PRISM & Co. –
was bedeutet es für Sie?
Olaf Boerner
Schutz Ihrer Messaging & Collaboration Infrastruktur
About me
!   Administrator /Developer since 1994
!   Bei BCC seit 199...
Schutz Ihrer Messaging & Collaboration Infrastruktur
Agenda
!  Was bedeutet PRISM & Co. für Ihre E-Mail-
Kommunikation?
! ...
PRISM & Co.
Fraport ArenaFraport Arena
Schutz Ihrer Messaging & Collaboration Infrastruktur
Pressesplitter…
http://www.spiegel.de/netzwelt/netzpolitik/ueberwachu...
Schutz Ihrer Messaging & Collaboration Infrastruktur
Pressesplitter…
http://m.welt.de/article.do?id=wirtschaft/webwelt/art...
Schutz Ihrer Messaging & Collaboration Infrastruktur
Pressesplitter…
http://www.golem.de/news/nsa-skandal-luxemburger-beho...
Schutz Ihrer Messaging & Collaboration Infrastruktur
Was ist Prism & Co.
!   PRISM
•  Seit 2005 laufendes Programm zur umf...
Schutz Ihrer Messaging & Collaboration Infrastruktur
Welche Daten sammelt PRISM ?
Schutz Ihrer Messaging & Collaboration Infrastruktur
X-KEYSCORE
Schutz Ihrer Messaging & Collaboration Infrastruktur
X-KEYSCORE
Schutz Ihrer Messaging & Collaboration Infrastruktur
X-KEYSCORE
Schutz Ihrer Messaging & Collaboration Infrastruktur
X-KEYSCORE – Email Monitoring
Schutz Ihrer Messaging & Collaboration Infrastruktur
X-KEYSCORE – Email Monitoring
Schutz Ihrer Messaging & Collaboration Infrastruktur
5 EYES
!   Codename für koordiniertes
Überwachungsprogramm von fünf N...
Schutz Ihrer Messaging & Collaboration Infrastruktur
TEMPORA
!   Seit Ende 2011 durch UK Government
Communications Headqua...
Schutz Ihrer Messaging & Collaboration Infrastruktur
„Muscular“
!   Programm zum wahllosen Abfangen der Datenströme aus
Gl...
Schutz Ihrer Messaging & Collaboration Infrastruktur
GCHQ & TEMPORA
!   GCHQ WebSite - Mission statement
!   GCHQ provides...
Was sind die Zielsetzungen dieser
Programme ?
Terrorbekämpfung ?
Wirtschaftsspionage ?
Blick zurück in 2001
Existenz des Spionage System
„Echelon“ wird „offiziell“ bestätigt
http://en.wikipedia.org/wiki/ECHELO...
Schutz Ihrer Messaging & Collaboration Infrastruktur
Echelon in 2001
!   „Von Seiten des Ausschusses wird die Gefahr
geseh...
Schutz Ihrer Messaging & Collaboration Infrastruktur
Bewertung Echelon in 2001
!   „Von Seiten des Ausschusses wird die Ge...
Schutz Ihrer Messaging & Collaboration Infrastruktur
Vorsprung durch Spionage ?
!   Was sagt der deutsche Verfassungsschut...
Schutz Ihrer Messaging & Collaboration Infrastruktur
Constanze Kurz, Sprecherin des Chaos
Computer Clubs in der FAZ (14.6....
Schutz Ihrer Messaging & Collaboration Infrastruktur
Constanze Kurz, Sprecherin des Chaos
Computer Clubs in der FAZ (14.6....
Schutz Ihrer Messaging & Collaboration Infrastruktur
Stellungnahme der BITKOM
!   BITKKOM: Verband der IT-, Telekommunikat...
Schutz Ihrer Messaging & Collaboration Infrastruktur
Terrorbekämpfung ?
!   Heise 17.2.2014 Überwacher machen vor US-
Anwä...
Schutz Ihrer Messaging & Collaboration Infrastruktur
Fazit
!   Bedrohungsszenarien wurden bislang eher
theoretisch betrach...
Schutz Ihrer Messaging & Collaboration Infrastruktur
Agenda
! Was bedeutet PRISM & Co. für Ihre E-Mail-
Kommunikation?
!  ...
Schutz Ihrer Messaging & Collaboration Infrastruktur
Organisatorische Vorgaben
Externe Kommunikation
Interne „Daten“
Infra...
Organisatorische Vorgaben
Schutz Ihrer Messaging & Collaboration Infrastruktur
„Schutzwürdige Information“ definieren
!   Welche Typen von Informati...
Schutz Ihrer Messaging & Collaboration Infrastruktur
Beispiel: Geheimhaltungsstufen
!   STRENG GEHEIM (abgekürzt: str. geh...
