Institut für Internet-Sicherheit – if(is)
Westfälische Hochschule, Gelsenkirchen http://www.internet-sicherheit.de
Prof. Dr.
(TU NN)Norbert Pohlmann
E-Mail und
Prof . Nor bert Pohlm ann , Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen
Inhalt
Motivation
E-Mail Verschlüsselung (pragmatisch)
Proaktive IT-Sicherheit (strategisch)
Zusammenfassung
Prof . Nor bert Pohlm ann , Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen 3
Inhalt
Motivation
E-Mail Verschlüsselung (pragmatisch)
Proaktive IT-Sicherheit (strategisch)
Zusammenfassung
Prof . Nor bert Pohlm ann , Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen
Motivation
Kein Schutz, kein vertrauen
Professionelle Hacker greifen alles erfolgreich an!
US Firmen (Google, RSA, …) US Regierungsorganisationen …
NSA und Co. sammeln alle Daten und werten fleißig aus!
Manipulation der IT und IT-Sicherheitsmechanismen Zugriff auf unsere Daten (Patiot Act, …)
…
Die Bewertung der IT-Sicherheitslage
ist nach Snowden schlechter geworden!
Wir haben ein sehr großes Vertrauensproblem!
(Internet-Firmen, IT-Sicherheitsanbieter und Staaten)
Prof . Nor bert Pohlm ann , Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen 5
Inhalt
Motivation
E-Mail Verschlüsselung
(pragmatisch)
Proaktive IT-Sicherheit (strategisch)
Zusammenfassung
Prof . Nor bert Pohlm ann , Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen
Die IT-Sicherheitssituation heute
E-Mail Sicherheit (2012)
Wenig verschlüsselte E-Mails
(< 4 %)
(S/MIME, PGP, …)
Wenig signierte E-Mails
(< 6 % )
Spam
-Anteil größer als 95 %
(in der Infrastruktur – siehe ENISA-Studie)
Keine Beweissicherung
Prof . Nor bert Pohlm ann , Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen
E-Mail-Verschlüsselung
SSL-Nutzung (mit G10-Schnittstelle)
User Agent lokaler MTA
Sender Benutzer Client User Agent Empfänger Benutzer relay MTA relay MTA (mit Mailbox) E-Mail Server Organisation A Organisation B Internet SMTPS POP3S o. IMAPS
Besser als gar nichts!
Klartext
Verschlüsselt
Prof . Nor bert Pohl m ann , Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen
“Encryption Algorithm”
Result: Awareness (Crypto used TLS)
6 %: RSA AES / SHA1 33%: DHE_RSA AES / SHA1 60%: RSA / RC4 / MD5
Prof . Nor bert Pohlm ann , Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen
E-Mail-Verschlüsselung
DE-Mail (mit G10-Schnittstelle)
User Agent lokaler MTA
Sender Benutzer Client User Agent Empfänger Benutzer relay MTA relay MTA (mit Mailbox) E-Mail Server Organisation A Organisation B Internet SMTPS POP3S o. IMAPS
Vorteile: garantierte Zustellung (Gesetz)
Klartext
Verschlüsselt
Prof . Nor bert Pohl m ann , Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen
E-Mail-Verschlüsselung
PGP o. S/MIME (ohne G10-Schnittstelle)
User Agent lokaler MTA
Sender Benutzer Client User Agent Empfänger Benutzer relay MTA relay MTA (mit Mailbox) E-Mail Server Organisation A Organisation B Internet SMTPS POP3S o. IMAPS Vorteile: End-to-End-Verschlüsselung Klartext Verschlüsselt G10-Schnittstelle
End-to-End
Verschlüsselung
Prof . Nor bert Pohlm ann , Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen
E-Mail-Verschlüsselung
PGP o. S/MIME
Die E-Mails werden bereits im Mail- Programm des Senders verschlüsselt und erst beim Empfänger entschlüsselt.
Zwischendurch hat niemand sonst Zugriff auf den Klartext-Inhalt.
