Diese Präsentation wurde erfolgreich gemeldet.
Wir verwenden Ihre LinkedIn Profilangaben und Informationen zu Ihren Aktivitäten, um Anzeigen zu personalisieren und relevantere Anzeigen zu schalten. Sie können Ihre Anzeigeneinstellungen jederzeit ändern.
PRISM & Co. –
was bedeutet es für Sie?
Olaf Boerner
Schutz Ihrer Messaging & Collaboration Infrastruktur
About me
!   Administrator /Developer since 1994
!   Bei BCC seit 199...
Schutz Ihrer Messaging & Collaboration Infrastruktur
Agenda
!  Was bedeutet PRISM & Co. für Ihre E-Mail-
Kommunikation?
! ...
PRISM & Co.
Fraport ArenaFraport Arena
Schutz Ihrer Messaging & Collaboration Infrastruktur
Pressesplitter…
http://www.spiegel.de/netzwelt/netzpolitik/ueberwachu...
Schutz Ihrer Messaging & Collaboration Infrastruktur
Pressesplitter…
http://m.welt.de/article.do?id=wirtschaft/webwelt/art...
Schutz Ihrer Messaging & Collaboration Infrastruktur
Pressesplitter…
http://www.golem.de/news/nsa-skandal-luxemburger-beho...
Schutz Ihrer Messaging & Collaboration Infrastruktur
Was ist Prism & Co.
!   PRISM
•  Seit 2005 laufendes Programm zur umf...
Schutz Ihrer Messaging & Collaboration Infrastruktur
Welche Daten sammelt PRISM ?
Schutz Ihrer Messaging & Collaboration Infrastruktur
X-KEYSCORE
Schutz Ihrer Messaging & Collaboration Infrastruktur
X-KEYSCORE
Schutz Ihrer Messaging & Collaboration Infrastruktur
X-KEYSCORE
Schutz Ihrer Messaging & Collaboration Infrastruktur
X-KEYSCORE – Email Monitoring
Schutz Ihrer Messaging & Collaboration Infrastruktur
X-KEYSCORE – Email Monitoring
Schutz Ihrer Messaging & Collaboration Infrastruktur
5 EYES
!   Codename für koordiniertes
Überwachungsprogramm von fünf N...
Schutz Ihrer Messaging & Collaboration Infrastruktur
TEMPORA
!   Seit Ende 2011 durch UK Government
Communications Headqua...
Schutz Ihrer Messaging & Collaboration Infrastruktur
„Muscular“
!   Programm zum wahllosen Abfangen der Datenströme aus
Gl...
Schutz Ihrer Messaging & Collaboration Infrastruktur
GCHQ & TEMPORA
!   GCHQ WebSite - Mission statement
!   GCHQ provides...
Was sind die Zielsetzungen dieser
Programme ?
Terrorbekämpfung ?
Wirtschaftsspionage ?
Blick zurück in 2001
Existenz des Spionage System
„Echelon“ wird „offiziell“ bestätigt
http://en.wikipedia.org/wiki/ECHELO...
Schutz Ihrer Messaging & Collaboration Infrastruktur
Echelon in 2001
!   „Von Seiten des Ausschusses wird die Gefahr
geseh...
Schutz Ihrer Messaging & Collaboration Infrastruktur
Bewertung Echelon in 2001
!   „Von Seiten des Ausschusses wird die Ge...
Schutz Ihrer Messaging & Collaboration Infrastruktur
Vorsprung durch Spionage ?
!   Was sagt der deutsche Verfassungsschut...
Schutz Ihrer Messaging & Collaboration Infrastruktur
Constanze Kurz, Sprecherin des Chaos
Computer Clubs in der FAZ (14.6....
Schutz Ihrer Messaging & Collaboration Infrastruktur
Constanze Kurz, Sprecherin des Chaos
Computer Clubs in der FAZ (14.6....
Schutz Ihrer Messaging & Collaboration Infrastruktur
Stellungnahme der BITKOM
!   BITKKOM: Verband der IT-, Telekommunikat...
Schutz Ihrer Messaging & Collaboration Infrastruktur
Terrorbekämpfung ?
!   Heise 17.2.2014 Überwacher machen vor US-
Anwä...
Schutz Ihrer Messaging & Collaboration Infrastruktur
Fazit
!   Bedrohungsszenarien wurden bislang eher
theoretisch betrach...
Schutz Ihrer Messaging & Collaboration Infrastruktur
Agenda
! Was bedeutet PRISM & Co. für Ihre E-Mail-
Kommunikation?
!  ...
Schutz Ihrer Messaging & Collaboration Infrastruktur
Organisatorische Vorgaben
Externe Kommunikation
Interne „Daten“
Infra...