Schutz Ihrer Messaging & Collaboration Infrastruktur
Externe Kommunikation
Interne Daten InfrastrukturOrganisatorische Vor...
Schutz Ihrer Messaging & Collaboration Infrastruktur
Externe Kommunikation
!   Keine Nutzung von Public Cloud Diensten
•  ...
Schutz Ihrer Messaging & Collaboration Infrastruktur
Externe Kommunikation
!   Mitarbeiter sollten intern nicht über „exte...
„Encryption works.
Properly implemented strong crypto
systems are one of the few things that
you can rely on.“
Edward Snow...
Schutz Ihrer Messaging & Collaboration Infrastruktur
Technische Empfehlung zur
Verschlüsselung
!   RSA Algorithmus Verfahr...
E-Mail Kommunikationskanäle
Schutz Ihrer Messaging & Collaboration Infrastruktur
Lösungsansatz „TLS/SSL“
!   1995 mit Extended SMTP (ESMTP) in RFC 186...
Schutz Ihrer Messaging & Collaboration Infrastruktur
PKI mit PGP
!   Verschlüsselung der E-Mails steht im Vordergrund
•  K...
Schutz Ihrer Messaging & Collaboration Infrastruktur
PKI mit PGP: Empfehlungen
!   Nutzung von GnuPG auf Basis OpenPGP
!  ...
Schutz Ihrer Messaging & Collaboration Infrastruktur
Bewertung PGP
Vorteil
•  Einfaches
kostengünstiges
Verfahren
•  Eigen...
Schutz Ihrer Messaging & Collaboration Infrastruktur
S/MIME Verschlüsselung
!   „DER Standard“
!   Nutzung von X509 Zertif...
Schutz Ihrer Messaging & Collaboration Infrastruktur
Nutzung von Zertifikaten bei S/MIME
!   Analog zu Notes PKI
•  CA –> ...
Schutz Ihrer Messaging & Collaboration Infrastruktur
Lösungsansätze für S/MIME Zertikate
!   Vorgabe der verschlüsselten K...
Wo ist das Problem mit S/MIME ?
Schutz Ihrer Messaging & Collaboration Infrastruktur
Max Raabe und das PKI Dilemma ....
Schutz Ihrer Messaging & Collaboration Infrastruktur
Sonstige Hindernisse für S/MIME
!   Endanwender
•  Schulungsbedarf fü...
Schutz Ihrer Messaging & Collaboration Infrastruktur
Bewertung S/MIME
Vorteil
•  Standard
Verfahren
•  Technisch
ausgereif...
Schutz Ihrer Messaging & Collaboration Infrastruktur
Lösungsansatz „E-Mail
Verschlüsselung“ ohne PKI
!   Automatische Konv...
Schutz Ihrer Messaging & Collaboration Infrastruktur
Bewertung PKI lose Verschlüsslung
Vorteil
•  Keine Abhängigkeit
von e...
Lösungsansätze “E-Mail“
Bewertung Lösungsansätze
Schutz Ihrer Messaging & Collaboration Infrastruktur
Lösungsangebot der BCC
! MailProtect – Schutz der E Mail Kommunikatio...
Schutz Ihrer Messaging & Collaboration Infrastruktur
Externe Kommunikation
Interne InfrastrukturOrganisatorische Vorgaben
Schutz der internen Infrastruktur
Schutz der internen Infrastruktur
Was macht eigentlich die NSA ?
oder
Lessons learned ;-)
Schutz Ihrer Messaging & Collaboration Infrastruktur
Massnahmen der NSA oder „The scariest
threat is the systems administr...
Schutz Ihrer Messaging & Collaboration Infrastruktur
Massnahmen der NSA: „The scariest threat
is the systems administrator...
Schutz Ihrer Messaging & Collaboration Infrastruktur
Massnahmen der NSA: „The scariest threat
is the systems administrator...
!   „doing things that machines are
probably better at doing.“
! decrease required access rights
! provide system log trai...
Schutz Ihrer Messaging & Collaboration Infrastruktur
Automatisierung ist die Basis für eine
sichere Infrastruktur!
Auto-
m...
BCC empfiehlt seinen Kunden den
gleichen Lösungsansatz
Lösungsansätze der BCC
Lösungsansatz der BCC
Automatisierung
der
Administrations-
abläufe
Reduzierung der
Zugriffsrechte
Vollständige
Protokollie...
Lösungsansatz BCC für IBM Domino
Implementierung
zusätzlicher
Sicherheitsebene
•  Unabhängig von Domino Admin
Rechten
•  N...
