Wie schützen Sie Ihre E-Mail-Kommunikation? Kurzfristige Lösungsansätze bis z...
Wie schützen Sie Ihre Messaging- & Collaboration-Infrastruktur? Lessons learned aus PRISM & Co.
1. PRISM & Co. –
was bedeutet es für Sie?
Olaf Boerner
2. Schutz Ihrer Messaging & Collaboration Infrastruktur
About me
! Administrator /Developer since 1994
! Bei BCC seit 1996
! DNUG AK Systemmanagement
seit 1999
! IBM Champion
! Twitter: @OlafBoerner
! Working as Senior Architect with large
enterprise customers
• reduce Total cost of Ownership of Lotus Domino
• securing and optimizing IBM Domino infrastructures
3. Schutz Ihrer Messaging & Collaboration Infrastruktur
Agenda
! Was bedeutet PRISM & Co. für Ihre E-Mail-
Kommunikation?
! Wie können Sie schnell handeln?
• Kurzfristige Lösungsansätze
• integrierte Lösungen für unterschiedliche
Kommunikationsszenarien
! Schutz der internen Infrastruktur ?
8. Schutz Ihrer Messaging & Collaboration Infrastruktur
Was ist Prism & Co.
! PRISM
• Seit 2005 laufendes Programm zur umfangreichen
Überwachung und systematischen Auswertung des
Internet Traffics
• Aktive Beteiligung der führenden Internet Unternehmen
• Microsoft & Skype
• Google
• Facebook
• Yahoo
• Apple
! Verknüpfung mit intelligenten
Auswertungsprogrammen wie X-KEYSCORE
15. Schutz Ihrer Messaging & Collaboration Infrastruktur
5 EYES
! Codename für koordiniertes
Überwachungsprogramm von fünf Nationen
• USA (Leadership)
• Großbritannien,
Kanada,
• Australien und
• Neuseeland
! Intensiver Austausch von Daten und Verfahren
! Fortsetzung des „Echelon“ Projektes vor 2001
16. Schutz Ihrer Messaging & Collaboration Infrastruktur
TEMPORA
! Seit Ende 2011 durch UK Government
Communications Headquarters (GCHQ)
! Höhere Leistungsfähigkeit als PRISM
• "They [GCHQ] are worse than the US.“ (Edward
Snowden)
• UK officials could also claim GCHQ "produces larger
amounts of metadata than NSA".
• GCHQ was handling 600m "telephone events" each day,
had tapped more than 200 fibre-optic cables and was
able to process data from at least 46 of them at a time
• http://www.theguardian.com/uk/2013/jun/21/gchq-cables-
secret-world-communications-nsa
17. Schutz Ihrer Messaging & Collaboration Infrastruktur
„Muscular“
! Programm zum wahllosen Abfangen der Datenströme aus
Glasfaserkabeln zwischen den Rechenzentren der
Internetkonzerne Google und Yahoo durch die NSA und ihren
britischen Partnerdienst GCHQ.
! Google betreibt weltweit 13 Zentren, auf denen die Daten von
Nutzern und deren Informationsströme verwaltet werden. Die
Zentren tauschen ständig gigantische Datenmengen
untereinander aus.
! NSA und GCHQ haben sich angeblich heimlich Zugang zu den
Verbindungskabeln verschafft und kopieren Massen
unverschlüsselter Daten.
18. Schutz Ihrer Messaging & Collaboration Infrastruktur
GCHQ & TEMPORA
! GCHQ WebSite - Mission statement
! GCHQ provides intelligence, protects information and informs
relevant UK policy to keep our society safe and successful in the
Internet age
! Tempora Selection Criteria
• "The criteria are security, terror, organised crime. And
economic well-being.“
19. Was sind die Zielsetzungen dieser
Programme ?
Terrorbekämpfung ?
Wirtschaftsspionage ?