Organisatorische Vorgaben
Schutz Ihrer Messaging & Collaboration Infrastruktur
„Schutzwürdige Information“ definieren
!   Welche Typen von Informati...
Schutz Ihrer Messaging & Collaboration Infrastruktur
Beispiel: Geheimhaltungsstufen
!   STRENG GEHEIM (abgekürzt: str. geh...
Schutz Ihrer Messaging & Collaboration Infrastruktur
Externe Kommunikation
Interne Daten InfrastrukturOrganisatorische Vor...
Schutz Ihrer Messaging & Collaboration Infrastruktur
Externe Kommunikation
!   Keine Nutzung von Public Cloud Diensten
•  ...
Schutz Ihrer Messaging & Collaboration Infrastruktur
Externe Kommunikation
!   Mitarbeiter sollten intern nicht über „exte...
„Encryption works.
Properly implemented strong crypto
systems are one of the few things that
you can rely on.“
Edward Snow...
Schutz Ihrer Messaging & Collaboration Infrastruktur
Technische Empfehlung zur
Verschlüsselung
!   RSA Algorithmus Verfahr...
E-Mail Kommunikationskanäle
Schutz Ihrer Messaging & Collaboration Infrastruktur
Lösungsansatz „TLS/SSL“
!   1995 mit Extended SMTP (ESMTP) in RFC 186...
Schutz Ihrer Messaging & Collaboration Infrastruktur
PKI mit PGP
!   Verschlüsselung der E-Mails steht im Vordergrund
•  K...
Schutz Ihrer Messaging & Collaboration Infrastruktur
PKI mit PGP: Empfehlungen
!   Nutzung von GnuPG auf Basis OpenPGP
!  ...
Schutz Ihrer Messaging & Collaboration Infrastruktur
Bewertung PGP
Vorteil
•  Einfaches
kostengünstiges
Verfahren
•  Eigen...
Schutz Ihrer Messaging & Collaboration Infrastruktur
S/MIME Verschlüsselung
!   „DER Standard“
!   Nutzung von X509 Zertif...
Schutz Ihrer Messaging & Collaboration Infrastruktur
Nutzung von Zertifikaten bei S/MIME
!   Analog zu Notes PKI
•  CA –> ...
Schutz Ihrer Messaging & Collaboration Infrastruktur
Lösungsansätze für S/MIME Zertikate
!   Vorgabe der verschlüsselten K...
Wo ist das Problem mit S/MIME ?
Schutz Ihrer Messaging & Collaboration Infrastruktur
Max Raabe und das PKI Dilemma ....
Schutz Ihrer Messaging & Collaboration Infrastruktur
Sonstige Hindernisse für S/MIME
!   Endanwender
•  Schulungsbedarf fü...
Schutz Ihrer Messaging & Collaboration Infrastruktur
Bewertung S/MIME
Vorteil
•  Standard
Verfahren
•  Technisch
ausgereif...
Schutz Ihrer Messaging & Collaboration Infrastruktur
Lösungsansatz „E-Mail
Verschlüsselung“ ohne PKI
!   Automatische Konv...
Schutz Ihrer Messaging & Collaboration Infrastruktur
Bewertung PKI lose Verschlüsslung
Vorteil
•  Keine Abhängigkeit
von e...
Lösungsansätze “E-Mail“
Bewertung Lösungsansätze
Schutz Ihrer Messaging & Collaboration Infrastruktur
Lösungsangebot der BCC
! MailProtect – Schutz der E Mail Kommunikatio...
Schutz Ihrer Messaging & Collaboration Infrastruktur
Externe Kommunikation
Interne InfrastrukturOrganisatorische Vorgaben
Schutz der internen Infrastruktur
Schutz der internen Infrastruktur
Was macht eigentlich die NSA ?
oder
Lessons learned ;-)
Schutz Ihrer Messaging & Collaboration Infrastruktur
Massnahmen der NSA oder „The scariest
threat is the systems administr...
Schutz Ihrer Messaging & Collaboration Infrastruktur
Massnahmen der NSA: „The scariest threat
is the systems administrator...
Schutz Ihrer Messaging & Collaboration Infrastruktur
Massnahmen der NSA: „The scariest threat
is the systems administrator...
!   „doing things that machines are
probably better at doing.“
! decrease required access rights
! provide system log trai...
Schutz Ihrer Messaging & Collaboration Infrastruktur
Automatisierung ist die Basis für eine
sichere Infrastruktur!
Auto-
m...
BCC empfiehlt seinen Kunden den
gleichen Lösungsansatz
Lösungsansätze der BCC
Lösungsansatz der BCC
Automatisierung
der
Administrations-
abläufe
Reduzierung der
Zugriffsrechte
Vollständige
Protokollie...
