Schneller als das BSI – Hornetsecurity ist State of the Art in Sachen E-Mail-Sicherheit

Schneller als das BSI – Hornetsecurity ist State of the Art in Sachen E-Mail-Sicherheit

Mit den Hornetsecurity Services können die Forderungen des Bundesamtes für Sicherheit und Informationstechnik (BSI) effektiv und ohne großen Aufwand umgesetzt werden, damit Ihr Unternehmen vor Spam, Viren und Malware sowie gezielten, personalisierten Attacken geschützt ist.

Das BSI hat am 11.07.2018 die zweite Version der Handlungsempfehlungen zur E-Mail-Sicherheit für Internet-Service-Provider veröffentlicht. Laut der Veröffentlichung des BSI sind E-Mails auch heute noch das meistgenutzte Medium zur Übertragung von elektronischen Nachrichten. Dadurch werden E-Mails häufig aber auch zur Verbreitung von Schadsoftware verwendet. Das Wissenschaftliche Institut für Infrastruktur und Kommunikationsdienste (wik) hat in einer Studie festgestellt, dass jedes zweite kleine oder mittelständische Unternehmen bereits mit Problemen durch Virenangriffe zu kämpfen hatte. Das zeigt, dass es im Bereich der Abwehr von Cyberkriminalität noch immer viel Verbesserungspotenzial für Unternehmen gibt. Oftmals übersteigen die Kosten für den entstandenen Schaden die Investition in den Schutz um ein Vielfaches.

Um der Cyberkriminalität entgegenzuwirken, hat das BSI zahlreiche Handlungsempfehlungen für Internet-Service-Provider veröffentlicht. Von diesen Maßnahmen müssen nicht alle strikt umgesetzt, sondern an die jeweilige Situation und das Unternehmen angepasst werden. Ziel aller eingesetzten Maßnahmen ist jedoch immer, die E-Mail-Sicherheit von ein- und ausgehenden E-Mails zu gewährleisten und einen wirksamen Spam- und Virenschutz zu aktivieren und aufrechtzuerhalten. Hornetsecurity setzt das vom BSI geforderte Prinzip des „Baukastens“ bereits um und hat verschiedene Schutzmechanismen entwickelt, die sich individuell miteinander kombinieren lassen. Mit der Kombination der Mechanismen gewährleistet Hornetsecurity einen hoch wirksamen Schutz gegen Cyberkriminalität.

Besonderer Schutz mit Advanced Threat Protection (ATP) von Hornetsecurity

Angriffe auf Unternehmen durch E-Mails werden raffinierter und finden Lücken, die durch eine einfache Spam- und Virenfilterung nicht abgedeckt werden. Der bestehende Spam- und Virenfilter von Hornetsecurity filtert E-Mails mit einem mehrstufigen Filtersystem und erkennt 99,9 Prozent aller eintreffenden Spammails und 99,99 Prozent der eintreffenden Viren. Wenn aber eine gezielte Attacke auf einen Mitarbeiter durchgeführt wird oder verschiedene Angriffsmethoden miteinander kombiniert werden, greift der Spam- und Virenfilter nicht mehr und es müssen zusätzliche Schutzmaßnahmen ergriffen werden. Der finanzielle Schaden für Unternehmen durch solche Targeted oder Blended Attacks kann im schlimmsten Fall immens sein.

Hornetsecurity News


Bleiben Sie informiert

Melden Sie sich für die Hornetsecurity News an, um aktuelle Informationen aus dem Bereich Cloud Security zu erhalten.

Mit ATP hat Hornetsecurity einen Service entwickelt, der speziell vor diesen Angriffen schützt und sich nahtlos in den bestehenden Spam- und Virenfilter integriert. So werden auch Dateien in Anhängen und nachgeladene Inhalte in der Sandbox überprüft. Zum Schutz vor Blended Attacks werden die Mechanismen URL Rewriting und URL Scanning verwendet. ATP übererfüllt damit sogar bei weitem die Forderung des BSI, E-Mails mit einem Virenschutzprogramm zu scannen.

Ergänzend empfiehlt das BSI, dass Kunden über Maßnahmen informiert werden müssen, die mit ihrer E-Mail durchgeführt worden sind. ATP informiert Kunden in Echtzeit über eingegangene Bedrohungen, sodass sie sofort Gegenmaßnahmen ergreifen können. Die Ex-Post-Alarmierung geht noch einen Schritt weiter und informiert das IT-Sicherheitsteam des Unternehmens, wenn eine zugestellte Nachricht nachträglich als schädlich eingestuft wurde.

