ISACA After Hours Seminar vom 25.9.2012 Vertrauliche elektronische Kommunikation zwischen beliebigen Partnern Ralf Hauser PrivaSphere AG 1
Like the postman? Who reads your email? PrivaSphere AG, All rights reserved; p. 2 ISACA AHS 25.9.12
Business correspondance 00000270 0A 53 65 68 72 20 67 65 65 68 72 74 65 72 20 48. Sehr geehrter H 00000280 65 72 72 20 4D 65 69 65 72 0D 0A 0D 0A 49 6E 20 err Meier...In 00000290 64 65 72 20 42 65 69 6C 61 67 65 20 73 65 6E 64 der Beilage send 000002A0 65 20 69 63 68 20 49 68 6E 65 6E 20 64 69 65 20 e ich Ihnen die 000002B0 73 74 72 65 6E 67 20 67 65 68 65 69 6D 65 6E 20 streng geheimen 000002C0 55 6E 74 65 72 6C 61 67 65 6E 2E 0D 0A 0D 0A 4D Unterlagen...M 000002D0 69 74 20 66 72 65 75 6E 64 6C 69 63 68 65 6E 20 it freundlichen 000002E0 47 72 3D 46 43 73 73 65 6E 0D 0A 0D 0A 42 65 61 Grüssen...Bea 000002F0 74 20 57 65 62 65 72 0D 0A 0D 0A 2D 2D 2D 2D 2D t Weber...----- PrivaSphere AG, All rights reserved; p. 3 ISACA AHS 25.9.12
Beliebige vertrauliche el. Kommunikation Agenda Mögliche Bedrohungen Herausforderungen bei klassischer End-to-End (e2e) Verschlüsselung/PKI Anforderungen an eine Lösung für sichere Kommunikation zwischen zwei Partnern Grundlegendes Lösungskonzept und Realisierung Herausforderungen bei der Implementierung der Lösung und beim nachfolgenden Betrieb (beim Provider und bei Kunden) Q&A PrivaSphere AG, All rights reserved; p. 4 ISACA AHS 25.9.12
Bedrohungen Einsichtnahme Gesamt (aktiv/passiv) Header Domänenbeziehung Authentifizierung Absender (Erst-)Empfang Veränderung Entfernung (Routing teilw. unklar) Absichtlich Unbeabsichtigt Nutzerverhalten Umsysteme (Speicherung, Verlust Device, Tempest-proof, walk-by, etc. ) PrivaSphere AG, All rights reserved; p. 5 ISACA AHS 25.9.12
PrivaSphere Secure Messaging Agenda Mögliche Bedrohungen Herausforderungen bei klassischer End-to-End (e2e) Verschlüsselung/PKI Anforderungen an eine Lösung für sichere Kommunikation zwischen zwei Partnern Grundlegendes Lösungskonzept und Realisierung Herausforderungen bei der Implementierung der Lösung und beim nachfolgenden Betrieb (beim Provider und bei Kunden) Q&A PrivaSphere AG, All rights reserved; p. 6 ISACA AHS 25.9.12
Theoretisch bahnbrechend, aber Support! Bsp. SuisseID Beziehungsvertraulichkeit / Betreff Archivierung Compliance in Corporate (Escrow, etc.) PGP wächst seit Jahren weit unter den Erwartungen (key signing Party) PKI Hierarchie oft «undermanged» Revokation (oscp? Cdp? Dod-crl size, etc.) Diginotar, etc. (google «pinning») PrivaSphere AG, All rights reserved; p. 7 ISACA AHS 25.9.12
PKI, aber «P» wie public kaum je ernst gemeint Bsp. European Bridge CA Grossbank HIN Forget Directories auf Individuum Ebene Bruce Schneider, Ross Anderson etc. haben noch x weitere Beanstandungen Gateway CAs: Teuer, teilw. tieferer Schutz als TLS PrivaSphere AG, All rights reserved; p. 8 ISACA AHS 25.9.12
PrivaSphere Secure Messaging Agenda Mögliche Bedrohungen Herausforderungen bei klassischer End-to-End (e2e) Verschlüsselung/PKI Anforderungen an eine Lösung für sichere Kommunikation zwischen zwei Partnern Grundlegendes Lösungskonzept und Realisierung Herausforderungen bei der Implementierung der Lösung und beim nachfolgenden Betrieb (beim Provider und bei Kunden) Q&A PrivaSphere AG, All rights reserved; p. 9 ISACA AHS 25.9.12
Security Products are fragmented? ZTIC, SmartPhone email? SW Technology PGP Trusted Platform X509 etoken Cross-off list SSL/ TLS Password RFID Browser Population PrivaSphere AG, All rights reserved; p. 10 ISACA AHS 25.9.12
