sicherheit Archiv

0

DE-Mail und die Sicherheitsthematik

Von
Stefan Jung
14. Oktober 2010Eingestellt unter: IT

Nachdem der neue Dienst auf Grund seiner Architektur und der damit verbundenen Sicherheitsproblematik beim Diensteanbieter (bei dem die Mails kurz entschlüsselt werden) durch die Medien gereicht wurde, sind heute neue Vorschläge für sichere Datenübertragung zu lesen (Golem):

Geschäftskunden, die über ein Gateway an De-Mail angeschlossen sind, können die Ende-zu-Ende-Verschlüsselung über bestehende Systeme wie S/MIME oder PGP durchführen. Für Privatkunden ist aktuell bei den uns bekannten Providern nur die Möglichkeit gegeben, auf Fileebene verschlüsselte Daten an eine De-Mail als Attachment anzuhängen, etwa mit Truecrypt verschlüsselte Dokumente. Die Provider könnten aber, sofern sie es wollen, in ihren Portalen eine Möglichkeit zur Ende-zu-Ende Verschlüsselung anbieten.

Gut, dabei handelt es sich jedoch um Möglichkeiten, die die Zuhilfenahme von DE-Mail-Infrastruktur nicht bedingt. Insbesondere der Vorschlag, selbst auf Dateiebene nochmals zu verschlüsseln ist kein Verdienst von DE-Mail sondern problemlos auch ohne den Dienst möglich. Sofern die Inhalte einer Mail verschlüsselt sind, kann man diese auch gefahrlos über das herkömmliche Postfach versenden. Neben der Verschlüsselung lassen sich Dateien auch elektronisch signieren – auch auf diese Funktionalität müsste man also nicht verzichten.

Trotz allem – wie bereits vor einiger Zeit geäußert halte ich den Ansatz von DE-Mail unter den aktuellen technologischen Rahmenbedingungen doch für geeignet. Die Sicherung des Rechenzentrums lässt sich durch klug konzipierte und überwachte Prozesse und Architekturen sicherstellen. Ein Restrisiko bleibt immer – schlussendlich kann jedoch auch bei der Erstellung eines Dokuments ein “ungebetener Gast” von der Seite auf den Bildschirm schauen.

Was bleibt? DE-Mail hat die Debatte um mehr Sicherheit in der Kommunikation angeheizt und bietet für private Nutzer durchaus einen Mehrwert. Eine gute Usability (insbesondere auch der Oberflächen) vorausgesetzt kann man damit sicher starten und weiterhin technologisch darauf aufbauen.

Nachdem sich (meinerseits unerwartete) 700.000 User vorab für DE-Mail registriert haben, bin ich nun auf den Start gespannt :-)


Schlagwörter: , ,
0

Sichere elektronische Kommunikation – Ring frei!

Von
Stefan Jung
10. August 2010Eingestellt unter: IT, Kurioses

Seit Jahren existieren Verfahren, anhand derer man elektronische Korrespondenz vor Dritten geschützt und authentisch übermitteln kann. Die Verfahren verfügen über asymmetrische Verschlüsselungsverfahren und bedienen sich dadurch bedingt leider etwas holprig. Darüber hinaus sind im Vorfeld der Kommunikation zwingend Schlüsselteile auszutauschen und folgend zu verwalten, was offensichtlich vielen Nutzern lästig ist.

Nun hat – getriggert durch die DE-Mail-Offensive auch die Deutsche Post ihren Dienst E-Postbrief in die Startblöcke gestellt (aktuell ist die Registrierung von Adressen möglich). Beide Verfahren ähneln sich in einem Punkt doch auffallend: die Verschlüsselung auf der “letzten Meile” erfolgt mittels SSL. Da keine Schlüssel ausgetauscht werden müssen sind die Verfahren einfach zu bedienen – leider besteht die Notwendigkeit, die Inhalte beim Diensteanbieter kurz unverschlüsselt zu verarbeiten.

