Ist der Einsatz von E-Mail in Geschäftsprozessen fahrlässig? Walter Jekat ICON Systems GmbH.
-
Upload
adalheidis-laner -
Category
Documents
-
view
104 -
download
0
Transcript of Ist der Einsatz von E-Mail in Geschäftsprozessen fahrlässig? Walter Jekat ICON Systems GmbH.
![Page 1: Ist der Einsatz von E-Mail in Geschäftsprozessen fahrlässig? Walter Jekat ICON Systems GmbH.](https://reader035.fdocument.pub/reader035/viewer/2022062622/55204d6749795902118bd505/html5/thumbnails/1.jpg)
Ist der Einsatz von E-Mail in
Geschäftsprozessen fahrlässig?
Walter Jekat
ICON Systems GmbH
![Page 2: Ist der Einsatz von E-Mail in Geschäftsprozessen fahrlässig? Walter Jekat ICON Systems GmbH.](https://reader035.fdocument.pub/reader035/viewer/2022062622/55204d6749795902118bd505/html5/thumbnails/2.jpg)
E-Mail Sicherheit aus Anwendersicht
• Mangelnde Vertraulichkeit. E-mail wird als Klartext verschickt und kann durch durch jeden mit Netzwerk- bzw. Systemzugriff ausgewertet werden..
– ist ein Geschäftsrisiko
• Mangelnde Integrität. Keine Sicherungen gegen Änderungen des Inhalts beim Transport oder bei der Speicherung.
• Mangelnde Authentizität. Der Absender einer E-mail kann jederzeit gefälscht werden..
• Mangelnde Nichtabweisbarkeit. Es gibt keine Beweisführung, dass ein bestimmter Absender eine bestimmte Nachricht tatsächlich verschickt hat.
– führen zu Rechtsunsicherheit
• Viren. E-mail Attachments sind inzwischen das beliebteste Medium zum Verteilen von Viren.
• Spam. Ein E-mail Account ist für jede Nachricht von jedem Absender offen.– sind ein Risiko für die Infrastruktur
![Page 3: Ist der Einsatz von E-Mail in Geschäftsprozessen fahrlässig? Walter Jekat ICON Systems GmbH.](https://reader035.fdocument.pub/reader035/viewer/2022062622/55204d6749795902118bd505/html5/thumbnails/3.jpg)
36 Herausforderungen für Email Administratoren
Access
Content
Delivery
OS
Physical
Verwundbares OS
Kein Remote Management
“Selbstgestrickte” Systeme
Admins sind keine Sicherheitsexperten
Mail flooding und Bomben
Angriffe über das Netzwerk
Komplexe Back-end Server
Rückstand bei Server Patches
Alte Server Software
Uneinheitliche Server Sicherheit
Server offen für Hacker-Scans
Unsichere Passwörter
Schwache Web Access Authentifizierung
Komplexes VPN
Beleidigung der Angestellten
Versand unauthorisierter Daten
Trojanische Pferde als Attachments
Mail Server Relay SetupInternes Adressen Leck
Unverschlüsselte interne Mails
Komplexe Mail Verschlüsselung
Unsichere Default Konfiguration
Unregelmäßige AV Pattern Updates
Ungeschützte Mail-Server
Unvollständige Administration
Unsicherer Web Access
Unsichere interne Emails
Malformed Messages
Zu Hotmail & Yahoo weitergeleitet
Nicht gestattete Attachments
Non-business Content Verteilen von Viren
Abgelaufene AV Software
Nicht authorisierte Verwendung durch Angestellte
SPAM
Keine adäquate Kontrolle
