HTML, Dateianhänge & Co. Alternative zur eMail-Verschlüsselung

Redakteur: Susanne Ehneß

Christian Kress, Fachbereichsleiter beim Bundesfachverband der IT-Sachverständigen und Gutachter (BISG) äußert sich im Interview zur erschwerten IT-Bedrohungslage in öffentlichen Verwaltungen und erklärt, wie SSH-Server die Lücken mit geringem Aufwand stopfen können.

Firmen zum Thema

(Bild: alexyndr - Fotolia/BISG)

Der Gesprächspartner ist Christian Kress, Fachbereichsleiter beim Bundesfachverband der IT-Sachverständigen und Gutachter (BISG) e.V. für die Themen SSH, M2M, Industrie 4.0 und IoT. Kress ist ISO27001 Lead Auditor und Scrum Master und gilt demnach als ausgewiesener Security-Experte.

Herr Kress, die Schlagzeilen über aktuelle Security-Vorfälle in Unternehmen, aber auch in Regierungs- und öffentlichen Verwaltungseinrichtungen häufen sich aktuell. Wie beurteilen Sie die momentane Diskussion bezüglich neuer Ransomware und Krypto-Trojanern?

Kress: Ich sehe einen Wettlauf: Die Angreifer auf der einen Seite und die Endnutzer und Hersteller von Sicherheitslösungen auf der anderen Seite. Dabei registriere ich, dass viele Endnutzer, somit auch öffentliche Verwaltungen beziehungsweise deren IT-Abteilungen, die Grenzen des Leistbaren erreicht haben.

Wie meinen sie das?

Kress: Übliche Maßnahmen, um sich vor Ransomware zu schützen, sind aktuelle Antivirenschutz-Programme, eine funktionierende und aktuelle Datensicherung, umfassend gepatchte Systeme bzw. Anwendungen und leistungsfähige Firewall-Systeme. Dies sind alles sehr sinnvolle Maßnahmen, die jedoch keinen umfassenden Schutz ermöglichen. 2009 wurden circa 20 Millionen Viren bekannt. Aktuell kommen jeden Monat 20 bis 50 Millionen Viren und Trojaner hinzu. Ich glaube nicht, dass öffentliche Verwaltungen und Unternehmen diesen Wettlauf mit den oben genannten Maßnahmen gewinnen können.

Sie zielen mit Ihrer Aussage auf aktuelle Technologien wie SIEM (Security Information Event Management) oder APT (Advanced Persistent Threat) Prevention ab?

Kress: Nein, ganz und gar nicht. Auch dies können sehr sinnvolle Maßnahmen sein, wenn es für die Verwaltung eine entsprechende Bedrohungslage oder die regulatorische Anforderung gibt. Für die überwiegende Anzahl der öffentlichen Verwaltungen ist dies jedoch nicht der Fall und zudem sehr kostenintensiv.

Also geht es in Richtung Sensibilisierung der Mitarbeiter?

Kress: Auch dieser Punkt ist wichtig, allerdings bin ich davon überzeugt, dass es beim Wunsch bleiben wird und möchte dies an einem Beispiel aus der Sicht eines Cyber-Kriminellen verdeutlichen: Als Angreifender suche ich in der mich interessierenden Zielorganisation ein geeignetes Opfer, also einen Verwaltungsangestellten, über Xing oder Linkedin. Dieses Opfer wird mir eventuell den Zugang zu den gewünschten Ressourcen ermöglichen. Dann nutze ich frei verfügbare Programme, die mir für jede beliebige Person innerhalb von Minuten eine Art soziales Profil erstellen. Mit Hilfe dieser Programme kann ich zum Beispiel erkennen, dass die von mir ausgewählte Person am Wochenende an einem Halbmarathon teilgenommen hat. Ich bekomme automatisch den Veranstalter angeboten und jede Menge weiterer Details. Mit diesen Informationen schreibe ich eine 100-prozentig personalisierte eMail im Namen des Veranstalters. Als Anlage füge ich eine von mir präparierte PDF-Datei bei, die ich als „Bestenliste – Finden Sie Ihr persönliches Ranking“ ausweise.

