SlideShare une entreprise Scribd logo

E-Mail-Sicherheit

Digicomp Academy AG
Digicomp Academy AG

Referat am Hacking Day 2014 von Andreas Wisler, Geschäftsführer der GO OUT Produciton GmbH

Internet
1  sur  17
Télécharger pour lire hors ligne
Digicomp Hacking Day 2014 E-Mail Sicherheit 11. Juni 2014 GO OUT Production GmbH, Schulstrasse 11, 8542 Wiesendangen, www.goSecurity.ch 1 Wissen Sie, wie es um Ihre IT-Sicherheit steht? Sichere E-Mail-Kommunikation Andreas Wisler GO OUT Production GmbH Dipl. Ing FH, CISSP, CISA, ISO 27001 Lead Auditor www.goSecurity.ch / wisler@goout.ch
Digicomp Hacking Day 2014 E-Mail Sicherheit 11. Juni 2014 GO OUT Production GmbH, Schulstrasse 11, 8542 Wiesendangen, www.goSecurity.ch 2 Bedrohungen • Abhören von Nachrichten oder Einsicht in Nachrichten. Personen nehmen Einblick in Informationen oder Nachrichten, obwohl dies vom Verfasser der Nachricht oder der Information unerwünscht oder ungewollt ist. • Löschen (Delete) von Nachrichten oder Teile davon. Informationen, welche aufbewahrt oder gesandt werden sollen, werden vom Verfasser der Nachricht ungewollt oder von einem unberechtigten Dritten vorsätzlich gelöscht. Bedrohungen • Verändern von Nachrichten. Hier wird eine Nachricht soweit verändert, dass der Sinn oder Zweck der ursprünglichen Nachricht nicht mehr mit der veränderten übereinstimmt. • Bestreiten des Versands von Nachrichten (Non Repudiation of origin). Hier wird vom Absender einer Nachricht bestritten, dieNachricht versandt zu haben. ABC ABD ABC? ABC ABC Nein!
Digicomp Hacking Day 2014 E-Mail Sicherheit 11. Juni 2014 GO OUT Production GmbH, Schulstrasse 11, 8542 Wiesendangen, www.goSecurity.ch 3 Bedrohungen • Bestreiten des Empfangs von Nachrichten (Non Repudiation of receipt). Hier wird vom Empfänger einer Nachricht bestritten, die Nachricht erhalten zu haben. (Rechts) • Einspeisen von Nachrichten (Insertion). Hier werden von einer Person Nachrichten in die Kommunikation zweier oder mehrerer Teilnehmer eingefügt, welches von diesen Teilnehmern nicht erwünscht oder gewollt ist. ABC ABCDEF DEF Bedrohungen • Wiederholen von Nachrichten (Reply). Bei diesem Angriff werden von einer Person bereits versandte Nachrichten noch einmal in die Kommunikation eingespiesen. Doch dies ist den Kommunikationsteilnehmer unerwünscht. • Vortäuschen einer anderen Identität (Masquerade). Eine Person gibt sich als eine andere Person aus, um eine andere Person in die Irre zu führen. Alice Bob Carl Ich bin Alice
Digicomp Hacking Day 2014 E-Mail Sicherheit 11. Juni 2014 GO OUT Production GmbH, Schulstrasse 11, 8542 Wiesendangen, www.goSecurity.ch 4 Ziel der Kryptographie • Gewährleistung von – Integrität – Vertraulichkeit – Authentizität – Verbindlichkeit Begriffe der Kryptographie Plaintext Ciphertext
Digicomp Hacking Day 2014 E-Mail Sicherheit 11. Juni 2014 GO OUT Production GmbH, Schulstrasse 11, 8542 Wiesendangen, www.goSecurity.ch 5 Begriffe der Kryptographie – Plaintext Daten die von jedermann gelesen und verstanden werden können – Encryption verschlüsseln – Ciphertext Darin ist die Botschaft vom „plaintext“ verschlüsselt enthalten. Der Inhalt der Botschaft ist nicht ersichtlich, auch nicht für diejenigen, welche den „ciphertext“ sehen können. – Decryption Entschlüsseln - Wiederherstellen des Zustandes vor der Verschlüsselung – Algorithmus Ein Set von Regeln, welche ver- & entschlüsseln Symmetrische Verschlüsselung • ein einziger Schlüssel für die Ver- und Entschlüsselung • sehr schnell • Oft für lokale Verschlüsselung verwendet (Bitlocker, TrueCrypt, KeePass, etc.) • problematische Schlüsselverteilung (darf nicht über den gleichen Weg erfolgen) Sender Empfänger