Aktuell steht insbesondere das Verfahren DE-Mail in der Kritik, was die Post nun vesucht, gewinnbringend zu vermarkten. So wird zum “Sicherheitscheck” aufgerufen, bei dem prinzipiell jeder – allen voran jedoch vor allem Firmen mit Hintergrund teilnehmen sollen. Dazu werden Accounts (leider nicht näher spezifiziert, vermutlich jedoch Nutzeraccounts wie sie später Kunden erhalten) mit der Bitte des Testings (“Hacking” – Einbruch – Ausspähen – Manipulieren – …) ausgegeben.

Ich bin gespannt wie ein Flitzebogen – entweder der Ansatz entwickelt sich zum Supergau oder es stellt sich tatsächlich heraus, dass die geplanten Sicherheitsmaßnahmen ausreichend dimensioniert sind – in beiden Fällen erwarte ich die intensive Auseinandersetzung mit der Presse :-)

Schlagwörter: , , , ,
5

DE-Mail: Sicherheitsleck?

Von
Stefan Jung
21. Juli 2010Eingestellt unter: IT, Recht

Über das Thema DE-Mail habe ich mich ja bereits an mehreren Stellen geäußert (DE-Mail made by Deutsche Post: E-Postbrief, Bürgermail kommt: DE-Mail für alle! und Weniger ist mehr – der Dienst Bürgermail) und es ist auch nicht von gestern oder letzter Woche. Umso erstaunlicher, dass jetzt Sicherheitsbedenken die Runde machen.

Nach Thomas Lapp und Elmar Müller besteht mit der kurzzeitigen Entschlüsselung der Inhalte auf den Servern der Anbieter eine Sicherheitslücke, die nach Meinung der Experten geschlossen werden sollten. Worin besteht das Problem?

De-Mail arbeitet browserbasiert, die Nutzer geben also ihre De-Mails im Browser ein. Die über das Browserformular gesendeten Daten werden dann über eine per SSL verschlüsselte Verbindung an den Server übertragen und dort entschlüsselt. Erst wird die eigentliche De-Mail auf Serverseite verschlüsselt und gegebenenfalls an einen anderen Provider übertragen. Ruft nun ein Nutzer eine so verschlüsselte De-Mail über das Browserinterface seines Providers ab, wird die De-Mail wieder serverseitig entschlüsselt und über eine mit SSL gesicherte Verbindung an den Browser geschickt.

Die Meinungen zum Thema sind kontrovers und werden im Netz auch so diskutiert. Tatsächlich sind zum aktuellen Zeitpunkt noch nichtmal die Geschäftsmodelle geschneidert und das Thema wandert mit negativem Touch durch die Medien.

Da der Dienst einfach und für jeden nutzbar sein soll, lässt sich nach aktuellem Stand der Technik der beschriebene Prozess kaum vermeiden. Möglich wären  nutzerseitige Zertifikate was sich jedoch nicht einfach realisieren lässt. Tatsächlich ergäben sich unter der Annahme, dass sich Nutzer um die Sicherheit (im Sinne der Anschaffung eines Zertifikats o.ä.) kümmern noch deutlich erweiterte Möglichkeiten ohne den Bedarf an DE-Mail.

Fazit: die Blogosphäre scheint sich einig: so wird das nichts mit DE-Mail (stefan.ploing.de, Ereignisblick und ein neutraler Artikel bei Vinews).

Wie immer und überall handelt es sich um einen Prozess, in dessen Verlauf sich Erfolg oder Misserfolg einstellen wird. Neben der technischen Realisierung halte ich die Anlaufphase und insbesondere die Bepreisung des Dienstes für ein entscheidendes Erfolgskriterium. Für die kleine technische Unschärfe dürften sich geeignete Maßnahmen finden lassen (organisatorische / technische).

Im Gegensatz zum Stand “Heute” – ich unterstelle, dass der Monsteranteil der Nutzer die Kommunikation gänzlich unverschlüsselt abfrühstückt – könnte DE-Mail ein Schritt nach vorn sein. Wir werden sehen.