Schutz Ihrer Messaging & Collaboration Infrastruktur
Lösungsangebot der BCC
! DominoProtect
•  Tracking & Protection von D...
Schutz Ihrer Messaging & Collaboration Infrastruktur
Lösungsangebot der BCC
! ClientGenie
•  Integrierte Komprimierung und...
Nächste SlideShare
Wird geladen in …5
×

Wie schützen Sie Ihre Messaging- & Collaboration-Infrastruktur? Lessons learned aus PRISM & Co.

770 Aufrufe

Veröffentlicht am

Veröffentlicht in: Software
0 Kommentare
0 Gefällt mir
Statistik
Notizen
  • Als Erste(r) kommentieren

  • Gehören Sie zu den Ersten, denen das gefällt!

Keine Downloads
Aufrufe
Aufrufe insgesamt
770
Auf SlideShare
0
Aus Einbettungen
0
Anzahl an Einbettungen
3
Aktionen
Geteilt
0
Downloads
5
Kommentare
0
Gefällt mir
0
Einbettungen 0
Keine Einbettungen

Keine Notizen für die Folie

Wie schützen Sie Ihre Messaging- & Collaboration-Infrastruktur? Lessons learned aus PRISM & Co.

  1. 1. PRISM & Co. – was bedeutet es für Sie? Olaf Boerner
  2. 2. Schutz Ihrer Messaging & Collaboration Infrastruktur About me !   Administrator /Developer since 1994 !   Bei BCC seit 1996 !   DNUG AK Systemmanagement seit 1999 !   IBM Champion ! Twitter: @OlafBoerner !   Working as Senior Architect with large enterprise customers •  reduce Total cost of Ownership of Lotus Domino •  securing and optimizing IBM Domino infrastructures
  3. 3. Schutz Ihrer Messaging & Collaboration Infrastruktur Agenda !  Was bedeutet PRISM & Co. für Ihre E-Mail- Kommunikation? !  Wie können Sie schnell handeln? •  Kurzfristige Lösungsansätze •  integrierte Lösungen für unterschiedliche Kommunikationsszenarien !  Schutz der internen Infrastruktur ?
  4. 4. PRISM & Co. Fraport ArenaFraport Arena
  5. 5. Schutz Ihrer Messaging & Collaboration Infrastruktur Pressesplitter… http://www.spiegel.de/netzwelt/netzpolitik/ueberwachungsaffaere-nsa-spaeht-millionen-google-und-yahoo-nutzern-aus-a-930930.html
  6. 6. Schutz Ihrer Messaging & Collaboration Infrastruktur Pressesplitter… http://m.welt.de/article.do?id=wirtschaft/webwelt/article121426021/Wie-ist-die-NSA-an-die-E-Mails-herangekommen &cid=wirtschaft-webwelt
  7. 7. Schutz Ihrer Messaging & Collaboration Infrastruktur Pressesplitter… http://www.golem.de/news/nsa-skandal-luxemburger-behoerden-ermitteln-gegen-skype-1310-102100.html http://www.heise.de/newsticker/meldung/PRISM-Ueberwachungskandal-Microsoft-ermoeglicht-NSA-Zugriff- auf-Skype-Outlook-com-Skydrive-1916340.html
  8. 8. Schutz Ihrer Messaging & Collaboration Infrastruktur Was ist Prism & Co. !   PRISM •  Seit 2005 laufendes Programm zur umfangreichen Überwachung und systematischen Auswertung des Internet Traffics •  Aktive Beteiligung der führenden Internet Unternehmen •  Microsoft & Skype •  Google •  Facebook •  Yahoo •  Apple !   Verknüpfung mit intelligenten Auswertungsprogrammen wie X-KEYSCORE
  9. 9. Schutz Ihrer Messaging & Collaboration Infrastruktur Welche Daten sammelt PRISM ?