Digicomp Hacking Day 2014 E-Mail Sicherheit 11. Juni 2014 GO OUT Production GmbH, Schulstrasse 11, 8542 Wiesendangen, www.goSecurity.ch 6 Asymmetrische Verschlüsselung • Public Key Verschlüsselung – zur Verschlüsselung wird ein Schlüsselpaar verwendet – mit dem öffentlichen Schlüssel werden die Daten verschlüsselt mit dem privaten Schlüssel entschlüsselt – der öffentliche Schlüssel ist allen bekannt, der private Schlüssel dagegen bleibt geheim Verschlüsselung • Die Nachricht von Alice an Bob wird verschlüsselt über-tragen, indem die Nachricht zuerst mit dem öffentlichen Schlüssel (Public Key) verschlüsselt wird. Das Prinzip der PKI liegt darin, dass die Nachricht nur noch mit dem privaten Schlüssel (Private Key) entschlüsselt werden kann.
Digicomp Hacking Day 2014 E-Mail Sicherheit 11. Juni 2014 GO OUT Production GmbH, Schulstrasse 11, 8542 Wiesendangen, www.goSecurity.ch 7 Signierung • Alice signiert die Nachricht mit dem eigenen privaten Schlüssel (Private Key) und schickt die Nachricht in Klartext an Bob. Somit ist sie für alle Stellen dazwischen lesbar. Mit dem öffentlichen Schlüssel von Alice (Public Key) kann Bob nun die Echtheit der Nachricht kontrollieren. Sichere E-Mail
Digicomp Hacking Day 2014 E-Mail Sicherheit 11. Juni 2014 GO OUT Production GmbH, Schulstrasse 11, 8542 Wiesendangen, www.goSecurity.ch 8 S/MIME Secure Mail Extensions • S/MIME steht für Secure/Multipurpose Internet Mail Extension und bezeichnet ein Protokoll, welches die sichere Übertragung von MIME-Daten gewährleistet • S/MIME garantiert dabei Vertraulichkeit und Integrität der Daten sowie die Authentifizierung des Kommuni- kationspartners • Ein wesentlicher Vorteil dieses Protokolls ist, dass es völlig im Hintergrund und ohne Eingreifen des Benutzers arbeiten kann Vertrauenshierarchie Verisign Eigensignierung Amazon Verisign Alice Bob Amazon Amazon Thawte Eigensignierung Carol Thawte Klient- zertifikate Vertrauensstellung Root CA Intermediate CA
Digicomp Hacking Day 2014 E-Mail Sicherheit 11. Juni 2014 GO OUT Production GmbH, Schulstrasse 11, 8542 Wiesendangen, www.goSecurity.ch 9 Struktur X.509 Zertifikat • Verschlüsselte E-Mail • E-Mail Optionen
Digicomp Hacking Day 2014 E-Mail Sicherheit 11. Juni 2014 GO OUT Production GmbH, Schulstrasse 11, 8542 Wiesendangen, www.goSecurity.ch 10 Zertifikat Extras – Internetoptionen… – Inhalte – Zertifikate… Zertifikat
Digicomp Hacking Day 2014 E-Mail Sicherheit 11. Juni 2014 GO OUT Production GmbH, Schulstrasse 11, 8542 Wiesendangen, www.goSecurity.ch 11 Zertifikat • bestehend aus – Öffentlicher Schlüssel – Name des Antragstellers – Name der Ausgabestelle – Signatur des Zertifikates mit privatem Schlüssel der CA – Gültigkeit von / bis – Version X509 – Seriennummer – Signaturalgorithmus der CA Gesetzliche Situation • Seit 1. Januar 2005 werden elektronische Signaturen der handschriftliche Unterschriften gleichgestellt.  Bundesgesetz über die elektronische Signatur • definiert die Bedingungen, unter denen Anbieterinnen von Zertifizierungsdiensten auf freiwilliger Basis anerkannt werden können, und regelt ihre Tätigkeiten im Bereich der elektronischen Zertifikate. Es legt zudem die Voraussetzungen fest, die eine elektronische Signatur erfüllen muss, um die gleichen Wirkungen wie eine handschriftliche Unterschrift erzielen zu können. • Die neuen gesetzlichen Bestimmungen sind mit der geltenden Regelung der EU kompatibel. • Informationen: www.admin.ch/ch/d/ff/2003/8221.pdf
Digicomp Hacking Day 2014 E-Mail Sicherheit 11. Juni 2014 GO OUT Production GmbH, Schulstrasse 11, 8542 Wiesendangen, www.goSecurity.ch 12 SuisseID • Die SuisseID ist ein standardisierter elektronischer Identitätsnachweis. • Das SuisseID-System enthält drei Elemente: – Elektronischer Identitätsnachweis – Qualifizierte elektronische Signatur – Elektronischer Funktionsnachweis • Anbieter – QuoVadis / Trüb – Post (Swiss Sign) – Swisscom (Unternehmen) – BIT (Verwaltungen) PGP Entstehungsgeschichte • Verdienst von Phil Zimmermann – 1991: erste Freeware Version als Resultat eines Projektes • ohne finanzielle Unterstützung • ohne industrielle Unterstützung • als Ein-Personen Projekt – 1993-1996: Strafverfolgung von Phil Zimmermann • PGP benützt RSA and Merkle-Hellmann Technologie, beides Patentrechtlich geschützt. • Zusätzlich darf Verschlüsselungssoftware nicht aus den USA exportiert werden ohne die explizite Genehmigung vom State Department.
