ISACA After Hours Seminar vom

Transkript

1 ISACA After Hours Seminar vom Vertrauliche elektronische Kommunikation zwischen beliebigen Partnern Ralf Hauser PrivaSphere AG 1

2 Like the postman? Who reads your ? PrivaSphere AG, All rights reserved; p. 2 ISACA AHS

3 Business correspondance A Sehr geehrter H D D 0A 0D 0A 49 6E 20 err Meier...In C E 64 der Beilage send A E 65 6E e ich Ihnen die B E D 65 6E 20 streng geheimen C0 55 6E C E 2E 0D 0A 0D 0A 4D Unterlagen...M D E 64 6C E 20 it freundlichen E D E 0D 0A 0D 0A Grüssen...Bea F D 0A 0D 0A 2D 2D 2D 2D 2D t Weber PrivaSphere AG, All rights reserved; p. 3 ISACA AHS

4 Beliebige vertrauliche el. Kommunikation Agenda Mögliche Bedrohungen Herausforderungen bei klassischer End-to-End (e2e) Verschlüsselung/PKI Anforderungen an eine Lösung für sichere Kommunikation zwischen zwei Partnern Grundlegendes Lösungskonzept und Realisierung Herausforderungen bei der Implementierung der Lösung und beim nachfolgenden Betrieb (beim Provider und bei Kunden) Q&A PrivaSphere AG, All rights reserved; p. 4 ISACA AHS

5 Bedrohungen Einsichtnahme Gesamt (aktiv/passiv) Header Domänenbeziehung Authentifizierung Absender (Erst-)Empfang Veränderung Entfernung (Routing teilw. unklar) Absichtlich Unbeabsichtigt Nutzerverhalten Umsysteme (Speicherung, Verlust Device, Tempest-proof, walk-by, etc. ) PrivaSphere AG, All rights reserved; p. 5 ISACA AHS

6 PrivaSphere Secure Messaging Agenda Mögliche Bedrohungen Herausforderungen bei klassischer End-to-End (e2e) Verschlüsselung/PKI Anforderungen an eine Lösung für sichere Kommunikation zwischen zwei Partnern Grundlegendes Lösungskonzept und Realisierung Herausforderungen bei der Implementierung der Lösung und beim nachfolgenden Betrieb (beim Provider und bei Kunden) Q&A PrivaSphere AG, All rights reserved; p. 6 ISACA AHS

7 Theoretisch bahnbrechend, aber Support! Bsp. SuisseID Beziehungsvertraulichkeit / Betreff Archivierung Compliance in Corporate (Escrow, etc.) PGP wächst seit Jahren weit unter den Erwartungen (key signing Party) PKI Hierarchie oft «undermanged» Revokation (oscp? Cdp? Dod-crl size, etc.) Diginotar, etc. (google «pinning») PrivaSphere AG, All rights reserved; p. 7 ISACA AHS

8 PKI, aber «P» wie public kaum je ernst gemeint Bsp. European Bridge CA Grossbank HIN Forget Directories auf Individuum Ebene Bruce Schneider, Ross Anderson etc. haben noch x weitere Beanstandungen Gateway CAs: Teuer, teilw. tieferer Schutz als TLS PrivaSphere AG, All rights reserved; p. 8 ISACA AHS

9 PrivaSphere Secure Messaging Agenda Mögliche Bedrohungen Herausforderungen bei klassischer End-to-End (e2e) Verschlüsselung/PKI Anforderungen an eine Lösung für sichere Kommunikation zwischen zwei Partnern Grundlegendes Lösungskonzept und Realisierung Herausforderungen bei der Implementierung der Lösung und beim nachfolgenden Betrieb (beim Provider und bei Kunden) Q&A PrivaSphere AG, All rights reserved; p. 9 ISACA AHS

10 Security Products are fragmented? ZTIC, SmartPhone ? SW Technology PGP Trusted Platform X509 etoken Cross-off list SSL/ TLS Password RFID Browser Population PrivaSphere AG, All rights reserved; p. 10 ISACA AHS