Lösungsansatz BCC für IBM Domino
Implementierung
zusätzlicher
Sicherheitsebene
•  Unabhängig von Domino Admin
Rechten
•  N...
Schutz Ihrer Messaging & Collaboration Infrastruktur
Lösungsangebot der BCC
! DominoProtect
•  Tracking & Protection von D...
Schutz Ihrer Messaging & Collaboration Infrastruktur
Lösungsangebot der BCC
! ClientGenie
•  Integrierte Komprimierung und...
Nächste SlideShare
Wird geladen in …5
×

Wie schützen Sie Ihre Messaging- & Collaboration-Infrastruktur? Lessons learned aus PRISM & Co.

1.026 Aufrufe

Veröffentlicht am

Veröffentlicht in: Software
  • Als Erste(r) kommentieren

  • Gehören Sie zu den Ersten, denen das gefällt!

Wie schützen Sie Ihre Messaging- & Collaboration-Infrastruktur? Lessons learned aus PRISM & Co.

  1. 1. PRISM & Co. – was bedeutet es für Sie? Olaf Boerner
  2. 2. Schutz Ihrer Messaging & Collaboration Infrastruktur About me !   Administrator /Developer since 1994 !   Bei BCC seit 1996 !   DNUG AK Systemmanagement seit 1999 !   IBM Champion ! Twitter: @OlafBoerner !   Working as Senior Architect with large enterprise customers •  reduce Total cost of Ownership of Lotus Domino •  securing and optimizing IBM Domino infrastructures
  3. 3. Schutz Ihrer Messaging & Collaboration Infrastruktur Agenda !  Was bedeutet PRISM & Co. für Ihre E-Mail- Kommunikation? !  Wie können Sie schnell handeln? •  Kurzfristige Lösungsansätze •  integrierte Lösungen für unterschiedliche Kommunikationsszenarien !  Schutz der internen Infrastruktur ?
  4. 4. PRISM & Co. Fraport ArenaFraport Arena
  5. 5. Schutz Ihrer Messaging & Collaboration Infrastruktur Pressesplitter… http://www.spiegel.de/netzwelt/netzpolitik/ueberwachungsaffaere-nsa-spaeht-millionen-google-und-yahoo-nutzern-aus-a-930930.html
  6. 6. Schutz Ihrer Messaging & Collaboration Infrastruktur Pressesplitter… http://m.welt.de/article.do?id=wirtschaft/webwelt/article121426021/Wie-ist-die-NSA-an-die-E-Mails-herangekommen &cid=wirtschaft-webwelt
  7. 7. Schutz Ihrer Messaging & Collaboration Infrastruktur Pressesplitter… http://www.golem.de/news/nsa-skandal-luxemburger-behoerden-ermitteln-gegen-skype-1310-102100.html http://www.heise.de/newsticker/meldung/PRISM-Ueberwachungskandal-Microsoft-ermoeglicht-NSA-Zugriff- auf-Skype-Outlook-com-Skydrive-1916340.html
  8. 8. Schutz Ihrer Messaging & Collaboration Infrastruktur Was ist Prism & Co. !   PRISM •  Seit 2005 laufendes Programm zur umfangreichen Überwachung und systematischen Auswertung des Internet Traffics •  Aktive Beteiligung der führenden Internet Unternehmen •  Microsoft & Skype •  Google •  Facebook •  Yahoo •  Apple !   Verknüpfung mit intelligenten Auswertungsprogrammen wie X-KEYSCORE
  9. 9. Schutz Ihrer Messaging & Collaboration Infrastruktur Welche Daten sammelt PRISM ?
