Blockchain einfach erklärt

Blockchain einfach erklärt

Das Thema Blockchain (deutsch: „Blockkette“) sorgt in der letzten Zeit immer wieder für Schlagzeilen. Der wohl prominenteste Vertreter hinter dieser Technologie ist die Kryptowährung Bitcoin. Doch die Einsatzmöglichkeiten sind vielseitiger und werden in Bereichen wie dem Finanz- und Versicherungswesen sowie der IT-Branche heiß diskutiert. Doch was genau ist eine Blockchain und welche Technologie steckt dahinter? In diesem Blogbeitrag gehen wir den Fragen nach und untersuchen zudem welche Vorteile die Blockchain mitbringt und in welchen Anwendungsszenarien sie eingesetzt werden kann.

Was ist eine Blockchain?

Unter einer Blockchain verstehet man eine digitale, dezentrale Datenbank zur Speicherung von Daten. Mit dieser Technologie können sogenannte Transaktionen durchgeführt, verifiziert und automatisiert werden. Transaktionen sind Datensammlungen, die in einem bestimmten Netzwerk an alle Teilnehmer – auch Knoten genannt (englisch: „Nodes“) – verteilt und anschließend in Blöcken gesammelt werden.

Der Begriff „Blockchain“ setzt sich aus den Wörtern „Block“ und „Chain“ zusammen. Dabei steht „Block“ für die Zusammenfassung gespeicherter Transaktionen und „Chain“ (deutsch: „Kette“) für eine Kette, die aus einer Aneinanderreihung mehrerer Blöcke besteht. Zusammen entsteht daraus eine „Blockkette“, die sich aus mehreren Informationsblöcken zusammensetzt und mit neuen Blöcken erweitert wird. Dabei wird der neue Block immer an den letzten Block der bisherigen Kette angehängt.

Wie funktioniert eine Blockchain?

Das Erzeugen einzelner Blöcke der Blockchain erfolgt in einem dezentralen Peer-to-Peer-Netzwerk durch das sogenannte „Mining“ (deutsch: „Schürfen“). Beim Mining werden Transaktionen mithilfe eines Konsens-Mechanismus verifiziert, validiert und anschließend zu einem Block zusammengefasst. Der so gebildete Block wird daraufhin mit der bisherigen Blockchain verkettet.

Der verbreitetste Konsensmechanismus ist der „Proof of Work“-Algorithmus. Dieser wird beispielsweise für die Bitcoin-Blockchain verwendet und stellt sicher, dass im betroffenen Netzwerk ein Konsens über eine identische Version der Blockchain herrscht. Zum Erzeugen eines neuen Blocks müssen die Miner aus einer mathematischen Funktion – der sogenannten Hashfunktion – das richtige Ergebnis einer bestimmten Zeichenkette finden. Dies geschieht durch das Eingeben verschiedener Werte in die Hashfunktion. Das Ergebnis dieser Funktion ist vorgegeben, dadurch lassen sich jedoch keine Rückschlüsse auf die enthaltenden Werte ziehen. Stimmen das vorgegebene Ergebnis und das Ergebnis aus der aufgestellten Hashfunktion überein, so wird der neu gebildete Block von allen Knoten des Netzwerkes akzeptiert und übernommen.

Die Daten einer Blockchain sind redundant und sicher, da die Daten innerhalb des Netzwerkes auf allen Knoten gespeichert werden. Somit stellt der Ausfall eines oder mehrerer Knoten keine Gefahr eines möglichen Datenverlustes dar. Daten, die sich in einer Blockchain befinden, können weder verändert noch gelöscht werden. Eine Manipulation würde dazu führen, dass alle nachfolgenden Blöcke ungültig werden.

Welche Blockchain-Arten gibt es?

Eine Blockchain unterteilt sich im Wesentlichen in drei verschiedene Arten: Public, Private und Konsortium bzw. Federated. Zusätzlich existieren noch weitere Mischformen, die in diesem Beitrag nicht behandelt werden.

Public (öffentliche) Blockchain

Bei der Public Blockchain handelt es sich um ein vollkommen dezentrales Netzwerk. Es gibt keine zentrale Zuständigkeitsverantwortung, sodass jeder an der Blockchain teilnehmen, auf alle Knoten des Netzwerkes sowie auf die darin verteilten Daten der Blockchain zugreifen kann. Bevor eine neue Transaktion einem Block hinzugefügt werden kann, muss diese von jedem Knoten verifiziert und synchronisiert werden. Deshalb ist diese Art relativ langsam und ressourcenintensiv. Die öffentliche Blockchain wird häufig bei Kryptowährungen wie Bitcoin oder Ethereum eingesetzt. Innerhalb des Netzwerkes stimmen sich alle Knoten über die Transaktionen ab. So wird entschieden, welche Transaktionen in einem neuen Block zusammengefasst und an die Kette angehängt werden.

Private Blockchain

Bei dieser Art gibt es einen Verantwortlichen, der die Blockchain betreibt und die Verifizierung der Transaktionen übernimmt. Verantwortlich kann sowohl eine Person als auch ein Unternehmen sein. Diese bestimmt außerdem, wer Aktionen wie Lesen oder Schreiben ausführen darf. Diese Art der Blockchain bietet einen höheren Datenschutz als die öffentliche Variante, verzichtet dabei jedoch auf die Grundidee der Dezentralisierung. Die private Blockchain eignet sich für Unternehmen, die ihre Daten nicht frei zugänglich machen möchten. In einem Pilot-Projekt haben Daimler und LBBW den Einsatz einer privaten Blockchain getestet, um damit ein Schuldscheindarlehen von der Initiierung über die Platzierung, die Zuteilung, den Vertragsabschluss bis hin zur Zinszahlungs- und Rückzahlungsbestätigung abzuwickeln.

Konsortium oder Federated (Föderierte) Blockchain

Diese Art ist eine Erweiterung der privaten Blockchain, bei der die Verantwortung der Blockchain auf mehrere Beteiligte ausgeweitet wird. Beispielsweise kann sich eine Gruppe von Personen oder Unternehmen die Verantwortung der Verifizierung von Transaktionen und Verteilung von Zugriffsrechten teilen.