Digicomp Hacking Day 2014 E-Mail Sicherheit 11. Juni 2014 GO OUT Production GmbH, Schulstrasse 11, 8542 Wiesendangen, www.goSecurity.ch 13 PGP • Plattformübergreifend • Weltweit verfügbar • Basiert auf Algorithmen, die den „Zeittest“ bestanden haben • viele Anwendungsformen (Benutzer bis Grossfirma) • Weder entwickelt noch kontrolliert durch – Staatliche Institutionen – Standardisierungsgremien Verschlüsselung passphrase H DC SelectIDA I I Key ID encrypted private key EP Private key KRa H Message M message EC signature + message RNG session key Ks EP I I Output Encrypted signature + message Public key ring selectIDB public key KRb Key ID Private key ring
Digicomp Hacking Day 2014 E-Mail Sicherheit 11. Juni 2014 GO OUT Production GmbH, Schulstrasse 11, 8542 Wiesendangen, www.goSecurity.ch 14 Authentifikation 1. Der Sender erstellt die Nachricht. 2. Mit SHA-1 generiert er einen 160-bit langen Hash Code von der Nachricht. 3. Der Hash Code wird mit dem privaten RSA Schlüssel des Senders verschlüsselt und an die Nachricht angehängt. 4. Der Empfänger entschlüsselt den Hash Code mit dem Public RSA Schlüssel des Senders. 5. Der Empfänger berechnet den Hash Code vom Dokument und vergleicht ihn mit dem angehängten.. Verschlüsselung 1. Der Sender generiert die Nachricht und eine Zufallszahl von 128 Bit (=Session Key für diese Nachricht). 2. Die Nachricht wird mit dem Session Key verschlüsselt (Algorithmen: CAST-128, IDEA oder 3DES) 3. Der Session Key wird mit dem RSA Public Key vom Empfänger verschlüsselt und der verschlüsselten Nachricht vorgehängt. 4. Der Empfänger entschlüsselt den Session Key mit seinem privaten RSA Key. 5. Mit dem Session Key kann er die Nachricht entschlüsseln.
Digicomp Hacking Day 2014 E-Mail Sicherheit 11. Juni 2014 GO OUT Production GmbH, Schulstrasse 11, 8542 Wiesendangen, www.goSecurity.ch 15 Entschlüsselung passphrase H DC encrypted private key Public key riag Private key ring DP private key KRb encrypted message + signature receiver s Key ID select Encrypted session ley DC Session key K message Sender s Key ID Encrypted digest H DP Compare select public key KUa Vgl. PGP & S/MIME • Zertifikate haben bei S/MIME eine wesentlich höhere Bedeutung als bei PGP, was auch der Hauptunterschied zwischen den beiden ist • Während PGP das Vertrauen in fremde Schlüssel dem Anwender überlässt („Web of Trust“) sind bei S/MIME Zertifikate nach dem X.509 Standard obligatorisch • Praktisch alle E-Mail Clients unterstützen den S/MIME-Standard
Digicomp Hacking Day 2014 E-Mail Sicherheit 11. Juni 2014 GO OUT Production GmbH, Schulstrasse 11, 8542 Wiesendangen, www.goSecurity.ch 16 Vgl. PGP & S/MIME • Beide Standards unterscheiden sich in ihren Vetrauensmodellen und Datenformaten • S/MIME & PGP sind zueinander nicht kompatibel • Unternehmen streben eher S/MIME mit X.509 Zertifikaten an • Die unklaren Vertrauensbeziehungen von PGP werden des Öfteren als „risikoreich“ empfunden • Die PKI-Struktur auf der anderen Seite als sehr „unflexibel“. Das Schlüsselmanagement müssen „bezahlt“ werden • Vertrauenswürdigkeit ist nur mit org. & techn. Mitteln zu erzielen Fazit • E-Mail-Verschlüsselung ist problemlos möglich • Die Anwendung ist aber «komplex» • Das Schlüsselhandling ist die grosse Herausforderung • Nur wenn «alle» mitmachen, kann es sinnvoll genutzt werden
Digicomp Hacking Day 2014 E-Mail Sicherheit 11. Juni 2014 GO OUT Production GmbH, Schulstrasse 11, 8542 Wiesendangen, www.goSecurity.ch 17 Mit uns wissen Sie, wie es um Ihre IT-Sicherheit steht! Th. Furrer S. Walser A. Zlateva N. Rasstrigina A. Wisler S. Müller E. Kauth C. Wehrli A. Kulhanek J. Kappeler Dienstleistungen …