  10. 10. Schutz Ihrer Messaging & Collaboration Infrastruktur X-KEYSCORE
  11. 11. Schutz Ihrer Messaging & Collaboration Infrastruktur X-KEYSCORE
  12. 12. Schutz Ihrer Messaging & Collaboration Infrastruktur X-KEYSCORE
  13. 13. Schutz Ihrer Messaging & Collaboration Infrastruktur X-KEYSCORE – Email Monitoring
  14. 14. Schutz Ihrer Messaging & Collaboration Infrastruktur X-KEYSCORE – Email Monitoring
  15. 15. Schutz Ihrer Messaging & Collaboration Infrastruktur 5 EYES !   Codename für koordiniertes Überwachungsprogramm von fünf Nationen •  USA (Leadership) •  Großbritannien, Kanada, •  Australien und •  Neuseeland !   Intensiver Austausch von Daten und Verfahren !   Fortsetzung des „Echelon“ Projektes vor 2001
  16. 16. Schutz Ihrer Messaging & Collaboration Infrastruktur TEMPORA !   Seit Ende 2011 durch UK Government Communications Headquarters (GCHQ) !   Höhere Leistungsfähigkeit als PRISM •  "They [GCHQ] are worse than the US.“ (Edward Snowden) •  UK officials could also claim GCHQ "produces larger amounts of metadata than NSA". •  GCHQ was handling 600m "telephone events" each day, had tapped more than 200 fibre-optic cables and was able to process data from at least 46 of them at a time •  http://www.theguardian.com/uk/2013/jun/21/gchq-cables- secret-world-communications-nsa
  17. 17. Schutz Ihrer Messaging & Collaboration Infrastruktur „Muscular“ !   Programm zum wahllosen Abfangen der Datenströme aus Glasfaserkabeln zwischen den Rechenzentren der Internetkonzerne Google und Yahoo durch die NSA und ihren britischen Partnerdienst GCHQ. !   Google betreibt weltweit 13 Zentren, auf denen die Daten von Nutzern und deren Informationsströme verwaltet werden. Die Zentren tauschen ständig gigantische Datenmengen untereinander aus. !   NSA und GCHQ haben sich angeblich heimlich Zugang zu den Verbindungskabeln verschafft und kopieren Massen unverschlüsselter Daten.
  18. 18. Schutz Ihrer Messaging & Collaboration Infrastruktur GCHQ & TEMPORA !   GCHQ WebSite - Mission statement !   GCHQ provides intelligence, protects information and informs relevant UK policy to keep our society safe and successful in the Internet age !   Tempora Selection Criteria •  "The criteria are security, terror, organised crime. And economic well-being.“
  19. 19. Was sind die Zielsetzungen dieser Programme ? Terrorbekämpfung ? Wirtschaftsspionage ?
  20. 20. Blick zurück in 2001 Existenz des Spionage System „Echelon“ wird „offiziell“ bestätigt http://en.wikipedia.org/wiki/ECHELON http://de.wikipedia.org/wiki/ECHELON
  21. 21. Schutz Ihrer Messaging & Collaboration Infrastruktur Echelon in 2001 !   „Von Seiten des Ausschusses wird die Gefahr gesehen, dass der US-Geheimdienst die im Wirtschaftsbereich gesammelten Informationen nicht allein im Kampf gegen Korruption einsetzt, sondern um den USA Wettbewerbsvorteile aufgrund von geheimen Nachrichten zu verschaffen“ •  Gerhard SCHMID (SPE, D), Abhörsystem "Echelon“, Dok.: A5-0264/2001, Verfahren: nicht-legislative Stellungnahme (Art. 47 GO), Aussprache und Annahme: 05.09.2001 •  http://www.europarl.europa.eu/sides/getDoc.do? type=PRESS&reference=DN-20010905-1&format=XML&language= DE#SECTION1
  22. 22. Schutz Ihrer Messaging & Collaboration Infrastruktur Bewertung Echelon in 2001 !   „Von Seiten des Ausschusses wird die Gefahr gesehen, dass der US-Geheimdienst die im Wirtschaftsbereich gesammelten Informationen nicht allein im Kampf gegen Korruption einsetzt, sondern um den USA Wettbewerbsvorteile aufgrund von geheimen Nachrichten zu verschaffen“ •  Gerhard SCHMID (SPE, D), Abhörsystem "Echelon“, Dok.: A5-0264/2001, Verfahren: nicht-legislative Stellungnahme (Art. 47 GO), Aussprache und Annahme: 05.09.2001 •  http://www.europarl.europa.eu/sides/getDoc.do? type=PRESS&reference=DN-20010905-1&format=XML&language= DE#SECTION1
  23. 23. Schutz Ihrer Messaging & Collaboration Infrastruktur Vorsprung durch Spionage ? !   Was sagt der deutsche Verfassungsschutz ? !   „Hauptträger der Spionageaktivitäten gegen Deutschland sind derzeit die Russische Föderation und die Volksrepublik China“ !   „Die Spionageabwehr geht – nach derzeitiger Erkenntnislage – davon aus, dass durch westliche Nachrichtendienste keine systematische Wirtschaftsspionage gegen die Bundesrepublik Deutschland durchgeführt wird.“ •  Quelle: Verfassungsschutzbericht 2013 vor Snowden