E-Mail-Authentifizierung mit SPF, DKIM und DMARC

Das BSI gibt zudem Hinweise zur E-Mail-Authentifizierung und empfiehlt die Umsetzung von SPF, DKIM und DMARC. Zusätzlich zum schon seit langem implementierten SPF hat Hornetsecurity nun auch DKIM und DMARC eingeführt, um die E-Mail-Authentifizierung zu verbessern. Mit der Kombination aller drei Verfahren kann Hornetsecurity auch diese Forderung des BSI umsetzen.

Mit den Services von Hornetsecurity werden alle Forderungen des BSI erfüllt

Angriffe durch E-Mails werden komplexer, doch die kombinierten Services von Hornetsecurity bieten die Möglichkeit, die Forderungen des BSI sehr wirksam und einfach umzusetzen und Unternehmen vor hohem finanziellen Schaden oder dem Diebstahl von geheimen, unternehmensinternen Daten zu bewahren.

E-Mail-Verschlüsselung – Unser Leitfaden für die Umsetzung im Unternehmen

E-Mail-Verschlüsselung – Unser Leitfaden für die Umsetzung im Unternehmen

Zertifikate, signierte E-Mails, symmetrische- und asymmetrische Verschlüsselung, S/MIME, TLS und PGP – für viele, die sich nicht regelmäßig mit dem Thema E-Mail-Verschlüsselung beschäftigen, sind diese Begriffe lediglich böhmische Dörfer. Spätestens mit der neuen Datenschutzgrundverordnung (DSGVO) steht dieser Punkt allerdings ganz oben auf der To-do-Liste vieler Unternehmen. Insbesondere bei kleinen und mittelständischen Betrieben fehlt jedoch das nötige Wissen, um mit der Verschlüsselung ihrer E-Mail-Kommunikation die neuen Vorgaben umsetzen zu können. Hornetsecurity geht in diesem Beitrag auf einige grundlegende Begrifflichkeiten und Technologien rund um die E-Mail-Verschlüsselung ein.

Asymmetrische- und symmetrische E-Mail-Verschlüsselung – wo liegen die Unterschiede?

Betrachtet man die asymmetrische und symmetrische E-Mail-Verschlüsselung genauer, wird man sehr schnell feststellen, dass diese grundlegend verschieden sind. Im Wesentlichen unterscheiden sie sich durch die Anzahl und die Art der eingesetzten Schlüssel.

Bei der symmetrischen E-Mail-Verschlüsselung wird derselbe Schlüssel sowohl zum Ver- als auch zum Entschlüsseln der Mail genutzt. Das bedeutet, dass Absender und Empfänger einer E-Mail denselben Schlüssel besitzen und diesen gemeinsam verwenden. Somit ist dieses Verfahren zwar sehr einfach, aber seine Sicherheit ist essentiell an die Geheimhaltung der Schlüssel gebunden – gerät der Schlüssel in die Hände eines Dritten, kann dieser die gesamte Kommunikation entschlüsseln.

Bei der asymmetrischen E-Mail-Verschlüsselung kommen insgesamt vier Schlüssel zum Einsatz, jeweils ein Schlüsselpaar – ein öffentlicher und ein privater Schlüssel – pro Kommunikationspartner. Der öffentliche Schlüssel ist für jeden Kommunikationswilligen zugänglich und wird mit dem Zertifikatsaustausch übertragen. Er wird für die Verschlüsselung der Daten, in unserem Fall E-Mails, verwendet.

Um die verschlüsselten Daten wieder zu entschlüsseln, wird der zum öffentlichen Schlüssel zugehörige private Schlüssel benötigt. Das Schlüsselpaar steht zwar in einer mathematischen Abhängigkeit zueinander, praktisch ist es allerdings nahezu ausgeschlossen, sie zu errechnen.

S/MIME, PGP und TLS– was steckt hinter den Abkürzungen?

Bei PGP und S/MIME handelt es sich um asymmetrische Verschlüsselungsverfahren. Beide Verfahren haben einen entscheidenden Vor- und Nachteil. Der Vorteil ist, dass auch der E-Mail-Provider des Absenders und Empfängers keinen Einblick in die E-Mail hat. Der Nachteil hingegen ist, dass nur die Nachricht verschlüsselt wird. Absender und Empfänger sowie der Betreff lassen sich trotzdem auslesen.