Das Ganze geht unter der bekannten eMail Adresse des Veranstalters an die Zielperson. Die Wahrscheinlichkeit, dass auch sensibilisierte Mitarbeiter, zum Beispiel der Datenschutzbeauftragte, auf den Dateianhang klicken, liegt bei über 90 Pozent.

Wieder zurück zum Fax? Auf der nächsten Seite geht es weiter.

Gesprächspartner Christian Kress
Gesprächspartner Christian Kress
(Bild: BISG)

Das Verhalten der Angreifer wird also immer perfider. Wie sieht Ihre Empfehlung zur Prävention solcher Vorfälle aus?

Kress: Wenn ich einen Kampf nicht gewinnen kann, werde ich ihn aus dem Weg zu gehen. Es gibt sehr zuverlässige Zahlen, die belegen, dass mehr als 75 Prozent der erfolgreichen Angriffe über den eMail-Kanal in die Organisation gelangen.

Sie schlagen nicht wirklich vor, den eMail-Dienst abzuschalten und wieder zum guten alten Fax-System zurückzukehren?

Kress: (lacht) Nein, nicht wirklich. Wenn Sie sich die oben genannten 75 Prozent etwas genauer ansehen, werden Sie immer wieder auf drei Probleme stoßen: Der Absender einer Information ist nicht eindeutig ermittelbar; viele Probleme entstehen durch infizierte Dateianhänge, die weder von der Firewall noch von der Antivirensoftware rechtzeitig erkannt werden; zudem handelt es sich meist um aktiven Content in der Mail selbst, zum Beispiel Grafiken oder andere Inhalte, die von externen Quellen nachgeladen werden.

Eine eMail als reiner Text und nicht im HTML-Format würde einem großen Teil des heutigen Angriffspotentials den Wind aus den Segeln nehmen. So kann zum Beispiel Outlook so eingestellt werden, dass nur Text möglich ist.

Was ist mit den beiden anderen Punkten, den infizierten Dateianhängen und den externen nachgeladenen Quellen?

Kress: Hier ist zunächst wichtig zu verstehen, wozu es diese Dateianhänge gibt. In der Praxis stoße ich häufig auf zwei Situationen: Zum einen auf den Austausch von unstrukturierten Informationen in Form von Word-, Excel- oder PDF-Dateien. Diese könnten zum Beispiel Angebote oder auch Projektdokumente sein. Zum anderen ist der Austausch von strukturierten Informationen zu nennen, die danach manuell weiterverarbeitet werden, zum Beispiel für einen Import in eine Datenbank. Erstaunlich oft wird man feststellen, dass die Kommunikationspartner im Vorfeld schon bekannt waren.

Wie könnte hier eine Lösung aussehen?

Kress: Eine Lösung, die extrem kostengünstig eingeführt werden kann, ist ein lokaler SSH Server, der nur eine Anmeldung per Zertifikat ermöglicht. Mit Hilfe dieses Servers werden alle Daten, die früher unverschlüsselt per Mail gesendet oder empfangen wurden, automatisch verschlüsselt übertragen. Gleichzeitig findet eine sehr sichere Authentifikation statt, indem der öffentliche Schlüssel des Kommunikationspartners auf dem eigenen Server hinterlegt wird. Es ist so, als ob der Kommunikationspartner von mir sein persönliches Schloss in die Eingangstür eingebaut bekommt. Diese Form der Authentifikation ist absolut fälschungssicher.

Gleichzeitig lassen sich weitreichende Automatisierungsfunktionen in der Organisation einrichten, zum Beispiel eine Datei nicht nur entgegenzunehmen, sondern den Eingang der Datei automatisch zu quittieren, dem Sender die Datei umgehend zu entziehen und automatisch in die Zieldatenbank zu importieren, wo die Daten letztlich landen sollten.

