Verschlüsselung von
Daten & E-Mails
Ansätze, Erfahrungen & Best
Practices
SBA Research
Unternehmensprofil
Basic Facts
• Gegründet 2006
• Forschungs-/Kompetenzzentrum für
Informationssicherheit und einer der größten Security
Dien...
Unternehmensprofil
Forschungsportfolio
P1.1: Risk Management and Analysis
P1.2: Secure BP Modeling, Simulation and Verific...
Unternehmensprofil
Beratungsportfolio
Security Governance
Business Impact & Risiko Analyse
IT/IS Audit
ISO 27001 GAP Analy...
Verschlüsselungansätze
Typische Gründe für Verschlüsselung
• Schutz geistigen Eigentums
– Formeln, Verfahren, Baupläne,...
• Schutz der Privatsph...
Typische Anwendungeszenarien
• Data at Rest
– Festplattenverschlüsselung
– Containerverschlüsselung
– Mobiltelefone
– USB ...
Die Welt der Verschlüsselung
• Symmetric
Algorithms
• (Shared Secret)
• DES
• 3DES
• AES
• Blowfish
• Twofish
• Cast
• RC4...
Verschlüsselungsmethoden
• Symmetrisch
• Geheim = Schlüssel
– Stärken
• Schnell
– Schwächen
• Schlüsselverteilung
• Skalie...
Verschlüsselungsmethoden
• Asymmetrisch
(Schlüsselpaare)
– Mathematische Probleme
– Signaturen
– Stärken
• Schlüsselvertei...
Verschiedene Ziele
• Ein Nachricht kann…
– Verschlüsselt werden = Vertraulichkeit
– Gehashed werden = Integrität
– Digital...
Zertifikatsinfrastrukturen &
Emailverschlüsselung
Email Verschlüsselung mit S/MIME & PGP
• Wo wird verschlüsselt? End to end vs. Edge to Edge
• Secure MIME
– Verbreiteter S...
Erfahrungen
Real world problem
Die großen Probleme mit Verschlüsselung
• Wer kennt sich damit im Unternehmen aus?
– Was ist im Backup/Restorefall?
– Wer ...
Bedarfsanalyse
Business Impact Analyse (BIA) Ergebnisse
Bedarfsanalyse
Business Impact Analyse (BIA) Ergebnisse
Bedarfsanalyse
Business Impact Analyse (BIA) Ergebnisse
Wie werden Daten klassifiziert?
• User Based
– Einbindung in Emailclient & andere Programme?
• Location Based
– Ordner bzw...
User basierende Klassifikation
Wie möchte ich meine Daten schützen
• Versuche ich die Daten beim Speichern & Übertragen
und/oder am Ziel zu schützen?
– D...
IRM bei Email
IRM bei Dokumenten
Best Practices & Tools
Klassifizierung
• User muss (meistens) dazu gezwungen werden
– Plugins in Mail & Office notwendig
– Produkte: Titus, Secur...
Verwenden von bereits vorhandenen Tools
• Gerade bei großen Firmen & zB oft mit Microsoft EA
mitgekauft
– Bitlocker für La...
Email Verschlüsselung
• SSL/TLS auf Anfrage bzw. permanentes SSL/TLS
zwischen Partnerfimen auf Email Server/Gateway
Ebene
...
Cloudlösungen können verschlüsselt betrieben
werden
• Wenn nicht in der Cloud verschlüsselt wird,
verschlüssle ich die Clo...
Zusammenfassung
• Was muss ich schützen?
• Wo muss ich es (überall) schützen?
• Welche technischen Ansätze gibt es dafür: ...
DI Mag. Andreas Tomek
SBA Research gGmbH
Favoritenstraße 16, 1040 Wien
+43 1 505 36 88 – 1101
atomek@sba-research.org
Nächste SlideShare
Wird geladen in …5
×

Verschlüsselung von Daten & Emails

1.006 Aufrufe

Veröffentlicht am

Probleme & Herausforderungen bei der Einführung von Verschlüsselungslösungen in der Praxis

Veröffentlicht in: Präsentationen & Vorträge
0 Kommentare
0 Gefällt mir
Statistik
Notizen
  • Als Erste(r) kommentieren

  • Gehören Sie zu den Ersten, denen das gefällt!