20. Blick zurück in 2001
Existenz des Spionage System
„Echelon“ wird „offiziell“ bestätigt
http://en.wikipedia.org/wiki/ECHELON
http://de.wikipedia.org/wiki/ECHELON
21. Schutz Ihrer Messaging & Collaboration Infrastruktur
Echelon in 2001
! „Von Seiten des Ausschusses wird die Gefahr
gesehen, dass der US-Geheimdienst die im
Wirtschaftsbereich gesammelten Informationen
nicht allein im Kampf gegen Korruption einsetzt,
sondern um den USA Wettbewerbsvorteile
aufgrund von geheimen Nachrichten zu
verschaffen“
• Gerhard SCHMID (SPE, D), Abhörsystem "Echelon“, Dok.:
A5-0264/2001, Verfahren: nicht-legislative Stellungnahme (Art. 47
GO), Aussprache und Annahme: 05.09.2001
• http://www.europarl.europa.eu/sides/getDoc.do?
type=PRESS&reference=DN-20010905-1&format=XML&language=
DE#SECTION1
22. Schutz Ihrer Messaging & Collaboration Infrastruktur
Bewertung Echelon in 2001
! „Von Seiten des Ausschusses wird die Gefahr
gesehen, dass der US-Geheimdienst die im
Wirtschaftsbereich gesammelten Informationen
nicht allein im Kampf gegen Korruption einsetzt,
sondern um den USA Wettbewerbsvorteile
aufgrund von geheimen Nachrichten zu
verschaffen“
• Gerhard SCHMID (SPE, D), Abhörsystem "Echelon“, Dok.:
A5-0264/2001, Verfahren: nicht-legislative Stellungnahme (Art. 47
GO), Aussprache und Annahme: 05.09.2001
• http://www.europarl.europa.eu/sides/getDoc.do?
type=PRESS&reference=DN-20010905-1&format=XML&language=
DE#SECTION1
23. Schutz Ihrer Messaging & Collaboration Infrastruktur
Vorsprung durch Spionage ?
! Was sagt der deutsche Verfassungsschutz ?
! „Hauptträger der Spionageaktivitäten gegen
Deutschland sind derzeit die Russische Föderation
und die Volksrepublik China“
! „Die Spionageabwehr geht – nach derzeitiger
Erkenntnislage – davon aus, dass durch westliche
Nachrichtendienste keine systematische
Wirtschaftsspionage gegen die Bundesrepublik
Deutschland durchgeführt wird.“
• Quelle: Verfassungsschutzbericht 2013 vor Snowden
24. Schutz Ihrer Messaging & Collaboration Infrastruktur
Constanze Kurz, Sprecherin des Chaos
Computer Clubs in der FAZ (14.6.2013)
! „Dass es bei PRISM wirklich um Terrorismus geht,
glauben ohnehin nur noch die ganz Naiven
angesichts der Milliarden Datensätze, die pro
Monat abgegriffen werden.
! Denn da nicht hinter jedem Baum ein mutmaßlicher
Terrorist lauert, hat in Wahrheit die gute alte
Wirtschaftsspionage ein neues prächtiges Gewand
bekommen.“
25. Schutz Ihrer Messaging & Collaboration Infrastruktur
Constanze Kurz, Sprecherin des Chaos
Computer Clubs in der FAZ (14.6.2013)
! „Was für eine Ausrede hat die Führung eines
Unternehmens hierzulande angesichts des
massenhaften Datenabgreifens eigentlich noch, die
IT-Sicherheit und die alltägliche verpflichtende
Benutzung von Verschlüsselungs- und
Anonymisierungstechnologien in der eigenen Firma
und bei Vertragspartnern nicht durchzusetzen?“
! http://www.faz.net/aktuell/feuilleton/aus-dem-maschinenraum/europa-und-die-
nsa-enthuellung-das-praechtige-neue-gewand-der-guten-alten-
wirtschaftsspionage-12220566.html
26. Schutz Ihrer Messaging & Collaboration Infrastruktur
Stellungnahme der BITKOM
! BITKKOM: Verband der IT-, Telekommunikations- und Neue-
Medien-Branche mit 1.300 Direktmitglieder
! Ausmaß und Zielrichtung überraschen
• „aber Wirtschaftsspionage gehört zu den
Aufgabenbeschreibungen der amerikanischen und
britischen Geheimdienste.