Im Grunde haben Sie nun ganz nebenbei ein Einschreiben mit Rückschein mit einem eindeutigen Verantwortungsübergang realisiert. Die Kosten der ersten Einrichtung für den SSH-Server sind minimal, und am Ende spart die Öffentliche Verwaltung Zeit und Geld bei gleichzeitig reduzierter Fehlerrate, da es keine oder weniger manuelle Arbeitsschritte gibt. Für den Kommunikationspartner fallen übrigens gar keine Kosten an.

Auf der nächsten Seite geht es weiter.

Ist das nicht eine reine Sonderlösung?

Kress: Keineswegs. Es ist zunächst nur eine mögliche Option, die es wert sein könnte, betrachtet zu werden. Ich kenne Organisationen und Unternehmen, die bei der Einführung dieser Lösung „nebenbei“ ganz andere Themenbereiche mit gelöst haben, zum Beispiel den schnellen Transport von sehr großen Datenmengen in Form von Multimedia-Dateien oder die Möglichkeit, externe Projektpartner auf eine konsistente Datenbasis zugreifen zu lassen, ohne die Informationen jeweils verteilen zu müssen. Auch die Erfüllung offener Compliance-Vorschriften war ein Thema. Alles Punkte, die ohne irgendeinen zusätzlichen Aufwand entstehen konnten. Die IT-Abteilung hatte an dieser Stelle eine koordinierende und begleitende Rolle eingenommen und gleichzeitig sichergestellt, dass für jeden neuen Anwendungsfall Standards geschaffen und gelebt werden.

Wo ist der Unterschied zu eMail-Verschlüsselung?

Kress: Eine sehr gute Frage! Teile sind tatsächlich gleich, zum Beispiel die verschlüsselte Datenübertragung und der gesicherte Urheber einer eMail. Wenn dies die einzigen Beweggründe sind, könnte eMail-Verschlüsselung das Mittel der Wahl sein. Wenn es jedoch um weitere Anforderungen geht, beispielsweise die Übertragung großer Datenvolumen, den höheren Grad der Automatisierung, die Verbindlichkeit oder auch die Möglichkeit, Daten bereitzustellen, statt Daten zu verteilen, dann hat eine SSH-basierte Lösung möglicherweise die Nase vorn. Auch der Umgang mit den relevanten Schlüsseln ist für viele Anwender im SSH-Umfeld einfacher.

Die IT hat heute mehr denn je den klaren Auftrag, ihren spezifischen Beitrag zu erfolgreichen Prozessen innerhalb der Organisation beizutragen.

Infos zum BISG e. V.

Der BISG wurde 2004 gegründet. Die Gründer wollten ein Netzwerk, mit IT-Experten mit besonderer Sachkunde, gestalten. Einen fachübergreifenden Wissenstransfer für alle seine Mitglieder sollte sichergestellt sein, das Sachverständigenwesen gefördert werden. Zudem soll Unternehmen und Organisationen eine unabhängige Beratung geboten werden.

Der BISG ist Ansprechpartner für Organisationen, Unternehmen sowie Verbraucher und vermittelt Gutachter und Sachverständige für die Erstellung von Gutachten und die qualitative Bewertung von IT und TK-Projekten. Der Verband verfolgt ferner die Verbreitung und die Erhaltung eines einheitlichen Qualitätsstandards im Bereich der EDV-Hardware.

Der BISG verfolgt keine auf einen wirtschaftlichen Geschäftsbetrieb gerichteten Ziele und hat keine Gewinnerzielungsabsicht. Stand jetzt hat der BISG 85 Mitgliedsunternehmen aus Deutschland, Österreich und der Schweiz. Die Partner und Hersteller, die dem BISG angehören, kommen aus den verschiedensten IT-Bereichen.

Es gibt die Fachbereiche Datenbanksysteme, Datenrettung, Datenschutz, Datennetzwerktechnik, IT-Netzwerkstruktur/Virtualisierung/Verfügbarkeit, IT-Recht, IT-Sicherheit, KRITIS, M2M/Industrie 4.0/IoT (Internet of Things), Mediation, Personal, Revisionssicherheit/Dokumentenmanagement/Archivierung, SAP, Software Engineering sowie Versand- und Medienhandel.

(Alle Angaben laut BISG e. V.)

(ID:44242716)