E-Mail und proaktive IT-Sicherheit - Prof. Norbert Pohlmann

Institut für Internet-Sicherheit – if(is)

Westfälische Hochschule, Gelsenkirchen http://www.internet-sicherheit.de

Prof. Dr.

(TU NN)

Norbert Pohlmann

E-Mail und

Prof . Nor bert Pohlm ann , Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen

Inhalt

Motivation

E-Mail Verschlüsselung (pragmatisch)

Proaktive IT-Sicherheit (strategisch)

Zusammenfassung

Prof . Nor bert Pohlm ann , Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen 3

Inhalt

Motivation

E-Mail Verschlüsselung (pragmatisch)

Proaktive IT-Sicherheit (strategisch)

Zusammenfassung

Prof . Nor bert Pohlm ann , Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen

Motivation

 Kein Schutz, kein vertrauen

Professionelle Hacker greifen alles erfolgreich an!

US Firmen (Google, RSA, …) US Regierungsorganisationen …

NSA und Co. sammeln alle Daten und werten fleißig aus!

Manipulation der IT und IT-Sicherheitsmechanismen Zugriff auf unsere Daten (Patiot Act, …)

…

Die Bewertung der IT-Sicherheitslage

ist nach Snowden schlechter geworden!

Wir haben ein sehr großes Vertrauensproblem!

(Internet-Firmen, IT-Sicherheitsanbieter und Staaten)

Prof . Nor bert Pohlm ann , Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen 5

Inhalt

Motivation

E-Mail Verschlüsselung

(pragmatisch)

Proaktive IT-Sicherheit (strategisch)

Zusammenfassung

Prof . Nor bert Pohlm ann , Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen

Die IT-Sicherheitssituation heute

 E-Mail Sicherheit (2012)

Wenig verschlüsselte E-Mails

(< 4 %)

(S/MIME, PGP, …)

Wenig signierte E-Mails

(< 6 % )

Spam

-Anteil größer als 95 %

(in der Infrastruktur – siehe ENISA-Studie)

Keine Beweissicherung

Prof . Nor bert Pohlm ann , Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen

E-Mail-Verschlüsselung

 SSL-Nutzung (mit G10-Schnittstelle)

User Agent lokaler MTA

Sender Benutzer Client User Agent Empfänger Benutzer relay MTA relay MTA (mit Mailbox) E-Mail Server Organisation A Organisation B Internet SMTPS POP3S o. IMAPS

Besser als gar nichts!

Klartext

Verschlüsselt

Prof . Nor bert Pohl m ann , Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen

“Encryption Algorithm”

 Result: Awareness (Crypto used TLS)

6 %: RSA AES / SHA1 33%: DHE_RSA AES / SHA1 60%: RSA / RC4 / MD5

Prof . Nor bert Pohlm ann , Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen

E-Mail-Verschlüsselung

 DE-Mail (mit G10-Schnittstelle)

User Agent lokaler MTA

Sender Benutzer Client User Agent Empfänger Benutzer relay MTA relay MTA (mit Mailbox) E-Mail Server Organisation A Organisation B Internet SMTPS POP3S o. IMAPS

Vorteile: garantierte Zustellung (Gesetz)

Klartext

Verschlüsselt

Prof . Nor bert Pohl m ann , Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen

E-Mail-Verschlüsselung

 PGP o. S/MIME (ohne G10-Schnittstelle)

User Agent lokaler MTA

Sender Benutzer Client User Agent Empfänger Benutzer relay MTA relay MTA (mit Mailbox) E-Mail Server Organisation A Organisation B Internet SMTPS POP3S o. IMAPS Vorteile: End-to-End-Verschlüsselung Klartext Verschlüsselt G10-Schnittstelle

End-to-End

Verschlüsselung

Prof . Nor bert Pohlm ann , Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen

E-Mail-Verschlüsselung

 PGP o. S/MIME

Die E-Mails werden bereits im Mail- Programm des Senders verschlüsselt und erst beim Empfänger entschlüsselt.

Zwischendurch hat niemand sonst Zugriff auf den Klartext-Inhalt.