Lösungen stehen zur Verfügung (aber: mehr Aufwand, kein Suchen, …)
Herausforderung: Verteilung der „öffentlichen Schlüssel“
Pretty Good Privacy
(PGP, deutsch sinngemäß „Ziemlich gute Privatsphäre“) if(is)-PGP-Zertifizierungsinstanz
(www.internet-sicherheit.de)
S/MINE
(Secure / Multipurpose Internet Mail Extensions ist ein Standard für die Verschlüsselung und Signatur von MIME-gekapselter E-Mail)
TeleTrusT European Bridge CA
Prof . Nor bert Pohlm ann , Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen
TeleTrusT - European Bridge CA
Übersicht
Seit 2001 gibt es die „European Bridge CA“ (EBCA)
Zusammenschluss einzelner, gleichberechtigter PKIn zu PKI-Verbund
einfacher, sicherer E-Mail-Verkehr & Datenaustausch über Internet Zusammenschluss von
Unternehmen (Deutsche Bank, E.ON, EDAS, Siemens, …) Institutionen (Deutsche Bundesbank, …)
öffentlichen Verwaltungen (BSI, …)
Voraussetzungen der Mitglieder
eigene Public Key Infrastructure (PKI) mit X.509-Zertifikaten S/MIME-E-Mails
eigene Policy (Identifikation der Teilnehmer, Schlüssellänge, …) Interoperabilitätstest
Es ist dann nur noch ein Vertragspartner nötig (die EBCA), dessen Dienste allen Mitgliedern zur Verfügung stehen
Prof . Nor bert Pohlm ann , Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen
TeleTrusT - European Bridge CA
Ziele des Vertrauensdienst
Vertrauen (organisatorisch)
Die Mitglieder haben vergleichbare Mindestrichtlinien einer RFC-konformen Policy (gleiches Sicherheitsniveau)
Vertrauen (technisch)
Die EBCA bietet eine 1:n Cross-Zertifizierung für die Root-CAs
(Ermöglicht pragmatisch die organisationsübergreifende verschlüsselte E-Mail-Kommunikation)
Erreichbarkeit (technisch)
Anwender-Zertifikate sollten von außen abrufbar sein, daher bietet die EBCA auch einen zentralen Verzeichnisdienst
Prof . Nor bert Pohlm ann , Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen
Referenzarchitektur - EBCA
Teilnehmer X
Teilnehmer Z
Teilnehmer Y
"Dritte"
(Andere Organisationen, individuelle Nutzer) European Verzeichnisdienst Zertifikats-verzeichnis Zertifikats-verzeichnis E-Mail Gateway LDAP Proxy LDAP Proxy PKI System Client-PCs Client-PCs PKI System Client-PCs/ E-Mail Gateways PKI System LDAP Proxy EBCA Teilnehmer könnenAnwender-Zertifikate direkt auf dem EBCA Verzeichnisdienst publizieren (statt einen eigenen Verzeichnisdienst zu betreiben) Automatisierter Download via LDAP (oder HTTP) Manueller Download via HTTP oder automatisiert via LDAP (oder HTTP) Internet
Automatisierter Download via LDAP oder manuell via HTTP
Zertifikats-Download vom EBCA Verzeichnisdienst Zertifikats-Provisionierung zum EBCA Verzeichnisdienst
Prof . Nor bert Pohlm ann , Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen 15
Inhalt
Motivation
E-Mail Verschlüsselung (pragmatisch)
Proaktive IT-Sicherheit
(strategisch)
Prof . Nor bert Pohlm ann , Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen
IT Sicherheitsstrategie
Übersicht
Vermeiden von Angriffen
Keine Technologie mit Schwachstellen verwenden (z.B. Browser)
Nicht alle IT-Systeme ans Internet
Entgegenwirken von Angriffen Reaktiv (+)
Proaktiv (+++)
Erkennen von Angriffen, denen nicht entgegengewirkt werden kann
Frühwarnsystem IT-Sicherheitslagebilder Assets $ Assets
$
Attack trial Assets $ Monitoring Monitoring Monitoring Direct ThreatProf . Nor bert Pohlm ann , Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen 17
IT Sicherheitsherausforderungen
Top IT-Sicherheitsprobleme
Zu viele Schwachstellen in Software 0,3 % Fehlerrate!
Über 3.000 Fehler und viel zu viele Schwachstellen in Betriebssystemen und Anwendungen.
Wird sich auch nicht schnell ändern!
