wie schützen sie ihre messaging- & collaboration-infrastruktur? lessons learned aus prism &...

PRISM & Co. – was bedeutet es für Sie?

Olaf Boerner

Schutz Ihrer Messaging & Collaboration Infrastruktur

About me !   Administrator /Developer since 1994 !   Bei BCC seit 1996 !   DNUG AK Systemmanagement

seit 1999

!   IBM Champion ! Twitter: @OlafBoerner !   Working as Senior Architect with large

enterprise customers •  reduce Total cost of Ownership of Lotus Domino •  securing and optimizing IBM Domino infrastructures


Agenda !  Was bedeutet PRISM & Co. für Ihre E-Mail-

Kommunikation?

!  Wie können Sie schnell handeln? •  Kurzfristige Lösungsansätze •  integrierte Lösungen für unterschiedliche

Kommunikationsszenarien

!  Schutz der internen Infrastruktur ?

PRISM & Co. Fraport Arena Fraport Arena


Pressesplitter…

http://www.spiegel.de/netzwelt/netzpolitik/ueberwachungsaffaere-nsa-spaeht-millionen-google-und-yahoo-nutzern-aus-a-930930.html


Pressesplitter…

http://m.welt.de/article.do?id=wirtschaft/webwelt/article121426021/Wie-ist-die-NSA-an-die-E-Mails-herangekommen &cid=wirtschaft-webwelt


Pressesplitter…

http://www.golem.de/news/nsa-skandal-luxemburger-behoerden-ermitteln-gegen-skype-1310-102100.html

http://www.heise.de/newsticker/meldung/PRISM-Ueberwachungskandal-Microsoft-ermoeglicht-NSA-Zugriff- auf-Skype-Outlook-com-Skydrive-1916340.html


Was ist Prism & Co. !   PRISM

•  Seit 2005 laufendes Programm zur umfangreichen Überwachung und systematischen Auswertung des Internet Traffics

•  Aktive Beteiligung der führenden Internet Unternehmen •  Microsoft & Skype •  Google •  Facebook •  Yahoo •  Apple

!   Verknüpfung mit intelligenten Auswertungsprogrammen wie X-KEYSCORE


Welche Daten sammelt PRISM ?


X-KEYSCORE


X-KEYSCORE – Email Monitoring


5 EYES !  Codename für koordiniertes

Überwachungsprogramm von fünf Nationen •  USA (Leadership) •  Großbritannien,

Kanada, •  Australien und •  Neuseeland

!   Intensiver Austausch von Daten und Verfahren !   Fortsetzung des „Echelon“ Projektes vor 2001


TEMPORA !   Seit Ende 2011 durch UK Government

Communications Headquarters (GCHQ) !  Höhere Leistungsfähigkeit als PRISM

•  "They [GCHQ] are worse than the US.“ (Edward Snowden)

•  UK officials could also claim GCHQ "produces larger amounts of metadata than NSA".

•  GCHQ was handling 600m "telephone events" each day, had tapped more than 200 fibre-optic cables and was able to process data from at least 46 of them at a time

•  http://www.theguardian.com/uk/2013/jun/21/gchq-cables-secret-world-communications-nsa


„Muscular“ !   Programm zum wahllosen Abfangen der Datenströme aus

Glasfaserkabeln zwischen den Rechenzentren der Internetkonzerne Google und Yahoo durch die NSA und ihren britischen Partnerdienst GCHQ.

!   Google betreibt weltweit 13 Zentren, auf denen die Daten von Nutzern und deren Informationsströme verwaltet werden. Die Zentren tauschen ständig gigantische Datenmengen untereinander aus.

!   NSA und GCHQ haben sich angeblich heimlich Zugang zu den Verbindungskabeln verschafft und kopieren Massen unverschlüsselter Daten.


GCHQ & TEMPORA !  GCHQ WebSite - Mission statement

!   GCHQ provides intelligence, protects information and informs relevant UK policy to keep our society safe and successful in the Internet age

!   Tempora Selection Criteria •  "The criteria are security, terror, organised crime. And

economic well-being.“

Was sind die Zielsetzungen dieser Programme ?

Terrorbekämpfung ?

Wirtschaftsspionage ?

