Abwehr von Spam und Malware in s. Christian Grimm DFN-Nutzergruppe Hochschulverwaltung 10. Mai 2010, Berlin

Transkript

1 Abwehr von Spam und Malware in E-s Christian Grimm DFN-Nutzergruppe Hochschulverwaltung 10. Mai 2010, Berlin

2 Übersicht Bedeutung von E- Risiken im Umgang mit E- Maßnahmen zum Schutz vor verseuchten E-s DFN-Dienst zur Abwehr verseuchter E-s Seite 2

3 Bedeutung von E- In Geschäftsprozessen mittlerweile fest etabliertes Werkzeug der Kommunikation Angreifer erhalten über E- direkten Kontakt zu den Nutzern Anzahl unbedarfter Angriffe sinkt aber Nutzung von E- und zielgerichtete Angriffe nehmen weiter zu E- wird auch langfristig kritisches Einfallstor für Angreifer bleiben Seite 3

4 E--Transfer ohne Filter Domain des Versenders Domain des Empfängers Übermittlung an server des Empfängers Annahme und Übergabe an Empfänger Empfänger-Server Versender- Server server Inbox Versender Empfänger Seite 4

5 E--Transfer mit Filter (1) Domain des Versenders Domain des Empfängers Übermittlung an server des Empfängers Annahme und inhaltsbasierte Bewertung Übergabe an Empfänger Kriterien, Signaturen Empfänger-Server Versender- Server Bewerter Spam Malware server Virus SPAM Inbox Versender Empfänger Seite 5

6 E--Transfer mit Filter (2) Domain des Versenders Domain des Empfängers Übermittlung an server des Empfängers Entscheidung über Annahme Annahme und inhaltsbasierte Bewertung Übergabe an Empfänger Blacklists Kriterien, Signaturen Empfänger-Server Versender- Server Bewerter Blacklisting/ Greylisting Bewerter Spam Malware server Virus SPAM Inbox Versender Empfänger Seite 6

7 Zahlenbeispiel Statistik für einen Tag im DFN E-s an Mitarbeiter DFN und im Dienst WinShuttle Zustellversuche von außen (97,84%) abgewiesen (77,65%) durch Blacklisting (20,19%) wegen User unknown (2,16%) angenommen und verarbeitet (0,67%) Inhalt positiv auf Spam oder Malware erkannt (1,49%) unbeanstandet! steigt sinkt steigt steigt Tendenzen Seite 7

8 Zwischenstand Abwehr verseuchter E-s erfolgt zweistufig 1. Entscheidung über Annahme von s Blacklisting und/oder Greylisting basiert auf IP- und E--Adressen 2. Bewertung angenommener E-s auf Spam/Malware Untersuchung des Inhalts von E-s Markierung des Ergebnisses im Header der E-s Auch rechtlich sind beide Schritte getrennt zu bewerten! maßgeblich ist Zeitpunkt der Annahme einer E- Seite 8

9 Zeitl. Ablauf Übertragung E- Versender-Server Empfänger-Server 1. Übertragung Umschlag enthält: Adresse des Versender-Servers E--Adresse des Versenders E--Adresse des Empfängers Ok / Reject hier: Entscheidung über Annahme durch Blacklisting oder Greylisting 2. Übertragung Inhalt enthält: Header und Body der, unter anderem Betreff: Datum: Inhalt Attachments Ok / Error hier: Inhaltsbasierte Bewertung nach Annahme Zeit Zeit Seite 9

10 Kriterien Juristische Bewertung Blacklisting / Greylisting TKG+TMG: Datenschutz Erheben und Umgang mit personenbezogenen Daten TKG: Fernmeldegeheimnis 88: Inhalt und nähere Umstände der Kommunikation StGB: Fernmeldegeheimnis und Datenveränderung 206: Verletzung Fernmeldegeheimnis hier Anvertrauen 303a: Datenveränderung hier Unterdrückung Zivilrecht: Pflichten aus Nutzungsverhältnis Pflicht zur Weitergabe aller E-s? PersVG: Mitbestimmung des Personalrats Überwachung möglich? Informationspflichten ggü. Versender und Empfänger Seite 10