• Dass wir nun vom Einsatz nachrichtendienstlicher Mittel
in diesem Zusammenhang hören, braucht niemanden zu
wundern."
! BITKOM-Präsident Prof. Dieter Kempf (Vorsitzender des
Vorstand der DATEV)
27. Schutz Ihrer Messaging & Collaboration Infrastruktur
Terrorbekämpfung ?
! Heise 17.2.2014 Überwacher machen vor US-
Anwälten nicht halt
• US-amerikanischen Anwaltskanzlei, „hatte Indonesien in
Handelsstreitigkeiten mit den USA vertreten.“
• Vermutung zur betroffenen Kanzlei „Mayer Brown“
• TOP10 Global Law firm > Friedrich Merz als Partner
• Überwachung erfolgte durch 5 Eyes
• Australiens Auslandsgeheimdienst ASD
• Herausgabe der Daten an NSA
http://www.nytimes.com/2014/02/16/us/eavesdropping-ensnared-american-law-firm.html?_r=1
http://www.heise.de/newsticker/meldung/NSA-Skandal-Ueberwacher-machen-vor-US-Anwaelten-nicht-
halt-2115716.html
28. Schutz Ihrer Messaging & Collaboration Infrastruktur
Fazit
! Bedrohungsszenarien wurden bislang eher
theoretisch betrachtet
! Tatsächlicher Umfang und Ausmaß der
Datensammlung und Auswertung bislang nicht
vorstellbar
! Umstellung der Risiko-Bewertung in Unternehmen
und Berücksichtigung in Sicherheits-Szenarien
! Analogie zu „Business continuance“ Planung nach
9/11
! Bislang waren gesetzliche Vorgaben der einzige
„Treiber“ (BaFIN)
29. Schutz Ihrer Messaging & Collaboration Infrastruktur
Agenda
! Was bedeutet PRISM & Co. für Ihre E-Mail-
Kommunikation?
! Wie können Sie schnell handeln?
• Kurzfristige Lösungsansätze
• integrierte Lösungen für unterschiedliche
Kommunikationsszenarien
! Schutz der internen Infrastruktur
32. Schutz Ihrer Messaging & Collaboration Infrastruktur
„Schutzwürdige Information“ definieren
! Welche Typen von Informationen und Dokumenten
• Bilanzen, GuV, internes Controlling etc.
• Strategische Planungen und Konzepte
• Forschung und Entwicklung
! Konkrete interne Anweisungen,
• Festlegung von Geheimhaltungsstufen
• welche interne Informationen dürfen nicht in einer
„unverschlüsselten“ Internet-Mail versendet werden
• welche Informationen niemals per E Mail
! Festlegung der „gesicherten“ Speicherung und
Kommunikation
33. Schutz Ihrer Messaging & Collaboration Infrastruktur
Beispiel: Geheimhaltungsstufen
! STRENG GEHEIM (abgekürzt: str. geh.; auch: Stufe II):
• lebenswichtige Interessen der Bundesrepublik Deutschland gefährden
• Kennzeichnung: Auf Schriftstücken roter Stempelabdruck oder Druck in der Kopf- und
Fußzeile.
! GEHEIM (geh.; auch: Stufe I)
• die Sicherheit der Bundesrepublik Deutschland oder gefährden
• Kennzeichnung: Auf Schriftstücken roter Stempelabdruck oder Druck in der Kopf- und
Fußzeile.
! VERSCHLUSSSACHE – VERTRAULICH (VS-VERTRAULICH, VS-Vertr.):
• kann für die Interessen der Bundesrepublik Deutschland schädlich sein.
• Kennzeichnung: Auf Schriftstücken blauer oder schwarzer Stempelabdruck oder Druck in
der Kopfzeile.
