This presentation in german points out the fundamentals of secure emailing and what are its pitfalls. Some pitfalls really need to be addressed by systemic enhancements.
The presentation had been held at a 'Management of Information Security' section workshop of the Gesellschaft für Informatik e.V. (GI) / Germany
SMS PASSCODE ermöglicht Zwei-Faktor-Authentifizierung durch den Versand einer SMS an ein Handy. Damit ersetzt die Lösung Tokens und Zertifikate durch ein einziges Gerät.
NoSpamProxy mit Weltneuheit S/MIME-4.0-Support auf der it-sabhoeck
Als Weltneuheit zeigt NoSpamProxy 12.3 bereits die teilweise Unterstützung des neuen S/MIME-Standards Version 4.0 und von Authenticated Encryption auf der it-sa. E-Mail-Verschlüsselung wird so sicher vor EFAIL & Co. Neue Version steigert die Robustheit der Lösung gegenüber Schwächen der Kommunikationspartner.
Andreas Gabriel: IT-Sicherheit als hemmender Faktor für E-Learning?lernet
Gehalten auf der Abschlussveranstaltung der LERNET 2.0 - eLearning Roadshow am 12.11.2009 in Berlin.
Weitere Informationen und Ressourcen zu Wissensmanagement u. E-Learning im Mittelstand: http://www.lernetblog.de
facebook, twitter, xing und co. Die (regionale) Zukunft im Marketing oder nur...Tp Berlin
Seitdem sich das Web 1.0 zum Mitmachweb entwickelt hat und Web 2.0 heißt,
gibt es neue Konzepte, Massnahmen und Mittel im Marketing.
Viele Unternehmen, auch im regionalen Mittelstand, stehen vor der Frage, ob sie
mitmachen, das Ganze ignorieren oder erst mal umfassend Social Media Massnahmen planen sollen.
Dieser Vortrag gibt einen Überblick über die Potentiale Sozialer Netzwerke und zeigt eine erfolgversprechende
Vorgehensweise für Social Media Marketing besonders für mittelständische Unternehmen.
Zahlreiche Beispiele der TP Theorie&Praxis GmBH verdeutlichen dabei, dass Social Media Marketing schon lange kein Sandkastenspiel mehr ist.
Über den Autor:
Prof. Uwe Vock, ist Gesellschafter der TP Theorie&Praxis GmbH und lehrt an der Universität der Künste Berlin.
Das Deutsche Medizinrechenzentrum hat ein kostenloses Whitepaper zu den „Grundlagen der elektronischen Abrechnung nach §302 SGB V“ veröffentlicht
[http://www.lifepr.de?boxid=136491]
SMS PASSCODE ermöglicht Zwei-Faktor-Authentifizierung durch den Versand einer SMS an ein Handy. Damit ersetzt die Lösung Tokens und Zertifikate durch ein einziges Gerät.
NoSpamProxy mit Weltneuheit S/MIME-4.0-Support auf der it-sabhoeck
Als Weltneuheit zeigt NoSpamProxy 12.3 bereits die teilweise Unterstützung des neuen S/MIME-Standards Version 4.0 und von Authenticated Encryption auf der it-sa. E-Mail-Verschlüsselung wird so sicher vor EFAIL & Co. Neue Version steigert die Robustheit der Lösung gegenüber Schwächen der Kommunikationspartner.
Andreas Gabriel: IT-Sicherheit als hemmender Faktor für E-Learning?lernet
Gehalten auf der Abschlussveranstaltung der LERNET 2.0 - eLearning Roadshow am 12.11.2009 in Berlin.
Weitere Informationen und Ressourcen zu Wissensmanagement u. E-Learning im Mittelstand: http://www.lernetblog.de
facebook, twitter, xing und co. Die (regionale) Zukunft im Marketing oder nur...Tp Berlin
Seitdem sich das Web 1.0 zum Mitmachweb entwickelt hat und Web 2.0 heißt,
gibt es neue Konzepte, Massnahmen und Mittel im Marketing.
Viele Unternehmen, auch im regionalen Mittelstand, stehen vor der Frage, ob sie
mitmachen, das Ganze ignorieren oder erst mal umfassend Social Media Massnahmen planen sollen.
