Wie schützen Sie Ihre Messaging- & Collaboration-Infrastruktur? Lessons learned aus PRISM & Co.

PRISM & Co. –
was bedeutet es für Sie?
Olaf Boerner

Schutz Ihrer Messaging & Collaboration Infrastruktur
About me
!   Administrator /Developer since 1994
!   Bei BCC seit 1996
!   DNUG AK Systemmanagement
seit 1999
!   IBM Champion
! Twitter: @OlafBoerner
!   Working as Senior Architect with large
enterprise customers
•  reduce Total cost of Ownership of Lotus Domino
•  securing and optimizing IBM Domino infrastructures

Agenda
!  Was bedeutet PRISM & Co. für Ihre E-Mail-
Kommunikation?
!  Wie können Sie schnell handeln?
•  Kurzfristige Lösungsansätze
•  integrierte Lösungen für unterschiedliche
Kommunikationsszenarien
!  Schutz der internen Infrastruktur ?

PRISM & Co.
Fraport ArenaFraport Arena

Pressesplitter…
http://www.spiegel.de/netzwelt/netzpolitik/ueberwachungsaffaere-nsa-spaeht-millionen-google-und-yahoo-nutzern-aus-a-930930.html

Pressesplitter…
http://m.welt.de/article.do?id=wirtschaft/webwelt/article121426021/Wie-ist-die-NSA-an-die-E-Mails-herangekommen
&cid=wirtschaft-webwelt

Pressesplitter…
http://www.golem.de/news/nsa-skandal-luxemburger-behoerden-ermitteln-gegen-skype-1310-102100.html
http://www.heise.de/newsticker/meldung/PRISM-Ueberwachungskandal-Microsoft-ermoeglicht-NSA-Zugriff-
auf-Skype-Outlook-com-Skydrive-1916340.html

Was ist Prism & Co.
!   PRISM
•  Seit 2005 laufendes Programm zur umfangreichen
Überwachung und systematischen Auswertung des
Internet Traffics
•  Aktive Beteiligung der führenden Internet Unternehmen
•  Microsoft & Skype
•  Google
•  Facebook
•  Yahoo
•  Apple
!   Verknüpfung mit intelligenten
Auswertungsprogrammen wie X-KEYSCORE

Welche Daten sammelt PRISM ?

X-KEYSCORE

X-KEYSCORE – Email Monitoring

5 EYES
!   Codename für koordiniertes
Überwachungsprogramm von fünf Nationen
•  USA (Leadership)
•  Großbritannien,
Kanada,
•  Australien und
•  Neuseeland
!   Intensiver Austausch von Daten und Verfahren
!   Fortsetzung des „Echelon“ Projektes vor 2001

TEMPORA
!   Seit Ende 2011 durch UK Government
Communications Headquarters (GCHQ)
!   Höhere Leistungsfähigkeit als PRISM
•  "They [GCHQ] are worse than the US.“ (Edward
Snowden)
•  UK officials could also claim GCHQ "produces larger
amounts of metadata than NSA".
•  GCHQ was handling 600m "telephone events" each day,
had tapped more than 200 fibre-optic cables and was
able to process data from at least 46 of them at a time
•  http://www.theguardian.com/uk/2013/jun/21/gchq-cables-
secret-world-communications-nsa

„Muscular“
!   Programm zum wahllosen Abfangen der Datenströme aus
Glasfaserkabeln zwischen den Rechenzentren der
Internetkonzerne Google und Yahoo durch die NSA und ihren
britischen Partnerdienst GCHQ.
!   Google betreibt weltweit 13 Zentren, auf denen die Daten von
Nutzern und deren Informationsströme verwaltet werden. Die
Zentren tauschen ständig gigantische Datenmengen
untereinander aus.
!   NSA und GCHQ haben sich angeblich heimlich Zugang zu den
Verbindungskabeln verschafft und kopieren Massen
unverschlüsselter Daten.