Keine Downloads
Aufrufe
Aufrufe insgesamt
1.006
Auf SlideShare
0
Aus Einbettungen
0
Anzahl an Einbettungen
34
Aktionen
Geteilt
0
Downloads
10
Kommentare
0
Gefällt mir
0
Einbettungen 0
Keine Einbettungen

Keine Notizen für die Folie

Verschlüsselung von Daten & Emails

  1. 1. Verschlüsselung von Daten & E-Mails Ansätze, Erfahrungen & Best Practices
  2. 2. SBA Research Unternehmensprofil
  3. 3. Basic Facts • Gegründet 2006 • Forschungs-/Kompetenzzentrum für Informationssicherheit und einer der größten Security Dienstleister am österr. Markt • Forschungs-, Audit, Beratungs-, Implementierungs- & Betriebs-Know How unter einem Dach • Über 100 Köpfe und circa 75+ FTEs im Dienstverhältnis • Management – Edgar Weippl – Forschung & Lehre – Andreas Tomek – Professional Services & Business Developement – Markus Klemen – Fokus General Management & Secure Software
  4. 4. Unternehmensprofil Forschungsportfolio P1.1: Risk Management and Analysis P1.2: Secure BP Modeling, Simulation and Verification P1.3: Computer Security Incident Response Team P1.4: Awareness and E-Learning Area 1 (GRC): Governance, Risk and Compliance P2.1: Privacy Enhancing Technologies P2.2: Enterprise Rights Management P2.3: Digital Preservation Area 2 (DSP): Data Security and Privacy P3.1: Malware Detection and Botnet Economics P3.2: Systems and Software Security P3.3: Digital Forensics Area 3 (SCA): Secure Coding and Code Analysis P4.1: Hardware Security and Differential Fault Analysis P4.2: Pervasive Computing P4.3: Network Security of the Future Internet Area 4 (HNS): Hardware and Network Security
  5. 5. Unternehmensprofil Beratungsportfolio Security Governance Business Impact & Risiko Analyse IT/IS Audit ISO 27001 GAP Analyse ISO 27001 / ISMS Begleitung Security Awareness Security Testing & Guidance Penetration Testing SDLC Beratung Source Code Analyse – A7700 Microsoft Security Security Architecture Review Trusted Services Vulnerability Management APT Protection/Response & Lastline Control Review & IS ControlPoint Source Code Review & Checkmarx Training | Schulung | Coaching | Vorträge Corporate Information Protection
  6. 6. Verschlüsselungansätze
  7. 7. Typische Gründe für Verschlüsselung • Schutz geistigen Eigentums – Formeln, Verfahren, Baupläne,... • Schutz der Privatsphäre – Emails, Dokumente, Bilder,... • Schutz vor Kollegen & Administratoren • Gesetzliche & Regulative Auflagen – PCI-DSS, Elektronische Signatur,... • Die Cloud kommt... – Wen schon dort dann verschlüsselt • Papierprozesse vereinfachen & beschleunigen – Unterschriftenmappen, Auftragsfreigaben usw.
  8. 8. Typische Anwendungeszenarien • Data at Rest – Festplattenverschlüsselung – Containerverschlüsselung – Mobiltelefone – USB Sticks – Cloud Lösungen • Data in Motion – SSL – Email Verschlüsselung – Datentransfer mit Externen
  9. 9. Die Welt der Verschlüsselung • Symmetric Algorithms • (Shared Secret) • DES • 3DES • AES • Blowfish • Twofish • Cast • RC4 • Asymmetric Algorithms • (Public/Private) • Diffie Hellman • RSA • Elliptical Curve • El Gamal • Knapsack • Hashing Algorithms • (Message Digests) • MD5 • SHA1 • Haval
  10. 10. Verschlüsselungsmethoden • Symmetrisch • Geheim = Schlüssel – Stärken • Schnell – Schwächen • Schlüsselverteilung • Skalierbarkeit • Nur Vertraulichkeit
  11. 11. Verschlüsselungsmethoden • Asymmetrisch (Schlüsselpaare) – Mathematische Probleme – Signaturen – Stärken • Schlüsselverteilung • Skalierbarkeit – Schwächen • Langsam
  12. 12. Verschiedene Ziele • Ein Nachricht kann… – Verschlüsselt werden = Vertraulichkeit – Gehashed werden = Integrität – Digital Signiert werden = Integrität & Nichtabstreitbarkeit – Verschlüsselt und signiert werden um alle Ziele abzudecken
  13. 13. Zertifikatsinfrastrukturen & Emailverschlüsselung