  10. 10. Schutz Ihrer Messaging & Collaboration Infrastruktur X-KEYSCORE
  11. 11. Schutz Ihrer Messaging & Collaboration Infrastruktur X-KEYSCORE
  12. 12. Schutz Ihrer Messaging & Collaboration Infrastruktur X-KEYSCORE
  13. 13. Schutz Ihrer Messaging & Collaboration Infrastruktur X-KEYSCORE – Email Monitoring
  14. 14. Schutz Ihrer Messaging & Collaboration Infrastruktur X-KEYSCORE – Email Monitoring
  15. 15. Schutz Ihrer Messaging & Collaboration Infrastruktur 5 EYES !   Codename für koordiniertes Überwachungsprogramm von fünf Nationen •  USA (Leadership) •  Großbritannien, Kanada, •  Australien und •  Neuseeland !   Intensiver Austausch von Daten und Verfahren !   Fortsetzung des „Echelon“ Projektes vor 2001
  16. 16. Schutz Ihrer Messaging & Collaboration Infrastruktur TEMPORA !   Seit Ende 2011 durch UK Government Communications Headquarters (GCHQ) !   Höhere Leistungsfähigkeit als PRISM •  "They [GCHQ] are worse than the US.“ (Edward Snowden) •  UK officials could also claim GCHQ "produces larger amounts of metadata than NSA". •  GCHQ was handling 600m "telephone events" each day, had tapped more than 200 fibre-optic cables and was able to process data from at least 46 of them at a time •  http://www.theguardian.com/uk/2013/jun/21/gchq-cables- secret-world-communications-nsa
  17. 17. Schutz Ihrer Messaging & Collaboration Infrastruktur „Muscular“ !   Programm zum wahllosen Abfangen der Datenströme aus Glasfaserkabeln zwischen den Rechenzentren der Internetkonzerne Google und Yahoo durch die NSA und ihren britischen Partnerdienst GCHQ. !   Google betreibt weltweit 13 Zentren, auf denen die Daten von Nutzern und deren Informationsströme verwaltet werden. Die Zentren tauschen ständig gigantische Datenmengen untereinander aus. !   NSA und GCHQ haben sich angeblich heimlich Zugang zu den Verbindungskabeln verschafft und kopieren Massen unverschlüsselter Daten.
  18. 18. Schutz Ihrer Messaging & Collaboration Infrastruktur GCHQ & TEMPORA !   GCHQ WebSite - Mission statement !   GCHQ provides intelligence, protects information and informs relevant UK policy to keep our society safe and successful in the Internet age !   Tempora Selection Criteria •  "The criteria are security, terror, organised crime. And economic well-being.“
  19. 19. Was sind die Zielsetzungen dieser Programme ? Terrorbekämpfung ? Wirtschaftsspionage ?
  20. 20. Blick zurück in 2001 Existenz des Spionage System „Echelon“ wird „offiziell“ bestätigt http://en.wikipedia.org/wiki/ECHELON http://de.wikipedia.org/wiki/ECHELON
  21. 21. Schutz Ihrer Messaging & Collaboration Infrastruktur Echelon in 2001 !   „Von Seiten des Ausschusses wird die Gefahr gesehen, dass der US-Geheimdienst die im Wirtschaftsbereich gesammelten Informationen nicht allein im Kampf gegen Korruption einsetzt, sondern um den USA Wettbewerbsvorteile aufgrund von geheimen Nachrichten zu verschaffen“ •  Gerhard SCHMID (SPE, D), Abhörsystem "Echelon“, Dok.: A5-0264/2001, Verfahren: nicht-legislative Stellungnahme (Art. 47 GO), Aussprache und Annahme: 05.09.2001 •  http://www.europarl.europa.eu/sides/getDoc.do? type=PRESS&reference=DN-20010905-1&format=XML&language= DE#SECTION1
  22. 22. Schutz Ihrer Messaging & Collaboration Infrastruktur Bewertung Echelon in 2001 !   „Von Seiten des Ausschusses wird die Gefahr gesehen, dass der US-Geheimdienst die im Wirtschaftsbereich gesammelten Informationen nicht allein im Kampf gegen Korruption einsetzt, sondern um den USA Wettbewerbsvorteile aufgrund von geheimen Nachrichten zu verschaffen“ •  Gerhard SCHMID (SPE, D), Abhörsystem "Echelon“, Dok.: A5-0264/2001, Verfahren: nicht-legislative Stellungnahme (Art. 47 GO), Aussprache und Annahme: 05.09.2001 •  http://www.europarl.europa.eu/sides/getDoc.do? type=PRESS&reference=DN-20010905-1&format=XML&language= DE#SECTION1
  23. 23. Schutz Ihrer Messaging & Collaboration Infrastruktur Vorsprung durch Spionage ? !   Was sagt der deutsche Verfassungsschutz ? !   „Hauptträger der Spionageaktivitäten gegen Deutschland sind derzeit die Russische Föderation und die Volksrepublik China“ !   „Die Spionageabwehr geht – nach derzeitiger Erkenntnislage – davon aus, dass durch westliche Nachrichtendienste keine systematische Wirtschaftsspionage gegen die Bundesrepublik Deutschland durchgeführt wird.“ •  Quelle: Verfassungsschutzbericht 2013 vor Snowden