Die Konsortium-Blockchain ist schneller als die öffentliche Variante und ist im Vergleich zur privaten Blockchain nicht auf einzelne Personen oder Unternehmen angewiesen. Da es hier mehrere Teilnehmer gibt, die sich über bevorstehende Transaktionen abstimmen müssen, werden außerdem Fehlentscheidungen, Betrugsversuche o. Ä. verhindert. Die Konsortium-Blockchain eignet sich ebenfalls für Unternehmen und wird beispielsweise in der Bankenbranche verwendet. Hier gibt es Zusammenschlüsse von mehreren Unternehmen.

Hornetsecurity News


Bleiben Sie informiert

Melden Sie sich für die Hornetsecurity News an, um aktuelle Informationen aus dem Bereich Cloud Security zu erhalten.

Innerhalb dieser Zusammenschlüsse gibt es sogenannte „Smart Contracts“. So wird ein Lieferant zum Beispiel automatisch bezahlt, sobald er die richtige Liefermenge zum vereinbarten Zeitpunkt geliefert hat.

Verwendung von Blockchains in der IT-Sicherheit

Die Blockchain-Technologie ist in vielen Anwendungsszenarien einsetzbar. Im Bereich der Cyber-Security kann das Risiko vor Cyber-Angriffen durch sichere Verschlüsselungsmechanismen minimiert werden. Daten, die im Konsensmechanismus verifiziert wurden, können nachträglich nicht mehr verändert werden. Die redundante Infrastruktur einer Blockchain erhöht die Ausfallsicherheit sensibler Daten und steigert immer mehr die Nutzerakzeptanz in Unternehmen.

Weiterführende Informationen:

 

Erpresser machen Kasse – und das ganz ohne Malware

Erpresser machen Kasse – und das ganz ohne Malware

+++ Update: 773 Millionen gestohlene und veröffentlichte Online-Zugangsdaten – Sind Sie betroffen? +++

Hackern ist es gelungen, eine gigantische Zahl an Passwörtern und E-Mail-Adressen abzugreifen: Insgesamt sollen rund 773 Millionen Accounts betroffen sein, die in einem Hackerforum veröffentlicht wurden. Der Datendiebstahl wurde bekannt, nachdem der Sicherheitsforscher Troy Hunt, Betreiber der Passwort-Check-Webseite „Have I Been Pwned“ (HIBP), die Liste mit den Daten im Internet ausfindig gemacht hat. Die Auflistung der Passwörter und E-Mail-Adressen, benannt als „Collection #1“, sei so angeordnet, dass sie sich speziell für das so genannte „Credential Stuffing“ eigne. Hierbei wird ein Login-Mechanismus mit den Zugangsdaten gefüttert, der in der Lage ist, automatisiert Accounts zu hacken. Ob ein Account betroffen ist, kann auf dieser Webseite überprüft werden. Auch wenn die eigenen Konten nicht betroffen sein sollten, wird dringend empfohlen, die jeweiligen Zugangsdaten zu ändern.

Im Zuge der „Collection #1“ stellte unser Hornetsecurity Security Lab einen starken Anstieg an E-Mails fest, die die veröffentlichten Passwörter als eine Form von Erpressung nutzen. Die Aufmachung dieser E-Mails gestaltet sich folgendermaßen:

Collection 1

Abbildung 1 Darstellung der Betrugsmail

Doch die Betrugsmasche ist nicht neu, so berichteten wir bereits in einem vergangenen Blogpost über den aktuellen Sachverhalt:

Ihre Kreativität beweisen Online-Erpresser immer wieder aufs Neue. Mit einer aktuellen Spam-Welle setzen sie sogar noch einen drauf: Kriminelle versenden derzeit E-Mails, die ein echtes Passwort des Empfängers enthalten und bitten zur Kasse.

Erste Meldungen zu dieser Spam-Welle erschienen bereits Ende Juli. Heise Online stellt hier die äußerst erfolgreiche Masche vor:

In den E-Mails gibt der Erpresser an, im Besitz von angeblich existierenden Webcam-Aufnahmen des Empfängers zu sein, während dieser Seiten mit pornographischen Inhalten im Internet besucht hat. Um der Erpressung Nachdruck zu verleihen, gibt der Erpresser zudem an, das Passwort des Empfängers zu kennen.

Diese Masche ist zugegebenermaßen sehr schockierend und wird einige Empfänger zur Zahlung der geforderten Summe bewegt haben. Denn genau hier ist der Knackpunkt: Es handelt sich tatsächlich um ein echtes Passwort. Innerhalb der ersten Woche sollen schon über 50.000 US-Dollar über diese Spam-Welle eingegangen sein. Mittlerweile ist damit zu rechnen, dass die Erpresser weitaus mehr eingenommen haben.

Die E-Mail ist nach folgendem Muster aufgebaut:

„It appears that, (XX), is your password. May very well not know me and you are most likely wondering why you’re getting this e-mail, right?

In fact, I setup a viruses over the adult vids (adult porn) website and guess what, you visited this website to have fun (you really know what What i’m saying is). Whilst you were watching videos, your internet browser started out operating like a RDP (Remote Access) which provided me accessibility of your screen and webcam. after that, my software programs obtained all of your contacts from your Messenger, Outlook, FB, along with emails.

What did I do?

I produced a double-screen video clip. First part shows the video you’re watching (you have a good taste haha . . .), and Second part shows the recording of your webcam.

Exactly what should you do?

Well, I think, $1500 is really a reasonable price for our little secret. You will make the payment by Bitcoin (if you don’t know this, search “how to buy bitcoin” search engines like google). 

Bitcoin Address: 1MUCyUuh3YuqkdNbVPtTXNfJzahajctRou

(It’s case sensitive, so copy and paste it) 

Very important:

You’ve 1 day in order to make the payment. (I’ve a unique pixel in this e mail, and at this moment I am aware that you have read through this email message). If I don’t get the BitCoins, I will certainly send your video recording to all of your contacts including relatives, co-workers, and so forth. Having said that, if I get the payment, I’ll destroy the recording immidiately. If you need evidence, reply with “Yes!” and i’ll undoubtedly send your videos to your 6 contacts. It is a non-negotiable offer, that being said don’t waste my personal time and yours by answering this message.“

Hornetsecurity News


Bleiben Sie informiert

Melden Sie sich für die Hornetsecurity News an, um aktuelle Informationen aus dem Bereich Cloud Security zu erhalten.