  14. 14. Email Verschlüsselung mit S/MIME & PGP • Wo wird verschlüsselt? End to end vs. Edge to Edge • Secure MIME – Verbreiteter Standard – Erweitert den MIME Standard um Verschlüsselung und Signierung von Anhängen und Nachrichten – Konkreter Algorithmus muss vom User spezifiziert werden – Benötigt eine PKI/CA-Infrastruktur • PGP – Basiert auf einem „Web of Trust“ • Web basierende Systeme – Login mit Passwort mit Username/Passwort bzw. 2 Faktor
  15. 15. Erfahrungen
  16. 16. Real world problem
  17. 17. Die großen Probleme mit Verschlüsselung • Wer kennt sich damit im Unternehmen aus? – Was ist im Backup/Restorefall? – Wer hat trotzdem Zugriff? Schutz vor Admins vs. Admins... – Malware Scanning, Filter usw. – Aufbrechen von SSL? Darf ich das? • Wie einfach ist es zu verwenden? – Userbasiert vs. Zwang – Technisches Wissen meiner User & deren Partner – Werden alle Platformen unterstützt? • Und vor Allem: Welche Daten sind schützenswert und wo liegen Sie bzw. wie werden Sie verwendet? – Informationsklassifikation vorhanden? – Business Impact Analyse aktuell?
  18. 18. Bedarfsanalyse Business Impact Analyse (BIA) Ergebnisse
  19. 19. Bedarfsanalyse Business Impact Analyse (BIA) Ergebnisse
  20. 20. Bedarfsanalyse Business Impact Analyse (BIA) Ergebnisse
  21. 21. Wie werden Daten klassifiziert? • User Based – Einbindung in Emailclient & andere Programme? • Location Based – Ordner bzw. Lokation – Auf Basis des Endgeräts – Bestimmte Absender & Empfängeradressen • Content Based – Filetypes – Keywords – Claims – Und natürlich regelmäßige Wartung dieser Regeln
  22. 22. User basierende Klassifikation
  23. 23. Wie möchte ich meine Daten schützen • Versuche ich die Daten beim Speichern & Übertragen und/oder am Ziel zu schützen? – DLP – Festplatten & Speicherverschlüsselung – Email • Oder versuche ich die Daten selbst zu schützen = Digital Rights Management (DRM) / Information Rights Management – Microsoft RMS – Oracle IRM – Adobe DRM
  24. 24. IRM bei Email
  25. 25. IRM bei Dokumenten
  26. 26. Best Practices & Tools
  27. 27. Klassifizierung • User muss (meistens) dazu gezwungen werden – Plugins in Mail & Office notwendig – Produkte: Titus, Secure Island, Gigatrust,... – Default: Internal • Lokationsbasierend mit Boardmitteln – File Classification Services – SharePoint – Exchange Rules
  28. 28. Verwenden von bereits vorhandenen Tools • Gerade bei großen Firmen & zB oft mit Microsoft EA mitgekauft – Bitlocker für Laptops – Bitlocker 2 Go – RMS – IPSec auf Netzwerkebene – Smartcard Authentifizierung – Enterprise CA – Direct Access & VPN
  29. 29. Email Verschlüsselung • SSL/TLS auf Anfrage bzw. permanentes SSL/TLS zwischen Partnerfimen auf Email Server/Gateway Ebene • Edge Lösungen sind leichter zu administrieren – S/MIME, PGP und Portallösungen müssen zusammenarbeiten, viele Turnkey Solutions am Markt • End to End ist oft mühsam und nur in Spezialfällen sinnvoll – Virenscanning – Suche in Email Programmen – Archivierung
  30. 30. Cloudlösungen können verschlüsselt betrieben werden • Wenn nicht in der Cloud verschlüsselt wird, verschlüssle ich die Cloud • Privatbereich Boxcryptor und andere Programme • Enterprise Lösungen wie Ciphercloud – Office 365 – SalesForce – Box, Dropbox.... – Amazon WS – GMAIL • Key Management!
  31. 31. Zusammenfassung • Was muss ich schützen? • Wo muss ich es (überall) schützen? • Welche technischen Ansätze gibt es dafür: IRM vs. Verschlüsselung? • Wie mache ich es für meine User transparent und einfach benutzbar? • Auf was muss ich in der Administration aufpassen? • Technische Lösung ist der kleinste Teil des Putzels
  32. 32. DI Mag. Andreas Tomek SBA Research gGmbH Favoritenstraße 16, 1040 Wien +43 1 505 36 88 – 1101 atomek@sba-research.org

×