GCHQ & TEMPORA
!   GCHQ WebSite - Mission statement
!   GCHQ provides intelligence, protects information and informs
relevant UK policy to keep our society safe and successful in the
Internet age
!   Tempora Selection Criteria
•  "The criteria are security, terror, organised crime. And
economic well-being.“

Was sind die Zielsetzungen dieser
Programme ?
Terrorbekämpfung ?
Wirtschaftsspionage ?

Blick zurück in 2001
Existenz des Spionage System
„Echelon“ wird „offiziell“ bestätigt
http://en.wikipedia.org/wiki/ECHELON
http://de.wikipedia.org/wiki/ECHELON

Echelon in 2001
!   „Von Seiten des Ausschusses wird die Gefahr
gesehen, dass der US-Geheimdienst die im
Wirtschaftsbereich gesammelten Informationen
nicht allein im Kampf gegen Korruption einsetzt,
sondern um den USA Wettbewerbsvorteile
aufgrund von geheimen Nachrichten zu
verschaffen“
•  Gerhard SCHMID (SPE, D), Abhörsystem "Echelon“, Dok.:
A5-0264/2001, Verfahren: nicht-legislative Stellungnahme (Art. 47
GO), Aussprache und Annahme: 05.09.2001
•  http://www.europarl.europa.eu/sides/getDoc.do?
type=PRESS&reference=DN-20010905-1&format=XML&language=
DE#SECTION1

Bewertung Echelon in 2001
!   „Von Seiten des Ausschusses wird die Gefahr
gesehen, dass der US-Geheimdienst die im
Wirtschaftsbereich gesammelten Informationen
nicht allein im Kampf gegen Korruption einsetzt,
sondern um den USA Wettbewerbsvorteile
aufgrund von geheimen Nachrichten zu
verschaffen“
•  Gerhard SCHMID (SPE, D), Abhörsystem "Echelon“, Dok.:
A5-0264/2001, Verfahren: nicht-legislative Stellungnahme (Art. 47
GO), Aussprache und Annahme: 05.09.2001
•  http://www.europarl.europa.eu/sides/getDoc.do?
type=PRESS&reference=DN-20010905-1&format=XML&language=
DE#SECTION1

Vorsprung durch Spionage ?
!   Was sagt der deutsche Verfassungsschutz ?
!   „Hauptträger der Spionageaktivitäten gegen
Deutschland sind derzeit die Russische Föderation
und die Volksrepublik China“
!   „Die Spionageabwehr geht – nach derzeitiger
Erkenntnislage – davon aus, dass durch westliche
Nachrichtendienste keine systematische
Wirtschaftsspionage gegen die Bundesrepublik
Deutschland durchgeführt wird.“
•  Quelle: Verfassungsschutzbericht 2013 vor Snowden

Constanze Kurz, Sprecherin des Chaos
Computer Clubs in der FAZ (14.6.2013)
!   „Dass es bei PRISM wirklich um Terrorismus geht,
glauben ohnehin nur noch die ganz Naiven
angesichts der Milliarden Datensätze, die pro
Monat abgegriffen werden.
!   Denn da nicht hinter jedem Baum ein mutmaßlicher
Terrorist lauert, hat in Wahrheit die gute alte
Wirtschaftsspionage ein neues prächtiges Gewand
bekommen.“

Constanze Kurz, Sprecherin des Chaos
Computer Clubs in der FAZ (14.6.2013)
!   „Was für eine Ausrede hat die Führung eines
Unternehmens hierzulande angesichts des
massenhaften Datenabgreifens eigentlich noch, die
IT-Sicherheit und die alltägliche verpflichtende
Benutzung von Verschlüsselungs- und
Anonymisierungstechnologien in der eigenen Firma
und bei Vertragspartnern nicht durchzusetzen?“
! http://www.faz.net/aktuell/feuilleton/aus-dem-maschinenraum/europa-und-die-
nsa-enthuellung-das-praechtige-neue-gewand-der-guten-alten-
wirtschaftsspionage-12220566.html