Recommandé

Kryptographie Präsentation für den Kurs Online Kommunikation @ #WebWi
Kryptographie Präsentation für den Kurs Online Kommunikation @ #WebWiKryptographie Präsentation für den Kurs Online Kommunikation @ #WebWi
Kryptographie Präsentation für den Kurs Online Kommunikation @ #WebWimgoldb
 
Verschlüsselung in Theorie und Praxis
Verschlüsselung in Theorie und PraxisVerschlüsselung in Theorie und Praxis
Verschlüsselung in Theorie und PraxisPeter Tröger
 
SeHF 2013 | Secure Mail GLOBAL - Eine neuartige Möglichkeit zur sicheren E-Ma...
SeHF 2013 | Secure Mail GLOBAL - Eine neuartige Möglichkeit zur sicheren E-Ma...SeHF 2013 | Secure Mail GLOBAL - Eine neuartige Möglichkeit zur sicheren E-Ma...
SeHF 2013 | Secure Mail GLOBAL - Eine neuartige Möglichkeit zur sicheren E-Ma...Swiss eHealth Forum
 
EN 6.3: 4 Kryptographie
EN 6.3: 4 KryptographieEN 6.3: 4 Kryptographie
EN 6.3: 4 KryptographieSven Wohlgemuth
 
Griffige Informationen Security Policies – Balance zwischen Theorie und Praxis
Griffige Informationen Security Policies – Balance zwischen Theorie und PraxisGriffige Informationen Security Policies – Balance zwischen Theorie und Praxis
Griffige Informationen Security Policies – Balance zwischen Theorie und PraxisDigicomp Academy AG
 
