Erkenntnis
- Netzsicherheit und Informationssicherheit
Seite
weiterempfehlen Seite Drucken
Seite
weiterempfehlen Seite Drucken
Sicherheit in der E-Mail-Kommunikation
Aspekte zur Sicherheit in der E-Mail-Kommunikation
Digitale Signaturen
Aspekte zur Sicherheit in der E-Mail-Kommunikation
Die Kommunikation über E-Mail ist heute im Geschäftsalltag genauso verbreitet, wie das Telefonat oder das Projektmeeting. Dennoch ist beim Umgang mit E-Mail-Kommunikation eine gewisse Sorglosigkeit in Bezug auf die Sicherheit anzutreffen.
Der E-Mail-Verkehr ist durch folgende Elemente und Gefahren gekennzeichnet,
hoch
Authentizität:
Hierunter wird die Sicherstellung der Identität des Versenders verstanden. Die Authentizität eines Anwenders wird gegenüber einem E-Mail-Server und innerhalb von Netzwerken durch ein Passwort nachgewiesen. Zur Steigerung der Sicherheitsniveaus, lässt sich eine "Zwei-Faktoren-Authentisierung" einsetzen. Hierfür wird zusätzlich eine Hardwarekomponente eingesetzt die einen einmaligen Schlüssel erzeugen kann ("One Time Key"). Die Kombination von Passwort und Hardwareschlüssel gewährleistet einen zusätzlichen Schutzwall für die Authentizität des Benutzers.
hoch
Vertraulichkeit/ Autorisation:
Unter Autorisation oder auch Vertraulichkeit wird die Sicherstellung des Zugriffs auf bestimmte Funktionen für einen eingeschränkten und klar definierten Anwenderkreis verstanden. Unbefugte Dritte sollen keine schutzwürdigen Daten in Erfahrung bringen können. In der digitalen Kommunikation ist daher auch der Schutz der übertragenen Daten vor passiven Angriffen und der Schutz des Datenflusses vor Entschlüsselung von Bedeutung.
Wichtig für die Sicherheit in der E-Mail-Kommunikation ist, dass die Nachricht tatsächlich und ausschließlich nur vom angemailten Empfänger gelesen werden kann.
hoch
Integrität
Ein weiteres Sicherheitsrisiko stellt die Gefahr für die Integrität der Informationen. Es muss gewährleistet werden, dass an den Daten keine unerlaubten Änderungen vorgenommen wurden. Die Integrität von Informationen lässt sich wirkungsvoll mit einer digitalen Signatur absichern. Weitere Informationen zur digitalen Signatur finden Sie hier
hoch
Nichtabstreitbarkeit
Die Nichtabstreitbarkeit wird zunehmend wichtiger bei der E-Mail-Kommunikation. Wird eine Nachricht abgeschickt, kann der Empfänger beweisen, dass die Nachricht vom angegebenen Sender stammt. Genauso wie der Sender beweisen kann, dass der Empfänger die angegebene Nachricht auch erhalten hat. Dies kann beim Umgang mit Behörden oder mit Vertragsdokumenten, geschäftlichen Vereinbarungen usw. sehr wichtig sein. Die Nichtabstreitbarkeit kann durch digitale Signaturen, Bestätigungsdienste (z. B. Logbücher oder Sende- und Empfangsbestätigungen) erreicht werden. Weitere Informationen zur digitalen Signatur finden Sie hier
hoch
Sichere Übertragung
Um eine sichere Übertragung zu gewährleisten sollte bei der E-Mail-Kommunikation auf die Verschlüsselung geachtet werden.
Die Auswahl von Verschlüsselungswerkzeugen hängt im wesentlichen von den Eigenschaften der Werkzeuge ab, wie z. B. Komfort und das Integrationspotenzial für die betroffenen Arbeitsprozesse. Die Internet Engineering Task Force (IETF) verabschiedete den Standart S/MIME ("Secure Multipurpose Mail Extensions") für die Signierung und Verschlüsselung. Der Standard ist für den Benutzer komfortabel und sicher und legt fest, wie die verschlüsselten und signierten E-Mails aufgebaut sind. Ausgetauscht werden, können die S/MIME E-Mail-Nachrichten nur mit Partnern, deren E-Mail-Client auch den S/MIME-Standard interpretieren kann. Die Unterstützung ist jedoch in den gängigen E-Mail-Programmen eingebaut. Häufig treten noch Probleme bei mobilen Anwendern auf, die mit einem PDA auf signierte und verschlüsselte Nachrichten zugreifen wollen.