![Page 4: Ist der Einsatz von E-Mail in Geschäftsprozessen fahrlässig? Walter Jekat ICON Systems GmbH.](https://reader035.fdocument.pub/reader035/viewer/2022062622/55204d6749795902118bd505/html5/thumbnails/4.jpg)
Drei Management Themen beim E-Mail Einsatz
• Viren• Vertraulichkeit • Spam
• Alle Themen verbergen eine höchstkomplexe und zum Teil widersprüchliche Rechtslage
• Der Besuch eines Seminars ist aufgrund der Haftlungslage für Geschäftsführer/Vorstände dringendst zu empfehlen
![Page 5: Ist der Einsatz von E-Mail in Geschäftsprozessen fahrlässig? Walter Jekat ICON Systems GmbH.](https://reader035.fdocument.pub/reader035/viewer/2022062622/55204d6749795902118bd505/html5/thumbnails/5.jpg)
Einige Gedanken zum Thema E-Mail und Viren
![Page 6: Ist der Einsatz von E-Mail in Geschäftsprozessen fahrlässig? Walter Jekat ICON Systems GmbH.](https://reader035.fdocument.pub/reader035/viewer/2022062622/55204d6749795902118bd505/html5/thumbnails/6.jpg)
Virenquellen
Quelle: ICSA
![Page 7: Ist der Einsatz von E-Mail in Geschäftsprozessen fahrlässig? Walter Jekat ICON Systems GmbH.](https://reader035.fdocument.pub/reader035/viewer/2022062622/55204d6749795902118bd505/html5/thumbnails/7.jpg)
Melissa – Das klassische Beispiel eines E-mail WurmsMelissa – Das klassische Beispiel eines E-mail Wurms
Internet
PC
PC
PC
Internet Gateway
ExchangeServer
150 infizierte Mails werden versandt!
Quelle: Trend Micro
![Page 8: Ist der Einsatz von E-Mail in Geschäftsprozessen fahrlässig? Walter Jekat ICON Systems GmbH.](https://reader035.fdocument.pub/reader035/viewer/2022062622/55204d6749795902118bd505/html5/thumbnails/8.jpg)
Infizierter Exchange Server mit OutlookClientInfizierter Exchange Server mit OutlookClient
Quelle: Trend Micro
![Page 9: Ist der Einsatz von E-Mail in Geschäftsprozessen fahrlässig? Walter Jekat ICON Systems GmbH.](https://reader035.fdocument.pub/reader035/viewer/2022062622/55204d6749795902118bd505/html5/thumbnails/9.jpg)
Anti-Virus Strategie
• Über 95% aller Geschäftsanwender setzen A/V Software ein
• Warum gibt es trotzdem soviele Viren?• Die Frage ist nicht „ob“, sondern „wo“ und „wie
administriert“• A/V steht und fällt mit der ständigen Aktualisierung
der Viren Musterdateien und mit der konsequenten Umsetzung im Firmennetz
• Hier gilt: „das schwächste Glied....“
![Page 10: Ist der Einsatz von E-Mail in Geschäftsprozessen fahrlässig? Walter Jekat ICON Systems GmbH.](https://reader035.fdocument.pub/reader035/viewer/2022062622/55204d6749795902118bd505/html5/thumbnails/10.jpg)
Gateway Lösung mit CVPGateway Lösung mit CVP
Internet
Firewall
PC
PC
PCALERT!!
ALERT!!ALERT!
!
CVP-A/V Produkt Quelle: Trend Micro
![Page 11: Ist der Einsatz von E-Mail in Geschäftsprozessen fahrlässig? Walter Jekat ICON Systems GmbH.](https://reader035.fdocument.pub/reader035/viewer/2022062622/55204d6749795902118bd505/html5/thumbnails/11.jpg)
Funktionsweise eines E-Mail SchutzesFunktionsweise eines E-Mail Schutzes
Internet
PC
PC
PC
Gateway mit
Virenschutz
Mailservermit
Virenschutz
ALERT!!ALERT!!ALE
RT!!