Schlagwörter: , , , , ,
2

Nacktscanner – und die Reaktionen

Von
Stefan Jung
23. Oktober 2008Eingestellt unter: Kurioses, Lustiges

Unter dem Motto “der gläserne Passagier” wurde heute in unzähligen Medien über die Pläne zum “Nacktscanner” berichtet. Dahinter verbirgt sich das Bestreben nach mehr Sicherheit – und diese erreicht man nur, wenn man die Leute am Flughafen “auszieht”.

Ehrlich gestanden hätte ich schon ein etwas mulmiges Gefühl bei dem Gedanken, völlig unbekleidet vor dem netten Sicherheitsbediensteten zu stehen während dieser ganz trocken fragt: “Na junger Mann, was haben wir denn da in der Hose?”

Einen eher nüchternen Kommentar findet man in der FAZ – einen lustigen beim Zeitcollector :-)

Schlagwörter: , ,
0

CeBIT 2009: mehr Sicherheit in Halle 11

Von
Stefan Jung
15. Oktober 2008Eingestellt unter: IT

Im nächsten Jahr planen die Betreiber eine deutliche Vergrößerung der Ausstellungsfläche für IT-Sicherheit. Die Security World wird exklusiv in Halle 11 unterkommen – direkt neben der Netzwerkhalle (12).

Neben für die IT-Branche typischen Sicherheitssystemen sollen auch Überwachungs- und Sicherheitssysteme ihren Platz finden – im Hinblick auf die Notwendigkeit im Rahmen des Schutzes von Rechenzentren durchaus nachvollziehbar – andererseits könnte man diese Themen auch auf Gebäudeausstellungen vermuten.

Insgesamt scheint mir die Idee nicht schlecht. Für den Besucher bleibt zu hoffen, dass die Ansätze in der dann ausgestellten Menge innovativer sind als beim diesjährigen Hype um GreenIT.

Schlagwörter: , , , , , ,
0

E-Mail is for Spam!

Von
Stefan Jung
12. Juli 2008Eingestellt unter: IT

Diese Erkenntnis ist nicht tagesaktuell und wird auch nur wenige verwundern. Schätzungen zufolge beträgt der Anteil Spam am gesamten E-Mail-Verkehr über 90%. Ein daraus resultierendes Problem ist die SPAM-Abwehr. Über verschiedene Algorithmen kann man versuchen, sinnvolle Mails von Spam zu unterscheiden und somit eine userfreundliche Vorsortierung zu erreichen. Den Versendern dieser Mails mangelt es allerdings nicht an Kreativität, so dass die Spamerkennung zunehmend schwieriger wird.

Eine Folge ist die Listung von Spam im Posteingang – das ist ärgerlich aber noch nicht kritisch. Die Kehrseite ist folglich, dass gewollter E-Mail-Verkehr als Spam markiert günstigenfalls im Spamordner – im Extrem sogar im Nichts verschwindet. Besonders im geschäftlichen Umfeld, wo Microsofts E-Mail-Gigant Exchange die Nase vorn hat, ist dies mehr als ärgerlich. Während die Freemail-Anbieter einen extra Ordner vorhalten, verschiebt Exchange die Spam-Mails per default ins Nichts. Der Umgang mit den False Positives kann administrativ geändert werden – bei zdnet kann man allerdings nachlesen, dass dies in den wenigsten Umgebungen getan wird.

Die Lösung des Spam-Problems ist für mich in weiter Ferne. Die Protokolle lassen einen extrem offenen Umgang mit dem Medium zu und so ist es nicht verwunderlich, dass dieser auch gepflegt wird. Die Wahl der Absenderadresse unterliegt keiner Regel sondern nur dem Willen des Versenders und auch eine Routenverfolgung dürfte in den meisten Fällen nicht gelingen.

Was bleibt? Die Durchsuchung des Spamordners nach bekannten Absendern und das Löschen fraglicher Inhalte aus der Inbox. Schöne Aussichten hören sich anders an.

Schlagwörter: , , ,
Seite 1 von 212