  24. 24. Schutz Ihrer Messaging & Collaboration Infrastruktur Constanze Kurz, Sprecherin des Chaos Computer Clubs in der FAZ (14.6.2013) !   „Dass es bei PRISM wirklich um Terrorismus geht, glauben ohnehin nur noch die ganz Naiven angesichts der Milliarden Datensätze, die pro Monat abgegriffen werden. !   Denn da nicht hinter jedem Baum ein mutmaßlicher Terrorist lauert, hat in Wahrheit die gute alte Wirtschaftsspionage ein neues prächtiges Gewand bekommen.“
  25. 25. Schutz Ihrer Messaging & Collaboration Infrastruktur Constanze Kurz, Sprecherin des Chaos Computer Clubs in der FAZ (14.6.2013) !   „Was für eine Ausrede hat die Führung eines Unternehmens hierzulande angesichts des massenhaften Datenabgreifens eigentlich noch, die IT-Sicherheit und die alltägliche verpflichtende Benutzung von Verschlüsselungs- und Anonymisierungstechnologien in der eigenen Firma und bei Vertragspartnern nicht durchzusetzen?“ ! http://www.faz.net/aktuell/feuilleton/aus-dem-maschinenraum/europa-und-die- nsa-enthuellung-das-praechtige-neue-gewand-der-guten-alten- wirtschaftsspionage-12220566.html
  26. 26. Schutz Ihrer Messaging & Collaboration Infrastruktur Stellungnahme der BITKOM !   BITKKOM: Verband der IT-, Telekommunikations- und Neue- Medien-Branche mit 1.300 Direktmitglieder !   Ausmaß und Zielrichtung überraschen •  „aber Wirtschaftsspionage gehört zu den Aufgabenbeschreibungen der amerikanischen und britischen Geheimdienste. •  Dass wir nun vom Einsatz nachrichtendienstlicher Mittel in diesem Zusammenhang hören, braucht niemanden zu wundern." !   BITKOM-Präsident Prof. Dieter Kempf (Vorsitzender des Vorstand der DATEV)
  27. 27. Schutz Ihrer Messaging & Collaboration Infrastruktur Terrorbekämpfung ? !   Heise 17.2.2014 Überwacher machen vor US- Anwälten nicht halt •  US-amerikanischen Anwaltskanzlei, „hatte Indonesien in Handelsstreitigkeiten mit den USA vertreten.“ •  Vermutung zur betroffenen Kanzlei „Mayer Brown“ •  TOP10 Global Law firm > Friedrich Merz als Partner •  Überwachung erfolgte durch 5 Eyes •  Australiens Auslandsgeheimdienst ASD •  Herausgabe der Daten an NSA http://www.nytimes.com/2014/02/16/us/eavesdropping-ensnared-american-law-firm.html?_r=1 http://www.heise.de/newsticker/meldung/NSA-Skandal-Ueberwacher-machen-vor-US-Anwaelten-nicht- halt-2115716.html
  28. 28. Schutz Ihrer Messaging & Collaboration Infrastruktur Fazit !   Bedrohungsszenarien wurden bislang eher theoretisch betrachtet !   Tatsächlicher Umfang und Ausmaß der Datensammlung und Auswertung bislang nicht vorstellbar !   Umstellung der Risiko-Bewertung in Unternehmen und Berücksichtigung in Sicherheits-Szenarien !   Analogie zu „Business continuance“ Planung nach 9/11 !   Bislang waren gesetzliche Vorgaben der einzige „Treiber“ (BaFIN)
  29. 29. Schutz Ihrer Messaging & Collaboration Infrastruktur Agenda ! Was bedeutet PRISM & Co. für Ihre E-Mail- Kommunikation? !  Wie können Sie schnell handeln? •  Kurzfristige Lösungsansätze •  integrierte Lösungen für unterschiedliche Kommunikationsszenarien !  Schutz der internen Infrastruktur
  30. 30. Schutz Ihrer Messaging & Collaboration Infrastruktur Organisatorische Vorgaben Externe Kommunikation Interne „Daten“ Infrastruktur
  31. 31. Organisatorische Vorgaben
  32. 32. Schutz Ihrer Messaging & Collaboration Infrastruktur „Schutzwürdige Information“ definieren !   Welche Typen von Informationen und Dokumenten •  Bilanzen, GuV, internes Controlling etc. •  Strategische Planungen und Konzepte •  Forschung und Entwicklung !   Konkrete interne Anweisungen, •  Festlegung von Geheimhaltungsstufen •  welche interne Informationen dürfen nicht in einer „unverschlüsselten“ Internet-Mail versendet werden •  welche Informationen niemals per E Mail !   Festlegung der „gesicherten“ Speicherung und Kommunikation
  33. 33. Schutz Ihrer Messaging & Collaboration Infrastruktur Beispiel: Geheimhaltungsstufen !   STRENG GEHEIM (abgekürzt: str. geh.; auch: Stufe II): •  lebenswichtige Interessen der Bundesrepublik Deutschland gefährden •  Kennzeichnung: Auf Schriftstücken roter Stempelabdruck oder Druck in der Kopf- und Fußzeile. !   GEHEIM (geh.; auch: Stufe I) •  die Sicherheit der Bundesrepublik Deutschland oder gefährden •  Kennzeichnung: Auf Schriftstücken roter Stempelabdruck oder Druck in der Kopf- und Fußzeile. !   VERSCHLUSSSACHE – VERTRAULICH (VS-VERTRAULICH, VS-Vertr.): •  kann für die Interessen der Bundesrepublik Deutschland schädlich sein. •  Kennzeichnung: Auf Schriftstücken blauer oder schwarzer Stempelabdruck oder Druck in der Kopfzeile. !   VERSCHLUSSSACHE – NUR FÜR DEN DIENSTGEBRAUCH (VS-NUR FÜR DEN DIENSTGEBRAUCH, VS-NfD): •  die Kenntnisnahme kann nachteilig sein. •  Kennzeichnung: Auf Schriftstücken blauer oder schwarzer Stempelabdruck oder Druck in der Kopfzeile.