#Wir georg beham
#Wir georg beham#Wir georg beham
#Wir georg behamDanube University Krems, Centre for E-Governance
 
Casa chon
Casa chonCasa chon
Casa chonGrandFather2
 
3.2.16 McCormick Foundation Presentation
3.2.16 McCormick Foundation Presentation3.2.16 McCormick Foundation Presentation
3.2.16 McCormick Foundation PresentationSmart Chicago Collaborative
 

Recommandé

Kryptographie Präsentation für den Kurs Online Kommunikation @ #WebWi
Kryptographie Präsentation für den Kurs Online Kommunikation @ #WebWiKryptographie Präsentation für den Kurs Online Kommunikation @ #WebWi
Kryptographie Präsentation für den Kurs Online Kommunikation @ #WebWimgoldb
 
Verschlüsselung in Theorie und Praxis
Verschlüsselung in Theorie und PraxisVerschlüsselung in Theorie und Praxis
Verschlüsselung in Theorie und PraxisPeter Tröger
 
SeHF 2013 | Secure Mail GLOBAL - Eine neuartige Möglichkeit zur sicheren E-Ma...
SeHF 2013 | Secure Mail GLOBAL - Eine neuartige Möglichkeit zur sicheren E-Ma...SeHF 2013 | Secure Mail GLOBAL - Eine neuartige Möglichkeit zur sicheren E-Ma...
SeHF 2013 | Secure Mail GLOBAL - Eine neuartige Möglichkeit zur sicheren E-Ma...Swiss eHealth Forum
 
EN 6.3: 4 Kryptographie
EN 6.3: 4 KryptographieEN 6.3: 4 Kryptographie
EN 6.3: 4 KryptographieSven Wohlgemuth
 
Griffige Informationen Security Policies – Balance zwischen Theorie und Praxis
Griffige Informationen Security Policies – Balance zwischen Theorie und PraxisGriffige Informationen Security Policies – Balance zwischen Theorie und Praxis
Griffige Informationen Security Policies – Balance zwischen Theorie und PraxisDigicomp Academy AG
 
#Wir georg beham
#Wir georg beham#Wir georg beham
#Wir georg behamDanube University Krems, Centre for E-Governance
 
Casa chon
Casa chonCasa chon
Casa chonGrandFather2
 
3.2.16 McCormick Foundation Presentation
3.2.16 McCormick Foundation Presentation3.2.16 McCormick Foundation Presentation
3.2.16 McCormick Foundation PresentationSmart Chicago Collaborative
 
BonDia Lleida 19122011
BonDia Lleida 19122011BonDia Lleida 19122011
BonDia Lleida 19122011Bondia Lleida Sl
 
Precentacion de nuestro gran proyecto Nuestro gran proyecto
Precentacion de nuestro gran proyecto Nuestro gran proyectoPrecentacion de nuestro gran proyecto Nuestro gran proyecto
Precentacion de nuestro gran proyecto Nuestro gran proyectoEli Torres Ü
 
Open layers pt_br
Open layers pt_brOpen layers pt_br
Open layers pt_brMarcos Rosa
 
Mcollective introduction
Mcollective introductionMcollective introduction
Mcollective introductionJavier Turégano Molina
 
Medicina 2.0
Medicina 2.0Medicina 2.0
Medicina 2.0Jesus Custodio
 
Neue Medien und Formate für mehr Anwendererfolg
Neue Medien und Formate für mehr AnwendererfolgNeue Medien und Formate für mehr Anwendererfolg
Neue Medien und Formate für mehr AnwendererfolgTANNER AG
 
Educar en la responsabilidad y autonomía
Educar en la responsabilidad y autonomíaEducar en la responsabilidad y autonomía
Educar en la responsabilidad y autonomíaUnzizu Martínez
 
Metryx Mass Metrology For Tsv (Icep2009)
Metryx Mass Metrology For Tsv (Icep2009)Metryx Mass Metrology For Tsv (Icep2009)
Metryx Mass Metrology For Tsv (Icep2009)Stehen Griffing
 