Quelle: Trend Micro
![Page 12: Ist der Einsatz von E-Mail in Geschäftsprozessen fahrlässig? Walter Jekat ICON Systems GmbH.](https://reader035.fdocument.pub/reader035/viewer/2022062622/55204d6749795902118bd505/html5/thumbnails/12.jpg)
10 Regeln für den Umgang mit Viren
• Regelmäßige Aktualisierung des Antiviren-Programms
• Vorsicht bei E-Mail Attachements
• Den Kreis der Anwender reduzieren, die zur Nutzung des einzelnen PCs autorisiert sind
• Rechtzeitig Software-Patches installieren
• Vor der Nutzung mobiler Speichermedien einen Viren-Check durchführen
• Vorsicht bei Software auch von glaubwürdigen Herstellern
• Kombination verschiedener Antivirus Technologien
• Erstellen Sie eine virenfreie Startdiskette für Ihren Computer und bewahren Sie diese an einem sicheren Ort auf
• Regelmäßig Sicherheitskopien erstellen
• Nur keine Panik!
Quelle: Kaspersky Labs
![Page 13: Ist der Einsatz von E-Mail in Geschäftsprozessen fahrlässig? Walter Jekat ICON Systems GmbH.](https://reader035.fdocument.pub/reader035/viewer/2022062622/55204d6749795902118bd505/html5/thumbnails/13.jpg)
Einige Gedanken zum Thema E-Mail und Vertraulichkeit
![Page 14: Ist der Einsatz von E-Mail in Geschäftsprozessen fahrlässig? Walter Jekat ICON Systems GmbH.](https://reader035.fdocument.pub/reader035/viewer/2022062622/55204d6749795902118bd505/html5/thumbnails/14.jpg)
E-mail als Klartext Datenstrom
Jeder Netzwerk-Sniffer kann ein Datenstrom auf Muster durchsuchen
![Page 15: Ist der Einsatz von E-Mail in Geschäftsprozessen fahrlässig? Walter Jekat ICON Systems GmbH.](https://reader035.fdocument.pub/reader035/viewer/2022062622/55204d6749795902118bd505/html5/thumbnails/15.jpg)
Abhörsystem ECHELON Geheimdienste online?
Misawa
Leitrim
Sugar CroveYakima Firing
Center
Waihopai
Shoal Bay
Geraldton Station
Bad Aibling
Menwith Hill
Morwenstow
![Page 16: Ist der Einsatz von E-Mail in Geschäftsprozessen fahrlässig? Walter Jekat ICON Systems GmbH.](https://reader035.fdocument.pub/reader035/viewer/2022062622/55204d6749795902118bd505/html5/thumbnails/16.jpg)
Abfangpunkte ISP/Mail Provider - Carnivore
![Page 17: Ist der Einsatz von E-Mail in Geschäftsprozessen fahrlässig? Walter Jekat ICON Systems GmbH.](https://reader035.fdocument.pub/reader035/viewer/2022062622/55204d6749795902118bd505/html5/thumbnails/17.jpg)
Abfangpunkte Büro/Broadband
![Page 18: Ist der Einsatz von E-Mail in Geschäftsprozessen fahrlässig? Walter Jekat ICON Systems GmbH.](https://reader035.fdocument.pub/reader035/viewer/2022062622/55204d6749795902118bd505/html5/thumbnails/18.jpg)
Zwei Schritte zur sicheren E-Mail
• Verschlüsseln sichert die Vertraulichkeit• Signieren sichert:
– Integrität– Authentizität– Nichtabweisbarkeit
![Page 19: Ist der Einsatz von E-Mail in Geschäftsprozessen fahrlässig? Walter Jekat ICON Systems GmbH.](https://reader035.fdocument.pub/reader035/viewer/2022062622/55204d6749795902118bd505/html5/thumbnails/19.jpg)
Datenverschlüsselung ist Basistechnologie
![Page 20: Ist der Einsatz von E-Mail in Geschäftsprozessen fahrlässig? Walter Jekat ICON Systems GmbH.](https://reader035.fdocument.pub/reader035/viewer/2022062622/55204d6749795902118bd505/html5/thumbnails/20.jpg)
Symmetrische Datenverschlüsselung
• Zahlreiche bekannte Algorithmen:– DES
– 3DES
– AES
– CAST
– IDEA
– Blowfish usw.
