Verschlüsselung von Daten & E-Mails Ansätze, Erfahrungen & Best Practices
SBA Research Unternehmensprofil
Basic Facts Gegründet 2006 Forschungs-/Kompetenzzentrum für Informationssicherheit und einer der größten Security Dienstleister am österr. Markt Forschungs-, Audit, Beratungs-, Implementierungs- & Betriebs-Know How unter einem Dach Über 100 Köpfe und circa 75+ FTEs im Dienstverhältnis Management Edgar Weippl Forschung & Lehre Andreas Tomek Professional Services & Business Developement Markus Klemen Fokus General Management & Secure Software
Unternehmensprofil Forschungsportfolio Area 1 (GRC): Governance, Risk and Compliance Area 2 (DSP): Data Security and Privacy Area 3 (SCA): Secure Coding and Code Analysis Area 4 (HNS): Hardware and Network Security P1.1: Risk Management and Analysis P1.2: Secure BP Modeling, Simulation and Verification P1.3: Computer Security Incident Response Team P1.4: Awareness and E-Learning P2.1: Privacy Enhancing Technologies P2.2: Enterprise Rights Management P2.3: Digital Preservation P3.1: Malware Detection and Botnet Economics P3.2: Systems and Software Security P3.3: Digital Forensics P4.1: Hardware Security and Differential Fault Analysis P4.2: Pervasive Computing P4.3: Network Security of the Future Internet
Unternehmensprofil Beratungsportfolio Security Governance Security Testing & Guidance Trusted Services Business Impact & Risiko Analyse IT/IS Audit ISO 27001 GAP Analyse ISO 27001 / ISMS Begleitung Security Awareness Penetration Testing SDLC Beratung Source Code Analyse A7700 Microsoft Security Security Architecture Review Vulnerability Management APT Protection/Response & Lastline Control Review & IS ControlPoint Source Code Review & Checkmarx Corporate Information Protection Training Schulung Coaching Vorträge
Verschlüsselungansätze
Typische Gründe für Verschlüsselung Schutz geistigen Eigentums Formeln, Verfahren, Baupläne,... Schutz der Privatsphäre Emails, Dokumente, Bilder,... Schutz vor Kollegen & Administratoren Gesetzliche & Regulative Auflagen PCI-DSS, Elektronische Signatur,... Die Cloud kommt... Wen schon dort dann verschlüsselt Papierprozesse vereinfachen & beschleunigen Unterschriftenmappen, Auftragsfreigaben usw.
Typische Anwendungeszenarien Data at Rest Festplattenverschlüsselung Containerverschlüsselung Mobiltelefone USB Sticks Cloud Lösungen Data in Motion SSL Email Verschlüsselung Datentransfer mit Externen
Die Welt der Verschlüsselung Symmetric Algorithms (Shared Secret) DES 3DES AES Blowfish Twofish Cast RC4 Asymmetric Algorithms (Public/Private) Diffie Hellman RSA Elliptical Curve El Gamal Knapsack Hashing Algorithms (Message Digests) MD5 SHA1 Haval
Verschlüsselungsmethoden Symmetrisch Geheim = Schlüssel Stärken Schnell Schwächen Schlüsselverteilung Skalierbarkeit Nur Vertraulichkeit
Verschlüsselungsmethoden Asymmetrisch (Schlüsselpaare) Mathematische Probleme Signaturen Stärken Schlüsselverteilung Skalierbarkeit Schwächen Langsam
Verschiedene Ziele Ein Nachricht kann Verschlüsselt werden = Vertraulichkeit Gehashed werden = Integrität Digital Signiert werden = Integrität & Nichtabstreitbarkeit Verschlüsselt und signiert werden um alle Ziele abzudecken
Zertifikatsinfrastrukturen & Emailverschlüsselung
Email Verschlüsselung mit S/MIME & PGP Wo wird verschlüsselt? End to end vs. Edge to Edge Secure MIME Verbreiteter Standard Erweitert den MIME Standard um Verschlüsselung und Signierung von Anhängen und Nachrichten Konkreter Algorithmus muss vom User spezifiziert werden Benötigt eine PKI/CA-Infrastruktur PGP Basiert auf einem Web of Trust Web basierende Systeme Login mit Passwort mit Username/Passwort bzw. 2 Faktor
Erfahrungen
Real world problem
Die großen Probleme mit Verschlüsselung Wer kennt sich damit im Unternehmen aus? Was ist im Backup/Restorefall? Wer hat trotzdem Zugriff? Schutz vor Admins vs. Admins... Malware Scanning, Filter usw. Aufbrechen von SSL? Darf ich das? Wie einfach ist es zu verwenden? Userbasiert vs. Zwang Technisches Wissen meiner User & deren Partner Werden alle Platformen unterstützt? Und vor Allem: Welche Daten sind schützenswert und wo liegen Sie bzw. wie werden Sie verwendet? Informationsklassifikation vorhanden? Business Impact Analyse aktuell?