Dieser Vortrag gibt einen Überblick über die Potentiale Sozialer Netzwerke und zeigt eine erfolgversprechende
Vorgehensweise für Social Media Marketing besonders für mittelständische Unternehmen.
Zahlreiche Beispiele der TP Theorie&Praxis GmBH verdeutlichen dabei, dass Social Media Marketing schon lange kein Sandkastenspiel mehr ist.
Über den Autor:
Prof. Uwe Vock, ist Gesellschafter der TP Theorie&Praxis GmbH und lehrt an der Universität der Künste Berlin.
Das Deutsche Medizinrechenzentrum hat ein kostenloses Whitepaper zu den „Grundlagen der elektronischen Abrechnung nach §302 SGB V“ veröffentlicht
[http://www.lifepr.de?boxid=136491]
von Bernd Dieschburg
(1. Kapitel kostenlos zum herunterladen)
Vollversion bei Vortragsfolien.de
Kurzbeschreibung:
Umgang mit Lampenfieber, Verständlichkeit und Argumentationslogik, Körpersprache,Stimme und Sprechtechnik, Redevorbereitung und -durchführung, Umgang mit Einwänden
Folgende Schwerpunkte bilden den inhaltlichen Rahmen:
Grundlagen der Rhetorik
- Das Kommunikationsmodell
- Was bedeutet Rhetorik?
- Elemente der Rhetorik
Umgang mit Lampenfieber
- Einstellungen bestimmen unser Handeln
- Anregungen und Tipps zum sinnvollen Umgang mit Lampenfieber
Die 4 Verständlichmacher
- Ein Satz muss rote Backen haben
Argumentationslogik
- Aufbau und Struktur
- Rhetorische Stilmittel von A bis Z
Elemente der Körpersprache
- Grundsätzliches
- Worauf ist zu achten?
- Vortragtechnik bei Reden mit Manuskript
Stimme und Sprechtechnik
- Tipps und Anregungen
Redevorbereitung und -planung
- Phase 1: Klären von Kernfragen
- Phase 2: SOG-Phase
- Phase 3: Vortrag erstellen und mental verankern
Aufbau und Gliederung einer Rede/eines Vortrages
- (PSYCHO-)Logik
- Einführung/Einleitung/Einstimmung
- Hauptteil
- Abschluss und Ausklang
Konstruktiver Umgang mit Einwänden
- Grundsätzliches
- Methoden der Einwandbehandlung
Kurt Tucholsky
- Ratgeber für einen schlechten Redner
In Zukunft wird die intelligente Verknüpfung der Fähigkeiten ganz unterschiedlicher Kanäle im Service zum Erfolgsfaktor. So wird es für Unternehmen möglich, es aufgrund der entstehenden Komplexität der neuen digitalen Ökosysteme zu schaffen, dem Kunden einen höchstmöglichen Mehrwert zu bieten.
Das ist das Fazit einer Online-Umfrage, die vom X [iks] Institut für Kommunikation und ServiceDesign, Berlin im Frühjahr 2015 bei kleinen, mittleren und großen Unternehmen aus Deutschland, Österreich und der Schweiz durchgeführt wurde.
Die Teilnehmer der Umfrage gehen davon aus, daß die Bedeutung vernetzter Anwendungen im Service weiter zunehmen wird. Gut geeignet Ihrer Meinung nach sind dafür die Vernetzung von E-Mail/Internet (25%), Chats/Foren (23%) sowie Social Media/Streaming Diensten (20%).
Vernetzte Serviceanwendungen könnten in der Informationsbereitstellung (28%), der Anwendungsunterstützung (25%) sowie in Support-Systemen (25%) zum Einsatz kommen.
Wichtig in der Umsetzung intelligenter Servicenetze werden Aspekte wie Kunden-Experten-Kollaboration (42%), User Generated Content (33%), aber auch Application-Frameworks (25%) sein.
Als größte Herausforderungen einer intelligenten Servicevernetzung werden nach Ansicht der befragten Verantwortlichen aus Marketing, Vertrieb und Service dabei Proaktive Lösungen (20%), Echtzeit-Angebote (18%) und die Digitale Kompatibilität (18%) gesehen.