• Beide Partner benötigen identischen „Shared Secret Key“
![Page 21: Ist der Einsatz von E-Mail in Geschäftsprozessen fahrlässig? Walter Jekat ICON Systems GmbH.](https://reader035.fdocument.pub/reader035/viewer/2022062622/55204d6749795902118bd505/html5/thumbnails/21.jpg)
Symmetrische Datenverschlüsselung
• Hohe Verschlüsselungsgeschwindigkeit• Sicherheit abhängig von Schlüssellänge• Komplexes Schlüsselmanagement• Ignoriert Authentication• Ignoriert Non-Repudiation
![Page 22: Ist der Einsatz von E-Mail in Geschäftsprozessen fahrlässig? Walter Jekat ICON Systems GmbH.](https://reader035.fdocument.pub/reader035/viewer/2022062622/55204d6749795902118bd505/html5/thumbnails/22.jpg)
Asymmetrische Datenverschlüsselung
• Zwei bekannte Algorithmen:– RSA– Diffie-Hellman
• Sehr hohe Sicherheit• Sehr niedrige Verschlüsselungsgeschwindigkeit (ca. 500x
langsamer!)• Public/Private Key Verfahren• Einfacheres Schlüsselmanagement, da Public Key verteilt
werden kann
![Page 23: Ist der Einsatz von E-Mail in Geschäftsprozessen fahrlässig? Walter Jekat ICON Systems GmbH.](https://reader035.fdocument.pub/reader035/viewer/2022062622/55204d6749795902118bd505/html5/thumbnails/23.jpg)
Asymmetrische Datenverschlüsselung
Quelle: Verisign, Inc.
![Page 24: Ist der Einsatz von E-Mail in Geschäftsprozessen fahrlässig? Walter Jekat ICON Systems GmbH.](https://reader035.fdocument.pub/reader035/viewer/2022062622/55204d6749795902118bd505/html5/thumbnails/24.jpg)
Die Verschlüsselungspraxis
• Kombination von asymmetrischen und symmetrischen Verfahren
• Schritt 1: tausche „Secret Key“ aus über langsames Public/Private Key (asymmetrisches) Verfahren aus
• Schritt 2: schnelle Datenverschlüsselung über Secret Key (symmetrisches) Verfahren
![Page 25: Ist der Einsatz von E-Mail in Geschäftsprozessen fahrlässig? Walter Jekat ICON Systems GmbH.](https://reader035.fdocument.pub/reader035/viewer/2022062622/55204d6749795902118bd505/html5/thumbnails/25.jpg)
Digitale Signatur
• „ein mit einem privaten Signaturschlüssel erzeugter Siegel...der den Inhaber des Signaturschlüssels und die Unverfälschtheit der Daten erkennen lässt“
Quelle: §2 (1) Gesetz zur digitalen Signatur
![Page 26: Ist der Einsatz von E-Mail in Geschäftsprozessen fahrlässig? Walter Jekat ICON Systems GmbH.](https://reader035.fdocument.pub/reader035/viewer/2022062622/55204d6749795902118bd505/html5/thumbnails/26.jpg)
Erzeugen einer Signatur
Quelle: Verisign, Inc.
![Page 27: Ist der Einsatz von E-Mail in Geschäftsprozessen fahrlässig? Walter Jekat ICON Systems GmbH.](https://reader035.fdocument.pub/reader035/viewer/2022062622/55204d6749795902118bd505/html5/thumbnails/27.jpg)
Digitale Zertifikate
• Basis der praktischen Umsetzung digitaler Signaturen• Elektronischer Ausweis:
– Nachweis der Identität (Authentisierung)
– Festlegen der Rechte (Autorisierung)
– Verschiedene Aussteller (Certificate Authorities)
• Normiertes Format durch ITU:– Public Key Infrastructure X.509
![Page 28: Ist der Einsatz von E-Mail in Geschäftsprozessen fahrlässig? Walter Jekat ICON Systems GmbH.](https://reader035.fdocument.pub/reader035/viewer/2022062622/55204d6749795902118bd505/html5/thumbnails/28.jpg)
Digitale Zertifikate
Quelle: Verisign, Inc.