Hornetsecurity News


Bleiben Sie informiert

Melden Sie sich für die Hornetsecurity News an, um aktuelle Informationen aus dem Bereich Cloud Security zu erhalten.

Untereinander unterscheiden sich die E-Mail-Verschlüsselung mit S/MIME und PGP im Wesentlichen in der Ausstellung der Zertifikate. Während PGP (auch als OpenPGP bezeichnet) eine Open-Source-Lösung darstellt, bei der sich im Prinzip jeder seine eigenen Zertifikate erstellen kann, erfolgt die Zertifizierung bei S/MIME über offizielle Zertifizierungsstellen, die sogenannten Certificate Authorities (CA).

TLS unterscheidet sich nochmals grundlegend von der E-Mail-Verschlüsselung mit S/MIME oder PGP. Hier wird nicht die E-Mail selbst verschlüsselt, sondern lediglich die Verbindung zwischen den zwei kommunizierenden Servern. Auf dem Transportweg kann die E-Mail somit nicht abgegriffen werden, doch auf den jeweiligen Mailservern liegt sie unverschlüsselt vor.

E-Mail-Verschlüsselung umsetzen – es gibt nicht „den einen“ Weg

Alle Wege führen nach Rom – doch welche führen zu einer gesetzeskonformen E-Mail-Verschlüsselung? Tatsächlich bestehen für Unternehmen mehrere Möglichkeiten, diese umzusetzen. Die prominentesten sind so genannte On-Premise- sowie Cloud-Lösungen.

Bei den On-Premise-Lösungen erfolgt die Verschlüsselung der E-Mails direkt vor Ort, also bei den Unternehmen selbst. Dabei kann die E-Mail-Verschlüsselungssoftware von einem externen Anbieter zugekauft, angemietet oder auch ganz in Eigenregie betrieben werden. Dieses Verfahren bietet dem Unternehmen zwar eine hohe Transparenz und Entscheidungsfreiheit, zieht aber einen nicht zu unterschätzenden Verwaltungs- und Administrationsaufwand mit sich. Auch die Kosten für Wartung und Betrieb sind nicht unerheblich.. On-Premise-Lösungen gelten heutzutage als Auslaufmodell und werden zunehmend durch das moderne Cloud-Computing verdrängt.

E-Mail-Verschlüsselung bei Hornetsecurity

Grafik: E-Mail-Verschlüsselung mittels Cloud Computing (klicken zum Vergrößern)

Bei der Cloud-Computing-Alternative, auch „SaaS“-Lösung (Software as a Service) genannt, nimmt der Security-Provider dem Unternehmen sämtlichen Aufwand, wie etwa die Administration, die Verwaltung und den Betrieb, ab. Der gesamte E-Mail-Verkehr des Unternehmens wird dann über die Server des Security-Providers abgewickelt, so auch beim E-Mail-Verschlüsselungsservice von Hornetsecurity. Der Weg zwischen Mailserver des Kunden und dem Service-Provider ist per TLS geschützt. Diese Lösung zeichnet sich insbesondere durch den wegfallenden Verwaltungs- und Administrationsaufwand für ein Unternehmen aus. Um letztendlich eine vollständig abgesicherte E-Mail-Kommunikation zu gewährleisten, können und sollten TLS und S/MIME allerdings gleichzeitig verwendet werden. Nur so ist die E-Mail selbst, als auch ihr Transportweg verschlüsselt.

Weiterführende Informationen:

Mit mehrfachem Schutz auf Nummer sicher

Mit mehrfachem Schutz auf Nummer sicher

Antiviren-Lösungen alleine reichen nicht – sind aber dennoch sinnvoll

Die Welt ist komplexer geworden – nicht nur in der Politik und in der Wirtschaft, sondern auch im Bereich der IT-Sicherheit. Mehrstufige Verteidigungsmaßnahmen sind heute für Unternehmen Pflicht, wenn sie ihre IT-Infrastruktur effektiv schützen wollen, denn auch Cyberbedrohungen sind wesentlich vielseitiger und professioneller geworden. „Einfache“ Lösungen alleine reichen nicht mehr aus, haben dennoch noch ihre Daseinsberechtigung.