! VERSCHLUSSSACHE – NUR FÜR DEN DIENSTGEBRAUCH (VS-NUR FÜR
DEN DIENSTGEBRAUCH, VS-NfD):
• die Kenntnisnahme kann nachteilig sein.
• Kennzeichnung: Auf Schriftstücken blauer oder schwarzer Stempelabdruck oder Druck in
der Kopfzeile.
35. Schutz Ihrer Messaging & Collaboration Infrastruktur
Externe Kommunikation
! Keine Nutzung von Public Cloud Diensten
• Dienste in der Public Cloud sind unsicher !
• Dropbox,
• SkyDrive,
• Google Drive oder
• Skype
! Verstoss gegen Datenschutz Bestimmungen prüfen !
! Beispiel Skype
• "Skype nutzt gegebenenfalls innerhalb von Sofortnachrichten und
SMS automatisiertes Scannen zur Bestimmung von (a)
vermutlichem Spam und/oder (b) URLs, die bereits als Spam-,
Betrugs- oder Phishing-Links identifiziert wurden.“
• Einverständnis, dass Skype alles mitlesen darf
• http://www.heise.de/security/meldung/Vorsicht-beim-Skypen-
Microsoft-liest-mit-1857620.html
36. Schutz Ihrer Messaging & Collaboration Infrastruktur
Externe Kommunikation
! Mitarbeiter sollten intern nicht über „externe“
private E-Mail kommunizieren
• Umweg über das Internet vermeiden
• ausschließlich über interne Infrastruktur Mail
! Absicherung mit Verschlüsselung / PKI Lösung
• Größere Unternehmen sollten dafür einen internen, nicht
vom Internet aus erreichbaren PKI-Server einsetzen,
• Alternativ Nutzung öffentlicher PKI Dienste
• Einbindung wichtiger Geschäftspartner an der
Verschlüsselungslösung „forcieren“
37. „Encryption works.
Properly implemented strong crypto
systems are one of the few things that
you can rely on.“
Edward Snowden
http://www.theguardian.com/world/2013/jun/17/edward-
snowden-nsa-files-whistleblower
http://www.theguardian.com/world/2013/sep/05/nsa-
how-to-remain-secure-surveillance
38. Schutz Ihrer Messaging & Collaboration Infrastruktur
Technische Empfehlung zur
Verschlüsselung
! RSA Algorithmus Verfahren als „negatives
positives Beispiel“
• Dual Elliptic Curve Deterministic Random Bit
Generation (or Dual EC DRBG)
• Einbau in „Bsafe“ Libary
• Wird auch durch IBM in Notes verwendet
! Nutzung von OpenSource Produkten
• OpenSSL
• OpenPGP
• OpenVPN
40. Schutz Ihrer Messaging & Collaboration Infrastruktur
Lösungsansatz „TLS/SSL“
! 1995 mit Extended SMTP (ESMTP) in RFC 1869
erweitert
! Verschlüsselung über SSL/TLS
• SMTP Kommunikation zwischen zwei Mail-Servern wird
beim Verbindungsaufbau verschlüsselt
• Absicherung der IP Kommunikation (Transportweges)
! Aktion „E-Mail made in Germany“ nutzt dies nun
endlich
• Deutsche Telekom,
• Web.de und GMX
! Schnelle & einfache Umsetzung -> EMPFEHLUNG
41. Schutz Ihrer Messaging & Collaboration Infrastruktur
PKI mit PGP
! Verschlüsselung der E-Mails steht im Vordergrund
• Keine Prüfung der Signaturen / Authentizität
! Keine „native“ Unterstützung in E Mail Clients
• Installation von Plug-Ins für E-Mail-Client erforderlich
• Keine integrierte Handhabung
! PKI in der Regel mit Unternehmenszertifikaten
• PGP Zertifikate für das gesamte Unternehmen
• Keine Userbasierten PGP Zertifikate
• Eigene & kostengünstige Erstellung von PGP Zertifikaten
• Direkter Austausch der Zertifikate mit dem
Kommunikationspartner