Letztlich könnten durch vernetzte Services positive Effekte wie die Verbesserung der Kundeninteraktion (30%), die Vereinfachung der Kundenlösungen (25%) und die Erhöhung des Kundennutzens (23%) erzeugt werden.
Maic Beher – IT-Tage 2015 – MS SQL Server – Security und Verschlüsselungsmech...Informatik Aktuell
In diesem kurzen Vortrag soll auf die Möglichkeiten des SQL Servers eingegangen werden, die Daten mittels Rechteverwaltung und Verschlüsselung gegen unberechtigten Zugriff abzusichern. Schwerpunkt sind in diesem Vortrag die Neuerungen seit SQL 2008R2/SQL 2012 und die betriebssystemseitigen Voraussetzungen. Lernen Sie den Zugriff von der Applikation bis hin zum Datensatz im SQL Server zu verstehen und so Ihre Daten umfassend abzusichern. Dabei wird sowohl auf die neuen Techniken, die der SQL Server 2012 mitbringt, als auch auf die Möglichkeiten, die das Betriebssystem Windows 2012 unterstützend mitbringt, eingegangen.
Ein Werkzeug-Spezialist muss Konstruktionspläne zur Druckerei schicken, die Personalabteilung will die Gehaltsabrechnungen nur noch elektronisch versenden, der Vorstand will vertraulich mit potentiellen Partnern im Ausland kommunizieren. Die Anforderungen für verschlüsselte Kommunikation per E-Mail sind vielfältig, die Notwendigkeit angesichts von PRISM & Co. nicht mehr weg zu diskutieren.
Einen schnellen und unkomplizierten Einstieg in die verschlüsselte E-Mail-Kommunikation bietet die PDF-basierte Instant Encryption Technologie der BCC. Damit wird sicher gestellt, dass die nach außen gehende Kommunikation vor Mitlesen und Manipulation geschützt ist. Wenn es "mehr" sein darf, können mit MailProtect Secure Mail alle denkbaren PKI-Szenarien zum Einsatz von S/MIME und PGP realisiert werden - mit zentraler serverbasierendern Durchführung der Verschlüsselung, Entschlüsselung, Signaturprüfung und Zertifikatsverwaltung.
Prüfung der Senderreputation bietet weitgehende Sicherheit vor EFAILbhoeck
Net at Work kommentiert die neu entdeckte Sicherheitslücke EFAIL in OpenPGP und S/MIME. Bei der integrierten Nutzung von E-Mail-Verschlüsselung und Senderreputationsmanagement ist sie keine Bedrohung. NoSpamProxy-Kunden sind damit auf der sicheren Seite.
Wie Sie mit Azure Information Protection Ihre Daten sicher verschlüsseln und damit zur Optimierung des Daten- und Dokumentenschutzes in Ihrem Unternehmen beitragen können.
Kommunikation via E-Mail ist heute das meist genutzte Informationsmedium. Die Zuverlässigkeit und Sicherheit der E-Mail-Dienste ist für alle Unternehmen und Behörden unternehmenskritisch. Gerade im Bereich der E-Mail-Sicherheit haben viele Unternehmen heute noch nicht auf die Herausforderungen des Internets reagiert. Authentizität und Integrität der übermittelten Nachrichten werden in den meisten Fällen nicht in Frage gestellt – mit oft verheerenden Folgen.
Der Bankenverband hat sich diesen Herausforderungen gestellt und mit Hilfe der XCOM AG eine Gateway Lösung zur Verschlüsselung und Signatur des elektronischen Geschäftsverkehrs in seine Lotus Domino Umgebung implementiert.
WWK verschlüsselt E-Mail-Kommunikation mit mehr als 10.000 Partnern mit NoSpa...bhoeck
Versicherungsgruppe WWK nutzt flexible Verschlüsselungslösung von NoSpamProxy und GlobalSign zum Schutz der Kundendaten im Sinne der EU-DSGVO. Weitgehende Automatisierung der Zertifikatsverwaltung erleichtert Roll-Out und den Betrieb.