Bis vor einigen Jahren ließ sich der Schutz der eigenen IT-Systeme noch wesentlich einfacher organisieren. Und auch heute noch gibt es Unternehmen, die auf wenige etablierte Abwehrmaßnahmen setzen. Zusammen mit einer Firewall und einem Spamfilter sind insbesondere klassische AV-Lösungen immer noch der Standard, um sich zum Beispiel vor Eindringlingen zu schützen. Einer der Hauptgründe: Diese Art des Schutzes ist als bewährter Mechanismus gegen Malware allgemein akzeptiert. Antiviren-Produkte sind stark automatisiert und bedürfen keiner aufwändigen Aufmerksamkeit durch IT-Administratoren oder Security-Spezialisten. Dies spart Geld, Zeit und Aufwand.

Moderne Schadsoftware überlistet klassische AV-Produkte

Hornetsecurity News


Bleiben Sie informiert

Melden Sie sich für die Hornetsecurity News an, um aktuelle Informationen aus dem Bereich Cloud Security zu erhalten.

Auf der anderen Seite schwelt seit längerem die Diskussion darüber, ob Antiviren-Lösungen überhaupt noch effektiv gegen Malware wirken oder vielleicht sogar mehr schaden als nutzen und deshalb abgeschafft gehören.

Fakt ist, dass klassische Produkte zur Abwehr von Schadsoftware schon längst keinen hinreichenden Schutz mehr bieten. Kein klassischer AV-Scanner erkennt alle Malware-Exemplare, viele Exemplare werden gar nicht, von nur wenigen AV-Scannern oder erst nach vielen Wochen oder gar Monaten erkannt. Dabei sind Stärken und Schwächen in der Malwareerkennung bei den verschiedenen AV-Anbietern breit verteilt.

Hinzu kommt, dass neue Arten von Cyberattacken den klassischen AV-Scannern das Leben immer schwerer machen: Polymorphe Viren z.B. in Form von Ransomware entziehen sich in vielfacher, jedoch immer leicht abgewandelter Form den signaturbasierten Erkennungsmechanismen. Keine Chance haben klassische AV-Scanner gegen dateilose Angriffe wie CEO-Fraud, da diese keine verdächtigen Objekte zur Untersuchung enthalten.

Ebenso problematisch bei der Gefahrenabwehr sind Links in Dokumenten, die zu Downloads von Malware führen können. Unternehmen, die allein auf den Einsatz klassischer Sicherheitslösungen setzen, wiegen sich deshalb in falscher Sicherheit. Notwendig und sinnvoll ist der Einsatz klassischer AV-Scanner dennoch.

Viele Abwehrmaßnahmen vermiesen dem Angreifer seinen Erfolg

Moderne IT-Security-Lösungen und Suites sind nämlich nach dem Prinzip des mehrfachen Schutzes mit multiplen Verteidigungsmethoden aufgebaut. Es gibt gute Gründe für mehrstufigen Schutz. Erledigen erste Schutzmaßnahmen einen Teil der Aufgabe auf relativ einfache Weise, sind die leistungsstarken und aufwändigeren Filter dahinter nicht mehr so stark belastet und erbringen eine bessere Leistung.

Nachfolgende Sicherheitsstufen auf Basis heuristischer oder verhaltensbasierter Filtersysteme verbessern die Erkennungsleistung erheblich und erhöhen dadurch die Chance, von Schäden durch Malware verschont zu bleiben. Hierzu gehören Dienste, die versteckte Links in Mails oder Anhängen entdecken, die in einer Sandbox das Verhalten der Malware analysieren oder die verdächtige E-Mail-Anhänge über einen bestimmten Zeitraum hinweg zurückhalten, um anschließend mit aktualisierten Signaturen diese Attachments erneut zu überprüfen.

Viele Unternehmen haben das mittlerweile erkannt und setzen auf eine mehrteilige Verteidigungsstrategie mit mehreren Abwehrlinien. So minimieren sie das Risiko, eine böse Überraschung zu erleben und Opfer eines Cyberangriffs zu werden.

