E-Mail-Sicherheitsherausforderungen - Prof. Dr. Norbert Pohlmann
E-Mail-Sicherheitsherausforderungen | |
 | Inhaltsverzeichnis Was sind E-Mail-Sicherheitsherausforderungen?
Weltweit kann jeder E-Mails versendenFür die erwünschten E-Mails ist das eine sehr gute Eigenschaft. Für die E-Mails, die nicht gewollt sind wie E-Mails mit Werbung, politischen Inhalten und kriminellen Absichten hat sich das Wort „Spam “ etabliert. Es gibt aber auch E-Mails, die uns einen direkten Schaden zufügen sollen. Das sind E-Mails mit Malware oder auch Phishing -E-Mails, mit denen Zugangsdaten „gefischt“ werden sollen. Mit Phishing-E-Mails werden Nutzer motiviert, auf gefälschten Webseiten ihre persönlichen Daten einzugeben. Siehe auch: Angriffsvektoren Alle nicht erwünschten E-Mails stellen ein großes Problem für die E-Mail-Anwendung dar. E-Mail-Anhänge werden dazu missbraucht, beim Empfänger Schadcode (Malware) auf das IT-System zu schleusen. Dies kann in Form einer Datei im E-Mail-Anhang geschehen, die der Nutzer erst selbst ausführen muss, damit der Schadcode ausgeführt wird. Oder der Dateianhang nutzt direkt eine Sicherheitslücke in dem verwendeten E-Mail-Programm (Zero-Click Exploit ). Eine weitere Möglichkeit, Schadcode über E-Mails einzuschleusen, ist das Verlinken aus der E-Mail heraus auf eine kompromittierte Webseite. Solche E-Mails sind oftmals personalisiert und werden deshalb vom Nutzer als vertrauenswürdig eingestuft. Aber durch das Anklicken eines Links auf eine kompromittierte Webseite gelangt das Schadprogramm auf das eigene IT-System und wird infiziert. Siehe: Drive-by-Download Aus diesem Grund müssen geeignete Anti-Malware-Systeme in die E-Mail-Infrastruktur eingebunden werden. Eine E-Mail ist wie eine PostkarteEs wird vom E-Mail-Dienst keine Vertraulichkeit garantiert. Passwörter , Kreditkartennummern und weitere Bankdaten sowie vertrauliche Unternehmensinformationen, wie Kundendaten, Entwicklungsdaten, Kalkulationen, werden im Klartext übertragen und stellen so ein großes Risiko dar. Die Möglichkeiten, eine E-Mail im Internet oder in Bürogebäuden im Klartext abzugreifen sind sehr hoch. Aus diesem Grund sollten den Mitarbeitern im Unternehmen E-Mail-Verschlüsselungstechnologien zur Verfügung gestellt werden, damit die E-Mails gegen unberechtigte Einsichtnahme geschützt werden. Die Mitarbeiter müssen aber wissen, wie und – besonders wichtig – wann diese Verschlüsselungstechnologien für vertrauliche E-Mails verwendet werden sollen. Fehlende NachweisbarkeitDer Absender einer E-Mail und die Echtheit des Inhalts einer E-Mail können nicht verifiziert werden, das heißt, es kann nicht eindeutig festgestellt werden, ob die E-Mail während der Übertragung manipuliert wurde. Außerdem können Sender und Empfänger nicht sicher sein, mit wem sie E-Mails austauschen. Die Gewissheit, dass eine E-Mail angekommen ist (Bestellungen usw.) hängt von der Qualität von E-Mail-Servern anderer ab, auf die der Sender keinen Einfluss hat (vertraglich, rechtlich …). Die Verbindlichkeit einer Bestellung durch eine E-Mail (Zimmer, Tagungsräume usw.) ist nicht zweifelsfrei möglich, da der Sender jede E-Mail-Adresse annehmen kann. Mithilfe einer digitalen Signatur auf der Basis von Public-Key-Verfahren kann eine E-Mail signiert werden. Damit ist eine gesetzliche Verbindlichkeit von E-Mails realisierbar. Außerdem werden auf der Geschäftsebene Sicherheitsfunktionen gebraucht, die zum Beispiel durch die Bestätigung des