![Page 29: Ist der Einsatz von E-Mail in Geschäftsprozessen fahrlässig? Walter Jekat ICON Systems GmbH.](https://reader035.fdocument.pub/reader035/viewer/2022062622/55204d6749795902118bd505/html5/thumbnails/29.jpg)
Zwei technische Ansätze zur Umsetzung bei E-Mail:
• S/Mime– Hierarchischer top down Ansatz– Basiseinstellung: technische Eleganz mit höchster
Sicherheit– Zertifikatsausteller (Certificate Authorities) stehen im
Vordergrund):• Verisign• D-Trust• Telesec• usw.
– Jährliche Zertifikatskosten– Integriert in kommerzielle E-Mail Reader– Hat sich nur begrenzt durchgesetzt
![Page 30: Ist der Einsatz von E-Mail in Geschäftsprozessen fahrlässig? Walter Jekat ICON Systems GmbH.](https://reader035.fdocument.pub/reader035/viewer/2022062622/55204d6749795902118bd505/html5/thumbnails/30.jpg)
Zwei technische Ansätze:
• PGP (Pretty Good Privacy)– Bottom up Ansatz
– Basiseinstellung: „quick and dirty“
– In der Regel erstellt man seine „Zertifikate“ selber
– Kommerzielle und Freeware Implementationen
– Unterschiedlichster Integrationsgrad
– Grosse Verbreitung und Akzeptanz
• Allmähliches Zusammenwachsen der beiden Ansätze– Erst die Kombination sicherer Zertifizierungsstellen mit
hoher Anwenderakzeptanz werden eine rechtliche Wirksamkeit von E-Mail ermöglichen
![Page 31: Ist der Einsatz von E-Mail in Geschäftsprozessen fahrlässig? Walter Jekat ICON Systems GmbH.](https://reader035.fdocument.pub/reader035/viewer/2022062622/55204d6749795902118bd505/html5/thumbnails/31.jpg)
Einige Gedanken zum Thema E-Mail und SPAM (unerwünschte Werbemails)
![Page 32: Ist der Einsatz von E-Mail in Geschäftsprozessen fahrlässig? Walter Jekat ICON Systems GmbH.](https://reader035.fdocument.pub/reader035/viewer/2022062622/55204d6749795902118bd505/html5/thumbnails/32.jpg)
Schutz vor SPAM
• SPAM – mehr als nur ein Ärgernis, eine ernsthafte Gefahr für die Produktivität
• Schätzungsweise 2,3 Milliarden Spams wurden in 2002 verschickt
• SPAM kann nur zentral abgewehrt werden, benutzerzentrische Ansätze sinnlos
• Wirksame Verteidigung:– Source Address Filter– Realtime Blackhole Listen - RBL– Content Filter– Distributed Checksum Clearinghouse - DCC– Statistical Token Analyse (heuristische Analyse)– Whitelisten pflegen
![Page 33: Ist der Einsatz von E-Mail in Geschäftsprozessen fahrlässig? Walter Jekat ICON Systems GmbH.](https://reader035.fdocument.pub/reader035/viewer/2022062622/55204d6749795902118bd505/html5/thumbnails/33.jpg)
![Page 34: Ist der Einsatz von E-Mail in Geschäftsprozessen fahrlässig? Walter Jekat ICON Systems GmbH.](https://reader035.fdocument.pub/reader035/viewer/2022062622/55204d6749795902118bd505/html5/thumbnails/34.jpg)
![Page 35: Ist der Einsatz von E-Mail in Geschäftsprozessen fahrlässig? Walter Jekat ICON Systems GmbH.](https://reader035.fdocument.pub/reader035/viewer/2022062622/55204d6749795902118bd505/html5/thumbnails/35.jpg)
Open SMTP Relays
• Leiten Mails beliebiger Absender an beliebige Empfänger weiter• In der Regel falschkonfigurierte Mailserver• Spam Szene handelt mit Listen von Open Relays• Hohe ISP Kosten für Opfer• Opfer geraten schnell auf RBLs mit katastrophalen Folgen• Schwerpunkt z.Zt. China und Korea• Ähnliche Ansätze:
– Open HTTP CONNECT Proxies– Open SOCKS Proxies – Insecure Mail CGI Scripts
![Page 36: Ist der Einsatz von E-Mail in Geschäftsprozessen fahrlässig? Walter Jekat ICON Systems GmbH.](https://reader035.fdocument.pub/reader035/viewer/2022062622/55204d6749795902118bd505/html5/thumbnails/36.jpg)
Einfachste AbwehrSource Server Filter
• Nach IP Adressen:– z.B. 216.113
• Nach Domain-Namen:– z.B. freestuff.org
• Hoher Pflegeaufwand
![Page 37: Ist der Einsatz von E-Mail in Geschäftsprozessen fahrlässig? Walter Jekat ICON Systems GmbH.](https://reader035.fdocument.pub/reader035/viewer/2022062622/55204d6749795902118bd505/html5/thumbnails/37.jpg)
RBL - Realtime Blackhole Listen
• Schneller Zugriff auf zentrale Listen mit SPAM Quellen.