Woher kennen Erpresser mein Passwort?

Die Passwörter stammen aller Wahrscheinlichkeit nach von früheren Phishing-Attacken. Als gehackte Websites gibt heise zum Beispiel Online-Dienste wie Yahoo, LinkedIn, eBay oder YouPorn an. Auch nach unseren Informationen lässt sich vor allem LinkedIn als Passwort-Quelle bestätigen.

In den meisten Fällen handelt es sich jedoch um alte Passwörter, die von dem Empfänger nicht mehr in Gebrauch sind.

Mit hoher Wahrscheinlichkeit stammen die Passwörter aus früheren Raubzügen diverser Webdienste, die vor zwei Jahren öffentlich im Netz zugänglich waren.

Entwarnung gibt es auch zur Webcam-Aufnahme: es existiert kein Video!

Wie schütze ich mich?

Wir raten Ihnen dringend davon ab, die geforderte Zahlung zu tätigen. Ratsam ist es auch, kein Passwort mehrmals zu verwenden. Oft gelangen vertrauliche Nutzerdaten wie E-Mail-Adressen und Passwörter in die Hände Krimineller, aufgrund geringer Schutzmaßnahmen seitens der Webdienste. Verwenden Sie ein Passwort gleich für mehrere Dienste, erhalten die Erpresser damit einen Freifahrtschein für Ihre Accounts. Weiterhin sollten Sie in regelmäßigen Abständen Ihre Passwörter ändern.

Weiterführende Informationen:

Hoher E-Mail-Sicherheitsstandard durch SPF, DKIM und DMARC

Hoher E-Mail-Sicherheitsstandard durch SPF, DKIM und DMARC

Hornetsecurity bietet einen sicheren Schutz gegen Späh- und Schadsoftware in der E-Mail-Authentifizierung durch standardisierte Absenderreputationsverfahren

E-Mails gelten immer noch als das meistgenutzte Medium zur Übertragung von elektronischen Nachrichten. Sie sind kostengünstig, uneingeschränkt in der Verbreitung und bieten die Möglichkeit, Texte und Dateianhänge in Echtzeit zu verschicken bzw. zu empfangen. Doch genau diese Eigenschaften machen die E-Mail-Kommunikation so angreifbar. Cyber-Kriminelle erweitern stetig ihr Angriffs-Spektrum und entwickeln neue Strategien, um Verteidigungsmechanismen zu überwinden. Die Autorisierung erlaubter Domains mittels eines entsprechenden SPF-Records in der DNS-Zone reicht also längst nicht mehr aus, um den ankommenden E-Mail-Verkehr erfolgreich gegen Phishing und Spam zu schützen.

Aus diesem Grund wurde der E-Mail-Service von Hornetsecurity um weitere, wichtige Absenderreputationsverfahren im Kampf gegen weitverbreitete Angriffsmuster erweitert. Neben SPF werden Verfahren wie DKIM und DMARC gegen Spam,- Spoofing,- Phishing- und Malware-Attacken sowie gezielte CEO-Fraud-Angriffe eingesetzt. Damit folgt Hornetsecurity bereits seit vielen Monaten der aktuellen Empfehlung für die E-Mail-Sicherheit seitens des Bundesamtes für Sicherheit in der Informationstechnik (BSI) sowie der Empfehlung des Bundesverbandes IT-Sicherheit (TeleTrusT) und bietet somit einen hohen Sicherheitsstandard in der E-Mail-Kommunikation.

Mit SPF, DKIM und DMARC sicher gegen Angriffe

Die Authentifizierungsverfahren SPF, DKIM und DMARC wirken im gemeinsamen Verbund als ein sicheres Instrument gegen Angriffe auf die E-Mail-Kommunikation eines Unternehmens. Im Folgenden werden die eingesetzten Standards für Absender- und Empfängerreputation vorgestellt und ihre Funktionsweisen erläutert.

Sender-Policy-Framework (SPF)[RFC 7208]

SPF ist ein Verfahren, mit welchem nicht autorisierte Absenderadressen von Domains erkannt und die Zustellung ihrer Mails verhindert werden kann. Berechtigte Server, die im Namen einer Domain E-Mails verschicken dürfen, werden im sogenannten SPF-Record der DNS-Zone eingetragen. Bei der Zustellung einer E-Mail entnimmt der empfangene Server die Absender-Domain aus dem Envelope-Sender einer E-Mail und überprüft mit einer DNS-Abfrage, ob die Domain im SPF-Record registriert ist. Ist die Domain nicht eingetragen, so ist der Server nicht autorisiert, E-Mails im Namen der Domain zu versenden. E-Mails von nicht autorisierten Servern können beispielsweise als Spam eingestuft werden. Aufgrund unzureichender kryptografischer Sicherheitsmechanismen, die die Authentizität des Senders sicherstellen könnten, sollte SPF nicht per se als Spam- oder Phishingschutz eingesetzt werden. Denn trotz einer erfolgreichen SPF-Authentifizierung kann die Absenderadresse des Envelop-Senders im Feld Body-From verändert und somit die Absenderadresse leicht manipuliert werden.

Sender-Policy-Framework (SPF)

Domain-Keys-Identified-Mail (DKIM)[RFC 6376]

Für einen umfangreicheren E-Mail-Schutz kann SPF mit DKIM sinnvoll ergänzt werden. Hierbei soll vor allem verhindert werden, dass Spoofer an sensible Daten herankommen. Als besonderes Merkmal zur E-Mail-Authentifizierung fügt DKIM eine digitale Signatur mit einer kryptografischen Verschlüsselung (SHA-256) zum Header der E-Mail hinzu. Die Signatur fungiert als eine Art
Fingerabdruck und muss beim Entschlüsseln den selben Hash-Wert in der Prüfsumme ergeben, wie vor dem Versand errechnet. Jede noch so kleine Änderung der Daten würde den Hash-Wert verändern und somit auf ein Eingreifen in die Nachricht während des Transports hindeuten.