Blick zurück in 2001

Existenz des Spionage System „Echelon“ wird „offiziell“ bestätigt http://en.wikipedia.org/wiki/ECHELON http://de.wikipedia.org/wiki/ECHELON


Echelon in 2001 !   „Von Seiten des Ausschusses wird die Gefahr

gesehen, dass der US-Geheimdienst die im Wirtschaftsbereich gesammelten Informationen nicht allein im Kampf gegen Korruption einsetzt, sondern um den USA Wettbewerbsvorteile aufgrund von geheimen Nachrichten zu verschaffen“ •  Gerhard SCHMID (SPE, D), Abhörsystem "Echelon“, Dok.:

A5-0264/2001, Verfahren: nicht-legislative Stellungnahme (Art. 47 GO), Aussprache und Annahme: 05.09.2001

•  http://www.europarl.europa.eu/sides/getDoc.do?type=PRESS&reference=DN-20010905-1&format=XML&language=DE#SECTION1


Bewertung Echelon in 2001 !   „Von Seiten des Ausschusses wird die Gefahr

gesehen, dass der US-Geheimdienst die im Wirtschaftsbereich gesammelten Informationen nicht allein im Kampf gegen Korruption einsetzt, sondern um den USA Wettbewerbsvorteile aufgrund von geheimen Nachrichten zu verschaffen“ •  Gerhard SCHMID (SPE, D), Abhörsystem "Echelon“, Dok.:

A5-0264/2001, Verfahren: nicht-legislative Stellungnahme (Art. 47

GO), Aussprache und Annahme: 05.09.2001 •  http://www.europarl.europa.eu/sides/getDoc.do?

type=PRESS&reference=DN-20010905-1&format=XML&language=DE#SECTION1


Vorsprung durch Spionage ? !  Was sagt der deutsche Verfassungsschutz ?

!   „Hauptträger der Spionageaktivitäten gegen Deutschland sind derzeit die Russische Föderation und die Volksrepublik China“

!   „Die Spionageabwehr geht – nach derzeitiger Erkenntnislage – davon aus, dass durch westliche Nachrichtendienste keine systematische Wirtschaftsspionage gegen die Bundesrepublik Deutschland durchgeführt wird.“ •  Quelle: Verfassungsschutzbericht 2013 vor Snowden


Constanze Kurz, Sprecherin des Chaos Computer Clubs in der FAZ (14.6.2013)

!   „Dass es bei PRISM wirklich um Terrorismus geht, glauben ohnehin nur noch die ganz Naiven angesichts der Milliarden Datensätze, die pro Monat abgegriffen werden.

!  Denn da nicht hinter jedem Baum ein mutmaßlicher Terrorist lauert, hat in Wahrheit die gute alte Wirtschaftsspionage ein neues prächtiges Gewand bekommen.“


Constanze Kurz, Sprecherin des Chaos Computer Clubs in der FAZ (14.6.2013)

!   „Was für eine Ausrede hat die Führung eines Unternehmens hierzulande angesichts des massenhaften Datenabgreifens eigentlich noch, die IT-Sicherheit und die alltägliche verpflichtende Benutzung von Verschlüsselungs- und Anonymisierungstechnologien in der eigenen Firma und bei Vertragspartnern nicht durchzusetzen?“

! http://www.faz.net/aktuell/feuilleton/aus-dem-maschinenraum/europa-und-die-

nsa-enthuellung-das-praechtige-neue-gewand-der-guten-alten-

wirtschaftsspionage-12220566.html


Stellungnahme der BITKOM !   BITKKOM: Verband der IT-, Telekommunikations- und Neue-

Medien-Branche mit 1.300 Direktmitglieder

!   Ausmaß und Zielrichtung überraschen •  „aber Wirtschaftsspionage gehört zu den

Aufgabenbeschreibungen der amerikanischen und britischen Geheimdienste.

•  Dass wir nun vom Einsatz nachrichtendienstlicher Mittel in diesem Zusammenhang hören, braucht niemanden zu wundern."

!   BITKOM-Präsident Prof. Dieter Kempf (Vorsitzender des Vorstand der DATEV)


Terrorbekämpfung ? !  Heise 17.2.2014 Überwacher machen vor US-

Anwälten nicht halt •  US-amerikanischen Anwaltskanzlei, „hatte Indonesien in

Handelsstreitigkeiten mit den USA vertreten.“ •  Vermutung zur betroffenen Kanzlei „Mayer Brown“

•  TOP10 Global Law firm > Friedrich Merz als Partner •  Überwachung erfolgte durch 5 Eyes

•  Australiens Auslandsgeheimdienst ASD •  Herausgabe der Daten an NSA

http://www.nytimes.com/2014/02/16/us/eavesdropping-ensnared-american-law-firm.html?_r=1

http://www.heise.de/newsticker/meldung/NSA-Skandal-Ueberwacher-machen-vor-US-Anwaelten-nicht-

halt-2115716.html


Fazit !   Bedrohungsszenarien wurden bislang eher

theoretisch betrachtet !   Tatsächlicher Umfang und Ausmaß der

Datensammlung und Auswertung bislang nicht vorstellbar

!  Umstellung der Risiko-Bewertung in Unternehmen und Berücksichtigung in Sicherheits-Szenarien

!   Analogie zu „Business continuance“ Planung nach 9/11

!   Bislang waren gesetzliche Vorgaben der einzige „Treiber“ (BaFIN)


Agenda ! Was bedeutet PRISM & Co. für Ihre E-Mail-

Kommunikation?