11 Ergebnis Juristische Bewertung Blacklisting / Greylisting Blacklisting Greylisting Datenschutz Fernmeldegeheimnis 206 StGB ( Anvertrauen ) 303a StGB ( Verfügungsbefugt ) Nutzungsverhältnis Mitbestimmungsrecht Personalrat Information des Versender-Servers Nicht einschlägig Nicht einschlägig Nicht anvertraut Kein Eingriff Auslegung: keine Pflicht zur Annahme Nein, da keine Überwachung möglich Erforderlich nach 100 I TKG gerechtfertigt nach 88 III 1 TKG gerechtfertigt Nicht anvertraut Kein Eingriff Auslegung: keine Pflicht zur Annahme Nein, da keine weitergehende Überwachung möglich Erforderlich Seite 11

12 Technische Bewertung Blacklisting / Greylisting Blacklisting setzt vor Übertragung des Inhalts der E- ein verarbeitet nur IP-Adressen von Versender-Servern! setzt Informationen von externen Quellen voraus Verhalten in der Kontrolle des Empfänger-Servers Greylisting setzt vor Übertragung des Inhalts der E- ein! verarbeitet IP-Adressen von Versender-Servern sowie E--Adressen von Versender und Empfänger setzt keine externen Informationen voraus! hängt vom Wohlverhalten der Versender-Server ab Seite 12

13 E--Transfer mit Filter (2) Domain des Versenders Domain des Empfängers Übermittlung an server des Empfängers Entscheidung über Annahme Annahme und inhaltsbasierte Bewertung Übergabe an Empfänger Blacklists Kriterien, Signaturen Empfänger-Server Versender- Server Bewerter Blacklisting/ Greylisting Bewerter Spam Malware server Virus SPAM Inbox Versender Empfänger Seite 13

14 DFN-Dienst zur Abwehr verseuchter E-s Domain des Versenders DFN-Dienst Domain des Empfängers Übermittlung an server des Empfängers Entscheidung über Annahme Annahme und inhaltsbasierte Bewertung Annahme und Übergabe an Empfänger Blacklists Kriterien, Signaturen Empfänger-Server Empfänger-Server Versender- Server Bewerter Blacklisting adresse Empf. Bewerter Spam Malware server Virus SPAM Inbox Versender Empfänger Verifizierung E--Adresse Seite 14

15 Ausgangslage DFN-Dienst Von allen Anwendern nutzbarer Dienst im Wissenschaftsnetz zur Abwehr von mit Spam oder Malware verseuchten E-s Ziele Steigerung des allgemeinen Sicherheitsniveaus im Wissenschaftsnetz Entlastung der lokalen E--Dienste Betrieb des lokalen E--Service durch Anwender weiterhin erforderlich! Seite 15

16 Maßstäbe für Qualität Vertraulichkeit und Integrität Verfügbarkeit Zuverlässige Erkennung Rechtliche Absicherung Seite 16

17 Implementierung Grundsätze maximaler Schutz vor Angriffen und Kompromittierung kein Verlust von E-s kein dauerhaftes Speichern von E-s Folgerungen Kontrolle des Dienstes durch hohe Fertigungstiefe aber kommerzielle Komponenten wo notwendig intensive Überwachung durch DFN-NOC und DFN-CERT Durch DFN-Verein beherrschte Betriebsumgebung Seite 17

18 Weitere Planung Betriebsaufnahme Anfang 2012 als Bestandteil des Dienstes DFNInternet d. h. Nutzung ohne separates Entgelt erste Produktivsysteme ab August 2011 verfügbar Pilotbetrieb mit ersten Anwendern Ziel ist Kontrolle und Optimierung des Dienstes im frühen Dialog mit den Anwendern Seite 18

19 Fragen...???? Seite 19