E-Mail Verschlüsselung in der Praxis Probleme und Lösungen Georg Duma Senior Technical Consultant georg.duma@group-technologies.com
Agenda Sichere E-Mail Motivation Verschlüsselungsverfahren SMIME und PGP (GnuPG) Was ist zu tun? Problem der Schlüssel-Verteilung Verschlüsselung am Client Verschlüsselung am Server Verschlüsselung als Dienstleistung der IT-Abteilung Kommunikation in die Fläche Portal-Architektur Verschlüsselung im Mischbetrieb Live-Demo Fazit
Sichere E-Mail Motivation E-Mail = 3
Sichere E-Mail Motivation 4
5
Verschlüsselungsverfahren Symmetrisch TwoFish, AES Asymmetrisch S/MIME PGP
Konzept S/MIME Bob vertraut Root CA Root CA Sub CA Sub CA Sub CA Benutzerzertifikate Endgerätezertifikate
Konzept PGP
Was ist zu tun? Verwendung von PGP/GnuPG und S/MIME Sender und Empfänger müssen gleiche Sprache sprechen Sender und Empfänger brauchen Ver- / Entschüsselungsoftware Sender und Empfänger benötigen eigene Schlüssel/Zertfikate Öffentliche Schlüssel müssen ausgetauscht werden Bei clientbasierter Lösung Software Roll-Out auf Client Rechner Benutzerschulung Individuelle Schlüssel/Zertifikate Software kann viele der genannten Punkte vereinfachen 9 9
Problem der Schlüssel-Verteilung Automatische Antwort für öffentlichen Company Key und Unternehmens / Abteilungs-Zertifikate Key-Server im Netz Fingerprints / Keys auf Firmen-Homepage, im E-Mail Disclaimer. und Werbung, Werbung, Werbung Grenzen: Kommunikation in die Fläche (Versicherung vs Zulieferer) 10
Verschlüsselung am Client Alice verschlüsseln Internet Bob entschlüsseln 11
Verschlüsselung am Client II Notwendigkeit Kommunikationspartner verlangt Authentizitätsnachweis (voll qualifizierte Signatur) Sensible Daten höchster Geheimhaltungsstufe Nachteile Keine unverschlüsselte Archivierung der geschäftlichen Kommunikation möglich User-Schulung Spätestens bei der Einführung einer E-Mail Archivierung kostenintensiv Beispiele: Kommunikation Finanzamt / Wirtschaftsprüfer / Patent-Anwalt 12
Verschlüsselung am Server Alice verschlüsseln Internet Bob entschlüsseln 13
Verschlüsselung am Server II Notwendigkeit Viele User (> 50), Schulung zu aufwendig Archivierungspflicht der Daten nach SOX, Basel II, GDPdU usw Automatisierte Prozesse wie Rechnungsversand durch Drittsysteme Nachteil Der Weg von E-Mail Client zu Server muss zusätzlich sicher gemacht werden Schlüsselverwaltung Beispiel: Datenobjekt-Austausch per EDIFACT Stadtwerke und Energieerzeuger 14
Verschlüsselung als Dienstleistung der IT-Abteilung Anforderungen: transparent für User (Muss nichts tun), nachvollziehbar für Wirtschaftsprüfer (Processing Log, Archivierung von E- Mails), administrierbar für die IT (CRLs, OCSP, LDAP... wann wird demnächst ein Zertifikat meines Kommunikationspartners ablaufen?) Protokollierbar, erneut versendbar Flexibel im Mischbetrieb einsetzbar 15
Sichere E-Mail unterwegs 16
Kommunikation in die Fläche Problem von z.b. Banken und Versicherungen Wie kommuniziere ich mit dem, der nichts hat und trotzdem sensible Daten bequem haben möchte? E-Banking mit Postfach und keiner nutzt es. Ansatz Web-Portal 17
Portal-Architektur http s smt p http s 18
Verschlüsselung im Mischbetrieb 19
Live Demo 20
Fazit Intelligente Verschlüsselungsysteme lassen einen Mischbetrieb zu und unterstützen die IT-Abteilung durch automatisierte, regelbasierte Prozesse und Fehlerkorrekturen. 21
Fragen? Vielen Dank für Ihre Aufmerksamkeit! 22