hoch
Phishing-E-Mail/ Spear-Phishing
Eine bedrohliche Entwicklung stellen die Phishing-E-Mails dar. Sie stammen dem Anschein nach von kommerziellen Anbietern wie eBay oder beispielsweise einer Bank. In der E-Mail werden die Anwender auf ein durchaus plausibles Problem hingewiesen und aufgefordert einem Hyperlink zu folgen. Die dann erscheinende Website ist der Original-Website täuschend ähnlich. Die Benutzer werden aufgefordert auf der gefälschten Seite ihre Zugangsdaten einzugeben, die dann bei der Eingabe erfasst und zu einem spätern Zeitpunkt von den Tätern verwendet werden.
Für Unternehmen ist das "Spear-Phishing" relevant. Gezielt werden Personen im Unternehmen angeschrieben und dabei Passwörter erfragt. Getarnt sind die Anfragen u.a. als scheinbare Supportanfragen zur Kontrolle der Funktion eins Backend-Systems. Weitere Informationen finden Sie hier.
hoch
SPAM
Als SPAM werden E-Mail bezeichnet die den Empfänger unaufgefordert in Massen-E-Mail zugesendet werden. Der Empfänger hat hier nachweislich keine Erlaubnis für das Senden dieser Nachricht erteilt. Spam-Mails transportieren Links zu Internetangeboten, evtl. auch kostenpflichtige Inhalte, Macroviren und Spyware.
Um Spam-Mails zu vermeiden sollten E-Mail im Internet nur sparsam verwendet werden. Daher gilt:
hoch
Falschmeldungen (engl. Hoax)
Bei Hoax handelt es sich um ein E-Mail, die von einer vermeintlich vertrauenswürdigen Person gesendet wurde. Mit dieser Falschmeldung wird versucht eine Aktion beim Empfänger auszulösen, wie z. B. die Installation eines Programms zum Schutz des Systems vor einem neuen Virus. Hier ist zu beachten, dass:
Viren/ Trojaner
Viren sind Programme, die sich an Dateien anhängen. In den Programmen ist eine Schadensfunktion eingebaut, die als Schaden den Verlust, die Verfälschung oder den Diebstahl von Daten und Programmen verursacht.
Trojaner ist ein Programm, das von einem unfreundlichen Programmierer in der Art verändert wurde, dass verborgene bzw. nicht autorisierte Funktionen ausgeführt werden und Informationen ausspioniert, überwacht oder manipuliert werden.
Quellen: Prof. Dr. Dr.-Ing. Thomas Schildhauer; Granval, Jean Claude: Sicherheitsaspekte in der E-Mail-Kommunikation, in wirtschaft digital, Nr. 1, 2006, S. 42-45.
Rogge, Stephan.:E-Mail-Sicherheit, unter http://www.ec-net.de, Zugriff am 22.05.06.
Gabriel, Andreas: eMail-Sicherheit: Mission Impossible?!, unter: http://www.ec-net.de, Zugriff am 22.05.06.
Beine, Gerrit; Gößel, Gerd: SPAM - ein erhebliches Sicherheitsrisiko hinsichtlich möglicher Einbruchsvorbereitungen durch Dritte - Erkennung und Abwehr bei der Verwaltung von Mailservern, unter: http://www.ec-net.de, Zugriff am 22.05.06.
hoch
Digitale Signaturen
Die digitale Signatur stellt in der E-Mail-Kommunikation einen wichtigen Sicherheitsfaktor dar. Sie ist von Bedeutung bei der Nichtabstreitbarkeit von E-Mails und bei der Gewährleistung der Integrität der Informationen.
Im Rahmen der Nichtabstreitbarkeit agieren digitale Signaturen als Identifizierungsmerkmal und stellen sicher, das die E-Mail auch tatsächlich vom angegebenen Absender stammt. Die Integrität der Daten gewährleistet sie dadurch, dass keine unerlaubten Änderungen an den Daten vorgenommen werden können. Die europäische Richtlinie für elektronische Signaturen bildet die Grundlage für das deutsche Signaturgesetz und beschreibt drei Formen der digitalen Signatur unterschiedlicher Qualität:
Einfache elektronische Signaturen
Alle Daten, die mit anderen Daten logisch verknüpft sind und den Aussteller erkennen lassen. Laut § 2 Nr. 1 SigG gilt auch eine eingescannte Unterschrift bereits als elektronische Signatur.