Mit einer modernen, zentralen Anti-Spam Lösung am Gateway können kann die Sicherheit wichtiger E-Mail Kommunikation wieder hergestellt werden. Die Lösung weist nicht erwünschte E-Mails mit selbstlernenden Algorithmen ab und vermeidet so die Zeit und Kosten intensive Sortierung von E-Mails durch die Empfänger. Die Freischaltung von sog. False-Positives erfolgt, ohne Intervention eines Administrators, durch den Anwender selber.
von Bernd Dieschburg
(1. Kapitel kostenlos zum herunterladen)
Vollversion bei Vortragsfolien.de
Kurzbeschreibung:
Umgang mit Lampenfieber, Verständlichkeit und Argumentationslogik, Körpersprache,Stimme und Sprechtechnik, Redevorbereitung und -durchführung, Umgang mit Einwänden
Folgende Schwerpunkte bilden den inhaltlichen Rahmen:
Grundlagen der Rhetorik
- Das Kommunikationsmodell
- Was bedeutet Rhetorik?
- Elemente der Rhetorik
Umgang mit Lampenfieber
- Einstellungen bestimmen unser Handeln
- Anregungen und Tipps zum sinnvollen Umgang mit Lampenfieber
Die 4 Verständlichmacher
- Ein Satz muss rote Backen haben
Argumentationslogik
- Aufbau und Struktur
- Rhetorische Stilmittel von A bis Z
Elemente der Körpersprache
- Grundsätzliches
- Worauf ist zu achten?
- Vortragtechnik bei Reden mit Manuskript
Stimme und Sprechtechnik
- Tipps und Anregungen
Redevorbereitung und -planung
- Phase 1: Klären von Kernfragen
- Phase 2: SOG-Phase
- Phase 3: Vortrag erstellen und mental verankern
Aufbau und Gliederung einer Rede/eines Vortrages
- (PSYCHO-)Logik
- Einführung/Einleitung/Einstimmung
- Hauptteil
- Abschluss und Ausklang
Konstruktiver Umgang mit Einwänden
- Grundsätzliches
- Methoden der Einwandbehandlung
Kurt Tucholsky
- Ratgeber für einen schlechten Redner
In Zukunft wird die intelligente Verknüpfung der Fähigkeiten ganz unterschiedlicher Kanäle im Service zum Erfolgsfaktor. So wird es für Unternehmen möglich, es aufgrund der entstehenden Komplexität der neuen digitalen Ökosysteme zu schaffen, dem Kunden einen höchstmöglichen Mehrwert zu bieten.
Das ist das Fazit einer Online-Umfrage, die vom X [iks] Institut für Kommunikation und ServiceDesign, Berlin im Frühjahr 2015 bei kleinen, mittleren und großen Unternehmen aus Deutschland, Österreich und der Schweiz durchgeführt wurde.
Die Teilnehmer der Umfrage gehen davon aus, daß die Bedeutung vernetzter Anwendungen im Service weiter zunehmen wird. Gut geeignet Ihrer Meinung nach sind dafür die Vernetzung von E-Mail/Internet (25%), Chats/Foren (23%) sowie Social Media/Streaming Diensten (20%).
Vernetzte Serviceanwendungen könnten in der Informationsbereitstellung (28%), der Anwendungsunterstützung (25%) sowie in Support-Systemen (25%) zum Einsatz kommen.
Wichtig in der Umsetzung intelligenter Servicenetze werden Aspekte wie Kunden-Experten-Kollaboration (42%), User Generated Content (33%), aber auch Application-Frameworks (25%) sein.
Als größte Herausforderungen einer intelligenten Servicevernetzung werden nach Ansicht der befragten Verantwortlichen aus Marketing, Vertrieb und Service dabei Proaktive Lösungen (20%), Echtzeit-Angebote (18%) und die Digitale Kompatibilität (18%) gesehen.
Letztlich könnten durch vernetzte Services positive Effekte wie die Verbesserung der Kundeninteraktion (30%), die Vereinfachung der Kundenlösungen (25%) und die Erhöhung des Kundennutzens (23%) erzeugt werden.
Maic Beher – IT-Tage 2015 – MS SQL Server – Security und Verschlüsselungsmech...Informatik Aktuell
In diesem kurzen Vortrag soll auf die Möglichkeiten des SQL Servers eingegangen werden, die Daten mittels Rechteverwaltung und Verschlüsselung gegen unberechtigten Zugriff abzusichern. Schwerpunkt sind in diesem Vortrag die Neuerungen seit SQL 2008R2/SQL 2012 und die betriebssystemseitigen Voraussetzungen. Lernen Sie den Zugriff von der Applikation bis hin zum Datensatz im SQL Server zu verstehen und so Ihre Daten umfassend abzusichern. Dabei wird sowohl auf die neuen Techniken, die der SQL Server 2012 mitbringt, als auch auf die Möglichkeiten, die das Betriebssystem Windows 2012 unterstützend mitbringt, eingegangen.