Für das Entschlüsseln der Signatur sollte bereits ein Schlüsselpaar vorliegen, welches aus einem öffentlichen (public key) und einem geheimen Schlüssel (private key) besteht und zur erfolgreichen Autorisierung des sendenden Servers benötigt wird. Der öffentliche Schlüssel wird analog zum SPF-Eintrag in der DNS-Zone als TXT-Record eingetragen. Der geheime Schlüssel verbleibt ausschließlich auf dem Server, der beim Versand von E-Mails autorisiert wird.

Domain-Keys-Identified-Mail (DKIM)

Beim Autorisierungsverfahren ermittelt der empfangende Server zunächst die Absender-Domain der E-Mail und schaut anschließend nach dem Namen, unter welchem der passende öffentliche Schlüssel in der DNS-Zone der Absender-Domain zu finden ist. Bei einer erfolgreichen Signatur-Prüfung wird sichergestellt, dass der dekodierte Hashwert der ursprünglichen Prüfsumme vor dem Versand entspricht und somit die E-Mail auf dem Transportweg nicht verändert wurde.

Domain-based Message-Authentification, Reporting and Conformance (DMARC)[RFC 7489]

 

Eine konsistente Überprüfung der Authentizität von E-Mails kann allein mittels SPF und DKIM nicht sichergestellt werden. Diese Lücke schließt das Prüfverfahren DMARC, welches die Verfahren SPF und DKIM in ihrem gemeinsamen Auftreten zu einem sicheren Prüfprozedere zur Absenderreputation vervollständigt. DMARC stellt sicher, dass die Envelope-Sender-Adresse mit der Body-From-Adresse übereinstimmt. Diese Prüfung ist wichtig, da traditionelle E-Mail-Programme lediglich die Body-From-Informationen einer E-Mail anzeigen und die tatsächlichen Absenderinformationen verborgen bleiben.

 

Weiterhin stellt DMARC gewisse Richtlinien für die Verfahren SPF und DKIM auf, die im TXT-Record einer DNS-Zone in Form von Anforderungen hinterlegt werden. Diese Richtlinien sind maßgebend für die Anweisungen zum weiteren Verfahren mit empfangenen E-Mails. So muss z. B. für SPF die Überprüfung positiv ausfallen und die Envelope-Sender-Adresse der Domain mit der im SPF-Record hinterlegten Adresse übereinstimmen. Für DKIM wird gefordert, dass die Signatur gültig ist und die genannte Domäne mit der Body-From-Adresse der Mail übereinstimmt.

Domain Based Authentification Reporting and Conformance (DMARC)

 

Werden eine oder mehrere Forderungen nicht erfüllt, so schlägt die Überprüfung negativ aus und die E-Mail kann je nach Entscheidungsmatrix in die Quarantäne verlagert (quarantine) oder abgewiesen werden (reject).

 

Weiterhin bietet DMARC die Möglichkeit, Berichte* in Formen „Aggregated Reports“ und „Failure Reports“ zu verschicken. Die Berichte können den Domain-Administrator dabei unterstützen, den eigenen E-Mail-Verkehr im Überblick zu behalten und die DNS-Einträge auf syntaktische Korrektheit zu überprüfen. Weiterhin können die Ergebnisse dazu eingesetzt werden, um weitere Systeme zu unterstützen. So kann beispielweise die ZIP-Datei eines zweifelsfrei identifizierten Absenders ohne Weiteres zugestellt werden, während diese bei nicht identifizierten Absendern in Quarantäne wandert oder abgelehnt wird. Auf diese Weise unterstützt Hornetsecurity z. B. das eigene Produkt Content Filter für eine schnelle und sichere Zustellung von E-Mails mit Anhängen.

 

*Die Übermittlung der Berichte darf nur unter Beachtung des Bundesdatenschutzgesetztes im Rahmen der Erkennung und Eingrenzung von Spam und Phishing sowie zum Schutz der Telekommunikationsanlagen und unter Wahrung des Verhältnismäßigkeitsgrundsatzes übermittelt werden. Hierbei ist ein Authentifizierungs- und Verifizierungssystem einzusetzen, um einen Missbrauch zu vermeiden.

Weitere Technologien und Verschlüsselungsverfahren im Überblick

 

Für die Verbindung mit den Servern ist das sogenannte Domain Name System (DNS) verantwortlich, mit dessen Hilfe sich Hostnamen in IP-Adressen auflösen lassen. Das Senden und Empfangen von Nachrichten an einen oder mehrere Empfänger wird mit dem User Datagram Protocol (UDP) ermöglicht. Eine Verbindung zwischen Absender und Empfänger wird dabei nicht aufgebaut und die Daten werden ohne weitere Kontrollmechanismen an den Empfänger geliefert. Folglich hat auch der Absender keine Möglichkeit festzustellen, ob seine Nachricht erfolgreich angekommen ist. Um das Sicherheitsproblem des veralteten DNS zu beheben, werden unterschiedliche Sicherheitstechniken wie TLS, DNSSEC sowie DANE eingesetzt. Im Bereich der „sicheren E-Mail-Kommunikation“ konnte sich allerdings bis jetzt kein Standard durchsetzen. Der neuste Standard heißt MTA-STS und verspricht E-Mails auf dem Transportweg vor Lauschangriffen und Manipulationen erfolgreich zu schützen.