Weiterführende Informationen:

  1. Spam- und Virenfilter
  2. Sie möchten nähere Details zu Advanced Threat Protection erhalten? Jetzt mehr erfahren.
  3. Informationen zu IT-Sicherheitsthemen finden Sie ab sofort in der Hornetsecurity Wissensdatenbank.
Malwareanalyse und Verteidigung

Malwareanalyse und Verteidigung

Dritter Teil des Mehrteilers “Verteidigung gegen Malware”

Die Arbeitsplätze unserer Malware Analysten unterscheiden sich nicht von anderen in den Büroräumen von Hornetsecurity, auch wenn vom Security Lab als „Labor“ gesprochen wird. Erlenmeyerkolben, Reagenzgläser und Bunsenbrenner sind jedenfalls keine zu finden, sondern ganz normale Computer. Die Arbeit geht vielmehr virtuell vonstatten, zum Beispiel in Sandboxes oder durch die Analyse des Datenverkehres. Nichtsdestotrotz ist die Bedeutung der Malware Analysten nicht zu unterschätzen, sorgt sie doch unter anderem dafür, dass die Abwehrsysteme von Hornetsecurity ständig so aktuell wie möglich sind. – nur so lässt sich der hohe Qualitätsstandard halten.

Hornetsecurity News


Bleiben Sie informiert

Melden Sie sich für die Hornetsecurity News an, um aktuelle Informationen aus dem Bereich Cloud Security zu erhalten.

Aber wie ist das Vorgehen bei der Analyse von Schadsoftware? In der Regel liegt ein sehr großer, andauernder Strom an Daten vor, den es zu analysieren gibt. Diesen Rohdaten die wertvollen Informationen zu entziehen, ist die Hauptaufgabe – sie werden aufbereitet, „intelligent“ gemacht. Hierzu verwenden die Analysten verschiedene Tools und Programme, um bestimmte Fragestellungen beantworten: Welches sind die Ziele der Malware? Welche Merkmale sind typisch für die untersuchte Schadsoftware? Gibt es Hinweise auf den oder die Angreifer? Aus den gewonnenen Erkenntnissen lassen sich im Idealfall Handlungen ableiten, zum Beispiel das Schreiben von neuen Filterregeln oder das Erstellen von Algorithmen.

Zwei verschiedene Arten der Analyse

Zwei Arten, Malware zu analysieren, sollen hier ein wenig näher vorgestellt werden. Bei der statischen Analyse erfolgt die reine Betrachtung des Codes selbst ohne Ausführen der Malware, während bei der dynamischen Analyse das Verhalten des Schadcodes in sicherer Umgebung verfolgt wird.

In der statischen Analyse zerlegen die Analysten die Malware bis ins kleinste Detail, um Rückschlüsse aus dem Code selbst ziehen zu können. Hierzu werden zum Beispiel signifikante Strings extrahiert oder Shell-Skripte gestartet und mit Disassemblern weitere Ergebnisse generiert. Hier finden sich Hinweise auf die Aktivitäten der Schadsoftware und welche Merkmale sie zeigt – sogenannte Indicators of Compromise (IoC). Auf Basis der gewonnenen Erkenntnisse lassen sich die einzelnen Filtersysteme auf den neuesten Stand bringen, um weitere Angriffe durch diese und diesen ähnelnde Malware möglichst schnell zu unterbinden.

Eine Möglichkeit bei der dynamischen Analyse ist, den Schadcode in der sicheren Umgebung einer Sandbox ihrer Aufgabe nachgehen zu lassen. Diese Methode ist gut zu automatisieren, um daraus bestimmte Ergebnisse zu gewinnen. Auf diesen wiederum lassen sich anschließend die Filtersysteme aktualisieren. Verändert der Code bestimmte Dateien, nimmt er Änderungen in der Registry vor oder hat er generell Systemeinstellung etwa an DNS-Servern angepasst? Mit wem nimmt die Schadsoftware Kontakt auf? Diese und andere Fragen lassen sich so beantworten.

Verschiedenste Nutzungsmöglichkeiten

Die augenscheinlichste Anwendung der aus der Malwareanalyse gewonnenen Daten liegt für IT-Security-Unternehmen darin, ihre Abwehrmethoden zu verbessern und somit auch ihre Kunden besser vor Angriffen zu schützen. Hierzu extrahieren die Analysten bestimmte Binärmuster und erstellen daraus sogenannte Yara-Regeln, mit denen sich Malware-Samples finden, kategorisieren und gruppieren lassen. Verhaltenssignaturen, die in der Sandbox angewendet werden, können bestimmte Verhaltensmuster von Schadcode erkennen und diese kategorisieren.