Ein Werkzeug-Spezialist muss Konstruktionspläne zur Druckerei schicken, die Personalabteilung will die Gehaltsabrechnungen nur noch elektronisch versenden, der Vorstand will vertraulich mit potentiellen Partnern im Ausland kommunizieren. Die Anforderungen für verschlüsselte Kommunikation per E-Mail sind vielfältig, die Notwendigkeit angesichts von PRISM & Co. nicht mehr weg zu diskutieren.
Einen schnellen und unkomplizierten Einstieg in die verschlüsselte E-Mail-Kommunikation bietet die PDF-basierte Instant Encryption Technologie der BCC. Damit wird sicher gestellt, dass die nach außen gehende Kommunikation vor Mitlesen und Manipulation geschützt ist. Wenn es "mehr" sein darf, können mit MailProtect Secure Mail alle denkbaren PKI-Szenarien zum Einsatz von S/MIME und PGP realisiert werden - mit zentraler serverbasierendern Durchführung der Verschlüsselung, Entschlüsselung, Signaturprüfung und Zertifikatsverwaltung.
Prüfung der Senderreputation bietet weitgehende Sicherheit vor EFAILbhoeck
Net at Work kommentiert die neu entdeckte Sicherheitslücke EFAIL in OpenPGP und S/MIME. Bei der integrierten Nutzung von E-Mail-Verschlüsselung und Senderreputationsmanagement ist sie keine Bedrohung. NoSpamProxy-Kunden sind damit auf der sicheren Seite.
Wie Sie mit Azure Information Protection Ihre Daten sicher verschlüsseln und damit zur Optimierung des Daten- und Dokumentenschutzes in Ihrem Unternehmen beitragen können.
Kommunikation via E-Mail ist heute das meist genutzte Informationsmedium. Die Zuverlässigkeit und Sicherheit der E-Mail-Dienste ist für alle Unternehmen und Behörden unternehmenskritisch. Gerade im Bereich der E-Mail-Sicherheit haben viele Unternehmen heute noch nicht auf die Herausforderungen des Internets reagiert. Authentizität und Integrität der übermittelten Nachrichten werden in den meisten Fällen nicht in Frage gestellt – mit oft verheerenden Folgen.
Der Bankenverband hat sich diesen Herausforderungen gestellt und mit Hilfe der XCOM AG eine Gateway Lösung zur Verschlüsselung und Signatur des elektronischen Geschäftsverkehrs in seine Lotus Domino Umgebung implementiert.
WWK verschlüsselt E-Mail-Kommunikation mit mehr als 10.000 Partnern mit NoSpa...bhoeck
Versicherungsgruppe WWK nutzt flexible Verschlüsselungslösung von NoSpamProxy und GlobalSign zum Schutz der Kundendaten im Sinne der EU-DSGVO. Weitgehende Automatisierung der Zertifikatsverwaltung erleichtert Roll-Out und den Betrieb.
Mit einer modernen, zentralen Anti-Spam Lösung am Gateway können kann die Sicherheit wichtiger E-Mail Kommunikation wieder hergestellt werden. Die Lösung weist nicht erwünschte E-Mails mit selbstlernenden Algorithmen ab und vermeidet so die Zeit und Kosten intensive Sortierung von E-Mails durch die Empfänger. Die Freischaltung von sog. False-Positives erfolgt, ohne Intervention eines Administrators, durch den Anwender selber.
Wer sind die Angreifer im Netz, was sind Ihre Ziele und gegen welche Arten von Attacken muss ich mich wappnen?
Es gilt immensen Schaden abzuwenden und das Vertrauen der Nutzer in Ihre Plattform zu gewinnen und zu bewahren.
Mail-Security-Spezialisten von Net at Work starten unter dem Projektnamen Heimdall neuen KI- und Big-Data-basierten Service. Mit übergreifender Schwarmintelligenz werden Angriffe schneller und sicherer erkannt. Fokus auf den deutschsprachigen Raum macht das Projekt einzigartig.