42. Schutz Ihrer Messaging & Collaboration Infrastruktur
PKI mit PGP: Empfehlungen
! Nutzung von GnuPG auf Basis OpenPGP
! Einsatz mit Unternehmenszertifikaten
! Nutzung von PGP i.d.R nur in Verbindung mit E-Mail-
Gateways
! Automatische Verschlüsselung der gesamten E-Mail-
Kommunikation zwischen zwei
Kommunikationspartnern
! Fazit
• Einfache & kostengünstige Lösung
• Nutzung von Mail Gateways als Zusatz-Software erforderlich
• Keine Berücksichtigung von Signatur / Authentifizierung der
Absender
43. Schutz Ihrer Messaging & Collaboration Infrastruktur
Bewertung PGP
Vorteil
• Einfaches
kostengünstiges
Verfahren
• Eigene
Zertifikate
Nachteil
• Einsatz von
Zusatz Software
• Keine
Authentifizierung
44. Schutz Ihrer Messaging & Collaboration Infrastruktur
S/MIME Verschlüsselung
! „DER Standard“
! Nutzung von X509 Zertifikaten
• CA, SubCA & User Zertifikat
• CA Hierarchie
! Verschlüsselung und Signatur Prüfung integriert
! Exkurs Signatur-Prüfung
! Standardmäßig für jeden Mail Client
• MS Outlook, Lotus Notes
• Apple Mail, Thunderbird etc.
• iPhone, Android, Blackberry
! Ende-zu-Ende Verschlüsselung als Standard
45. Schutz Ihrer Messaging & Collaboration Infrastruktur
Nutzung von Zertifikaten bei S/MIME
! Analog zu Notes PKI
• CA –> O Certifier
• X509 –> UserID
• Trust zwischen CA –> Querzulassung
! Einmalige Trust Beziehung zwischen zwei Kommunikations-
Partnern notwendig
• „User Impact durch Fehlermeldungen“ im E Mail Client
• Automatisierung der Trust Beziehung durch „Öffentliche“ Root CA‘s
möglich
• Analog zu SSL Zertifikaten
! Externe „kostenpflichtige“ Erstellung von S/MIME Zertifikaten
! Abhängigkeit vom Kommunikationspartner !
• Empfänger braucht ein X.509 Zertifikat
• Know-how zum Umgang
46. Schutz Ihrer Messaging & Collaboration Infrastruktur
Lösungsansätze für S/MIME Zertikate
! Vorgabe der verschlüsselten Kommunikation als IT
Security Richtlinie
• Analogie zu „Ohne Faxgerät keine Bestellung“
! Verwendung kostenloser SMIME Zertifikate
• Variante "Class 1“
• Für Privatpersonen und kleine Firmen ausreichend
• Anbieter
• Instant SSL - http://www.instantssl.com/ssl-certificate-products/free-
email-certificate.html
• Start SSL https://www.startssl.com
! Erstellung eigener Zertifikate
• Interne Nutzung
• für Kommunikationspartner mit Anweisung
• Nutzung von openssl
49. Schutz Ihrer Messaging & Collaboration Infrastruktur
Sonstige Hindernisse für S/MIME
! Endanwender
• Schulungsbedarf für technisches Verständnis
• Begleitende organisatorische Vorgabe ist wichtig
! Aufwände bei unternehmensweiten Einsatz
• Erstellung S/MIME Zertifikaten und
• Konfiguration der E Mail Clients
• Management der Trustbeziehungen
! Interne Vorgabe der E-Mail Sicherheit
• Zentraler Virenschutz
• Zentrale Archivierung
! Lösungsansätze:
• Nutzung von serverbasierten E Mail Gateways
• Automatisierung des Zertifikats Management (Intern & Extern)
• Nutzung von kostenlosen S/MIME Zertifikaten
• http://www.comodo.com/home/email-security/free-email-certificate.php
50. Schutz Ihrer Messaging & Collaboration Infrastruktur
Bewertung S/MIME
Vorteil
• Standard
Verfahren
• Technisch
ausgereift
• Nutzung im B2B
einfach möglich