Bedarfsanalyse Business Impact Analyse (BIA) Ergebnisse
Bedarfsanalyse Business Impact Analyse (BIA) Ergebnisse
Bedarfsanalyse Business Impact Analyse (BIA) Ergebnisse
Wie werden Daten klassifiziert? User Based Einbindung in Emailclient & andere Programme? Location Based Ordner bzw. Lokation Auf Basis des Endgeräts Bestimmte Absender & Empfängeradressen Content Based Filetypes Keywords Claims Und natürlich regelmäßige Wartung dieser Regeln
User basierende Klassifikation
Wie möchte ich meine Daten schützen Versuche ich die Daten beim Speichern & Übertragen und/oder am Ziel zu schützen? DLP Festplatten & Speicherverschlüsselung Email Oder versuche ich die Daten selbst zu schützen = Digital Rights Management (DRM) / Information Rights Management Microsoft RMS Oracle IRM Adobe DRM
IRM bei Email
IRM bei Dokumenten
Best Practices & Tools
Klassifizierung User muss (meistens) dazu gezwungen werden Plugins in Mail & Office notwendig Produkte: Titus, Secure Island, Gigatrust,... Default: Internal Lokationsbasierend mit Boardmitteln File Classification Services SharePoint Exchange Rules
Verwenden von bereits vorhandenen Tools Gerade bei großen Firmen & zb oft mit Microsoft EA mitgekauft Bitlocker für Laptops Bitlocker 2 Go RMS IPSec auf Netzwerkebene Smartcard Authentifizierung Enterprise CA Direct Access & VPN
Email Verschlüsselung SSL/TLS auf Anfrage bzw. permanentes SSL/TLS zwischen Partnerfimen auf Email Server/Gateway Ebene Edge Lösungen sind leichter zu administrieren S/MIME, PGP und Portallösungen müssen zusammenarbeiten, viele Turnkey Solutions am Markt End to End ist oft mühsam und nur in Spezialfällen sinnvoll Virenscanning Suche in Email Programmen Archivierung
Cloudlösungen können verschlüsselt betrieben werden Wenn nicht in der Cloud verschlüsselt wird, verschlüssle ich die Cloud Privatbereich Boxcryptor und andere Programme Enterprise Lösungen wie Ciphercloud Office 365 SalesForce Box, Dropbox... Amazon WS GMAIL Key Management!
Zusammenfassung Was muss ich schützen? Wo muss ich es (überall) schützen? Welche technischen Ansätze gibt es dafür: IRM vs. Verschlüsselung? Wie mache ich es für meine User transparent und einfach benutzbar? Auf was muss ich in der Administration aufpassen? Technische Lösung ist der kleinste Teil des Putzels
DI Mag. Andreas Tomek SBA Research ggmbh Favoritenstraße 16, 1040 Wien +43 1 505 36 88 1101 atomek@sba-research.org