!  Wie können Sie schnell handeln? •  Kurzfristige Lösungsansätze •  integrierte Lösungen für unterschiedliche

Kommunikationsszenarien !  Schutz der internen Infrastruktur


Organisatorische Vorgaben

Externe Kommunikation Interne „Daten“ Infrastruktur

Organisatorische Vorgaben


„Schutzwürdige Information“ definieren

!  Welche Typen von Informationen und Dokumenten •  Bilanzen, GuV, internes Controlling etc. •  Strategische Planungen und Konzepte •  Forschung und Entwicklung

!   Konkrete interne Anweisungen, •  Festlegung von Geheimhaltungsstufen •  welche interne Informationen dürfen nicht in einer

„unverschlüsselten“ Internet-Mail versendet werden •  welche Informationen niemals per E Mail

!   Festlegung der „gesicherten“ Speicherung und Kommunikation


Beispiel: Geheimhaltungsstufen !   STRENG GEHEIM (abgekürzt: str. geh.; auch: Stufe II):

•  lebenswichtige Interessen der Bundesrepublik Deutschland gefährden •  Kennzeichnung: Auf Schriftstücken roter Stempelabdruck oder Druck in der Kopf- und

Fußzeile.

!   GEHEIM (geh.; auch: Stufe I) •  die Sicherheit der Bundesrepublik Deutschland oder gefährden •  Kennzeichnung: Auf Schriftstücken roter Stempelabdruck oder Druck in der Kopf- und

Fußzeile.

!   VERSCHLUSSSACHE – VERTRAULICH (VS-VERTRAULICH, VS-Vertr.): •  kann für die Interessen der Bundesrepublik Deutschland schädlich sein. •  Kennzeichnung: Auf Schriftstücken blauer oder schwarzer Stempelabdruck oder Druck in

der Kopfzeile.

!   VERSCHLUSSSACHE – NUR FÜR DEN DIENSTGEBRAUCH (VS-NUR FÜR

DEN DIENSTGEBRAUCH, VS-NfD): •  die Kenntnisnahme kann nachteilig sein. •  Kennzeichnung: Auf Schriftstücken blauer oder schwarzer Stempelabdruck oder Druck in

der Kopfzeile.


Externe Kommunikation

Interne Daten Infrastruktur Organisatorische Vorgaben


Externe Kommunikation !   Keine Nutzung von Public Cloud Diensten

•  Dienste in der Public Cloud sind unsicher ! •  Dropbox, •  SkyDrive, •  Google Drive oder •  Skype

! Verstoss gegen Datenschutz Bestimmungen prüfen ! !   Beispiel Skype

•  "Skype nutzt gegebenenfalls innerhalb von Sofortnachrichten und SMS automatisiertes Scannen zur Bestimmung von (a) vermutlichem Spam und/oder (b) URLs, die bereits als Spam-, Betrugs- oder Phishing-Links identifiziert wurden.“

•  Einverständnis, dass Skype alles mitlesen darf •  http://www.heise.de/security/meldung/Vorsicht-beim-Skypen-

Microsoft-liest-mit-1857620.html


Externe Kommunikation !  Mitarbeiter sollten intern nicht über „externe“

private E-Mail kommunizieren •  Umweg über das Internet vermeiden •  ausschließlich über interne Infrastruktur Mail

!   Absicherung mit Verschlüsselung / PKI Lösung

•  Größere Unternehmen sollten dafür einen internen, nicht vom Internet aus erreichbaren PKI-Server einsetzen,

•  Alternativ Nutzung öffentlicher PKI Dienste •  Einbindung wichtiger Geschäftspartner an der

Verschlüsselungslösung „forcieren“

„Encryption works. Properly implemented strong crypto systems are one of the few things that you can rely on.“ Edward Snowden

http://www.theguardian.com/world/2013/jun/17/edward-snowden-nsa-files-whistleblower http://www.theguardian.com/world/2013/sep/05/nsa-how-to-remain-secure-surveillance


Technische Empfehlung zur Verschlüsselung !  RSA Algorithmus Verfahren als „negatives

positives Beispiel“ •  Dual Elliptic Curve Deterministic Random Bit

Generation (or Dual EC DRBG) •  Einbau in „Bsafe“ Libary •  Wird auch durch IBM in Notes verwendet