11 Authentisierung obwohl SuisseID und andere el. Identitäten ein «Flop» DNSSEC ein Mauerblümchen (T. L. von Akamai) PrivaSphere AG, All rights reserved; p. 11 ISACA AHS

12 Keine custom Software oder sonst Proprietäres Proprietäre HTML Attachments Wird BYOD wirklich der Standard? App-Stores könnten auf Workstations genutzt werden PrivaSphere AG, All rights reserved; p. 12 ISACA AHS

13 Corporate Limitierte Benutzer-Souveränität Compliance (obscenity, harassment, etc.) Archivierung, audit trail Stellvertretung / Entlassung, HR Cycle Zentraler Schutz (z.b. Viren, Spam eingehend) Accounting PrivaSphere AG, All rights reserved; p. 13 ISACA AHS

14 PrivaSphere Secure Messaging Agenda Mögliche Bedrohungen Herausforderungen bei klassischer End-to-End (e2e) Verschlüsselung/PKI Anforderungen an eine Lösung für sichere Kommunikation zwischen zwei Partnern Grundlegendes Lösungskonzept und Realisierung Herausforderungen bei der Implementierung der Lösung und beim nachfolgenden Betrieb (beim Provider und bei Kunden) PrivaSphere AG, All rights reserved; p. Q&A 14 ISACA AHS

15 Ansatz Standards TLS, SSL, AES, SHA-X, x509 https, smtp, pop3s, ldaps, etc. pdf, zip, S/MIME, pgp Inline TTP / Protokollumsetzer Mandantenfähig, Branding Recipient-driven - Interessenausgleich Peer Trust einfacher als (PGP) WOT PrivaSphere AG, All rights reserved; p. 15 ISACA AHS

16 Funktionsweise PrivaSphere AG, All rights reserved; p. 16 ISACA AHS

17 Secure Messaging Plattform Secure Messaging Gateway Secure WebMail Browser SMIME/PGP Gateway Internal user Mail Server / MTA Trust Management Digital Signatures Program (SOAP - custom app) Dispatching / Workflow Corporate Directory Key Management Directory Integration Encrypted SMIME/PGP cpdf/splitzip PKI Tracking Time Stamp Partner Domain asymmetr. TLS PrivaSphere AG, All rights reserved; p. 17 ISACA AHS

18 Anerkennung durch ISB PrivaSphere AG, All rights reserved; p. 18 ISACA AHS

19 Eingabe mittels Formular oder: Bundesamt für Migration PrivaSphere AG, All rights reserved; p. 19 ISACA AHS

20 Gruppenfunktionen Vertrauen innerhalb der Gruppe für: - Verwaltungsräte - Kommissionen - Task-Forces - - Zusätzlich: Archiv-Funktion PrivaSphere AG, All rights reserved; p. 20 ISACA AHS

21 Sicherer Kalender Organisieren von Meetings online: Sicher und vertraulich PrivaSphere AG, All rights reserved; p. 21 ISACA AHS

22 Verteilerlisten Erfassung via MS-Excel Upload (.csv) Z.B. für die BA PrivaSphere AG, All rights reserved; p. 22 ISACA AHS

23 Senden an Gericht: Suche Empfänger PrivaSphere AG, All rights reserved; p. 23 ISACA AHS

24 Anbindung an Drittsysteme PrivaSphere AG, All rights reserved; p. 24 ISACA AHS

25 XML / automated later Scanning PrivaSphere AG, All rights reserved; p. 25 ISACA AHS

26 Mit Link in Absender PrivaSphere AG, All rights reserved; p. 26 ISACA AHS

27 oder auf Homepage PrivaSphere AG, All rights reserved; p. 27 ISACA AHS

28 oder auf Visitenkarte / Auto PrivaSphere AG, All rights reserved; p. 28 ISACA AHS

29 Verfahren Identity Provider iphone Android More PrivaSphere AG, All rights reserved; p. 29 ISACA AHS

30 Partner-Dienste Identity Provider: «kampfwertgesteigertes» OpenID Archivierung: Communities: PrivaSphere AG, All rights reserved; p. 30 ISACA AHS