Transport Layer Security (TLS)[RFC 5246 ]

TLS ist ein weit verbreitetes Verschlüsselungsprotokoll, welches auf Basis des Secure Sockets Layer (SSL) weiterentwickelt und standardisiert wurde. Das TLS-Protokoll dient der Sicherstellung von Vertraulichkeit, Authentizität und Integrität bei der Übertragung von Daten in unsicheren Netzwerken. Das in zwei Ebenen unterteilte TLS-Protokoll ist ein hybrides Verschlüsselungsverfahren, welches sowohl symmetrische als auch asymmetrische Algorithmen nutzt. Das TLS Record Protocol verschlüsselt eine Ende-zu-Ende Verbindung mittels symmetrischer Algorithmen. Das TLS Handshake Protocol baut auf dem TLS Record Protokoll auf und hat die Aufgabe, Sicherheitsparameter zwischen Sender und Empfänger auszuhandeln. Verbindungen zu E-Mail-Servern können über STARTTLS eingeleitet und verschlüsselt werden. TLS wird heutzutage in vielen Anwendungen eingesetzt, in denen Daten, insbesondere Zugangsdaten, PINs und Passwörter sicher übertragen werden können. Hierzu gehören beispielsweise Anwendungen wie E-Commerce, Homebanking und E-Government.

DNSSEC (Domain Name System Security Extensions)

[RFC 4035 ]

DNSSEC ist eine Erweiterung von DNS. Diese prüft die in der DNS-Zone hinterlegten Informationen auf Echtheit und stellt sicher, dass ein Angreifer die DNS-Antworten nicht zu seinen Gunsten manipulieren kann. Mit zwei verschiedenen Schlüsseln und einer entsprechenden Signatur werden die Daten des DNS geschützt. Der Empfänger kann den Absender anhand der verwendeten Signaturen genau verifizieren. Ist die Signatur nicht gültig, blockiert der DNS-Server des Providers die Antwort. DNSSEC lässt sich nicht für jede Domain auflösen und ist deshalb weltweit nur wenig verbreitet.

Hornetsecurity News


Bleiben Sie informiert

Melden Sie sich für die Hornetsecurity News an, um aktuelle Informationen aus dem Bereich Cloud Security zu erhalten.

DNS-based Authentification of Named Entities (DANE)[RFC 6698]

Das Protokoll DANE ist eine weitere Technik, die auf DNSSEC basiert. Diese Technik erweitert den Grundschutz von TLS-Verbindungen um eine kryptografische Verknüpfung von Zertifikaten mit DNS-Namen. Dadurch soll geprüft werden, ob ein E-Mail-Server verschlüsselte Verbindungen aufbauen und authentifizieren kann. Eine Man-in-the-middle-Attacke, bei der die Nachricht zunächst auf den Server eines Angreifers gelangt, soll damit verhindert werden. Der DANE-Eintrag wird in der DNS-Zone unter einem TLSA-Record abgelegt, in welchem unterschiedliche Merkmale der jeweiligen TLS-Verbindung enthalten sind. Diese Merkmale spezifizieren das Zertifikat, welches ein Server erwarten muss, wenn dieser sich mit dem E-Mail-Dienst des jeweiligen E-Mail-Servers verbindet. Für viele Domain-Administratoren ist DANE jedoch nicht implementierbar, da nicht jede Domain per DNSSEC auflösbar ist.

SMTP MTA Strict Transport Security (MTA-STS) [RFC 8461 ]

Die Verbindungen zwischen den Servern sind bislang weitgehend ungeschützt. Damit fehlt ein wichtiger Baustein für eine sichere Transportverschlüsselung. Dieses Problem erkannten offensichtlich auch große Mailhoster wie Google, Microsoft und Verizon Media Company (Yahoo, AOL) sowie 1&1, welche sich an der Entwicklung des neuen MTA-STS -Standards beteiligen. MTA-STS soll das oft nicht realisierbare DANE sowie das weitverbreitete STARTTLS ersetzen, da die Angriffe auf die Verfahren nicht mit absoluter Sicherheit ausgeschlossen werden können. Der neue Standard verspricht einen ähnlich sicheren Standard wie bei DANE, jedoch eine wesentlich leichtere Implementierung als mit DNSSEC. Für die Nutzung des Standards können die Betreiber von E-Mail-Servern eine Policy definieren, die mittels HTTPS [RFC2818] vom sendenden Mail Transfer Agent (MTA) abgerufen werden kann. Die aktuelle Version wird durch einen TXT-Datensatz in der Policy angezeigt. Diese TXT-Datensätze enthalten zusätzlich ein ID-Feld, anhand dessen die sendende MTA die zwischengespeicherte Policy nach Aktualität prüfen kann, ohne dabei eine HTTPS-Verbindung anfordern zu müssen. Um herauszufinden, ob eine Empfängerdomäne MTA-STS implementiert, muss der Sender lediglich einen TXT-Datensatz auflösen und den TXX-Record mit dem Label „_mta-sts“, erkennen (z. B. “_mta-sts.example.com“).  Der wesentliche Unterschied zu DANE und STARTTLS ist, dass die Ergebnisse von DNS-Abfragen in einem Cache gespeichert werden, sodass Manipulationen bei späteren Verbindungsversuchen während der Vorhaltezeit mit sehr hoher Wahrscheinlichkeit aufgedeckt werden.

Fazit – Hornetsecurity bietet höchste E-Mail-Sicherheit

Aktuelle Ereignisse zeigen, dass die weitverbreiteten Sicherheitsprotokolle wie TLS allein keine sicheren Verbindungen zwischen E-Mail-Servern garantieren können. Bisherige Verbesserungen wie DANE und DNSSEC können sich u.a. aufgrund technischer Schwierigkeiten in der Umsetzung weltweit nicht flächendeckend ausdehnen.

Mit den standardisierten Absenderreputationsverfahren wie SPF, DKIM und DMARC bietet der E-Mail-Service von Hornetsecurity einen sicheren Schutz gegen Cyber-Angriffe auf die E-Mail-Kommunikation. Die vom BSI und TeleTrusT empfohlenen Standards zur sicheren E-Mail-Authentifizierung wurden bereits zuvor vollständig implementiert und finden erfolgreich Anwendung in den Hornetsecurity-Produkten wie dem Spam- sowie dem Content-Filter. Für eine sichere E-Mail-Kommunikation ist es sinnvoll auf den zusätzlichen Schutz der Inhaltsverschlüsselung mittels S/MIME (Secure / Multipurpose Internet Mail Extensions) oder PGP (Open Pretty Good Privacy) zu setzen. Die sogenannten PKI-basierten E-Mail-Verschlüsselungen stellen die Vertraulichkeit der übermittelten Nachrichten zwischen Absendern und Empfängern sicher und schützen die transportierten Daten mittels kryptografischer Verschlüsselungsmethoden. Der Hornetsecurity Verschlüsselungsservice bietet diesen Schutz direkt in der Cloud und sichert somit den Transportweg vollständig ab.