Offering Cloud Solutions
Offering Cloud Solutions Offering Cloud Solutions
Offering Cloud Solutions Zemsania Services & Consulting
 
Seopro (2013) refuerzo del seo con campañas de email marketing
Seopro (2013) refuerzo del seo con campañas de email marketingSeopro (2013) refuerzo del seo con campañas de email marketing
Seopro (2013) refuerzo del seo con campañas de email marketingPablo Baselice
 
Welcome to the Tokyo 2020 Olympics English Task Force Group
Welcome to the Tokyo 2020 Olympics English Task Force GroupWelcome to the Tokyo 2020 Olympics English Task Force Group
Welcome to the Tokyo 2020 Olympics English Task Force GroupiCTVBA - International Cloud TV Broadcasters Alliance
 
EN 6.3: 2 IT-Compliance und IT-Sicherheitsmanagement
EN 6.3: 2 IT-Compliance und IT-SicherheitsmanagementEN 6.3: 2 IT-Compliance und IT-Sicherheitsmanagement
EN 6.3: 2 IT-Compliance und IT-SicherheitsmanagementSven Wohlgemuth
 
ISO 27001:2013 Implementation procedure
ISO 27001:2013 Implementation procedureISO 27001:2013 Implementation procedure
ISO 27001:2013 Implementation procedureUppala Anand
 
ISO/IEC 27001:2013 An Overview
ISO/IEC 27001:2013 An Overview ISO/IEC 27001:2013 An Overview
ISO/IEC 27001:2013 An Overview Ahmed Riad .
 
Andreas Gabriel: IT-Sicherheit als hemmender Faktor für E-Learning?
Andreas Gabriel: IT-Sicherheit als hemmender Faktor für E-Learning?Andreas Gabriel: IT-Sicherheit als hemmender Faktor für E-Learning?
Andreas Gabriel: IT-Sicherheit als hemmender Faktor für E-Learning?lernet
 
Was beinhaltet der Begriff IT-Sicherheit? / What is the content of the topic ...
Was beinhaltet der Begriff IT-Sicherheit? / What is the content of the topic ...Was beinhaltet der Begriff IT-Sicherheit? / What is the content of the topic ...
Was beinhaltet der Begriff IT-Sicherheit? / What is the content of the topic ...Holliday Consulting
 
SPSD 2015 - "Von OneDrive for Business zur Enterprise Collaboration Architektur"
SPSD 2015 - "Von OneDrive for Business zur Enterprise Collaboration Architektur"SPSD 2015 - "Von OneDrive for Business zur Enterprise Collaboration Architektur"
SPSD 2015 - "Von OneDrive for Business zur Enterprise Collaboration Architektur"Communardo GmbH
 
Kryptographie – Einführung und Anwendungsmöglichkeiten
Kryptographie – Einführung und AnwendungsmöglichkeitenKryptographie – Einführung und Anwendungsmöglichkeiten
Kryptographie – Einführung und AnwendungsmöglichkeitenDigicomp Academy AG
 
Презентация компании Chiffry "Шифрованная телефония"
Презентация компании Chiffry "Шифрованная телефония"Презентация компании Chiffry "Шифрованная телефония"
Презентация компании Chiffry "Шифрованная телефония"journalrubezh
 
My Cypher 1.1
My Cypher 1.1My Cypher 1.1
My Cypher 1.1stefan_schweizer
 
Vertraulichkeit E-Postbrief
Vertraulichkeit E-PostbriefVertraulichkeit E-Postbrief
Vertraulichkeit E-PostbriefE-Postbrief
 
ORR 2010: E-Mail-Verschlüsselung mit GPG
ORR 2010: E-Mail-Verschlüsselung mit GPGORR 2010: E-Mail-Verschlüsselung mit GPG
ORR 2010: E-Mail-Verschlüsselung mit GPGBirgit Hüsken
 

Contenu connexe

En vedette

Precentacion de nuestro gran proyecto Nuestro gran proyecto
Precentacion de nuestro gran proyecto Nuestro gran proyectoPrecentacion de nuestro gran proyecto Nuestro gran proyecto
Precentacion de nuestro gran proyecto Nuestro gran proyectoEli Torres Ü
 