Stellungnahme der BITKOM
!   BITKKOM: Verband der IT-, Telekommunikations- und Neue-
Medien-Branche mit 1.300 Direktmitglieder
!   Ausmaß und Zielrichtung überraschen
•  „aber Wirtschaftsspionage gehört zu den
Aufgabenbeschreibungen der amerikanischen und
britischen Geheimdienste.
•  Dass wir nun vom Einsatz nachrichtendienstlicher Mittel
in diesem Zusammenhang hören, braucht niemanden zu
wundern."
!   BITKOM-Präsident Prof. Dieter Kempf (Vorsitzender des
Vorstand der DATEV)

Terrorbekämpfung ?
!   Heise 17.2.2014 Überwacher machen vor US-
Anwälten nicht halt
•  US-amerikanischen Anwaltskanzlei, „hatte Indonesien in
Handelsstreitigkeiten mit den USA vertreten.“
•  Vermutung zur betroffenen Kanzlei „Mayer Brown“
•  TOP10 Global Law firm > Friedrich Merz als Partner
•  Überwachung erfolgte durch 5 Eyes
•  Australiens Auslandsgeheimdienst ASD
•  Herausgabe der Daten an NSA
http://www.nytimes.com/2014/02/16/us/eavesdropping-ensnared-american-law-firm.html?_r=1
http://www.heise.de/newsticker/meldung/NSA-Skandal-Ueberwacher-machen-vor-US-Anwaelten-nicht-
halt-2115716.html

Fazit
!   Bedrohungsszenarien wurden bislang eher
theoretisch betrachtet
!   Tatsächlicher Umfang und Ausmaß der
Datensammlung und Auswertung bislang nicht
vorstellbar
!   Umstellung der Risiko-Bewertung in Unternehmen
und Berücksichtigung in Sicherheits-Szenarien
!   Analogie zu „Business continuance“ Planung nach
9/11
!   Bislang waren gesetzliche Vorgaben der einzige
„Treiber“ (BaFIN)

Agenda
! Was bedeutet PRISM & Co. für Ihre E-Mail-
Kommunikation?
!  Wie können Sie schnell handeln?
•  Kurzfristige Lösungsansätze
•  integrierte Lösungen für unterschiedliche
Kommunikationsszenarien
!  Schutz der internen Infrastruktur

Organisatorische Vorgaben
Externe Kommunikation
Interne „Daten“
Infrastruktur

„Schutzwürdige Information“ definieren
!   Welche Typen von Informationen und Dokumenten
•  Bilanzen, GuV, internes Controlling etc.
•  Strategische Planungen und Konzepte
•  Forschung und Entwicklung
!   Konkrete interne Anweisungen,
•  Festlegung von Geheimhaltungsstufen
•  welche interne Informationen dürfen nicht in einer
„unverschlüsselten“ Internet-Mail versendet werden
•  welche Informationen niemals per E Mail
!   Festlegung der „gesicherten“ Speicherung und
Kommunikation

Beispiel: Geheimhaltungsstufen
!   STRENG GEHEIM (abgekürzt: str. geh.; auch: Stufe II):
•  lebenswichtige Interessen der Bundesrepublik Deutschland gefährden
•  Kennzeichnung: Auf Schriftstücken roter Stempelabdruck oder Druck in der Kopf- und
Fußzeile.
!   GEHEIM (geh.; auch: Stufe I)
•  die Sicherheit der Bundesrepublik Deutschland oder gefährden
•  Kennzeichnung: Auf Schriftstücken roter Stempelabdruck oder Druck in der Kopf- und
Fußzeile.
!   VERSCHLUSSSACHE – VERTRAULICH (VS-VERTRAULICH, VS-Vertr.):
•  kann für die Interessen der Bundesrepublik Deutschland schädlich sein.
•  Kennzeichnung: Auf Schriftstücken blauer oder schwarzer Stempelabdruck oder Druck in
der Kopfzeile.
!   VERSCHLUSSSACHE – NUR FÜR DEN DIENSTGEBRAUCH (VS-NUR FÜR
DEN DIENSTGEBRAUCH, VS-NfD):
•  die Kenntnisnahme kann nachteilig sein.
•  Kennzeichnung: Auf Schriftstücken blauer oder schwarzer Stempelabdruck oder Druck in
der Kopfzeile.

