://www.mail-abuse.org/– http://www.ordb.org/– http://relays.osirusoft.com/– http://www.spamhaus.org/

• Kernproblem: „False Positives“

Content Filter

• Spezifiziert Textfilter für:– From– To– Subject– Body Inhalte

• Verwendet reguläre Ausdrücke für maximale Flexibilität.

• Geeignet um Ausnahmen (White List) zu erzeugen.

DCC- Distributed Checksum Clearinghouse

• Wie RBL, eine co-operative Datenbank individueller Checksummen, welche Bulk Mails identifiziert.

• Basiert auf einer Zählung, wie oft eine Email Nachricht registriert wurde.

• Sehr schnell.• Konfigurierbare Grenzwerte und Verfahrensweisen.

– vgl. http://www.rhyolite.com/anti-spam/dcc/

Statistical Token Analyse

• Verwendet Häufigkeitsanalyse von Token (Wörter und Phrasen) aus bekannten SPAM-Mails um „Verhaltensweisen“ zu erkennen.

• Erzeugt eine Maßeinheit für die Wahrscheinlichkeit, dass ein Token SPAM ausmacht.

• Diese Maßeinheiten werden kumuliert um die „SPAM-ness“ einer Nachricht zu messen.

• Konfigurierbare Grenzwerte und Verfahrensweisen.

....aber die Realität

• Spam wird sich nie gänzlich abstellen lassen, aber in hohem Maße eindämmen

• Die Versender glänzen durch ein hohes Maß an Erfindungsreichtum

• Bitte allen Usern klarmachen in keinerlei Form auf Spam zu reagieren („Ernten“ von Adressen)

DANKE für Ihr Interesse!