Infografik: Hürden der E-Mail-Verschlüsselungbhoeck
E-Mail-Verschlüsselung gehört verpflichtend zur DSGVO, dennoch tun sich viele Unternehmen schwer damit. Aktuelle Umfrage zeigt die Hürden auf. ‚Initiative Mittelstand verschlüsselt!‘ bietet einfache und schnell umzusetzende Lösung.
Top-Prüfung Kauffrau /-mann für BüromanagementClaus Ehlert
Dieses Buch dient zur Vorbereitung auf die Prüfung als Kauffrau/-mann für Büromanagement. Es orientiert sich an der aktuellen „gestreckten Abschlussprüfung“. Die Zwischenprüfung entfällt und die Abschlussprüfung findet in 2 Teilen statt.
Im Teil 1 der Abschlussprüfung wird der Prüfungsbereich „Informationstechnisches Büromanagement“ geprüft. Die Prüfung findet in der Mitte des zweiten Ausbildungsjahres statt und erfolgt computergestützt. Im Teil II werden die Prüfungsbereiche „Kundenbeziehungsprozesse und Wirtschafts- und Sozialkunde“ geprüft. Die WiSo Prüfung erfolgt in programmierter Form. Dementsprechend sind die Aufgaben in diesem Buch gestellt. Die nachfolgenden Übungen sollen die Grundlagen überprüfen, um Sie so gezielt auf die Prüfungen vorzubereiten.
Artikel Netzguide: Sicherheit für service- orientierte ArchitekturenPeter Affolter
Die firmenweite Verbreitung von serviceorientierten Architekturen (SOA) nimmt rapide zu. Daten und Applikationen werden oft als Services für verschiedene Bereiche zur Verfügung gestellt. Daraus stellen sich ganz neue Anforderungen
an die IT-Sicherheit.
Ähnlich wie Secure Emailing and its Pitfalls - Systemic Enhancements Are Required! (20)
Artikel Netzguide: Sicherheit für service- orientierte Architekturen
Secure Emailing and its Pitfalls - Systemic Enhancements Are Required!
1. Konterkarierung von Secure-E-Mailing
- systemische Begegnung ist gefragt -
Dauer: 40 min (Vortrag inklusive Diskussion)
GI FG-SECMGT – Workshop am 03. Februar 2012
2. Unternehmensberatung Holliday Consulting
- gegründet Anfang 2004
- berät und begleitet Umsetzungen zu den Themen:
- Informationssicherheit
- IT-Prozessmanagement
- IT-Servicemanagement nach ITIL
- Internetadresse: www.holliday-consulting.com
3. Fundamente des Secure-E-Mailing
zwei Verfahrensweisen sind prinzipiell zu unterscheiden:
symmetrische Verfahrensweise (sVw)
Absender & Empfänger benutzen denselben Schlüssel
nicht standardisiert, herstellerspezifische Lösungen
asymmetrische Verfahrensweise (aVw)
Absender & Empfänger benutzen unterschiedliche Schlüssel
(Kombination aus öffentlichem & privatem Schlüssel)
standardisiert, von vielen Herstellern implementiert
www.holliday-consulting.com 03. Februar 2012
4. Fundamente des Secure-E-Mailing
zwei Anwendungsstandards bei aVw gibt es:
(jeweils gepflegt von der Internet Engineering Task Force)
S/MIME (Secure/Multipurpose Internet Mail Extensions)
realisiert mittels X.509-basierter Zertifikate
Standard geregelt in Request(s) for Comments (RFC)
- initial 10/1995 in RFC 1847 (Security Multiparts for MIME)
- gereift 03/1998 in RFC 2311 (S/MIME V2.0 Message Specification)
und RFC 2312 (S/MIME V2.0 Certificate Handling)
- aktuell Version S/MIME V3.2 in Gebrauch nach RFC 5751
OpenPGP (Pretty Good Privacy nach Phil Zimmermann)
realisiert mittels Public-Key-Verfahren & Web-of-Trust
Standard geregelt in RFC 4880 (OpenPGP Message Format)