Fortgeschrittene elektronische Signatur
Die fortgeschrittene elektronische Signatur kann ausschließlich dem Signaturschlüssel-Inhaber zugeordnet werden und ermöglicht die Identifizierung des Kommunikationspartners. Diese Signatur erfordert Mittel, die nur der Signaturschlüssel-Inhaber unter seiner persönlichen Kontrolle halten kann (z. B. Chipkarte mit entsprechenden Lesegerät). Die Daten müssen so verknüpft sein, dass eine nachträgliche Veränderung der Daten erkannt werden kann (vgl. § 2 Nr. 2 SigG).
Qualifizierte elektronische Signatur
Hierunter wird eine Signatur verstanden, die zum Zeitpunkt ihrer Erzeugung auf einem gültigen qualifizierten Zertifikat beruht. (vgl. § 3 Nr. 3 SigG). Dieses wird in der Regel durch einen Anbieter von Zertifizierungsdiensten erstellt (Trust Center).
Die qualifizierte elektronische Signatur gilt in Deutschland als gleichwertig zu einem eigenhändig unterschriebenen Dokument. Rechtskräftig existieren elektronisch signierte Dokumente nur in elektronischer Form und sind daher elektronisch zu speichern. Die qualifizierte Signatur ist für rechtsgültige Signaturen rechtsgültig vorgeschrieben und erfolgt ausschließlich personengebunden.
Quellen: Prof. Dr. Dr.-Ing. Thomas Schildhauer; Granval, Jean Claude: Sicherheitsaspekte in der E-Mail-Kommunikation, in wirtschaft digital, Nr. 1, 2006, S. 42-45.
Digitale Signaturen
Aspekte zur Sicherheit in der E-Mail-Kommunikation
Die Kommunikation über E-Mail ist heute im Geschäftsalltag genauso verbreitet, wie das Telefonat oder das Projektmeeting. Dennoch ist beim Umgang mit E-Mail-Kommunikation eine gewisse Sorglosigkeit in Bezug auf die Sicherheit anzutreffen.
Der E-Mail-Verkehr ist durch folgende Elemente und Gefahren gekennzeichnet,
- Authentizität
- Vertraulichkeit / Autorisation
- Integrität
- Nichtabstreitbarkeit
- Sichere Übertragung
- Phishing/ "Spear"-Phishing
- SPAM
- Falschmeldungen (engl. Hoax)
- Viren / Trojaner
hoch
Authentizität:
Hierunter wird die Sicherstellung der Identität des Versenders verstanden. Die Authentizität eines Anwenders wird gegenüber einem E-Mail-Server und innerhalb von Netzwerken durch ein Passwort nachgewiesen. Zur Steigerung der Sicherheitsniveaus, lässt sich eine "Zwei-Faktoren-Authentisierung" einsetzen. Hierfür wird zusätzlich eine Hardwarekomponente eingesetzt die einen einmaligen Schlüssel erzeugen kann ("One Time Key"). Die Kombination von Passwort und Hardwareschlüssel gewährleistet einen zusätzlichen Schutzwall für die Authentizität des Benutzers.
hoch
Vertraulichkeit/ Autorisation:
Unter Autorisation oder auch Vertraulichkeit wird die Sicherstellung des Zugriffs auf bestimmte Funktionen für einen eingeschränkten und klar definierten Anwenderkreis verstanden. Unbefugte Dritte sollen keine schutzwürdigen Daten in Erfahrung bringen können. In der digitalen Kommunikation ist daher auch der Schutz der übertragenen Daten vor passiven Angriffen und der Schutz des Datenflusses vor Entschlüsselung von Bedeutung.
Wichtig für die Sicherheit in der E-Mail-Kommunikation ist, dass die Nachricht tatsächlich und ausschließlich nur vom angemailten Empfänger gelesen werden kann.