• Grosse Auswahl, z.B.:– http://www.mail-abuse.org/– http://www.ordb.org/– http://relays.osirusoft.com/– http://www.spamhaus.org/
• Kernproblem: „False Positives“
![Page 38: Ist der Einsatz von E-Mail in Geschäftsprozessen fahrlässig? Walter Jekat ICON Systems GmbH.](https://reader035.fdocument.pub/reader035/viewer/2022062622/55204d6749795902118bd505/html5/thumbnails/38.jpg)
Content Filter
• Spezifiziert Textfilter für:– From– To– Subject– Body Inhalte
• Verwendet reguläre Ausdrücke für maximale Flexibilität.
• Geeignet um Ausnahmen (White List) zu erzeugen.
![Page 39: Ist der Einsatz von E-Mail in Geschäftsprozessen fahrlässig? Walter Jekat ICON Systems GmbH.](https://reader035.fdocument.pub/reader035/viewer/2022062622/55204d6749795902118bd505/html5/thumbnails/39.jpg)
DCC- Distributed Checksum Clearinghouse
• Wie RBL, eine co-operative Datenbank individueller Checksummen, welche Bulk Mails identifiziert.
• Basiert auf einer Zählung, wie oft eine Email Nachricht registriert wurde.
• Sehr schnell.• Konfigurierbare Grenzwerte und Verfahrensweisen.
– vgl. http://www.rhyolite.com/anti-spam/dcc/
![Page 40: Ist der Einsatz von E-Mail in Geschäftsprozessen fahrlässig? Walter Jekat ICON Systems GmbH.](https://reader035.fdocument.pub/reader035/viewer/2022062622/55204d6749795902118bd505/html5/thumbnails/40.jpg)
Statistical Token Analyse
• Verwendet Häufigkeitsanalyse von Token (Wörter und Phrasen) aus bekannten SPAM-Mails um „Verhaltensweisen“ zu erkennen.
• Erzeugt eine Maßeinheit für die Wahrscheinlichkeit, dass ein Token SPAM ausmacht.
• Diese Maßeinheiten werden kumuliert um die „SPAM-ness“ einer Nachricht zu messen.
• Konfigurierbare Grenzwerte und Verfahrensweisen.
![Page 41: Ist der Einsatz von E-Mail in Geschäftsprozessen fahrlässig? Walter Jekat ICON Systems GmbH.](https://reader035.fdocument.pub/reader035/viewer/2022062622/55204d6749795902118bd505/html5/thumbnails/41.jpg)
....aber die Realität
• Spam wird sich nie gänzlich abstellen lassen, aber in hohem Maße eindämmen
• Die Versender glänzen durch ein hohes Maß an Erfindungsreichtum
• Bitte allen Usern klarmachen in keinerlei Form auf Spam zu reagieren („Ernten“ von Adressen)
![Page 42: Ist der Einsatz von E-Mail in Geschäftsprozessen fahrlässig? Walter Jekat ICON Systems GmbH.](https://reader035.fdocument.pub/reader035/viewer/2022062622/55204d6749795902118bd505/html5/thumbnails/42.jpg)
DANKE für Ihr Interesse!