Ein Beispiel: In der Sandbox wird ein sich im Dateianhang befindliches Office-Dokument geöffnet. Dort erkennen die Verhaltenssignaturen, dass das zu untersuchende Dokument damit beginnt, Informationen über Benutzeraccounts zu sammeln und diese zu verschicken. Findet diese Analyse in einer cloudbasierten Umgebung statt, ist es anschließend möglich, die auffälligen E-Mails abzufangen und damit die Angriffe komplett zu blockieren. All diese und etliche weitere Abwehrmaßnahmen sollen dabei helfen, einen Angriff an möglichst früher Stelle abfangen und unterbinden zu können, damit die entstehenden Schäden durch Malware so gering wie möglich sind oder besser noch gar nicht erst auftreten.

Viele durch Malwareanalyse gewonnenen Rohdaten und daraus abgeleiteten Erkenntnisse sind zudem für die allgemeine Prävention nützlich. Forschungsvorhaben können davon profitieren und ihre wissenschaftlich fundierten Ergebnisse wiederum der Allgemeinheit zur Verfügung stellen. Daneben dient die Veröffentlichung von Malwareanalysen auch der Aufklärung der Allgemeinheit. Die Wissenserweiterung über Herangehensweisen von Cyberattacken und Malwareangriffen helfen dabei, deren Erfolgsraten einzugrenzen.

EFAIL: (K)eine Schwachstelle in den Verschlüsselungsmethoden PGP und S/MIME

EFAIL: (K)eine Schwachstelle in den Verschlüsselungsmethoden PGP und S/MIME

+++++ UPDATE vom 16.5.2018 +++++

 

Um  auch unsere Unternehmenskunden, die ihre E-Mails noch über eine in-House-Lösung ver- und entschlüsseln und noch nicht den Hornetsecurity Encryption Service gebucht haben, proaktiv vor EFAIL zu schützen, haben wir zudem eine gesonderte Filterstufe für Angriffe nach dem EFAIL-Muster entwickelt. Voraussetzung hierfür ist lediglich, dass ihre E-Mail-Kommunikation über die Hornetsecurity-Server läuft, was bei unseren E-Mail-Security Produkten generell der Fall ist.

 

Die Filterstufe ist bei allen unseren Kunden, die mindestens den Hornetsecurity Spamfilter Service gebucht  haben, standardmäßig für alle ein- und ausgehenden E-Mails bereits aktiviert worden und schützt nicht nur vor EFAIL, sondern auch von künftigen Angriffen, die ähnliche Muster aufweisen.

 

+++++

 

Hornetsecurity News


Bleiben Sie informiert

Melden Sie sich für die Hornetsecurity News an, um aktuelle Informationen aus dem Bereich Cloud Security zu erhalten.

Eine bekannte Schwachstelle wird auf die Protokolle PGP und S/MIME übertragen und bringt die Manipulation von E-Mails auf eine neue Ebene. Kein Problem für Hornetsecurity.

 

Am Montag, den 14.05.2018, veröffentlichte ein Team aus Sicherheitsforschern der Fachhochschule Münster, der Ruhr Universität Bochum und der Universität Leuven (Belgien) ein Paper, das die Sicherheit der Verschlüsselungsstandards PGP und S/MIME infrage stellt und damit weltweites Aufsehen erregt.

Die aufgedeckten Sicherheitslücken (CVE-2017-17688 und CVE-2017-17689) betreffen jedoch nicht die Protokolle selbst, sondern nutzen eine bereits länger bekannte Schwachstelle, um verschlüsselte E-Mails durch den Mail-Client zu entschlüsseln und dem Angreifer zuzustellen.

Voraussetzung für die Ausführung der Angriffe ist, dass die E-Mails bereits in verschlüsselter Form beim Angreifer vorliegen. Dafür müssen die E-Mails auf dem Transportweg abgefangen werden.

Der Angreifer muss zuvor eine Man-In-The-Middle-Attacke (MitM) ausgeführt oder einen Mailserver kompromittiert haben, um Zugang zu den E-Mails zu bekommen, die über ihn oder den Server laufen. Nur wenn diese Voraussetzungen erfüllt sind, kann der Angreifer einen der im Paper beschrieben EFAIL-Angriffe ausführen.

Die Autoren des Papers zeigen zwei ähnliche Angriffsmethoden auf, um E-Mails mit vorhandener PGP- oder S/MIME-Verschlüsselung zu entschlüsseln.