Interne Daten InfrastrukturOrganisatorische Vorgaben

!   Keine Nutzung von Public Cloud Diensten
•  Dienste in der Public Cloud sind unsicher !
•  Dropbox,
•  SkyDrive,
•  Google Drive oder
•  Skype
! Verstoss gegen Datenschutz Bestimmungen prüfen !
!   Beispiel Skype
•  "Skype nutzt gegebenenfalls innerhalb von Sofortnachrichten und
SMS automatisiertes Scannen zur Bestimmung von (a)
vermutlichem Spam und/oder (b) URLs, die bereits als Spam-,
Betrugs- oder Phishing-Links identifiziert wurden.“
•  Einverständnis, dass Skype alles mitlesen darf
•  http://www.heise.de/security/meldung/Vorsicht-beim-Skypen-
Microsoft-liest-mit-1857620.html

!   Mitarbeiter sollten intern nicht über „externe“
private E-Mail kommunizieren
•  Umweg über das Internet vermeiden
•  ausschließlich über interne Infrastruktur Mail
!   Absicherung mit Verschlüsselung / PKI Lösung
•  Größere Unternehmen sollten dafür einen internen, nicht
vom Internet aus erreichbaren PKI-Server einsetzen,
•  Alternativ Nutzung öffentlicher PKI Dienste
•  Einbindung wichtiger Geschäftspartner an der
Verschlüsselungslösung „forcieren“

„Encryption works.
Properly implemented strong crypto
systems are one of the few things that
you can rely on.“
Edward Snowden
http://www.theguardian.com/world/2013/jun/17/edward-
snowden-nsa-files-whistleblower
http://www.theguardian.com/world/2013/sep/05/nsa-
how-to-remain-secure-surveillance

Technische Empfehlung zur
Verschlüsselung
!   RSA Algorithmus Verfahren als „negatives
positives Beispiel“
•  Dual Elliptic Curve Deterministic Random Bit
Generation (or Dual EC DRBG)
•  Einbau in „Bsafe“ Libary
•  Wird auch durch IBM in Notes verwendet
!   Nutzung von OpenSource Produkten
•  OpenSSL
•  OpenPGP
•  OpenVPN

Lösungsansatz „TLS/SSL“
!   1995 mit Extended SMTP (ESMTP) in RFC 1869
erweitert
!   Verschlüsselung über SSL/TLS
•  SMTP Kommunikation zwischen zwei Mail-Servern wird
beim Verbindungsaufbau verschlüsselt
•  Absicherung der IP Kommunikation (Transportweges)
!   Aktion „E-Mail made in Germany“ nutzt dies nun
endlich
•  Deutsche Telekom,
•  Web.de und GMX
!   Schnelle & einfache Umsetzung -> EMPFEHLUNG

PKI mit PGP
!   Verschlüsselung der E-Mails steht im Vordergrund
•  Keine Prüfung der Signaturen / Authentizität
!   Keine „native“ Unterstützung in E Mail Clients
•  Installation von Plug-Ins für E-Mail-Client erforderlich
•  Keine integrierte Handhabung
!   PKI in der Regel mit Unternehmenszertifikaten
•  PGP Zertifikate für das gesamte Unternehmen
•  Keine Userbasierten PGP Zertifikate
•  Eigene & kostengünstige Erstellung von PGP Zertifikaten
•  Direkter Austausch der Zertifikate mit dem
Kommunikationspartner