hoch
Integrität
Ein weiteres Sicherheitsrisiko stellt die Gefahr für die Integrität der Informationen. Es muss gewährleistet werden, dass an den Daten keine unerlaubten Änderungen vorgenommen wurden. Die Integrität von Informationen lässt sich wirkungsvoll mit einer digitalen Signatur absichern. Weitere Informationen zur digitalen Signatur finden Sie hier
hoch
Nichtabstreitbarkeit
Die Nichtabstreitbarkeit wird zunehmend wichtiger bei der E-Mail-Kommunikation. Wird eine Nachricht abgeschickt, kann der Empfänger beweisen, dass die Nachricht vom angegebenen Sender stammt. Genauso wie der Sender beweisen kann, dass der Empfänger die angegebene Nachricht auch erhalten hat. Dies kann beim Umgang mit Behörden oder mit Vertragsdokumenten, geschäftlichen Vereinbarungen usw. sehr wichtig sein. Die Nichtabstreitbarkeit kann durch digitale Signaturen, Bestätigungsdienste (z. B. Logbücher oder Sende- und Empfangsbestätigungen) erreicht werden. Weitere Informationen zur digitalen Signatur finden Sie hier
hoch
Sichere Übertragung
Um eine sichere Übertragung zu gewährleisten sollte bei der E-Mail-Kommunikation auf die Verschlüsselung geachtet werden.
Die Auswahl von Verschlüsselungswerkzeugen hängt im wesentlichen von den Eigenschaften der Werkzeuge ab, wie z. B. Komfort und das Integrationspotenzial für die betroffenen Arbeitsprozesse. Die Internet Engineering Task Force (IETF) verabschiedete den Standart S/MIME ("Secure Multipurpose Mail Extensions") für die Signierung und Verschlüsselung. Der Standard ist für den Benutzer komfortabel und sicher und legt fest, wie die verschlüsselten und signierten E-Mails aufgebaut sind. Ausgetauscht werden, können die S/MIME E-Mail-Nachrichten nur mit Partnern, deren E-Mail-Client auch den S/MIME-Standard interpretieren kann. Die Unterstützung ist jedoch in den gängigen E-Mail-Programmen eingebaut. Häufig treten noch Probleme bei mobilen Anwendern auf, die mit einem PDA auf signierte und verschlüsselte Nachrichten zugreifen wollen.
hoch
Phishing-E-Mail/ Spear-Phishing
Eine bedrohliche Entwicklung stellen die Phishing-E-Mails dar. Sie stammen dem Anschein nach von kommerziellen Anbietern wie eBay oder beispielsweise einer Bank. In der E-Mail werden die Anwender auf ein durchaus plausibles Problem hingewiesen und aufgefordert einem Hyperlink zu folgen. Die dann erscheinende Website ist der Original-Website täuschend ähnlich. Die Benutzer werden aufgefordert auf der gefälschten Seite ihre Zugangsdaten einzugeben, die dann bei der Eingabe erfasst und zu einem spätern Zeitpunkt von den Tätern verwendet werden.
Für Unternehmen ist das "Spear-Phishing" relevant. Gezielt werden Personen im Unternehmen angeschrieben und dabei Passwörter erfragt. Getarnt sind die Anfragen u.a. als scheinbare Supportanfragen zur Kontrolle der Funktion eins Backend-Systems. Weitere Informationen finden Sie hier.
hoch
SPAM
Als SPAM werden E-Mail bezeichnet die den Empfänger unaufgefordert in Massen-E-Mail zugesendet werden. Der Empfänger hat hier nachweislich keine Erlaubnis für das Senden dieser Nachricht erteilt. Spam-Mails transportieren Links zu Internetangeboten, evtl. auch kostenpflichtige Inhalte, Macroviren und Spyware.
Um Spam-Mails zu vermeiden sollten E-Mail im Internet nur sparsam verwendet werden. Daher gilt:
- E-Mails sollten nicht in News oder Web-Foren benutzt werden
- Sie sollten nicht direkt auf Internetseiten bekannt gegeben werden. Stattdessen sollte für Erstkontakte ein eigenständiges Benutzerkonto benutzt werden. Bei Internet-Firmenpräsentationen sollte eine E-Mail in Form von ich@meinedomain.de, das @-Zeichen ersetzt werden (Beispiel: ich<>meinedomain.de oder als Grafik dargestellt werden).
- Statt Freemail-Benutzerkonten ist es besser eigene Domains zu verwenden (z. B. anja@mustermann.de)
- In Spam-Mail enthaltene Links sollten niemals angeklickt werden
- Den Spam-Sender auf keinen Fall benachrichtigen, dass man keine Mail möchte
- Die Möglichkeit von Spam-Filtern sollte unbedingt genutzt werden.
hoch
Falschmeldungen (engl. Hoax)
Bei Hoax handelt es sich um ein E-Mail, die von einer vermeintlich vertrauenswürdigen Person gesendet wurde. Mit dieser Falschmeldung wird versucht eine Aktion beim Empfänger auszulösen, wie z. B. die Installation eines Programms zum Schutz des Systems vor einem neuen Virus. Hier ist zu beachten, dass:
- Softwarehersteller keine Programme per E-Mail verschicken
- Keinesfalls auf den Link einer solchen E-Mail geklickt wird
- Passwörter nicht bekannt gegeben werden.