  34. 34. Schutz Ihrer Messaging & Collaboration Infrastruktur Externe Kommunikation Interne Daten InfrastrukturOrganisatorische Vorgaben
  35. 35. Schutz Ihrer Messaging & Collaboration Infrastruktur Externe Kommunikation !   Keine Nutzung von Public Cloud Diensten •  Dienste in der Public Cloud sind unsicher ! •  Dropbox, •  SkyDrive, •  Google Drive oder •  Skype ! Verstoss gegen Datenschutz Bestimmungen prüfen ! !   Beispiel Skype •  "Skype nutzt gegebenenfalls innerhalb von Sofortnachrichten und SMS automatisiertes Scannen zur Bestimmung von (a) vermutlichem Spam und/oder (b) URLs, die bereits als Spam-, Betrugs- oder Phishing-Links identifiziert wurden.“ •  Einverständnis, dass Skype alles mitlesen darf •  http://www.heise.de/security/meldung/Vorsicht-beim-Skypen- Microsoft-liest-mit-1857620.html
  36. 36. Schutz Ihrer Messaging & Collaboration Infrastruktur Externe Kommunikation !   Mitarbeiter sollten intern nicht über „externe“ private E-Mail kommunizieren •  Umweg über das Internet vermeiden •  ausschließlich über interne Infrastruktur Mail !   Absicherung mit Verschlüsselung / PKI Lösung •  Größere Unternehmen sollten dafür einen internen, nicht vom Internet aus erreichbaren PKI-Server einsetzen, •  Alternativ Nutzung öffentlicher PKI Dienste •  Einbindung wichtiger Geschäftspartner an der Verschlüsselungslösung „forcieren“
  37. 37. „Encryption works. Properly implemented strong crypto systems are one of the few things that you can rely on.“ Edward Snowden http://www.theguardian.com/world/2013/jun/17/edward- snowden-nsa-files-whistleblower http://www.theguardian.com/world/2013/sep/05/nsa- how-to-remain-secure-surveillance
  38. 38. Schutz Ihrer Messaging & Collaboration Infrastruktur Technische Empfehlung zur Verschlüsselung !   RSA Algorithmus Verfahren als „negatives positives Beispiel“ •  Dual Elliptic Curve Deterministic Random Bit Generation (or Dual EC DRBG) •  Einbau in „Bsafe“ Libary •  Wird auch durch IBM in Notes verwendet !   Nutzung von OpenSource Produkten •  OpenSSL •  OpenPGP •  OpenVPN
  39. 39. E-Mail Kommunikationskanäle
  40. 40. Schutz Ihrer Messaging & Collaboration Infrastruktur Lösungsansatz „TLS/SSL“ !   1995 mit Extended SMTP (ESMTP) in RFC 1869 erweitert !   Verschlüsselung über SSL/TLS •  SMTP Kommunikation zwischen zwei Mail-Servern wird beim Verbindungsaufbau verschlüsselt •  Absicherung der IP Kommunikation (Transportweges) !   Aktion „E-Mail made in Germany“ nutzt dies nun endlich •  Deutsche Telekom, •  Web.de und GMX !   Schnelle & einfache Umsetzung -> EMPFEHLUNG