PKI mit PGP: Empfehlungen
!   Nutzung von GnuPG auf Basis OpenPGP
!   Einsatz mit Unternehmenszertifikaten
!   Nutzung von PGP i.d.R nur in Verbindung mit E-Mail-
Gateways
!   Automatische Verschlüsselung der gesamten E-Mail-
Kommunikation zwischen zwei
Kommunikationspartnern
!   Fazit
•  Einfache & kostengünstige Lösung
•  Nutzung von Mail Gateways als Zusatz-Software erforderlich
•  Keine Berücksichtigung von Signatur / Authentifizierung der
Absender

Bewertung PGP
Vorteil
•  Einfaches
kostengünstiges
Verfahren
•  Eigene
Zertifikate
Nachteil
•  Einsatz von
Zusatz Software
•  Keine
Authentifizierung

S/MIME Verschlüsselung
!   „DER Standard“
!   Nutzung von X509 Zertifikaten
•  CA, SubCA & User Zertifikat
•  CA Hierarchie
!   Verschlüsselung und Signatur Prüfung integriert
!   Exkurs Signatur-Prüfung
!   Standardmäßig für jeden Mail Client
•  MS Outlook, Lotus Notes
•  Apple Mail, Thunderbird etc.
•  iPhone, Android, Blackberry
!   Ende-zu-Ende Verschlüsselung als Standard

Nutzung von Zertifikaten bei S/MIME
!   Analog zu Notes PKI
•  CA –> O Certifier
•  X509 –> UserID
•  Trust zwischen CA –> Querzulassung
!   Einmalige Trust Beziehung zwischen zwei Kommunikations-
Partnern notwendig
•  „User Impact durch Fehlermeldungen“ im E Mail Client
•  Automatisierung der Trust Beziehung durch „Öffentliche“ Root CA‘s
möglich
•  Analog zu SSL Zertifikaten
!   Externe „kostenpflichtige“ Erstellung von S/MIME Zertifikaten
!   Abhängigkeit vom Kommunikationspartner !
•  Empfänger braucht ein X.509 Zertifikat
•  Know-how zum Umgang

Lösungsansätze für S/MIME Zertikate
!   Vorgabe der verschlüsselten Kommunikation als IT
Security Richtlinie
•  Analogie zu „Ohne Faxgerät keine Bestellung“
!   Verwendung kostenloser SMIME Zertifikate
•  Variante "Class 1“
•  Für Privatpersonen und kleine Firmen ausreichend
•  Anbieter
•  Instant SSL - http://www.instantssl.com/ssl-certificate-products/free-
email-certificate.html
•  Start SSL https://www.startssl.com
!   Erstellung eigener Zertifikate
•  Interne Nutzung
•  für Kommunikationspartner mit Anweisung
•  Nutzung von openssl

Wo ist das Problem mit S/MIME ?

Max Raabe und das PKI Dilemma ....

Sonstige Hindernisse für S/MIME
!   Endanwender
•  Schulungsbedarf für technisches Verständnis
•  Begleitende organisatorische Vorgabe ist wichtig
!   Aufwände bei unternehmensweiten Einsatz
•  Erstellung S/MIME Zertifikaten und
•  Konfiguration der E Mail Clients
•  Management der Trustbeziehungen
!   Interne Vorgabe der E-Mail Sicherheit
•  Zentraler Virenschutz
•  Zentrale Archivierung
!   Lösungsansätze:
•  Nutzung von serverbasierten E Mail Gateways
•  Automatisierung des Zertifikats Management (Intern & Extern)
•  Nutzung von kostenlosen S/MIME Zertifikaten
•  http://www.comodo.com/home/email-security/free-email-certificate.php

Bewertung S/MIME
Vorteil
•  Standard
Verfahren
•  Technisch
ausgereift
•  Nutzung im B2B
einfach möglich
Nachteil
•  Einsatz von Zusatz
Software sinnvoll
•  Abhängigkeit von
externen
Kommunikations-
partner