Der MTA-STS-Standard ist relativ neu und soll den Transportweg von E-Mails unter Zuhilfenahme bereits bekannter Techniken wie HTTPS besser schützen und Methoden zur Erkennung irregulärer Zugriffe bereitstellen. Die leichte Implementierung sowie die rasche Verbreitung steigern derzeit die Akzeptanz des Standards, dessen Sicherheitspotenzial momentan mehr und mehr Mail-Administratoren begeistert.

Literataur

[1] BSI – Bundesamt für Sicherheit und Technik: “E-Mail-Sicherheit” In: EMPFEHLUNG: INTERNET-DIENSTLEISTER. [online] https://www.allianz-fuer-cybersicherheit.de (abgerufen am 03.12.2018). [2] ECO – Verband der deutschen Internetwirtschaft e. V.: “Gutachten zur Vereinbarkeit von DMARC mit dem deutschen Recht”. [online] https://www.eco.de/wp-content/blogs.dir/26/files/dmarc_rechtsgutachten.pdf (abgerufen am 03.12.2018) [3] Heise Developer: “Internet-Protokolle, Teil 1: TCP/IP, der Grundstein für Anwendungsprotokolle”. [online] https://www.heise.de/developer/artikel/Internet-Protokolle-Teil-1-TCP-IP-der-Grundstein-fuer-Anwendungsprotokolle-2548919.html?seite=all (abgerufen am 03.12.2018) [4] Heise Security: “Kryptographie in der IT – Empfehlungen zu Verschlüsselung und Verfahren”.[online] https://www.heise.de/security/artikel/Kryptographie-in-der-IT-Empfehlungen-zu-Verschluesselung-und-Verfahren-3221002.html?seite=all (abgerufen am 03.12.2018). [5] IEFF – Internet Engineering Task Force: “Sender Policy Framework (SPF) for Authorizing Use of Domains in Email”, [online] https://tools.ietf.org/html/rfc7208 (abgerufen am 03.12.2018) [6] IEFF – Internet Engineering Task Force: “Domain-based Message Authentication, Reporting, and Conformance (DMARC)”. [online] https://tools.ietf.org/html/rfc7489 (abgerufen am 03.12.2018) [7] IEFF – Internet Engineering Task Force: “DomainKeys Identified Mail (DKIM) Signatures”. [online] https://tools.ietf.org/html/rfc6376 (abgerufen am 03.12.2018) [8] IEFF – Internet Engineering Task Force: “SMTP MTA Strict Transport Security (MTA-STS)”. [online] https://tools.ietf.org/html/rfc8461 (abgerufen am 03.12.2018) [9] Stefan Cink | Net at Work GmbH: “SPF, DKIM, DMARC und DANE: E-Mail-Sicherheit durch geschützte
Zustellung”. In: Management und Wissen. [online] https://www.nospamproxy.de/wp-content/uploads/E-Mail-Sicherheit-mit-Absenderreputation-durch-geschuetzte-Zustellung-Stefan-Cink.pdf (abgerufen am 03.12.2018) [10] Sven krohlas | BFK edv-consulting GmbH: “Umverpackung. E-Mails auf dem Transportweg schützen”. [online] https://www.heise.de/select/ix/2018/12/1543727185822371 (abgerufen am 03.12.2018)

Weiterführende Informationen:

fly-tech – Unser Partner rüstet auf

fly-tech – Unser Partner rüstet auf

Hornetsecurity’s Partner fly-tech IT GmbH & Co. KG aus Friedberg steigt auf zum Excellence Partner.

Seit Jahren bauen wir auf unseren wichtigsten Vertriebskanal – unsere Partner. Eine besonders gute und erfolgreiche Zusammenarbeit wird im Rahmen unseres Hornetsecurity-Partnerprogramms honoriert. Auch in diesem Jahr freut es uns, einem weiteren Partner den höchsten Status „Excellence Partner“ verleihen zu dürfen.

Die gute und langjährige Zusammenarbeit zwischen Hornetsecurity und fly-tech zahlte sich nun aus. Am 07.09.2018 haben wir dem tatkräftigen Vertriebspartner im Rahmen des Hornetsecurity Partnerdialogs offiziell die begehrte Auszeichnung „Excellence Partner“ verliehen. Damit reiht sich fly-tech neben den Partnern Portformance GmbH und SYMPLASSON Informationstechnik GmbH, die bereits letztes Jahr ausgezeichnet wurden, in die höchste Partnerstufe ein.

„Ich freue mich sehr der fly-tech in diesem Jahr den höchsten Partnerstatus verleihen zu dürfen und blicke gespannt auf die weitere gute und enge Zusammenarbeit in den nächsten Jahren.“, sagt der betreuende Partnermanager Tassilo Totzeck.

„Hornetsecurity ist für uns ein gesetzter Partner im Bereich E-Mail und Internet-Sicherheit. Wir schätzen die sehr enge und gute Zusammenarbeit sowie die stets freundliche Kommunikation auf Augenhöhe.“, so Özcan Sahin von fly-tech. Mit Fokus auf den Spamfilter- und Archivierungsservice sowie Advanced Threat Protection vertreibt das Systemhaus die Hornetsecurity-Produkte bereits seit 9 Jahren erfolgreich an seine Kunden. „Unsere Kunden und wir schätzen die zuverlässigen, unkomplizierten Services aus einer Hand und das intuitiv leicht zu bedienende Control Panel.“

Auch zukünftig möchte sich der IT-Dienstleister als führender Security-Anbieter im Raum Süd-Deutschland etablieren und ist darauf aus, dass jeder fly-tech Kunde mindestens einen Hornetsecurity-Service nutzt.