  41. 41. Schutz Ihrer Messaging & Collaboration Infrastruktur PKI mit PGP !   Verschlüsselung der E-Mails steht im Vordergrund •  Keine Prüfung der Signaturen / Authentizität !   Keine „native“ Unterstützung in E Mail Clients •  Installation von Plug-Ins für E-Mail-Client erforderlich •  Keine integrierte Handhabung !   PKI in der Regel mit Unternehmenszertifikaten •  PGP Zertifikate für das gesamte Unternehmen •  Keine Userbasierten PGP Zertifikate •  Eigene & kostengünstige Erstellung von PGP Zertifikaten •  Direkter Austausch der Zertifikate mit dem Kommunikationspartner
  42. 42. Schutz Ihrer Messaging & Collaboration Infrastruktur PKI mit PGP: Empfehlungen !   Nutzung von GnuPG auf Basis OpenPGP !   Einsatz mit Unternehmenszertifikaten !   Nutzung von PGP i.d.R nur in Verbindung mit E-Mail- Gateways !   Automatische Verschlüsselung der gesamten E-Mail- Kommunikation zwischen zwei Kommunikationspartnern !   Fazit •  Einfache & kostengünstige Lösung •  Nutzung von Mail Gateways als Zusatz-Software erforderlich •  Keine Berücksichtigung von Signatur / Authentifizierung der Absender
  43. 43. Schutz Ihrer Messaging & Collaboration Infrastruktur Bewertung PGP Vorteil •  Einfaches kostengünstiges Verfahren •  Eigene Zertifikate Nachteil •  Einsatz von Zusatz Software •  Keine Authentifizierung
  44. 44. Schutz Ihrer Messaging & Collaboration Infrastruktur S/MIME Verschlüsselung !   „DER Standard“ !   Nutzung von X509 Zertifikaten •  CA, SubCA & User Zertifikat •  CA Hierarchie !   Verschlüsselung und Signatur Prüfung integriert !   Exkurs Signatur-Prüfung !   Standardmäßig für jeden Mail Client •  MS Outlook, Lotus Notes •  Apple Mail, Thunderbird etc. •  iPhone, Android, Blackberry !   Ende-zu-Ende Verschlüsselung als Standard
  45. 45. Schutz Ihrer Messaging & Collaboration Infrastruktur Nutzung von Zertifikaten bei S/MIME !   Analog zu Notes PKI •  CA –> O Certifier •  X509 –> UserID •  Trust zwischen CA –> Querzulassung !   Einmalige Trust Beziehung zwischen zwei Kommunikations- Partnern notwendig •  „User Impact durch Fehlermeldungen“ im E Mail Client •  Automatisierung der Trust Beziehung durch „Öffentliche“ Root CA‘s möglich •  Analog zu SSL Zertifikaten !   Externe „kostenpflichtige“ Erstellung von S/MIME Zertifikaten !   Abhängigkeit vom Kommunikationspartner ! •  Empfänger braucht ein X.509 Zertifikat •  Know-how zum Umgang
  46. 46. Schutz Ihrer Messaging & Collaboration Infrastruktur Lösungsansätze für S/MIME Zertikate !   Vorgabe der verschlüsselten Kommunikation als IT Security Richtlinie •  Analogie zu „Ohne Faxgerät keine Bestellung“ !   Verwendung kostenloser SMIME Zertifikate •  Variante "Class 1“ •  Für Privatpersonen und kleine Firmen ausreichend •  Anbieter •  Instant SSL - http://www.instantssl.com/ssl-certificate-products/free- email-certificate.html •  Start SSL https://www.startssl.com !   Erstellung eigener Zertifikate •  Interne Nutzung •  für Kommunikationspartner mit Anweisung •  Nutzung von openssl
  47. 47. Wo ist das Problem mit S/MIME ?
  48. 48. Schutz Ihrer Messaging & Collaboration Infrastruktur Max Raabe und das PKI Dilemma ....