Lösungen stehen zur Verfügung (aber: mehr Aufwand, kein Suchen, …)

Herausforderung: Verteilung der „öffentlichen Schlüssel“

Pretty Good Privacy

(PGP, deutsch sinngemäß „Ziemlich gute Privatsphäre“) if(is)-PGP-Zertifizierungsinstanz

(www.internet-sicherheit.de)

S/MINE

(Secure / Multipurpose Internet Mail Extensions ist ein Standard für die Verschlüsselung und Signatur von MIME-gekapselter E-Mail)

TeleTrusT European Bridge CA

Prof . Nor bert Pohlm ann , Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen

TeleTrusT - European Bridge CA

 Übersicht

Seit 2001 gibt es die „European Bridge CA“ (EBCA)

Zusammenschluss einzelner, gleichberechtigter PKIn zu PKI-Verbund

 einfacher, sicherer E-Mail-Verkehr & Datenaustausch über Internet Zusammenschluss von

Unternehmen (Deutsche Bank, E.ON, EDAS, Siemens, …) Institutionen (Deutsche Bundesbank, …)

öffentlichen Verwaltungen (BSI, …)

Voraussetzungen der Mitglieder

eigene Public Key Infrastructure (PKI) mit X.509-Zertifikaten S/MIME-E-Mails

eigene Policy (Identifikation der Teilnehmer, Schlüssellänge, …) Interoperabilitätstest

 Es ist dann nur noch ein Vertragspartner nötig (die EBCA), dessen Dienste allen Mitgliedern zur Verfügung stehen

Prof . Nor bert Pohlm ann , Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen

TeleTrusT - European Bridge CA

 Ziele des Vertrauensdienst

Vertrauen (organisatorisch)

Die Mitglieder haben vergleichbare Mindestrichtlinien einer RFC-konformen Policy (gleiches Sicherheitsniveau)

Vertrauen (technisch)

Die EBCA bietet eine 1:n Cross-Zertifizierung für die Root-CAs

(Ermöglicht pragmatisch die organisationsübergreifende verschlüsselte E-Mail-Kommunikation)

Erreichbarkeit (technisch)

Anwender-Zertifikate sollten von außen abrufbar sein, daher bietet die EBCA auch einen zentralen Verzeichnisdienst

Prof . Nor bert Pohlm ann , Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen

Referenzarchitektur - EBCA

 E-Mail

Teilnehmer X

Teilnehmer Z

Teilnehmer Y

"Dritte"

(Andere Organisationen, individuelle Nutzer) European Verzeichnisdienst Zertifikats-verzeichnis Zertifikats-verzeichnis E-Mail Gateway LDAP Proxy LDAP Proxy PKI System Client-PCs Client-PCs PKI System Client-PCs/ E-Mail Gateways PKI System LDAP Proxy EBCA Teilnehmer können

Anwender-Zertifikate direkt auf dem EBCA Verzeichnisdienst publizieren (statt einen eigenen Verzeichnisdienst zu betreiben) Automatisierter Download via LDAP (oder HTTP) Manueller Download via HTTP oder automatisiert via LDAP (oder HTTP) Internet

Automatisierter Download via LDAP oder manuell via HTTP

Zertifikats-Download vom EBCA Verzeichnisdienst Zertifikats-Provisionierung zum EBCA Verzeichnisdienst

Prof . Nor bert Pohlm ann , Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen 15

Inhalt

Motivation

E-Mail Verschlüsselung (pragmatisch)

Proaktive IT-Sicherheit

(strategisch)

Prof . Nor bert Pohlm ann , Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen

IT Sicherheitsstrategie

 Übersicht

Vermeiden von Angriffen

Keine Technologie mit Schwachstellen verwenden (z.B. Browser)

Nicht alle IT-Systeme ans Internet

Entgegenwirken von Angriffen Reaktiv (+)

Proaktiv (+++)

Erkennen von Angriffen, denen nicht entgegengewirkt werden kann

Frühwarnsystem IT-Sicherheitslagebilder Assets $ Assets

$

Attack trial Assets $ Monitoring Monitoring Monitoring Direct Threat

Prof . Nor bert Pohlm ann , Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen 17

IT Sicherheitsherausforderungen

 Top IT-Sicherheitsprobleme

Zu viele Schwachstellen in Software 0,3 % Fehlerrate!

Über 3.000 Fehler und viel zu viele Schwachstellen in Betriebssystemen und Anwendungen.

Wird sich auch nicht schnell ändern!