Hornetsecurity Excellence Partner

An fly-tech verliehene Excellence Partner Auszeichnung von Hornetsecurity

Tassilo Totzeck - Hornetsecurity

Tassilo Totzeck bei der Verleihung der begehrten Excellence Partner Auszeichnung

CONTENT FILTER 2.0 – Der Sicherheitsbeauftragte für Ihren Datentransfer

CONTENT FILTER 2.0 – Der Sicherheitsbeauftragte für Ihren Datentransfer

Mit dem Update auf die Version 2.0 steht der aktualisierte Content Filter gegen unerwünschte E-Mails mit betrügerischen Attachments für neue Herausforderungen bereit. Damit passt sich der E-Mail Service von Hornetsecurity auf die momentane Bedrohungslage an und bietet neben dem verlässlichen Spam- und Virenfilter zusätzliche Schutzmechanismen für einen sicheren Datentransfer.

Das Landeskriminalamt Niedersachsen warnt aktuell vor vermehrt aufkommenden E-Mails mit betrügerischen Bewerbungsinhalten. Die E-Mails richten sich explizit an Unternehmen mit ausgeschriebenen Stellenangeboten und gefährden insbesondere Personalabteilungen, die in Bewerbungsprozesse involviert sind. Den seriös formulierten E-Mails sind angebliche Bewerbungsunterlagen in Form von Archivdaten angehängt. Werden diese Dateien entpackt, kommen aber keine Bewerbungsunterlagen zum Vorschein, sondern gefährliche Malware, die das System infiziert.

Sicherer Datentransfer mit dem Content Filter von Hornetsecurity

Mit dem Content Filter von Hornetsecurity lassen sich effektive Schutzmaßnahmen gegen unerwünschte Dateianhänge ergreifen. Neben dem generellen Schutz durch den Spam- und Virenfilter können im Content Filter individuelle Einstellungen zu Anhängen von ein- und ausgehenden E-Mails vorgenommen werden. Mit der Aktualisierung des Content Filters auf die Version 2.0 werden nun auch verschachtelte Archive überprüft. Definierte Regeln können wie bisher für die gesamte Domain oder für bestimmte Benutzergruppen angewendet werden. Dadurch lassen sich besonders gefährdete Gruppen im Unternehmen vor aktuellen Angriffen bewusst schützen.

Einfache Einstellung – sicherer Datentransfer

Der Content Filter bietet eine unkomplizierte Handhabung für das Management von E-Mail-Anhängen. Unerwünschte Dateiformate, wie beispielsweise ausführbare Dateien sind unter dem Sammelbegriff .executable zusammengefasst und können bei der erstmaligen Einrichtung aus einer vordefinierten Liste mit nur wenigen Klicks ausgewählt werden. Zusätzliche Dateiformate, die nicht unter einen der Sammelbegriffe fallen, können bei Bedarf ergänzt werden. Zudem ist es möglich die maximal zulässige Größe für betroffene E-Mail-Anhänge individuell zu konfigurieren.

Hornetsecuity Content Filter 2.0

Abb. 1: Einstellungen im Content Filter für ein- ausgehende E-Mails

Für den Anwendungsfall lassen sich zwei Aktionen zum Umgang mit den betroffenen E-Mails einstellen: E-Mail blockieren oder Attachment abschneiden. Zusätzlich können verschlüsselte Anhänge (encrypted Attachments), welche in gängigen Formaten wie PDF, ZIP, RAR etc. vermehrt vorkommen, explizit verboten werden (Abb. 1). Archiv-Dateien, die innere Verschachtelungsstrukturen in Form von weiteren Archiven aufweisen, werden bis zur sicherheitsrelevanten Ebene analysiert und bewertet. Weiterhin beinhaltet der Content Filter einen automatisierten Abgleich von Dateiendungen mit dem mitgelieferten MIME-Type, welcher sich bei verdächtigen E-Mail-Attachments von der Dateiendung signifikant unterscheiden kann.

Greift der Content Filter ein und entfernt einen verdächtigen Anhang, so verändert er damit den Ursprungszustand der Nachricht. Bei signierten E-Mails führt das aktive Eingreifen des Content Filters dazu, dass die Signatur beschädigt wird. Sollte dieser Fall eintreten, informiert der Content Filter den Empfänger und gibt an, ob die Signatur vor der Veränderung gültig war (Abb. 2). Liegt das Zertifikat der signierten E-Mail jedoch auf unseren Systemen vor, so wird die E-Mail, deren Signatur durch das Abschneiden des Dateianhangs gebrochen wurde, wieder neu signiert und behält damit ihre Gültigkeit.

Abb. 2: Gültige Signatur nach dem Abschneiden des Anhangs

Der Content Filter kann für alle Partner und Kunden von Hornetsecurity zusätzlich zum Spam und Virenfilter aktiviert werden.

ATP – das interoperable Komplement für einen umfangreichen Schutz

Die aktuelle Bedrohungslandschaft vorkommender Malware reicht von Ransomware bis hin zum Cryptominern und verändert sich stetig weiter. Spam,- Viren-, und Content Filter liefern eine solide Basis gegen Cyberattacken. Bei gezielten und besonders ausgeklügelten Angriffen auf Unternehmen bieten diese Filter keinen hundertprozentigen Schutz. Es werden weitere Schutzmechanismen benötigt, die sich auf die stetig wandelnden Angriffsarten und Malware-Typen anpassen. Durch die Kombination aus interoperablen Filtern von Hornetsecurity kann der Schutz gegen spezifische Cyber-Angriffe in vollem Umfang erzielt und für die Unternehmen nachhaltig gesichert werden.