  24. 24. Schutz Ihrer Messaging & Collaboration Infrastruktur Constanze Kurz, Sprecherin des Chaos Computer Clubs in der FAZ (14.6.2013) !   „Dass es bei PRISM wirklich um Terrorismus geht, glauben ohnehin nur noch die ganz Naiven angesichts der Milliarden Datensätze, die pro Monat abgegriffen werden. !   Denn da nicht hinter jedem Baum ein mutmaßlicher Terrorist lauert, hat in Wahrheit die gute alte Wirtschaftsspionage ein neues prächtiges Gewand bekommen.“
  25. 25. Schutz Ihrer Messaging & Collaboration Infrastruktur Constanze Kurz, Sprecherin des Chaos Computer Clubs in der FAZ (14.6.2013) !   „Was für eine Ausrede hat die Führung eines Unternehmens hierzulande angesichts des massenhaften Datenabgreifens eigentlich noch, die IT-Sicherheit und die alltägliche verpflichtende Benutzung von Verschlüsselungs- und Anonymisierungstechnologien in der eigenen Firma und bei Vertragspartnern nicht durchzusetzen?“ ! http://www.faz.net/aktuell/feuilleton/aus-dem-maschinenraum/europa-und-die- nsa-enthuellung-das-praechtige-neue-gewand-der-guten-alten- wirtschaftsspionage-12220566.html
  26. 26. Schutz Ihrer Messaging & Collaboration Infrastruktur Stellungnahme der BITKOM !   BITKKOM: Verband der IT-, Telekommunikations- und Neue- Medien-Branche mit 1.300 Direktmitglieder !   Ausmaß und Zielrichtung überraschen •  „aber Wirtschaftsspionage gehört zu den Aufgabenbeschreibungen der amerikanischen und britischen Geheimdienste. •  Dass wir nun vom Einsatz nachrichtendienstlicher Mittel in diesem Zusammenhang hören, braucht niemanden zu wundern." !   BITKOM-Präsident Prof. Dieter Kempf (Vorsitzender des Vorstand der DATEV)
  27. 27. Schutz Ihrer Messaging & Collaboration Infrastruktur Terrorbekämpfung ? !   Heise 17.2.2014 Überwacher machen vor US- Anwälten nicht halt •  US-amerikanischen Anwaltskanzlei, „hatte Indonesien in Handelsstreitigkeiten mit den USA vertreten.“ •  Vermutung zur betroffenen Kanzlei „Mayer Brown“ •  TOP10 Global Law firm > Friedrich Merz als Partner •  Überwachung erfolgte durch 5 Eyes •  Australiens Auslandsgeheimdienst ASD •  Herausgabe der Daten an NSA http://www.nytimes.com/2014/02/16/us/eavesdropping-ensnared-american-law-firm.html?_r=1 http://www.heise.de/newsticker/meldung/NSA-Skandal-Ueberwacher-machen-vor-US-Anwaelten-nicht- halt-2115716.html
  28. 28. Schutz Ihrer Messaging & Collaboration Infrastruktur Fazit !   Bedrohungsszenarien wurden bislang eher theoretisch betrachtet !   Tatsächlicher Umfang und Ausmaß der Datensammlung und Auswertung bislang nicht vorstellbar !   Umstellung der Risiko-Bewertung in Unternehmen und Berücksichtigung in Sicherheits-Szenarien !   Analogie zu „Business continuance“ Planung nach 9/11 !   Bislang waren gesetzliche Vorgaben der einzige „Treiber“ (BaFIN)
  29. 29. Schutz Ihrer Messaging & Collaboration Infrastruktur Agenda ! Was bedeutet PRISM & Co. für Ihre E-Mail- Kommunikation? !  Wie können Sie schnell handeln? •  Kurzfristige Lösungsansätze •  integrierte Lösungen für unterschiedliche Kommunikationsszenarien !  Schutz der internen Infrastruktur
  30. 30. Schutz Ihrer Messaging & Collaboration Infrastruktur Organisatorische Vorgaben Externe Kommunikation Interne „Daten“ Infrastruktur
  31. 31. Organisatorische Vorgaben
  32. 32. Schutz Ihrer Messaging & Collaboration Infrastruktur „Schutzwürdige Information“ definieren !   Welche Typen von Informationen und Dokumenten •  Bilanzen, GuV, internes Controlling etc. •  Strategische Planungen und Konzepte •  Forschung und Entwicklung !   Konkrete interne Anweisungen, •  Festlegung von Geheimhaltungsstufen •  welche interne Informationen dürfen nicht in einer „unverschlüsselten“ Internet-Mail versendet werden •  welche Informationen niemals per E Mail !   Festlegung der „gesicherten“ Speicherung und Kommunikation
  33. 33. Schutz Ihrer Messaging & Collaboration Infrastruktur Beispiel: Geheimhaltungsstufen !   STRENG GEHEIM (abgekürzt: str. geh.; auch: Stufe II): •  lebenswichtige Interessen der Bundesrepublik Deutschland gefährden •  Kennzeichnung: Auf Schriftstücken roter Stempelabdruck oder Druck in der Kopf- und Fußzeile. !   GEHEIM (geh.; auch: Stufe I) •  die Sicherheit der Bundesrepublik Deutschland oder gefährden •  Kennzeichnung: Auf Schriftstücken roter Stempelabdruck oder Druck in der Kopf- und Fußzeile. !   VERSCHLUSSSACHE – VERTRAULICH (VS-VERTRAULICH, VS-Vertr.): •  kann für die Interessen der Bundesrepublik Deutschland schädlich sein. •  Kennzeichnung: Auf Schriftstücken blauer oder schwarzer Stempelabdruck oder Druck in der Kopfzeile. !   VERSCHLUSSSACHE – NUR FÜR DEN DIENSTGEBRAUCH (VS-NUR FÜR DEN DIENSTGEBRAUCH, VS-NfD): •  die Kenntnisnahme kann nachteilig sein. •  Kennzeichnung: Auf Schriftstücken blauer oder schwarzer Stempelabdruck oder Druck in der Kopfzeile.