  49. 49. Schutz Ihrer Messaging & Collaboration Infrastruktur Sonstige Hindernisse für S/MIME !   Endanwender •  Schulungsbedarf für technisches Verständnis •  Begleitende organisatorische Vorgabe ist wichtig !   Aufwände bei unternehmensweiten Einsatz •  Erstellung S/MIME Zertifikaten und •  Konfiguration der E Mail Clients •  Management der Trustbeziehungen !   Interne Vorgabe der E-Mail Sicherheit •  Zentraler Virenschutz •  Zentrale Archivierung !   Lösungsansätze: •  Nutzung von serverbasierten E Mail Gateways •  Automatisierung des Zertifikats Management (Intern & Extern) •  Nutzung von kostenlosen S/MIME Zertifikaten •  http://www.comodo.com/home/email-security/free-email-certificate.php
  50. 50. Schutz Ihrer Messaging & Collaboration Infrastruktur Bewertung S/MIME Vorteil •  Standard Verfahren •  Technisch ausgereift •  Nutzung im B2B einfach möglich Nachteil •  Einsatz von Zusatz Software sinnvoll •  Abhängigkeit von externen Kommunikations- partner
  51. 51. Schutz Ihrer Messaging & Collaboration Infrastruktur Lösungsansatz „E-Mail Verschlüsselung“ ohne PKI !   Automatische Konvertierung ausgehender E-Mails am E-Mail Server •  Umwandlung der gesamten E-Mail in PDF •  Einbettung Attachment in PDF File •  Einbettung Attachment in ZIP File •  Verschlüsselung mit Passwort und „automatisierter“ Weitergabe
  52. 52. Schutz Ihrer Messaging & Collaboration Infrastruktur Bewertung PKI lose Verschlüsslung Vorteil •  Keine Abhängigkeit von externen Kommunikations- partner •  Einfache Nutzung im B2B und B2C möglich Nachteil •  Erklärungsbedarf bei Übermittlung des Passwortes •  Komfort bei häufigem E-Mail Verkehr
  53. 53. Lösungsansätze “E-Mail“
  54. 54. Bewertung Lösungsansätze
  55. 55. Schutz Ihrer Messaging & Collaboration Infrastruktur Lösungsangebot der BCC ! MailProtect – Schutz der E Mail Kommunikation •  Zentrales serverbasiertes E-Mail Management •  S/MIME •  PGP •  Instant Encryption •  Interne sichere Zustellung mit Notes PKI (Secure Delivery)
  56. 56. Schutz Ihrer Messaging & Collaboration Infrastruktur Externe Kommunikation Interne InfrastrukturOrganisatorische Vorgaben
  57. 57. Schutz der internen Infrastruktur
  58. 58. Schutz der internen Infrastruktur Was macht eigentlich die NSA ? oder Lessons learned ;-)
  59. 59. Schutz Ihrer Messaging & Collaboration Infrastruktur Massnahmen der NSA oder „The scariest threat is the systems administrator,” Zusätzliche Protokollierung & Sicherungssysteme 4 Augen Prinzip Automatisierung !
  60. 60. Schutz Ihrer Messaging & Collaboration Infrastruktur Massnahmen der NSA: „The scariest threat is the systems administrator,” !   “a two-man rule” that would limit the ability of each of its 1,000 system admins to gain unfettered access to the entire system !   Auf Deutsch „4 Augen Prinzip“
  61. 61. Schutz Ihrer Messaging & Collaboration Infrastruktur Massnahmen der NSA: „The scariest threat is the systems administrator,” !   „Was wir gerade machen - nicht schnell genug - ist die Reduzierung unserer System- Administratoren um rund 90 Prozent.“ Keith Alexander !   Aufgaben sollten soweit wie möglich automatisiert werden, damit weniger Menschen in Kontakt mit sensiblen Informationen kommen. !   Fazit: Automatisierung -> Reduktion der Administratoren um 90%
  62. 62. !   „doing things that machines are probably better at doing.“ ! decrease required access rights ! provide system log trails !   TCO is (currently) not important for NSA ;-) Summary
  63. 63. Schutz Ihrer Messaging & Collaboration Infrastruktur Automatisierung ist die Basis für eine sichere Infrastruktur! Auto- matisierung Compliance Security Reduce TCO
  64. 64. BCC empfiehlt seinen Kunden den gleichen Lösungsansatz
  65. 65. Lösungsansätze der BCC
  66. 66. Lösungsansatz der BCC Automatisierung der Administrations- abläufe Reduzierung der Zugriffsrechte Vollständige Protokollierung aller Aktvitäten
  67. 67. Lösungsansatz BCC für IBM Domino Implementierung zusätzlicher Sicherheitsebene •  Unabhängig von Domino Admin Rechten •  Nicht durch Admin manipulierbar Erweiterte detaillierte Protokollierung •  „sicherheitsrelevanten Informationen“ •  Protokollierung ausserhalb von Domino Realtime Protection •  Änderungen •  Zugriff •  Manipuationen
  68. 68. Schutz Ihrer Messaging & Collaboration Infrastruktur Lösungsangebot der BCC ! DominoProtect •  Tracking & Protection von Datenbeständen auf Domino Server •  Konfigurations Daten •  Applikations Daten •  Realtime Monitoring des Zugriffs auf sensible Daten •  Realtime Schutz bei Änderungen von definierten Datenbeständen •  Restriktive Berechtigungen in der Administration
  69. 69. Schutz Ihrer Messaging & Collaboration Infrastruktur Lösungsangebot der BCC ! ClientGenie •  Integrierte Komprimierung und Verschlüsselung von Attachments mit AES 256 Bit !   Vorteile •  Enge Integration mit dem Notes Client •  Keine Zusatzsoftware erforderlich

×