Der erste Angriff ist recht simpel auszuführen, dafür aber auf bestimmte Mail-Clients (Apple-Mail, iOS-Mail, Mozilla Thunderbird) und ggf. dort installierte Plugins von Drittanbietern beschränkt:

Dazu erstellt der Angreifer eine E-Mail mit drei Body-Parts. Der erste Part formatiert die E-Mail als HTML und fügt zudem ein Image-Tag mit einer Ziel-Website ein. Die Anführungszeichen und der Image-Tag werden nicht geschlossen. Darauf folgt im zweiten Body-Part der mit PGP oder S/MIME verschlüsselte Text. Der dritte Part besteht wieder aus einer HTML-Formatierung und schließt den Image-Tag aus Part eins.

(Bild Quelle: EFAIL-Angriffe, Stand: 14.05.18)

Stellt der Angreifer diese E-Mail dem Absender der verschlüsselten Nachricht zu, ist es möglich, dass die Nachricht entschlüsselt und an die hinterlegte Website übertragen wird. Dazu muss der Mail-Client so konfiguriert sein, dass er automatisch externe Bilder herunterlädt, ohne den Nutzer danach zu fragen.

Die zweite Möglichkeit, um PGP oder S/MIME verschlüsselte E-Mails auszulesen, besteht aus einer schon länger bekannten Methode zum Extrahieren von Plaintext in Blöcken verschlüsselter Nachrichten.

Das für S/MIME CBC-Angriff und für PGP CFB-Angriff genannte Angriffsszenario ermittelt in einer verschlüsselten Nachricht einen bekannten Textanteil und überschreibt anschließende Blöcke mit eigenen Inhalten. Bei dem EFAIL-Angriff wird, wie im ersten Teil beschrieben, wieder ein Image-Tag mit einer Zielwebsite in den verschlüsselten Text eingefügt. Wird die Nachricht danach an den eigentlichen Empfänger der verschlüsselten Nachricht zugestellt, ist es möglich, dass die Nachricht entschlüsselt und an den Angreifer übertragen wird.

Die von Hornetsecurity verschlüsselten E-Mails sind per Design vor Angriffen dieser Art geschützt, da Hornetsecurity die für den Angriff vorausgesetzten unterschiedlichen Content-Types (Multipart/Mixed) gar nicht erst zulässt.

Die Verschlüsselungsmethoden selbst – S/MIME und PGP – wurden nicht gebrochen; vielmehr wurden Schwachstellen in E-Mail-Clients für HTML-Mails gefunden, die diese Verschlüsselungstechniken umgehen. Zudem widersprechen wir der Empfehlung diverser Sicherheitsforscher nach genereller Deaktivierung von Inhaltsverschlüsselung: PGP und S/MIME sind auch nach dieser Veröffentlichung weiterhin nicht per se unsicherer als keine oder eine reine transportverschlüsselte Übertragung. Da der Angriff eine MitM-Attacke, also ein Aufbrechen der eventuellen Transportverschlüsselung voraussetzt, wäre ein generelles Aushebeln von Inhaltsverschlüsselung fatal: Eventuelle Angreifer könnten den E-Mail-Verkehr dann sogar direkt mitlesen!

„Die gestern verbreitete Darstellung, PGP und S/MIME seien nicht mehr sicher, ist barer Unsinn“, ergänzt Daniel Hofmann, Geschäftsführer bei Hornetsecurity. „Sie führt zur Verunsicherung der Anwender und läuft dadurch allen Bemühungen zuwider, die IT-Sicherheit durch konsequenten Einsatz von Verschlüsselung zu verbessern. Die Empfehlung diverser Sicherheitsforscher nach genereller Deaktivierung von Inhaltsverschlüsselung kann ich nicht nachvollziehen.“

 

Der gegen EFAIL immunen Hornetsecurity Encryption Service benötigt keinerlei Client-Plugins: Die Ver- und Entschlüsselung erfolgt vollautomatisiert durch Hornetsecurity in der Cloud – es sind keine Installation, Wartung oder Nutzerinteraktion erforderlich – einfach sicher!