  34. 34. Schutz Ihrer Messaging & Collaboration Infrastruktur Externe Kommunikation Interne Daten InfrastrukturOrganisatorische Vorgaben
  35. 35. Schutz Ihrer Messaging & Collaboration Infrastruktur Externe Kommunikation !   Keine Nutzung von Public Cloud Diensten •  Dienste in der Public Cloud sind unsicher ! •  Dropbox, •  SkyDrive, •  Google Drive oder •  Skype ! Verstoss gegen Datenschutz Bestimmungen prüfen ! !   Beispiel Skype •  "Skype nutzt gegebenenfalls innerhalb von Sofortnachrichten und SMS automatisiertes Scannen zur Bestimmung von (a) vermutlichem Spam und/oder (b) URLs, die bereits als Spam-, Betrugs- oder Phishing-Links identifiziert wurden.“ •  Einverständnis, dass Skype alles mitlesen darf •  http://www.heise.de/security/meldung/Vorsicht-beim-Skypen- Microsoft-liest-mit-1857620.html
  36. 36. Schutz Ihrer Messaging & Collaboration Infrastruktur Externe Kommunikation !   Mitarbeiter sollten intern nicht über „externe“ private E-Mail kommunizieren •  Umweg über das Internet vermeiden •  ausschließlich über interne Infrastruktur Mail !   Absicherung mit Verschlüsselung / PKI Lösung •  Größere Unternehmen sollten dafür einen internen, nicht vom Internet aus erreichbaren PKI-Server einsetzen, •  Alternativ Nutzung öffentlicher PKI Dienste •  Einbindung wichtiger Geschäftspartner an der Verschlüsselungslösung „forcieren“
  37. 37. „Encryption works. Properly implemented strong crypto systems are one of the few things that you can rely on.“ Edward Snowden http://www.theguardian.com/world/2013/jun/17/edward- snowden-nsa-files-whistleblower http://www.theguardian.com/world/2013/sep/05/nsa- how-to-remain-secure-surveillance
  38. 38. Schutz Ihrer Messaging & Collaboration Infrastruktur Technische Empfehlung zur Verschlüsselung !   RSA Algorithmus Verfahren als „negatives positives Beispiel“ •  Dual Elliptic Curve Deterministic Random Bit Generation (or Dual EC DRBG) •  Einbau in „Bsafe“ Libary •  Wird auch durch IBM in Notes verwendet !   Nutzung von OpenSource Produkten •  OpenSSL •  OpenPGP •  OpenVPN
  39. 39. E-Mail Kommunikationskanäle
  40. 40. Schutz Ihrer Messaging & Collaboration Infrastruktur Lösungsansatz „TLS/SSL“ !   1995 mit Extended SMTP (ESMTP) in RFC 1869 erweitert !   Verschlüsselung über SSL/TLS •  SMTP Kommunikation zwischen zwei Mail-Servern wird beim Verbindungsaufbau verschlüsselt •  Absicherung der IP Kommunikation (Transportweges) !   Aktion „E-Mail made in Germany“ nutzt dies nun endlich •  Deutsche Telekom, •  Web.de und GMX !   Schnelle & einfache Umsetzung -> EMPFEHLUNG