Authentisierung obwohl SuisseID und andere el. Identitäten ein «Flop» DNSSEC ein Mauerblümchen (T. L. von Akamai) PrivaSphere AG, All rights reserved; p. 11 ISACA AHS 25.9.12
Keine custom Software oder sonst Proprietäres Proprietäre HTML Attachments Wird BYOD wirklich der Standard? App-Stores könnten auf Workstations genutzt werden PrivaSphere AG, All rights reserved; p. 12 ISACA AHS 25.9.12
Corporate Limitierte Benutzer-Souveränität Compliance (obscenity, harassment, etc.) Archivierung, audit trail Stellvertretung / Entlassung, HR Cycle Zentraler Schutz (z.b. Viren, Spam eingehend) Accounting PrivaSphere AG, All rights reserved; p. 13 ISACA AHS 25.9.12
PrivaSphere Secure Messaging Agenda Mögliche Bedrohungen Herausforderungen bei klassischer End-to-End (e2e) Verschlüsselung/PKI Anforderungen an eine Lösung für sichere Kommunikation zwischen zwei Partnern Grundlegendes Lösungskonzept und Realisierung Herausforderungen bei der Implementierung der Lösung und beim nachfolgenden Betrieb (beim Provider und bei Kunden) PrivaSphere AG, All rights reserved; p. Q&A 14 ISACA AHS 25.9.12
Ansatz Standards TLS, SSL, AES, SHA-X, x509 https, smtp, pop3s, ldaps, etc. pdf, zip, S/MIME, pgp Inline TTP / Protokollumsetzer Mandantenfähig, Branding Recipient-driven - Interessenausgleich Peer Trust einfacher als (PGP) WOT PrivaSphere AG, All rights reserved; p. 15 ISACA AHS 25.9.12
Funktionsweise PrivaSphere AG, All rights reserved; p. 16 ISACA AHS 25.9.12
Secure Messaging Plattform Secure Messaging Gateway Secure WebMail Browser SMIME/PGP Gateway Internal user Mail Server / MTA Trust Management Digital Signatures email Program (SOAP - custom app) Dispatching / Workflow Corporate Directory Key Management Directory Integration Encrypted email SMIME/PGP cpdf/splitzip PKI Tracking Time Stamp Partner Domain asymmetr. TLS PrivaSphere AG, All rights reserved; p. 17 ISACA AHS 25.9.12
Anerkennung durch ISB http://www.isb.admin.ch PrivaSphere AG, All rights reserved; p. 18 ISACA AHS 25.9.12
Eingabe mittels Formular oder: Bundesamt für Migration https://www.privasphere.com/bfm-odm-ufm-fom PrivaSphere AG, All rights reserved; p. 19 ISACA AHS 25.9.12
Gruppenfunktionen Vertrauen innerhalb der Gruppe für: - Verwaltungsräte - Kommissionen - Task-Forces - - Zusätzlich: Archiv-Funktion PrivaSphere AG, All rights reserved; p. 20 ISACA AHS 25.9.12
Sicherer Kalender Organisieren von Meetings online: Sicher und vertraulich PrivaSphere AG, All rights reserved; p. 21 ISACA AHS 25.9.12
Verteilerlisten Erfassung via MS-Excel Upload (.csv) Z.B. für die BA PrivaSphere AG, All rights reserved; p. 22 ISACA AHS 25.9.12
Senden an Gericht: Suche Empfänger PrivaSphere AG, All rights reserved; p. 23 ISACA AHS 25.9.12
Anbindung an Drittsysteme PrivaSphere AG, All rights reserved; p. 24 ISACA AHS 25.9.12
XML / automated later Scanning PrivaSphere AG, All rights reserved; p. 25 ISACA AHS 25.9.12
Mit Link in Absender PrivaSphere AG, All rights reserved; p. 26 ISACA AHS 25.9.12
oder auf Homepage PrivaSphere AG, All rights reserved; p. 27 ISACA AHS 25.9.12
oder auf Visitenkarte / Auto PrivaSphere AG, All rights reserved; p. 28 ISACA AHS 25.9.12
Verfahren Identity Provider iphone Android More PrivaSphere AG, All rights reserved; p. 29 ISACA AHS 25.9.12
Partner-Dienste Identity Provider: «kampfwertgesteigertes» OpenID Archivierung: Communities: PrivaSphere AG, All rights reserved; p. 30 ISACA AHS 25.9.12