Nachteil
• Einsatz von Zusatz
Software sinnvoll
• Abhängigkeit von
externen
Kommunikations-
partner
51. Schutz Ihrer Messaging & Collaboration Infrastruktur
Lösungsansatz „E-Mail
Verschlüsselung“ ohne PKI
! Automatische Konvertierung ausgehender E-Mails
am
E-Mail Server
• Umwandlung der gesamten E-Mail in PDF
• Einbettung Attachment in PDF File
• Einbettung Attachment in ZIP File
• Verschlüsselung mit Passwort und „automatisierter“
Weitergabe
52. Schutz Ihrer Messaging & Collaboration Infrastruktur
Bewertung PKI lose Verschlüsslung
Vorteil
• Keine Abhängigkeit
von externen
Kommunikations-
partner
• Einfache Nutzung im
B2B und B2C
möglich
Nachteil
• Erklärungsbedarf bei
Übermittlung des
Passwortes
• Komfort bei häufigem
E-Mail Verkehr
58. Schutz der internen Infrastruktur
Was macht eigentlich die NSA ?
oder
Lessons learned ;-)
59. Schutz Ihrer Messaging & Collaboration Infrastruktur
Massnahmen der NSA oder „The scariest
threat is the systems administrator,”
Zusätzliche
Protokollierung &
Sicherungssysteme
4 Augen Prinzip Automatisierung !
60. Schutz Ihrer Messaging & Collaboration Infrastruktur
Massnahmen der NSA: „The scariest threat
is the systems administrator,”
! “a two-man rule” that would limit the ability of each
of its 1,000 system admins to gain unfettered
access to the entire system
! Auf Deutsch „4 Augen Prinzip“
61. Schutz Ihrer Messaging & Collaboration Infrastruktur
Massnahmen der NSA: „The scariest threat
is the systems administrator,”
! „Was wir gerade machen - nicht schnell genug - ist
die Reduzierung unserer System-
Administratoren um rund 90 Prozent.“
Keith Alexander
! Aufgaben sollten soweit wie möglich automatisiert
werden, damit weniger Menschen in Kontakt mit
sensiblen Informationen kommen.
! Fazit: Automatisierung -> Reduktion der
Administratoren um 90%
62. ! „doing things that machines are
probably better at doing.“
! decrease required access rights
! provide system log trails
! TCO is (currently) not important
for NSA ;-)
Summary
63. Schutz Ihrer Messaging & Collaboration Infrastruktur
Automatisierung ist die Basis für eine
sichere Infrastruktur!
Auto-
matisierung
Compliance
Security
Reduce
TCO
67. Lösungsansatz BCC für IBM Domino
Implementierung
zusätzlicher
Sicherheitsebene
• Unabhängig von Domino Admin
Rechten
• Nicht durch Admin manipulierbar
Erweiterte detaillierte
Protokollierung
• „sicherheitsrelevanten
Informationen“
• Protokollierung ausserhalb von
Domino
Realtime Protection
• Änderungen
• Zugriff
• Manipuationen
68. Schutz Ihrer Messaging & Collaboration Infrastruktur
Lösungsangebot der BCC
! DominoProtect
• Tracking & Protection von Datenbeständen auf Domino
Server
• Konfigurations Daten
• Applikations Daten
• Realtime Monitoring des Zugriffs auf sensible Daten
• Realtime Schutz bei Änderungen von definierten
Datenbeständen
• Restriktive Berechtigungen in der Administration
69. Schutz Ihrer Messaging & Collaboration Infrastruktur
Lösungsangebot der BCC
! ClientGenie
• Integrierte Komprimierung und Verschlüsselung von
Attachments mit AES 256 Bit
! Vorteile
• Enge Integration mit dem Notes Client
• Keine Zusatzsoftware erforderlich