  41. 41. Schutz Ihrer Messaging & Collaboration Infrastruktur PKI mit PGP !   Verschlüsselung der E-Mails steht im Vordergrund •  Keine Prüfung der Signaturen / Authentizität !   Keine „native“ Unterstützung in E Mail Clients •  Installation von Plug-Ins für E-Mail-Client erforderlich •  Keine integrierte Handhabung !   PKI in der Regel mit Unternehmenszertifikaten •  PGP Zertifikate für das gesamte Unternehmen •  Keine Userbasierten PGP Zertifikate •  Eigene & kostengünstige Erstellung von PGP Zertifikaten •  Direkter Austausch der Zertifikate mit dem Kommunikationspartner
  42. 42. Schutz Ihrer Messaging & Collaboration Infrastruktur PKI mit PGP: Empfehlungen !   Nutzung von GnuPG auf Basis OpenPGP !   Einsatz mit Unternehmenszertifikaten !   Nutzung von PGP i.d.R nur in Verbindung mit E-Mail- Gateways !   Automatische Verschlüsselung der gesamten E-Mail- Kommunikation zwischen zwei Kommunikationspartnern !   Fazit •  Einfache & kostengünstige Lösung •  Nutzung von Mail Gateways als Zusatz-Software erforderlich •  Keine Berücksichtigung von Signatur / Authentifizierung der Absender
  43. 43. Schutz Ihrer Messaging & Collaboration Infrastruktur Bewertung PGP Vorteil •  Einfaches kostengünstiges Verfahren •  Eigene Zertifikate Nachteil •  Einsatz von Zusatz Software •  Keine Authentifizierung
  44. 44. Schutz Ihrer Messaging & Collaboration Infrastruktur S/MIME Verschlüsselung !   „DER Standard“ !   Nutzung von X509 Zertifikaten •  CA, SubCA & User Zertifikat •  CA Hierarchie !   Verschlüsselung und Signatur Prüfung integriert !   Exkurs Signatur-Prüfung !   Standardmäßig für jeden Mail Client •  MS Outlook, Lotus Notes •  Apple Mail, Thunderbird etc. •  iPhone, Android, Blackberry !   Ende-zu-Ende Verschlüsselung als Standard
  45. 45. Schutz Ihrer Messaging & Collaboration Infrastruktur Nutzung von Zertifikaten bei S/MIME !   Analog zu Notes PKI •  CA –> O Certifier •  X509 –> UserID •  Trust zwischen CA –> Querzulassung !   Einmalige Trust Beziehung zwischen zwei Kommunikations- Partnern notwendig •  „User Impact durch Fehlermeldungen“ im E Mail Client •  Automatisierung der Trust Beziehung durch „Öffentliche“ Root CA‘s möglich •  Analog zu SSL Zertifikaten !   Externe „kostenpflichtige“ Erstellung von S/MIME Zertifikaten !   Abhängigkeit vom Kommunikationspartner ! •  Empfänger braucht ein X.509 Zertifikat •  Know-how zum Umgang
  46. 46. Schutz Ihrer Messaging & Collaboration Infrastruktur Lösungsansätze für S/MIME Zertikate !   Vorgabe der verschlüsselten Kommunikation als IT Security Richtlinie •  Analogie zu „Ohne Faxgerät keine Bestellung“ !   Verwendung kostenloser SMIME Zertifikate •  Variante "Class 1“ •  Für Privatpersonen und kleine Firmen ausreichend •  Anbieter •  Instant SSL - http://www.instantssl.com/ssl-certificate-products/free- email-certificate.html •  Start SSL https://www.startssl.com !   Erstellung eigener Zertifikate •  Interne Nutzung •  für Kommunikationspartner mit Anweisung •  Nutzung von openssl
  47. 47. Wo ist das Problem mit S/MIME ?
  48. 48. Schutz Ihrer Messaging & Collaboration Infrastruktur Max Raabe und das PKI Dilemma ....