Wieso PrivaSphere PrivaSphere Secure Messaging ist mehr als Verschlüsselung Fehlleitungsschutz durch Erstidentifizierung. Einschreibefunktion für Nachweis durch Drittpartei zu Versand- und Empfangszeitpunkt. Flexible Authentifizierung auch mit Zertifikat und Biometrie. Beziehungsvertraulichkeit, wo die Kundenbeziehung nicht offengelegt werden darf. Ein hochsichere Serviceinfrastruktur an einem stabilen neutralen Standort PrivaSphere ist die erste öffentliche Mailzustellplattform der Schweiz. Betrieb mit einzigartiger Sicherheitsinfrastruktur. Die Schweiz gilt als verlässliches Land zur Abwicklung und Aufbewahrung von diskreten und vertraulichen Transaktionen und Informationen. Ein verlässlicher und innovativer Partner PrivaSphere ist ein Schweizer Technologieunternehmen und wurde in Zürich 2002 gegründet. Secure Messaging ist eine Eigenentwicklung von PrivaSphere AG und die Technologie wurde zum Patent angemeldet. Wir pflegen ausgedehnte Zusammenarbeit mit Hochschulen. Ein zukunftsorientiertes, skalierbares Gesamtkonzept Die Architektur skaliert nahtlos vom Einzelanwender bis zur Grossfirma mit eigener Infrastruktur. PrivaSphere eignet sich ideal zur Umsetzung von gesetzlichen Pflichten bei der Geschäfts- Korrespondenz. Schnellste Umsetzung. Bestes Preis-/ Leistungsverhältnis. PrivaSphere AG, All rights reserved; p. 31 ISACA AHS 25.9.12
PrivaSphere Secure Messaging Agenda Mögliche Bedrohungen Herausforderungen bei klassischer End-to-End (e2e) Verschlüsselung/PKI Anforderungen an eine Lösung für sichere Kommunikation zwischen zwei Partnern Grundlegendes Lösungskonzept und Realisierung Herausforderungen bei der Implementierung der Lösung und beim nachfolgenden Betrieb (beim Provider und bei Kunden) Q&A PrivaSphere AG, All rights reserved; p. 32 ISACA AHS 25.9.12
Worauf achten 1. Sensibilisierung / Schulung Da kein «secure by default» 2. Oder «Versicherungsansatz» / Reputation-Building: stufenloses Wachstum 3. Business Cases? (StRA ZH) 4. Technisches: 1. Backscatter 2. SPF 3. Blackberry mit Signaturen, Acrobat-X 4. PrivaSphere AG, All rights reserved; p. 33 ISACA AHS 25.9.12
Weitere (klassische) Hemmfaktoren 1. Sales und nicht Security interessiert 2. Parkinson s law 3. Snob-Effekt 4. PrivaSphere AG, All rights reserved; p. 34 ISACA AHS 25.9.12
Fazit Elektronische Mails sind geschäftskritisch und ersetzten die traditionelle Briefpost. Schutz von geschäftlichen und amtlichen email ist notwendig. Elektronischer Verkehr mit Kunden und Behörden wird sich durchsetzen Heute für die gesamte Bankkorrespondenz universell einsetzbar. (sicher und verbindlich) Kann beliebige Geschäftsprozesse effizient unterstützen PrivaSphere AG, All rights reserved; p. 35 ISACA AHS 25.9.12
PrivaSphere Secure Messaging Agenda Mögliche Bedrohungen Herausforderungen bei klassischer End-to-End (e2e) Verschlüsselung/PKI Anforderungen an eine Lösung für sichere Kommunikation zwischen zwei Partnern Grundlegendes Lösungskonzept und Realisierung Herausforderungen bei der Implementierung der Lösung und beim nachfolgenden Betrieb (beim Provider und bei Kunden) Q&A PrivaSphere AG, All rights reserved; p. 36 ISACA AHS 25.9.12
Sie Fragen wir antworten! PrivaSphere AG, All rights reserved; p. 37 ISACA AHS 25.9.12
Kontakt Ralf Hauser PrivaSphere AG Jupiterstrasse 49 CH-8032 Zürich +41 43 299 55 88 www.privasphere.com https://www.privasphere.com/info@privasphere.com PrivaSphere AG, All rights reserved; p. 38 ISACA AHS 25.9.12