Open layers pt_br
Open layers pt_brOpen layers pt_br
Open layers pt_brMarcos Rosa
 
Neue Medien und Formate für mehr Anwendererfolg
Neue Medien und Formate für mehr AnwendererfolgNeue Medien und Formate für mehr Anwendererfolg
Neue Medien und Formate für mehr AnwendererfolgTANNER AG
 
Educar en la responsabilidad y autonomía
Educar en la responsabilidad y autonomíaEducar en la responsabilidad y autonomía
Educar en la responsabilidad y autonomíaUnzizu Martínez
 
Metryx Mass Metrology For Tsv (Icep2009)
Metryx Mass Metrology For Tsv (Icep2009)Metryx Mass Metrology For Tsv (Icep2009)
Metryx Mass Metrology For Tsv (Icep2009)Stehen Griffing
 
Seopro (2013) refuerzo del seo con campañas de email marketing
Seopro (2013) refuerzo del seo con campañas de email marketingSeopro (2013) refuerzo del seo con campañas de email marketing
Seopro (2013) refuerzo del seo con campañas de email marketingPablo Baselice
 
EN 6.3: 2 IT-Compliance und IT-Sicherheitsmanagement
EN 6.3: 2 IT-Compliance und IT-SicherheitsmanagementEN 6.3: 2 IT-Compliance und IT-Sicherheitsmanagement
EN 6.3: 2 IT-Compliance und IT-SicherheitsmanagementSven Wohlgemuth
 
ISO 27001:2013 Implementation procedure
ISO 27001:2013 Implementation procedureISO 27001:2013 Implementation procedure
ISO 27001:2013 Implementation procedureUppala Anand
 
ISO/IEC 27001:2013 An Overview
ISO/IEC 27001:2013 An Overview ISO/IEC 27001:2013 An Overview
ISO/IEC 27001:2013 An Overview Ahmed Riad .
 
Andreas Gabriel: IT-Sicherheit als hemmender Faktor für E-Learning?
Andreas Gabriel: IT-Sicherheit als hemmender Faktor für E-Learning?Andreas Gabriel: IT-Sicherheit als hemmender Faktor für E-Learning?
Andreas Gabriel: IT-Sicherheit als hemmender Faktor für E-Learning?lernet
 
Was beinhaltet der Begriff IT-Sicherheit? / What is the content of the topic ...
Was beinhaltet der Begriff IT-Sicherheit? / What is the content of the topic ...Was beinhaltet der Begriff IT-Sicherheit? / What is the content of the topic ...
Was beinhaltet der Begriff IT-Sicherheit? / What is the content of the topic ...Holliday Consulting
 
SPSD 2015 - "Von OneDrive for Business zur Enterprise Collaboration Architektur"
SPSD 2015 - "Von OneDrive for Business zur Enterprise Collaboration Architektur"SPSD 2015 - "Von OneDrive for Business zur Enterprise Collaboration Architektur"
SPSD 2015 - "Von OneDrive for Business zur Enterprise Collaboration Architektur"Communardo GmbH
 

En vedette (17)

BonDia Lleida 19122011
BonDia Lleida 19122011BonDia Lleida 19122011
BonDia Lleida 19122011
 
Precentacion de nuestro gran proyecto Nuestro gran proyecto
Precentacion de nuestro gran proyecto Nuestro gran proyectoPrecentacion de nuestro gran proyecto Nuestro gran proyecto
Precentacion de nuestro gran proyecto Nuestro gran proyecto
 
Open layers pt_br
Open layers pt_brOpen layers pt_br
Open layers pt_br
 
Mcollective introduction
Mcollective introductionMcollective introduction
Mcollective introduction
 
Medicina 2.0
Medicina 2.0Medicina 2.0
Medicina 2.0
 
Neue Medien und Formate für mehr Anwendererfolg
Neue Medien und Formate für mehr AnwendererfolgNeue Medien und Formate für mehr Anwendererfolg
Neue Medien und Formate für mehr Anwendererfolg
 