Lösungsansatz „E-Mail
Verschlüsselung“ ohne PKI
!   Automatische Konvertierung ausgehender E-Mails
am
E-Mail Server
•  Umwandlung der gesamten E-Mail in PDF
•  Einbettung Attachment in PDF File
•  Einbettung Attachment in ZIP File
•  Verschlüsselung mit Passwort und „automatisierter“
Weitergabe

Bewertung PKI lose Verschlüsslung
Vorteil
•  Keine Abhängigkeit
von externen
Kommunikations-
partner
•  Einfache Nutzung im
B2B und B2C
möglich
Nachteil
•  Erklärungsbedarf bei
Übermittlung des
Passwortes
•  Komfort bei häufigem
E-Mail Verkehr

Lösungsangebot der BCC
! MailProtect – Schutz der E Mail Kommunikation
•  Zentrales serverbasiertes E-Mail Management
•  S/MIME
•  PGP
•  Instant Encryption
•  Interne sichere Zustellung mit Notes PKI (Secure
Delivery)

Interne InfrastrukturOrganisatorische Vorgaben

Schutz der internen Infrastruktur

Schutz der internen Infrastruktur
Was macht eigentlich die NSA ?
oder
Lessons learned ;-)

Massnahmen der NSA oder „The scariest
threat is the systems administrator,”
Zusätzliche
Protokollierung &
Sicherungssysteme
4 Augen Prinzip Automatisierung !

Massnahmen der NSA: „The scariest threat
is the systems administrator,”
!   “a two-man rule” that would limit the ability of each
of its 1,000 system admins to gain unfettered
access to the entire system
!   Auf Deutsch „4 Augen Prinzip“

Massnahmen der NSA: „The scariest threat
is the systems administrator,”
!   „Was wir gerade machen - nicht schnell genug - ist
die Reduzierung unserer System-
Administratoren um rund 90 Prozent.“
Keith Alexander
!   Aufgaben sollten soweit wie möglich automatisiert
werden, damit weniger Menschen in Kontakt mit
sensiblen Informationen kommen.
!   Fazit: Automatisierung -> Reduktion der
Administratoren um 90%

!   „doing things that machines are
probably better at doing.“
! decrease required access rights
! provide system log trails
!   TCO is (currently) not important
for NSA ;-)
Summary

Automatisierung ist die Basis für eine
sichere Infrastruktur!
Auto-
matisierung
Compliance
Security
Reduce
TCO

BCC empfiehlt seinen Kunden den
gleichen Lösungsansatz

Lösungsansatz der BCC
Automatisierung
der
Administrations-
abläufe
Reduzierung der
Zugriffsrechte
Vollständige
Protokollierung
aller Aktvitäten

Lösungsansatz BCC für IBM Domino
Implementierung
zusätzlicher
Sicherheitsebene
•  Unabhängig von Domino Admin
Rechten
•  Nicht durch Admin manipulierbar
Erweiterte detaillierte
Protokollierung
•  „sicherheitsrelevanten
Informationen“
•  Protokollierung ausserhalb von
Domino
Realtime Protection
•  Änderungen
•  Zugriff
•  Manipuationen

! DominoProtect
•  Tracking & Protection von Datenbeständen auf Domino
Server
•  Konfigurations Daten
•  Applikations Daten
•  Realtime Monitoring des Zugriffs auf sensible Daten
•  Realtime Schutz bei Änderungen von definierten
Datenbeständen
•  Restriktive Berechtigungen in der Administration

! ClientGenie
•  Integrierte Komprimierung und Verschlüsselung von
Attachments mit AES 256 Bit
!   Vorteile
•  Enge Integration mit dem Notes Client
•  Keine Zusatzsoftware erforderlich

Wie schützen Sie Ihre Messaging- & Collaboration-Infrastruktur? Lessons learned aus PRISM & Co.

Weitere ähnliche Inhalte

Andere mochten auch

Mehr von BCC - Solutions for IBM Collaboration Software

Wie schützen Sie Ihre Messaging- & Collaboration-Infrastruktur? Lessons learned aus PRISM & Co.