dabei zwei Formate in Gebrauch:
- PGP/INLINE -> ursprüngliches Format, nicht streng standardisiert
- PGP/MIME -> neueres Format aktuell nach RFC 3156 geregelt
www.holliday-consulting.com 03. Februar 2012
5. Fundamente des Secure-E-Mailing
zwei Anwendungsrichtungen bei aVw mit jeweils eigenen
Sicherheitszielen sind zu unterscheiden:
das Signieren einer Nachricht zum Zwecke der Überprüfbarkeit
der Datenintegrität der Nachricht (Integrität)
der Authentizität der Nachricht (Authentizität)
das Verschlüsseln einer Nachricht zum Zwecke der
vertraulichen Übermittlung der Nachricht (Vertraulichkeit)
www.holliday-consulting.com 03. Februar 2012
6. Fundamente des Secure-E-Mailing
Schema des Signierens einer Nachricht auf der Absender-Seite:
Schema der Signaturprüfung auf der Empfänger-Seite:
Quelle:
Microsoft TechNet-Bibliothek
www.holliday-consulting.com 03. Februar 2012
7. Fundamente des Secure-E-Mailing
Schema des Verschlüsselns auf der Absender-Seite:
Schema des Entschlüsselns auf der Empfänger-Seite:
Quelle:
Microsoft TechNet-Bibliothek
www.holliday-consulting.com 03. Februar 2012
8. Fundamente des Secure-E-Mailing
Schema des Signierens/Verschlüsselns
auf der Absender-Seite
Schema der Signaturprüfung/
Entschlüsselung
auf der Empfänger-Seite
Quelle:
Microsoft TechNet-Bibliothek
www.holliday-consulting.com 03. Februar 2012
9. Fallstricke beim Secure-E-Mailing
zu verzeichnende Phänomene:
1) (noch) geringer Verbreitungsgrad
2) falsche Sicherheitsannahmen
3) fehlerbehaftete Anwendung
4) unterschätzte Infrastrukturerfordernisse
5) unterschätzte Erfordernisse organisatorischer Kontinuität
6) zusätzliche Compliance-Anforderungen
7) Sicherheitsstörfälle bei wichtigen Konzeptbestandteilen
www.holliday-consulting.com 03. Februar 2012
10. Fallstrick 1: Verbreitungsgrad
Phänomen: (noch) geringer Verbreitungsgrad
vorwiegend nur bei Großunternehmen (DAX-Konzerne)
im Gebrauch
gerade bei den KMUs (80 % aller angestellt Beschäftigten¹)
mit existentiellem Know-how-Schutzbedarf gering verbreitet
(Wie wir so schön in unserer Diskussion festgestellt haben:
THE PAIN IS NOT ENOUGH.)
Quelle: 1. Institut für Mittelstandsforschung (IfM), Bonn
www.holliday-consulting.com 03. Februar 2012
11. Fallstrick 2: Falsche Annahmen
Phänomen: falsche Sicherheitsannahmen
Beispiel: falsche Annahme des Wirkbereichs
Nach RFC 5322 besteht eine E-Mail aus:
einer Header Section (E-Mail-Header) mit Header Fields
(Absender, Empfänger, Betreff, Datum)
und
einem E-Mail-Body (der eigentliche Nachrichteninhalt)
ABER: nur der E-Mail-Body wird signiert und/oder verschlüsselt
d.h.: eine nur im Header verfälschte E-Mail weist nach wie vor
eine gültige Signatur aus!
(Seit S/MIME V3.1 bietet sich hierzu als technische Lösung
das anfangs erwähnte „triple-wrapping“ an.)
www.holliday-consulting.com 03. Februar 2012
12. Fallstrick 3: Anwendung mit Fehler
Phänomen: fehlerbehaftete Anwendung
Beispiel: Nachverarbeitung des E-Mail-Bodys nach erfolgter
Signierung und/oder Verschlüsselung, im speziellen
z.B. durch ein anschließendes Unterdrücken zusätzlicher
Leerzeichen oder Leerzeilen im Mail-Text
so simpel der Fehler auch scheint, dass kann auch
Großunternehmen passieren:
(Hier kann einfach nur gesagt werden: IS-Status-Kontrolltests
sind eigentlich Standards im IS-Prozess-Geschehen.)