Ungenügender Schutz vor Malware

Nur 75 bis 95 % Erkennungsrate. Nur 27 % bei direkten Angriffen. Rückgang der Anzahl von Malware, aber steigende Infektionen (Heise, MS, …)

Phishing

Deutliche gezielter und individueller (Social Engineering)

Weitere Probleme

Prof . Nor bert Pohlm ann , Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen

IT Sicherheitsstrategie

 Welche Werte müssen geschützt werden?

Im Schnitt sind nur ca. 5 % aller vorhandenen Daten in Unternehmen besonders schützenswert.

Aber welche Daten sind besonders schützenswert und wie können diese angemessen geschützt werden?

Prof . Nor bert Pohlm ann , Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen 19

Reaktive IT-Sicherheitssysteme

 Idee und Analogie

Bei reaktiven IT-Sicherheitssystemen rennen wir den IT-Angriffen hinterher!

Das bedeutet, wenn wir einen Angriff erkennen, dann versuchen wir uns so schnell wie möglich zu schützen, um den Schaden zu reduzieren.

Beispiele für reaktive Sicherheitssysteme sind:

Firewall-Systeme Intrusion Detection Anti-Malwareprodukte Anti-Spam /-Phishing, …

„Airbag-Methode“

Prof . Nor bert Pohlm ann , Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen

Proaktive Sicherheitssysteme

 Idee und Analogie

Proaktive Sicherheitsmechanismen machen IT-Systeme robuster, sicherer und vertrauenswürdiger.

Hier spielen Sicherheitsplattformen auf der Basis von

intelligenten kryptographischen Verfahren eine wichtige Rolle.

( Vertrauenswürdige Basis )

„ESP-Strategie“

Prof . Nor bert Pohl m ann , Ins titut für Intern et -Si cherh eit -if (is) , W e stf älische Hoc hsch ule, Gels enkir chen 21

Paradigmenwechsel

– (2)

 Vertrauenswürdige Basis (1/5)

Prof . Nor bert Pohl m ann , Ins titut für Intern et -Si cherh eit -if (is) , W e stf älische Hoc hsch ule, Gels enkir chen

Paradigmenwechsel

– (2)

 Vertrauenswürdige Basis (2/5)

Aufteilung in verschiedene virtuelle Maschinen

Prof . Nor bert Pohl m ann , Ins titut für Intern et -Si cherh eit -if (is) , W e stf älische Hoc hsch ule, Gels enkir chen 23

Paradigmenwechsel

– (2)

 Vertrauenswürdige Basis (3/5)

Aufteilung in verschiedene virtuelle Maschinen

Prof . Nor bert Pohl m ann , Ins titut für Intern et -Si cherh eit -if (is) , W e stf älische Hoc hsch ule, Gels enkir chen

Paradigmenwechsel

– (2)

 Vertrauenswürdige Basis (4/5)

Wichtige Daten werden besonders

Prof . Nor bert Pohl m ann , Ins titut für Intern et -Si cherh eit -if (is) , W e stf älische Hoc hsch ule, Gels enkir chen 25

Paradigmenwechsel

– (2)

 Vertrauenswürdige Basis (5/5)

Security Policies und ein Enforcement System sorgt

für mehr Sicherheit und Vertrauenswürdigkeit

Prof . Nor bert Pohlm ann , Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen

Inhalt

Motivation

E-Mail Verschlüsselung (pragmatisch)

Proaktive IT-Sicherheit (strategisch)

Prof . Nor bert Pohlm ann , Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen 27

E-Mail und proaktive IT-Sicherheit

 Zusammenfassung

Wir werden alle angegriffen!

(Kommunikation (E-Mail, …), Smart Mobile Devices (SMD), PCs, Server, Host, …, Cloud, …)

Wenn gezielt und von professionellen Hackern

angegriffen wird, dann auch immer erfolgreich,

wenn wir uns nicht angemessen schützen.

E-Mail-Sicherheit ist mühsam, aber sehr effektvoll!

Proaktive IT-Sicherheitssysteme können besser

angemessen schützen und sollten für die

Institut für Internet-Sicherheit – if(is)

Westfälische Hochschule, Gelsenkirchen http://www.internet-sicherheit.de

Prof. Dr.

(TU NN)

Norbert Pohlmann

Vielen Dank für Ihre Aufmerksamkeit

Fragen ?

E-Mail und