31 Wieso PrivaSphere PrivaSphere Secure Messaging ist mehr als Verschlüsselung Fehlleitungsschutz durch Erstidentifizierung. Einschreibefunktion für Nachweis durch Drittpartei zu Versand- und Empfangszeitpunkt. Flexible Authentifizierung auch mit Zertifikat und Biometrie. Beziehungsvertraulichkeit, wo die Kundenbeziehung nicht offengelegt werden darf. Ein hochsichere Serviceinfrastruktur an einem stabilen neutralen Standort PrivaSphere ist die erste öffentliche Mailzustellplattform der Schweiz. Betrieb mit einzigartiger Sicherheitsinfrastruktur. Die Schweiz gilt als verlässliches Land zur Abwicklung und Aufbewahrung von diskreten und vertraulichen Transaktionen und Informationen. Ein verlässlicher und innovativer Partner PrivaSphere ist ein Schweizer Technologieunternehmen und wurde in Zürich 2002 gegründet. Secure Messaging ist eine Eigenentwicklung von PrivaSphere AG und die Technologie wurde zum Patent angemeldet. Wir pflegen ausgedehnte Zusammenarbeit mit Hochschulen. Ein zukunftsorientiertes, skalierbares Gesamtkonzept Die Architektur skaliert nahtlos vom Einzelanwender bis zur Grossfirma mit eigener Infrastruktur. PrivaSphere eignet sich ideal zur Umsetzung von gesetzlichen Pflichten bei der Geschäfts- Korrespondenz. Schnellste Umsetzung. Bestes Preis-/ Leistungsverhältnis. PrivaSphere AG, All rights reserved; p. 31 ISACA AHS

32 PrivaSphere Secure Messaging Agenda Mögliche Bedrohungen Herausforderungen bei klassischer End-to-End (e2e) Verschlüsselung/PKI Anforderungen an eine Lösung für sichere Kommunikation zwischen zwei Partnern Grundlegendes Lösungskonzept und Realisierung Herausforderungen bei der Implementierung der Lösung und beim nachfolgenden Betrieb (beim Provider und bei Kunden) Q&A PrivaSphere AG, All rights reserved; p. 32 ISACA AHS

33 Worauf achten 1. Sensibilisierung / Schulung Da kein «secure by default» 2. Oder «Versicherungsansatz» / Reputation-Building: stufenloses Wachstum 3. Business Cases? (StRA ZH) 4. Technisches: 1. Backscatter 2. SPF 3. Blackberry mit Signaturen, Acrobat-X 4. PrivaSphere AG, All rights reserved; p. 33 ISACA AHS

34 Weitere (klassische) Hemmfaktoren 1. Sales und nicht Security interessiert 2. Parkinson s law 3. Snob-Effekt 4. PrivaSphere AG, All rights reserved; p. 34 ISACA AHS

35 Fazit Elektronische Mails sind geschäftskritisch und ersetzten die traditionelle Briefpost. Schutz von geschäftlichen und amtlichen ist notwendig. Elektronischer Verkehr mit Kunden und Behörden wird sich durchsetzen Heute für die gesamte Bankkorrespondenz universell einsetzbar. (sicher und verbindlich) Kann beliebige Geschäftsprozesse effizient unterstützen PrivaSphere AG, All rights reserved; p. 35 ISACA AHS

36 PrivaSphere Secure Messaging Agenda Mögliche Bedrohungen Herausforderungen bei klassischer End-to-End (e2e) Verschlüsselung/PKI Anforderungen an eine Lösung für sichere Kommunikation zwischen zwei Partnern Grundlegendes Lösungskonzept und Realisierung Herausforderungen bei der Implementierung der Lösung und beim nachfolgenden Betrieb (beim Provider und bei Kunden) Q&A PrivaSphere AG, All rights reserved; p. 36 ISACA AHS

37 Sie Fragen wir antworten! PrivaSphere AG, All rights reserved; p. 37 ISACA AHS

38 Kontakt Ralf Hauser PrivaSphere AG Jupiterstrasse 49 CH-8032 Zürich PrivaSphere AG, All rights reserved; p. 38 ISACA AHS