  49. 49. Schutz Ihrer Messaging & Collaboration Infrastruktur Sonstige Hindernisse für S/MIME !   Endanwender •  Schulungsbedarf für technisches Verständnis •  Begleitende organisatorische Vorgabe ist wichtig !   Aufwände bei unternehmensweiten Einsatz •  Erstellung S/MIME Zertifikaten und •  Konfiguration der E Mail Clients •  Management der Trustbeziehungen !   Interne Vorgabe der E-Mail Sicherheit •  Zentraler Virenschutz •  Zentrale Archivierung !   Lösungsansätze: •  Nutzung von serverbasierten E Mail Gateways •  Automatisierung des Zertifikats Management (Intern & Extern) •  Nutzung von kostenlosen S/MIME Zertifikaten •  http://www.comodo.com/home/email-security/free-email-certificate.php
  50. 50. Schutz Ihrer Messaging & Collaboration Infrastruktur Bewertung S/MIME Vorteil •  Standard Verfahren •  Technisch ausgereift •  Nutzung im B2B einfach möglich Nachteil •  Einsatz von Zusatz Software sinnvoll •  Abhängigkeit von externen Kommunikations- partner
  51. 51. Schutz Ihrer Messaging & Collaboration Infrastruktur Lösungsansatz „E-Mail Verschlüsselung“ ohne PKI !   Automatische Konvertierung ausgehender E-Mails am E-Mail Server •  Umwandlung der gesamten E-Mail in PDF •  Einbettung Attachment in PDF File •  Einbettung Attachment in ZIP File •  Verschlüsselung mit Passwort und „automatisierter“ Weitergabe
  52. 52. Schutz Ihrer Messaging & Collaboration Infrastruktur Bewertung PKI lose Verschlüsslung Vorteil •  Keine Abhängigkeit von externen Kommunikations- partner •  Einfache Nutzung im B2B und B2C möglich Nachteil •  Erklärungsbedarf bei Übermittlung des Passwortes •  Komfort bei häufigem E-Mail Verkehr
  53. 53. Lösungsansätze “E-Mail“
  54. 54. Bewertung Lösungsansätze
  55. 55. Schutz Ihrer Messaging & Collaboration Infrastruktur Lösungsangebot der BCC ! MailProtect – Schutz der E Mail Kommunikation •  Zentrales serverbasiertes E-Mail Management •  S/MIME •  PGP •  Instant Encryption •  Interne sichere Zustellung mit Notes PKI (Secure Delivery)
  56. 56. Schutz Ihrer Messaging & Collaboration Infrastruktur Externe Kommunikation Interne InfrastrukturOrganisatorische Vorgaben
  57. 57. Schutz der internen Infrastruktur
  58. 58. Schutz der internen Infrastruktur Was macht eigentlich die NSA ? oder Lessons learned ;-)
  59. 59. Schutz Ihrer Messaging & Collaboration Infrastruktur Massnahmen der NSA oder „The scariest threat is the systems administrator,” Zusätzliche Protokollierung & Sicherungssysteme 4 Augen Prinzip Automatisierung !
  60. 60. Schutz Ihrer Messaging & Collaboration Infrastruktur Massnahmen der NSA: „The scariest threat is the systems administrator,” !   “a two-man rule” that would limit the ability of each of its 1,000 system admins to gain unfettered access to the entire system !   Auf Deutsch „4 Augen Prinzip“
  61. 61. Schutz Ihrer Messaging & Collaboration Infrastruktur Massnahmen der NSA: „The scariest threat is the systems administrator,” !   „Was wir gerade machen - nicht schnell genug - ist die Reduzierung unserer System- Administratoren um rund 90 Prozent.“ Keith Alexander !   Aufgaben sollten soweit wie möglich automatisiert werden, damit weniger Menschen in Kontakt mit sensiblen Informationen kommen. !   Fazit: Automatisierung -> Reduktion der Administratoren um 90%
  62. 62. !   „doing things that machines are probably better at doing.“ ! decrease required access rights ! provide system log trails !   TCO is (currently) not important for NSA ;-) Summary
  63. 63. Schutz Ihrer Messaging & Collaboration Infrastruktur Automatisierung ist die Basis für eine sichere Infrastruktur! Auto- matisierung Compliance Security Reduce TCO
  64. 64. BCC empfiehlt seinen Kunden den gleichen Lösungsansatz
  65. 65. Lösungsansätze der BCC
  66. 66. Lösungsansatz der BCC Automatisierung der Administrations- abläufe Reduzierung der Zugriffsrechte Vollständige Protokollierung aller Aktvitäten
  67. 67. Lösungsansatz BCC für IBM Domino Implementierung zusätzlicher Sicherheitsebene •  Unabhängig von Domino Admin Rechten •  Nicht durch Admin manipulierbar Erweiterte detaillierte Protokollierung •  „sicherheitsrelevanten Informationen“ •  Protokollierung ausserhalb von Domino Realtime Protection •  Änderungen •  Zugriff •  Manipuationen
  68. 68. Schutz Ihrer Messaging & Collaboration Infrastruktur Lösungsangebot der BCC ! DominoProtect •  Tracking & Protection von Datenbeständen auf Domino Server •  Konfigurations Daten •  Applikations Daten •  Realtime Monitoring des Zugriffs auf sensible Daten •  Realtime Schutz bei Änderungen von definierten Datenbeständen •  Restriktive Berechtigungen in der Administration
  69. 69. Schutz Ihrer Messaging & Collaboration Infrastruktur Lösungsangebot der BCC ! ClientGenie •  Integrierte Komprimierung und Verschlüsselung von Attachments mit AES 256 Bit !   Vorteile •  Enge Integration mit dem Notes Client •  Keine Zusatzsoftware erforderlich

×