Viren/ Trojaner
Viren sind Programme, die sich an Dateien anhängen. In den Programmen ist eine Schadensfunktion eingebaut, die als Schaden den Verlust, die Verfälschung oder den Diebstahl von Daten und Programmen verursacht.
Trojaner ist ein Programm, das von einem unfreundlichen Programmierer in der Art verändert wurde, dass verborgene bzw. nicht autorisierte Funktionen ausgeführt werden und Informationen ausspioniert, überwacht oder manipuliert werden.
Quellen: Prof. Dr. Dr.-Ing. Thomas Schildhauer; Granval, Jean Claude: Sicherheitsaspekte in der E-Mail-Kommunikation, in wirtschaft digital, Nr. 1, 2006, S. 42-45.
Rogge, Stephan.:E-Mail-Sicherheit, unter http://www.ec-net.de, Zugriff am 22.05.06.
Gabriel, Andreas: eMail-Sicherheit: Mission Impossible?!, unter: http://www.ec-net.de, Zugriff am 22.05.06.
Beine, Gerrit; Gößel, Gerd: SPAM - ein erhebliches Sicherheitsrisiko hinsichtlich möglicher Einbruchsvorbereitungen durch Dritte - Erkennung und Abwehr bei der Verwaltung von Mailservern, unter: http://www.ec-net.de, Zugriff am 22.05.06.
hoch
Digitale Signaturen
Die digitale Signatur stellt in der E-Mail-Kommunikation einen wichtigen Sicherheitsfaktor dar. Sie ist von Bedeutung bei der Nichtabstreitbarkeit von E-Mails und bei der Gewährleistung der Integrität der Informationen.
Im Rahmen der Nichtabstreitbarkeit agieren digitale Signaturen als Identifizierungsmerkmal und stellen sicher, das die E-Mail auch tatsächlich vom angegebenen Absender stammt. Die Integrität der Daten gewährleistet sie dadurch, dass keine unerlaubten Änderungen an den Daten vorgenommen werden können. Die europäische Richtlinie für elektronische Signaturen bildet die Grundlage für das deutsche Signaturgesetz und beschreibt drei Formen der digitalen Signatur unterschiedlicher Qualität:
- Einfache elektronische Signaturen
- Fortgeschrittenen Signaturen
- Qualifizierte elektronische Signaturen
Einfache elektronische Signaturen
Alle Daten, die mit anderen Daten logisch verknüpft sind und den Aussteller erkennen lassen. Laut § 2 Nr. 1 SigG gilt auch eine eingescannte Unterschrift bereits als elektronische Signatur.
Fortgeschrittene elektronische Signatur
Die fortgeschrittene elektronische Signatur kann ausschließlich dem Signaturschlüssel-Inhaber zugeordnet werden und ermöglicht die Identifizierung des Kommunikationspartners. Diese Signatur erfordert Mittel, die nur der Signaturschlüssel-Inhaber unter seiner persönlichen Kontrolle halten kann (z. B. Chipkarte mit entsprechenden Lesegerät). Die Daten müssen so verknüpft sein, dass eine nachträgliche Veränderung der Daten erkannt werden kann (vgl. § 2 Nr. 2 SigG).
Qualifizierte elektronische Signatur
Hierunter wird eine Signatur verstanden, die zum Zeitpunkt ihrer Erzeugung auf einem gültigen qualifizierten Zertifikat beruht. (vgl. § 3 Nr. 3 SigG). Dieses wird in der Regel durch einen Anbieter von Zertifizierungsdiensten erstellt (Trust Center).
Die qualifizierte elektronische Signatur gilt in Deutschland als gleichwertig zu einem eigenhändig unterschriebenen Dokument. Rechtskräftig existieren elektronisch signierte Dokumente nur in elektronischer Form und sind daher elektronisch zu speichern. Die qualifizierte Signatur ist für rechtsgültige Signaturen rechtsgültig vorgeschrieben und erfolgt ausschließlich personengebunden.
Quellen: Prof. Dr. Dr.-Ing. Thomas Schildhauer; Granval, Jean Claude: Sicherheitsaspekte in der E-Mail-Kommunikation, in wirtschaft digital, Nr. 1, 2006, S. 42-45.