!  Nutzung von OpenSource Produkten •  OpenSSL •  OpenPGP •  OpenVPN

E-Mail Kommunikationskanäle


Lösungsansatz „TLS/SSL“ !   1995 mit Extended SMTP (ESMTP) in RFC 1869

erweitert !   Verschlüsselung über SSL/TLS

•  SMTP Kommunikation zwischen zwei Mail-Servern wird beim Verbindungsaufbau verschlüsselt

•  Absicherung der IP Kommunikation (Transportweges) !   Aktion „E-Mail made in Germany“ nutzt dies nun

endlich •  Deutsche Telekom, •  Web.de und GMX

!   Schnelle & einfache Umsetzung -> EMPFEHLUNG


PKI mit PGP !   Verschlüsselung der E-Mails steht im Vordergrund

•  Keine Prüfung der Signaturen / Authentizität !   Keine „native“ Unterstützung in E Mail Clients

•  Installation von Plug-Ins für E-Mail-Client erforderlich •  Keine integrierte Handhabung

!   PKI in der Regel mit Unternehmenszertifikaten •  PGP Zertifikate für das gesamte Unternehmen •  Keine Userbasierten PGP Zertifikate •  Eigene & kostengünstige Erstellung von PGP Zertifikaten •  Direkter Austausch der Zertifikate mit dem

Kommunikationspartner


PKI mit PGP: Empfehlungen !   Nutzung von GnuPG auf Basis OpenPGP !   Einsatz mit Unternehmenszertifikaten !   Nutzung von PGP i.d.R nur in Verbindung mit E-Mail-

Gateways !   Automatische Verschlüsselung der gesamten E-Mail-

Kommunikation zwischen zwei Kommunikationspartnern

!   Fazit •  Einfache & kostengünstige Lösung •  Nutzung von Mail Gateways als Zusatz-Software erforderlich •  Keine Berücksichtigung von Signatur / Authentifizierung der

Absender


Bewertung PGP

Vorteil •  Einfaches

kostengünstiges Verfahren

•  Eigene Zertifikate

Nachteil •  Einsatz von

Zusatz Software •  Keine

Authentifizierung


S/MIME Verschlüsselung !   „DER Standard“ !  Nutzung von X509 Zertifikaten

•  CA, SubCA & User Zertifikat •  CA Hierarchie

!   Verschlüsselung und Signatur Prüfung integriert !   Exkurs Signatur-Prüfung !   Standardmäßig für jeden Mail Client

•  MS Outlook, Lotus Notes •  Apple Mail, Thunderbird etc. •  iPhone, Android, Blackberry

!   Ende-zu-Ende Verschlüsselung als Standard


Nutzung von Zertifikaten bei S/MIME !   Analog zu Notes PKI

•  CA –> O Certifier •  X509 –> UserID •  Trust zwischen CA –> Querzulassung

!   Einmalige Trust Beziehung zwischen zwei Kommunikations-Partnern notwendig •  „User Impact durch Fehlermeldungen“ im E Mail Client •  Automatisierung der Trust Beziehung durch „Öffentliche“ Root CA‘s

möglich •  Analog zu SSL Zertifikaten

!   Externe „kostenpflichtige“ Erstellung von S/MIME Zertifikaten !   Abhängigkeit vom Kommunikationspartner !

•  Empfänger braucht ein X.509 Zertifikat •  Know-how zum Umgang


Lösungsansätze für S/MIME Zertikate !   Vorgabe der verschlüsselten Kommunikation als IT

Security Richtlinie •  Analogie zu „Ohne Faxgerät keine Bestellung“

!   Verwendung kostenloser SMIME Zertifikate •  Variante "Class 1“ •  Für Privatpersonen und kleine Firmen ausreichend •  Anbieter

•  Instant SSL - http://www.instantssl.com/ssl-certificate-products/free-email-certificate.html

•  Start SSL https://www.startssl.com !   Erstellung eigener Zertifikate

•  Interne Nutzung •  für Kommunikationspartner mit Anweisung •  Nutzung von openssl

Wo ist das Problem mit S/MIME ?


Max Raabe und das PKI Dilemma ....


Sonstige Hindernisse für S/MIME !   Endanwender

•  Schulungsbedarf für technisches Verständnis •  Begleitende organisatorische Vorgabe ist wichtig

!   Aufwände bei unternehmensweiten Einsatz •  Erstellung S/MIME Zertifikaten und •  Konfiguration der E Mail Clients •  Management der Trustbeziehungen

!   Interne Vorgabe der E-Mail Sicherheit •  Zentraler Virenschutz •  Zentrale Archivierung

!   Lösungsansätze: •  Nutzung von serverbasierten E Mail Gateways •  Automatisierung des Zertifikats Management (Intern & Extern) •  Nutzung von kostenlosen S/MIME Zertifikaten

•  http://www.comodo.com/home/email-security/free-email-certificate.php


Bewertung S/MIME

Vorteil •  Standard

Verfahren •  Technisch

ausgereift •  Nutzung im B2B

einfach möglich

Nachteil •  Einsatz von Zusatz

Software sinnvoll •  Abhängigkeit von

externen Kommunikations-partner


Lösungsansatz „E-Mail Verschlüsselung“ ohne PKI !   Automatische Konvertierung ausgehender E-Mails

am E-Mail Server •  Umwandlung der gesamten E-Mail in PDF •  Einbettung Attachment in PDF File •  Einbettung Attachment in ZIP File •  Verschlüsselung mit Passwort und „automatisierter“

Weitergabe


Bewertung PKI lose Verschlüsslung

Vorteil • Keine Abhängigkeit

von externen Kommunikations-partner

•  Einfache Nutzung im B2B und B2C möglich

Nachteil •  Erklärungsbedarf bei

Übermittlung des Passwortes

•  Komfort bei häufigem E-Mail Verkehr

Lösungsansätze “E-Mail“

Bewertung Lösungsansätze


Lösungsangebot der BCC ! MailProtect – Schutz der E Mail Kommunikation

•  Zentrales serverbasiertes E-Mail Management •  S/MIME •  PGP •  Instant Encryption •  Interne sichere Zustellung mit Notes PKI (Secure

Delivery)


Externe Kommunikation

Interne Infrastruktur Organisatorische Vorgaben

Schutz der internen Infrastruktur

Schutz der internen Infrastruktur

Was macht eigentlich die NSA ? oder

Lessons learned ;-)


Massnahmen der NSA oder „The scariest threat is the systems administrator,”

Zusätzliche Protokollierung &

Sicherungssysteme 4 Augen Prinzip Automatisierung !


Massnahmen der NSA: „The scariest threat is the systems administrator,” !   “a two-man rule” that would limit the ability of each

of its 1,000 system admins to gain unfettered access to the entire system

!   Auf Deutsch „4 Augen Prinzip“


Massnahmen der NSA: „The scariest threat is the systems administrator,” !   „Was wir gerade machen - nicht schnell genug - ist

die Reduzierung unserer System-Administratoren um rund 90 Prozent.“ Keith Alexander

!   Aufgaben sollten soweit wie möglich automatisiert werden, damit weniger Menschen in Kontakt mit sensiblen Informationen kommen.

!   Fazit: Automatisierung -> Reduktion der Administratoren um 90%

!   „doing things that machines are probably better at doing.“

! decrease required access rights

! provide system log trails

!   TCO is (currently) not important for NSA ;-)

Summary


Automatisierung ist die Basis für eine sichere Infrastruktur!

Auto-matisierung

Compliance

Security

Reduce TCO

BCC empfiehlt seinen Kunden den gleichen Lösungsansatz

Lösungsansätze der BCC

Lösungsansatz der BCC Automatisierung

der Administrations-

abläufe

Reduzierung der Zugriffsrechte

Vollständige Protokollierung aller Aktvitäten

Lösungsansatz BCC für IBM Domino

Implementierung zusätzlicher Sicherheitsebene • Unabhängig von Domino Admin

Rechten • Nicht durch Admin manipulierbar

Erweiterte detaillierte Protokollierung •  „sicherheitsrelevanten

Informationen“ •  Protokollierung ausserhalb von

Domino

Realtime Protection • Änderungen • Zugriff • Manipuationen


Lösungsangebot der BCC ! DominoProtect

•  Tracking & Protection von Datenbeständen auf Domino Server

•  Konfigurations Daten •  Applikations Daten

•  Realtime Monitoring des Zugriffs auf sensible Daten •  Realtime Schutz bei Änderungen von definierten

Datenbeständen •  Restriktive Berechtigungen in der Administration


Lösungsangebot der BCC ! ClientGenie

•  Integrierte Komprimierung und Verschlüsselung von Attachments mit AES 256 Bit

!   Vorteile •  Enge Integration mit dem Notes Client •  Keine Zusatzsoftware erforderlich

wie schützen sie ihre messaging- & collaboration-infrastruktur? lessons learned aus prism &...

Software

keyscore email monitoring

time http

of them at

had tapped more than

laufendes programm

ibm champion

optic cables and

able to process data