Empfangs auf der Anwendungsebene oder auf der Infrastrukturebene Verbindlichkeit herstellen. Es muss jedoch zurzeit festgestellt werden, dass Spam, Malware, Phishing-Mails und andere Schwachstellen , wie schlecht konfigurierte und betriebene E-Mail-Server, unzureichende Nutzung von Verschlüsselung und digitaler Signatur sowie nicht-aufgeklärte Mitarbeiter ein ernsthaftes Problem mit hohem Schadenspotenzial und ein sehr hohes Cyber-Sicherheitsrisiko für jeden Einzelnen, die Unternehmen und für die Gesellschaft darstellen. Herausforderung bei der Verschlüsselung von E-MailsBis auf einige isolierte PGP – und S/MIME -Inseln gibt es in der Praxis kaum fundierte Cyber-Sicherheitskonzepte für unternehmensweite und übergreifende E-Mail-Verschlüsselungslösungen. Die Ursachen für die geringe Nutzung sind neben dem Unwissen über die Risiken, die hohen Kosten für die E-Mail-Verschlüsselungsinfrastruktur durch Clientsoftware, Token, Lesegeräte, Rollout, Helpdesk, Zertifikatsmanagement usw. End-to-End-Verschlüsselungslösungen für E-Mails haben sich in der Praxis kaum durchgesetzt. Neben den hohen Kosten und aufwendiger Administration kranken die End-to-End-Lösungen an den folgenden Problemfeldern:
End-to-End-Konzepte sind individuelle Konzepte, das heißt, sie benötigen so viele Schlüssel wie Mitarbeiter im Unternehmen sind. Scheidet ein Mitarbeiter aus dem Unternehmen aus, muss gewährleistet sein, dass berechtigte Personen die an diesen Mitarbeiter gerichteten oder von ihm bereits erhaltenen E-Mails lesen und beantworten können. Die Schlüssel der Mitarbeiter müssen bei diesen Konzepten entweder an zentraler Stelle hinterlegt werden, oder jede E-Mail muss zusätzlich mit einem „Hauptschlüssel“– also doppelt – verschlüsselt werden. Die gleiche Problematik gilt für die Vertretung bei Abwesenheit des Mitarbeiters. Bei der Prüfung verschlüsselter Mail-Anhänge auf Malwarebefall wären aufwendige Umverschlüsselungen erforderlich, da Anti-Malware-Programme nur im Klartext die Anhänge analysieren können. Hier müssen dann auf den IT-Systemen besondere Anti-Malware-Maßnahmen getroffen werden, um nach der Entschlüsselung die Anhänge auf Malwarebefall zu untersuchen. Weitere Informationen zum Begriff “E-Mail-Sicherheitsherausforderungen”:
„Wie Sicherheit im Internet messbar wird“ „IT-Sicherheitsherausforderungen im 21. Jahrhundert“ „Mailtrust macht europäische E-Mail sicher“ „Bedrohungen und Herausforderungen des E-Mail-Dienstes“ „Übungsaufgaben und Ergebnisse zum Lehrbuch Cyber-Sicherheit“ „Bücher im Bereich Cyber-Sicherheit und IT-Sicherheit zum kostenlosen Download“
„IT-Sicherheit in Lebensräumen“ „Immer noch nicht sicher? Neue Strategien und Lösungen!“ „Sicher einkaufen und surfen im Netz“ „Betrugsschutz beim Online-Banking“
„Master-Studiengang Internet-Sicherheit (IT-Sicherheit, Cyber-Sicherheit)“ „Marktplatz IT-Sicherheit: IT-Notfall“ „Marktplatz IT-Sicherheit: IT-Sicherheitstools“ „Marktplatz IT-Sicherheit: Selbstlernangebot“ „Vertrauenswürdigkeits-Plattform“ Zurück zur Übersicht Summary Article Name E-Mail-Sicherheitsherausforderungen Description E-Mail-Sicherheitsherausforderungen liegen in den Bereichen: Jeder kann E-Mails versenden, sind wie Postkarten und fehlende Nachweisbarkeit. Weitere Herausforderungen sind: Message-Recovery-Problematik, Vertreter-Regeln und Malware in E-Mail-Anhängen. Author Prof. Norbert Pohlmann Publisher Name Institut für Internet-Sicherheit – if(is) Publisher Logo  |
| |