www.holliday-consulting.com 03. Februar 2012
19. Fallstrick 4: Infrastruktur
Phänomen: unterschätzte Infrastrukturerfordernisse
bei Unternehmen ist der Einsatz einer Public-Key-Infrastructure
unabdingbar
ohne zentrale Secure-E-Mail-Handling- und Key-Management-
Dienste sind Mitarbeiter eines Unternehmens
mit dem Handling leicht überfordert
wegen dem geringen Verbreitungsgrad und inhomogener
Systemimplementierungen sind Systembrüche die Regel,
es müssen Sonderverfahren zur Verfügung stehen
(Als Nothammer kommt hier sVw ins Spiel, z.B. mithilfe der Krypto-Open Source
‚TrueCrypt‘ Nachricht in einen zu kreierenden TrueCrypt file container
(Empfehlung: AES-256bit-encryption mit Hash-Algorithmus SHA-2) stecken, dem
Empfänger der Nachricht das ‚Volume Password‘
(Empfehlung: Passwort-Entropie >= 128 bits) per SMS schicken. That‘s it.)
www.holliday-consulting.com 03. Februar 2012
20. Fallstrick 5: organisat. Kontinuität
Phänomen: unterschätzte Erfordernisse
organisatorischer Kontinuität
Zertifikate laufen schon auch aus Sicherheitsgründen ab,
ein reibungsloses BCM des Zertifikatswesens ist unabdingbar
auch Zertifikatsaussteller können Lieferschwierigkeiten haben
zahlreiche Internet-Dienste müssen zuverlässig und sicher
betrieben werden (z.B. LDAP, Webservices bei XKMS-Einsatz,
CRL, OCSP etc.)
(Hier ist wirklich eine systemische Verbesserung gefragt. Technische Ansätze
dazu gibt es schon, z.B. DKIM (siehe RFC 4871), DNSSEC-Nutzung durch
PKA oder DNS-CERT (siehe RFC 4398). Die richtige systemische Lösung
wäre aber die Schaffung eines weltweiten Zertifikate-Internet-Dienstes.)
www.holliday-consulting.com 03. Februar 2012
21. Fallstrick 6: Compliance-Zusätze
Phänomen: zusätzliche Compliance-Anforderungen
bei zwangsweiser Mailverschlüsselung und –signatur
bedarf es der Zustimmung eines vorhandenen Betriebsrats
bzw. eines Interessensausgleichs mit den Mitarbeitern
die Sterblichkeit von Schlüsseln und Zertifikaten bedarf einer
konzeptuellen Adressierung bei der Umsetzung von gesetzlichen
Archivierungspflichten und Datensicherungsmassnahmen
www.holliday-consulting.com 03. Februar 2012
22. Fallstrick 7: fundamentale Störfälle
Phänomen: Sicherheitsstörfälle bei wichtigen
Konzeptbestandteilen
beim hierarchisch geprägten Vertrauenssystem von X.509-
Zertifikaten (S/MIME) ist die Kompromittierung von vertrauens-
verankernden Wurzelzertifikaten (IS-GAU) ein nicht mehr von
der Hand zu weisendes Risiko (siehe DigiNotar Certificate
Authority Einbruch Mitte 2011, Comodo-Zertifikatsdiebstahl
Anfang 2011, RSA SecurID Einbruch März 2011)
(Wenn dann mal die Quantencomputerisierung real wird,
ist obiger Konzeptbestandteil eh obsolet geworden;-)
www.holliday-consulting.com 03. Februar 2012
23. Diskussion - Systemische Begegnung
Was systemisch tun beim Phänomen:
1) (noch) geringer Verbreitungsgrad
2) falsche Sicherheitsannahmen
3) fehlerbehaftete Anwendung
4) unterschätzte Infrastrukturerfordernisse
5) unterschätzte Erfordernisse organisatorischer Kontinuität
6) zusätzliche Compliance-Anforderungen
7) Sicherheitsstörfälle bei wichtigen Konzeptbestandteilen
www.holliday-consulting.com 03. Februar 2012
24. Holliday Consulting - Dipl.-Ing. Frank W. Holliday
bedankt sich für Ihre
Aufmerksamkeit und wünscht
Ihnen weiter gutes Gelingen
für die Informationssicherheit!
www.holliday-consulting.com