Weiterführende Informationen:

Pflichtangaben in E-Mail-Signaturen leicht gemacht

Pflichtangaben in E-Mail-Signaturen leicht gemacht

Hornetsecurity erweitert Advanced E-Mail Signature and Disclaimer mit neuen Features

Hannover, den 08.05.2018 – Die Signatur am Ende einer geschäftlichen E-Mail ist wie die digitale Visitenkarte von Mitarbeitern und somit ein Aushängeschild für jedes Unternehmen. Gesetzlich vorgeschrieben sind zudem gewisse Pflichtangaben. Mit Advanced E-Mail Signature and Disclaimer bietet Hornetsecurity eine elegante Lösung, wie sich diese Inhalte firmenweit einheitlich anlegen lassen. Der IT-Security-Spezialist aus Hannover hat dem Service jetzt neue Features hinzugefügt, die die Einsatzmöglichkeiten deutlich erweitern. So lassen sich neben der Nutzung von Untersignaturen nun auch ganze Zeilen mit ansonsten leeren AD-Feldern ausblenden und Signaturen für Plain-Texte anlegen. Die neuen Features stehen ab sofort zur Verfügung.

Advanced E-Mail Signature and Disclaimer Editor

Advanced E-Mail Signature and Disclaimer Editor

Advanced E-Mail Signature and Disclaimer Leere Felder im Editor ausblenden

Advanced E-Mail Signature and Disclaimer Leere Felder im Editor ausblenden

Advanced E-Mail Signature and Disclaimer holt sich alle persönlichen Daten für die dynamischen Komponenten direkt aus dem Active Directory (AD) eines Unternehmens. Von dort aus erfolgt die Synchronisation per LDAP und die Ausspielung der einzelnen Inhalte über die AD-Variablen, die der IT-Administrator vorab in der E-Mail-Signatur angelegt hat. Der Vorteil: Egal ob vom PC, Tablet oder Handy, die Signaturen werden immer in gleicher Form angehängt.

Advanced E-Mail Signature and Disclaimer Editor

Advanced E-Mail Signature and Disclaimer Editor

Bei manchen Signaturen sorgt dies jedoch dafür, dass bestimmte Felder leer bleiben: So geben Vertriebsmitarbeiter etwa ihre Mobilfunknummer an; ein Mitarbeiter in der Personalabteilung hingegen besitzt kein Firmenhandy. Bislang blieb diese Angabe in der Signatur leer, nun lassen sich solche Felder einfach ausblenden.

Advanced E-Mail Signature and Disclaimer Mobile Ansicht

Advanced E-Mail Signature and Disclaimer Mobile Ansicht

Advanced E-Mail Signature and Disclaimer Mobile Ansicht bei leeren Feldern

Advanced E-Mail Signature and Disclaimer Mobile Ansicht bei leeren Feldern

Mit dem erweiterten Advanced E-Mail Signature and Disclaimer können die für den E-Mail-Verkehr zuständigen Mitarbeiter zusätzlich Untersignaturen erstellen, die sie anschließend in die bestehenden Signaturen einpflegen. Dies können Slogans sein, Logos oder Banner, die zum Beispiel für Messen oder neue Produkte werben. Diese Untersignaturen lassen sich auf Gruppenbasis aktivieren, zentral steuern und ideal für gezielte Marketingaktionen nutzen.

Advanced E-Mail Signature and Disclaimer Editor Untersignaturen

Advanced E-Mail Signature and Disclaimer Editor Untersignaturen

Ebenfalls neu ist die Möglichkeit, Signaturen und Disclaimer nicht mehr nur in HTML-Mails einzubinden, sondern auch in Plain-Mails. Obwohl sich ausschließlich reine Textinhalte anfügen lassen, erhöht dies die Konsistenz und den professionellen Auftritt des unternehmerischen E-Mail-Verkehrs deutlich. Auch hier lassen sich AD-Attribute nutzen, um die entsprechenden Angaben automatisiert einzupflegen.

Advanced E-Mail Signature and Disclaimer

Advanced E-Mail Signature and Disclaimer bei E-Mails mit Plain Text

„Alle unsere Lösungen sollen anwenderfreundlich und einfach bedienbar sein – das ist unser Anspruch“, sagt Oliver Dehning, Geschäftsführer von Hornetsecurity. „Mit den neu hinzugekommenen Features erhalten IT-Administratoren, aber auch Marketers neue Möglichkeiten, über die Signaturen und Disclaimer auf einfache Art und Weise das Erscheinungsbild eines Unternehmens stärker zu prägen.“

Weiterführende Informationen zu Hornetsecurity Advanced E-Mail Signature and Disclaimer: