C. Dietrich, N. Pohlmann:,
“Mail-Verlässlichkeit – Verbreitung und Evaluation”.
In Proceedings der DACH Security Konferenz 2005,
Hrsg.: Patrick Horster,
syssec Verlag,
2005 Mail-Verlässlichkeit – Verbreitung und Evaluation
Der Internet-Dienst E-Mail ist einer der am weitesten verbreiteten und meist genutzten Dienste des Internets. Obwohl E-Mail zunächst nicht als verlässlicher Dienst konzipiert wurde, wird es heutzutage häufig als Mittel zur einfachen, nachrichtenbasierten und zuverlässigen Kommunikation im Internet eingesetzt. Der E-Mail Dienst ist für die Informationstechnologie inzwischen eine nicht mehr wegzudenkende Anwendung. Seit einigen Jahren jedoch beeinträchtigen insbesondere Spam und Malware, aber auch andere Bedrohungen (z.B. fehlende Geheimhaltung) das Medium E-Mail derart, dass fraglich ist, ob E-Mail in der Zukunft noch genauso einfach, unkonventionell und produktiv eingesetzt werden kann. Um letztlich das Gefahrenpotenzial für die E-Mail Nutzung konkret einschätzen zu können, hat das Institut für Internet-Sicherheit der FH Gelsenkirchen eine Umfrage bei diversen Organisationen durchgeführt, die sowohl die aktuelle Bedrohungslage durch Spam und Viren als auch Sicherheitsmaßnahmen zur Gefahrenabwehr untersucht. Mithilfe einer Fragebogenaktion wurde zunächst geklärt, welche Art von Informationen – mit welcher Bedeutung für die Kommunikationspartner – per E-Mail im Internet ausgetauscht werden. Des Weiteren wurde in Erfahrung gebracht, ob und inwieweit E-Mail Kommunikation möglicherweise bereits eingeschränkt ist und welche Mechanismen sich in der Praxis bisher als wirkungsvoll und zuverlässig erwiesen haben. Diese Umfrage des Instituts für Internet-Sicherheit der FH Gelsenkirchen bildet daher die Basis für eine Evaluierung von Mechanismen zur Etablierung von E-Mail-Verlässlichkeit, insbesondere von Anti Sparmaßnahmen. Hierbei gilt es, u.a. die zahlreichen und zumeist komplizierten Möglichkeiten der Spam-Abwehr auf ihre Praxistauglichkeit hin zu überprüfen. Die Umfrage wird demnächst mehrfach wiederholt, um mögliche Trends und Veränderungen zu erkennen. Der nächste Umfrage-Lauf ist für den Frühsommer 2005 geplant. Idee und Umsetzung
Das Medium E-Mail als Teilkomponente des Internets, das wiederum als offenes Kommunikationssystem realisiert ist, ermöglicht einen einfachen unkomplizierten Nachrichtenaustausch, da in der technischen Konzeption grundsätzlich keinerlei Beschränkungen der Möglichkeit der E-Mail-Kommunikation zwischen beliebigen E-Mail-Teilnehmern weltweit existiert. Dies bedeutet, jeder Teilnehmer kann jedem anderen Teilnehmer im Netz E-Mail Nachrichten senden, sofern die E-Mail-Adresse des Empfängers bekannt ist. Diese technisch mögliche „grenzenlose“ Freiheit nutzen allerdings auch Spammer, um in überaus großen Mengen E-Mails an beliebige Empfänger zu übersenden. Aktuelle Zahlen von Antispam-Dienstleistern (vgl. [Clea04] sowie [Mess04]) belegen, dass unerwünschte Spam-Nachrichten zwischen 70 % und 90 % des gesamten weltweiten E-Mail-Verkehrs ausmachen können. Dies führt beim Empfänger zu einem erheblichen Arbeitsaufwand, um aus der Fülle der übersandten E-Mails diejenigen Nachrichten zu extrahieren, die für ihn gleichwohl relevant sind. Ohne weitere technische Hilfsmittel kann man sich als Empfänger dieser unerwünschten Nachrichten grundsätzlich nicht erwehren. Im Laufe der Zeit wurden diverse Alternativen zur Abwehr der Spam-Flut mit unterschiedlichen Ansatzpunkten entwickelt. Im Rahmen der Auswertung der Umfrageergebnisse werden die zurzeit verfügbaren, unterschiedlichen Mechanismen auf ihre Validität und Effektivität hin bewertet. Aber nicht nur für den Empfänger, sondern auch für die zwischengelagerten Service Provider bedeutet die Verhinderung von Spam eine enorme Kosteneinsparung. So muss insbesondere von den Anbietern ein erheblicher Teil ihrer Ressourcen darauf verwendet werden unerwünschte Nachrichten, die der Empfänger als wert-, nutz- und sinnlos erachtet, in Massen zu transportieren. Die Umfrageergebnisse zeigen, dass dies durch den gezielten Einsatz einzelner Maßnahmen zwar nicht ganz unterbunden, allerdings deutlich reduziert werden kann. Neben der Spam-Problematik ergeben sich darüber hinaus insbesondere dadurch Probleme, dass der E-Mail-Dienst gängige Forderungen der IT-Sicherheit im Regelfall nicht erfüllt. E-Mail basiert auf den Protokollen SMTP und POP3 sowie IMAP. Diese Protokolle bieten von sich aus keinerlei bzw. nur unzureichende Sicherheitsmechanismen, mithilfe derer Vertraulichkeit, Integrität und Verbindlichkeit der Nachrichtenübermittlung realisierbar sind. Doch genau diese Aspekte sind grundlegend für eine verlässliche, sichere Anwendung des E-Maildienstes. Ohne einen sicheren E-Mail-Dienst ist der Einsatz von E-Mail z.B. in elektronischen Geschäftsprozessen nahezu unmöglich, da z.B. im Falle von Vertragsabschlüssen per E-Mail zum Schutz aller Parteien ein vertraulicher, integrer und verbindlicher Kommunikationskanal unabdingbare Voraussetzung ist.
…
Siehe auch:
– E-Mail Sicherheit
– E-Mail-Sicherheitsherausforderungen
kostenlos downloaden | 