Ungenügender Schutz vor Malware
Nur 75 bis 95 % Erkennungsrate. Nur 27 % bei direkten Angriffen. Rückgang der Anzahl von Malware, aber steigende Infektionen (Heise, MS, …)
Phishing
Deutliche gezielter und individueller (Social Engineering)
Weitere Probleme
Prof . Nor bert Pohlm ann , Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen
IT Sicherheitsstrategie
Welche Werte müssen geschützt werden?
Im Schnitt sind nur ca. 5 % aller vorhandenen Daten in Unternehmen besonders schützenswert.
Aber welche Daten sind besonders schützenswert und wie können diese angemessen geschützt werden?
Prof . Nor bert Pohlm ann , Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen 19
Reaktive IT-Sicherheitssysteme
Idee und Analogie
Bei reaktiven IT-Sicherheitssystemen rennen wir den IT-Angriffen hinterher!
Das bedeutet, wenn wir einen Angriff erkennen, dann versuchen wir uns so schnell wie möglich zu schützen, um den Schaden zu reduzieren.
Beispiele für reaktive Sicherheitssysteme sind:
Firewall-Systeme Intrusion Detection Anti-Malwareprodukte Anti-Spam /-Phishing, …
„Airbag-Methode“
Prof . Nor bert Pohlm ann , Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen
Proaktive Sicherheitssysteme
Idee und Analogie
Proaktive Sicherheitsmechanismen machen IT-Systeme robuster, sicherer und vertrauenswürdiger.
Hier spielen Sicherheitsplattformen auf der Basis von
intelligenten kryptographischen Verfahren eine wichtige Rolle.
( Vertrauenswürdige Basis )
„ESP-Strategie“
Prof . Nor bert Pohl m ann , Ins titut für Intern et -Si cherh eit -if (is) , W e stf älische Hoc hsch ule, Gels enkir chen 21
Paradigmenwechsel
– (2)
Vertrauenswürdige Basis (1/5)
Prof . Nor bert Pohl m ann , Ins titut für Intern et -Si cherh eit -if (is) , W e stf älische Hoc hsch ule, Gels enkir chen
Paradigmenwechsel
– (2)
Vertrauenswürdige Basis (2/5)
Aufteilung in verschiedene virtuelle Maschinen
Prof . Nor bert Pohl m ann , Ins titut für Intern et -Si cherh eit -if (is) , W e stf älische Hoc hsch ule, Gels enkir chen 23
Paradigmenwechsel
– (2)
Vertrauenswürdige Basis (3/5)
Aufteilung in verschiedene virtuelle Maschinen
Prof . Nor bert Pohl m ann , Ins titut für Intern et -Si cherh eit -if (is) , W e stf älische Hoc hsch ule, Gels enkir chen
Paradigmenwechsel
– (2)
Vertrauenswürdige Basis (4/5)
Wichtige Daten werden besonders
Prof . Nor bert Pohl m ann , Ins titut für Intern et -Si cherh eit -if (is) , W e stf älische Hoc hsch ule, Gels enkir chen 25
Paradigmenwechsel
– (2)
Vertrauenswürdige Basis (5/5)
Security Policies und ein Enforcement System sorgt
für mehr Sicherheit und Vertrauenswürdigkeit
Prof . Nor bert Pohlm ann , Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen
Inhalt
Motivation
E-Mail Verschlüsselung (pragmatisch)
Proaktive IT-Sicherheit (strategisch)
Prof . Nor bert Pohlm ann , Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen 27
E-Mail und proaktive IT-Sicherheit
Zusammenfassung
Wir werden alle angegriffen!
(Kommunikation (E-Mail, …), Smart Mobile Devices (SMD), PCs, Server, Host, …, Cloud, …)
Wenn gezielt und von professionellen Hackern
angegriffen wird, dann auch immer erfolgreich,
wenn wir uns nicht angemessen schützen.
E-Mail-Sicherheit ist mühsam, aber sehr effektvoll!
Proaktive IT-Sicherheitssysteme können besser
angemessen schützen und sollten für die
Institut für Internet-Sicherheit – if(is)
Westfälische Hochschule, Gelsenkirchen http://www.internet-sicherheit.de