Als Ergänzung zum Spam- und Virenfilter bietet Advanced Threat Protection (ATP) von Hornetsecurity einen zuverlässigen Schutz vor aktuellen Malware-Attacken. ATP integriert sich nahtlos in die bestehenden Filter aus der Hornetsecurity-E-Mail-Services und verfügt, im Vergleich zum Content Filter, über tiefgreifende Verhaltensanalysen von Dateiinhalten. Dank der integrierten ATP Engines wie der Sandbox, dem URL Rewriting und dem URL Scanning werden Angriffe, wie Targeted oder Blended Attacks, frühzeitig erkannt und notwendige Schutzmaßnahmen in Echtzeit eingeleitet. Als Beispiel können verdeckte, in Dateien infiltrierte Verlinkungen in einer isolierten Umgebung rekursiv verfolgt und die darin verborgenen Inhalte forensischen Analysen unterzogen werden. Bei Inhaltsmustern, die auf bösartige Absichten hindeuten wird das IT Sicherheitsteam des Unternehmens in Echtzeit benachrichtigt, um sofortige Schutzmaßnahmen vornehmen zu können.

Schneller als das BSI – Hornetsecurity ist State of the Art in Sachen E-Mail-Sicherheit

Schneller als das BSI – Hornetsecurity ist State of the Art in Sachen E-Mail-Sicherheit

Mit den Hornetsecurity Services können die Forderungen des Bundesamtes für Sicherheit und Informationstechnik (BSI) effektiv und ohne großen Aufwand umgesetzt werden, damit Ihr Unternehmen vor Spam, Viren und Malware sowie gezielten, personalisierten Attacken geschützt ist.

Das BSI hat am 11.07.2018 die zweite Version der Handlungsempfehlungen zur E-Mail-Sicherheit für Internet-Service-Provider veröffentlicht. Laut der Veröffentlichung des BSI sind E-Mails auch heute noch das meistgenutzte Medium zur Übertragung von elektronischen Nachrichten. Dadurch werden E-Mails häufig aber auch zur Verbreitung von Schadsoftware verwendet. Das Wissenschaftliche Institut für Infrastruktur und Kommunikationsdienste (wik) hat in einer Studie festgestellt, dass jedes zweite kleine oder mittelständische Unternehmen bereits mit Problemen durch Virenangriffe zu kämpfen hatte. Das zeigt, dass es im Bereich der Abwehr von Cyberkriminalität noch immer viel Verbesserungspotenzial für Unternehmen gibt. Oftmals übersteigen die Kosten für den entstandenen Schaden die Investition in den Schutz um ein Vielfaches.

Um der Cyberkriminalität entgegenzuwirken, hat das BSI zahlreiche Handlungsempfehlungen für Internet-Service-Provider veröffentlicht. Von diesen Maßnahmen müssen nicht alle strikt umgesetzt, sondern an die jeweilige Situation und das Unternehmen angepasst werden. Ziel aller eingesetzten Maßnahmen ist jedoch immer, die E-Mail-Sicherheit von ein- und ausgehenden E-Mails zu gewährleisten und einen wirksamen Spam- und Virenschutz zu aktivieren und aufrechtzuerhalten. Hornetsecurity setzt das vom BSI geforderte Prinzip des „Baukastens“ bereits um und hat verschiedene Schutzmechanismen entwickelt, die sich individuell miteinander kombinieren lassen. Mit der Kombination der Mechanismen gewährleistet Hornetsecurity einen hoch wirksamen Schutz gegen Cyberkriminalität.

Besonderer Schutz mit Advanced Threat Protection (ATP) von Hornetsecurity

Angriffe auf Unternehmen durch E-Mails werden raffinierter und finden Lücken, die durch eine einfache Spam- und Virenfilterung nicht abgedeckt werden. Der bestehende Spam- und Virenfilter von Hornetsecurity filtert E-Mails mit einem mehrstufigen Filtersystem und erkennt 99,9 Prozent aller eintreffenden Spammails und 99,99 Prozent der eintreffenden Viren. Wenn aber eine gezielte Attacke auf einen Mitarbeiter durchgeführt wird oder verschiedene Angriffsmethoden miteinander kombiniert werden, greift der Spam- und Virenfilter nicht mehr und es müssen zusätzliche Schutzmaßnahmen ergriffen werden. Der finanzielle Schaden für Unternehmen durch solche Targeted oder Blended Attacks kann im schlimmsten Fall immens sein.

Hornetsecurity News


Bleiben Sie informiert

Melden Sie sich für die Hornetsecurity News an, um aktuelle Informationen aus dem Bereich Cloud Security zu erhalten.

Mit ATP hat Hornetsecurity einen Service entwickelt, der speziell vor diesen Angriffen schützt und sich nahtlos in den bestehenden Spam- und Virenfilter integriert. So werden auch Dateien in Anhängen und nachgeladene Inhalte in der Sandbox überprüft. Zum Schutz vor Blended Attacks werden die Mechanismen URL Rewriting und URL Scanning verwendet. ATP übererfüllt damit sogar bei weitem die Forderung des BSI, E-Mails mit einem Virenschutzprogramm zu scannen.

Ergänzend empfiehlt das BSI, dass Kunden über Maßnahmen informiert werden müssen, die mit ihrer E-Mail durchgeführt worden sind. ATP informiert Kunden in Echtzeit über eingegangene Bedrohungen, sodass sie sofort Gegenmaßnahmen ergreifen können. Die Ex-Post-Alarmierung geht noch einen Schritt weiter und informiert das IT-Sicherheitsteam des Unternehmens, wenn eine zugestellte Nachricht nachträglich als schädlich eingestuft wurde.

E-Mail-Authentifizierung mit SPF, DKIM und DMARC

Das BSI gibt zudem Hinweise zur E-Mail-Authentifizierung und empfiehlt die Umsetzung von SPF, DKIM und DMARC. Zusätzlich zum schon seit langem implementierten SPF hat Hornetsecurity nun auch DKIM und DMARC eingeführt, um die E-Mail-Authentifizierung zu verbessern. Mit der Kombination aller drei Verfahren kann Hornetsecurity auch diese Forderung des BSI umsetzen.

Mit den Services von Hornetsecurity werden alle Forderungen des BSI erfüllt

Angriffe durch E-Mails werden komplexer, doch die kombinierten Services von Hornetsecurity bieten die Möglichkeit, die Forderungen des BSI sehr wirksam und einfach umzusetzen und Unternehmen vor hohem finanziellen Schaden oder dem Diebstahl von geheimen, unternehmensinternen Daten zu bewahren.