Educar en la responsabilidad y autonomía
Educar en la responsabilidad y autonomíaEducar en la responsabilidad y autonomía
Educar en la responsabilidad y autonomía
 
Metryx Mass Metrology For Tsv (Icep2009)
Metryx Mass Metrology For Tsv (Icep2009)Metryx Mass Metrology For Tsv (Icep2009)
Metryx Mass Metrology For Tsv (Icep2009)
 
Offering Cloud Solutions
Offering Cloud Solutions Offering Cloud Solutions
Offering Cloud Solutions
 
Seopro (2013) refuerzo del seo con campañas de email marketing
Seopro (2013) refuerzo del seo con campañas de email marketingSeopro (2013) refuerzo del seo con campañas de email marketing
Seopro (2013) refuerzo del seo con campañas de email marketing
 
Welcome to the Tokyo 2020 Olympics English Task Force Group
Welcome to the Tokyo 2020 Olympics English Task Force GroupWelcome to the Tokyo 2020 Olympics English Task Force Group
Welcome to the Tokyo 2020 Olympics English Task Force Group
 
EN 6.3: 2 IT-Compliance und IT-Sicherheitsmanagement
EN 6.3: 2 IT-Compliance und IT-SicherheitsmanagementEN 6.3: 2 IT-Compliance und IT-Sicherheitsmanagement
EN 6.3: 2 IT-Compliance und IT-Sicherheitsmanagement
 
ISO 27001:2013 Implementation procedure
ISO 27001:2013 Implementation procedureISO 27001:2013 Implementation procedure
ISO 27001:2013 Implementation procedure
 
ISO/IEC 27001:2013 An Overview
ISO/IEC 27001:2013 An Overview ISO/IEC 27001:2013 An Overview
ISO/IEC 27001:2013 An Overview
 
Andreas Gabriel: IT-Sicherheit als hemmender Faktor für E-Learning?
Andreas Gabriel: IT-Sicherheit als hemmender Faktor für E-Learning?Andreas Gabriel: IT-Sicherheit als hemmender Faktor für E-Learning?
Andreas Gabriel: IT-Sicherheit als hemmender Faktor für E-Learning?
 
Was beinhaltet der Begriff IT-Sicherheit? / What is the content of the topic ...
Was beinhaltet der Begriff IT-Sicherheit? / What is the content of the topic ...Was beinhaltet der Begriff IT-Sicherheit? / What is the content of the topic ...
Was beinhaltet der Begriff IT-Sicherheit? / What is the content of the topic ...
 
SPSD 2015 - "Von OneDrive for Business zur Enterprise Collaboration Architektur"
SPSD 2015 - "Von OneDrive for Business zur Enterprise Collaboration Architektur"SPSD 2015 - "Von OneDrive for Business zur Enterprise Collaboration Architektur"
SPSD 2015 - "Von OneDrive for Business zur Enterprise Collaboration Architektur"
 

Similaire à E-Mail-Sicherheit

Kryptographie – Einführung und Anwendungsmöglichkeiten
Kryptographie – Einführung und AnwendungsmöglichkeitenKryptographie – Einführung und Anwendungsmöglichkeiten
Kryptographie – Einführung und AnwendungsmöglichkeitenDigicomp Academy AG
 
Презентация компании Chiffry "Шифрованная телефония"
Презентация компании Chiffry "Шифрованная телефония"Презентация компании Chiffry "Шифрованная телефония"
Презентация компании Chiffry "Шифрованная телефония"journalrubezh
 
Vertraulichkeit E-Postbrief
Vertraulichkeit E-PostbriefVertraulichkeit E-Postbrief
Vertraulichkeit E-PostbriefE-Postbrief
 
ORR 2010: E-Mail-Verschlüsselung mit GPG
ORR 2010: E-Mail-Verschlüsselung mit GPGORR 2010: E-Mail-Verschlüsselung mit GPG
ORR 2010: E-Mail-Verschlüsselung mit GPGBirgit Hüsken
 
E-Mail-Signaturen und -Verschlüsselung
E-Mail-Signaturen und -VerschlüsselungE-Mail-Signaturen und -Verschlüsselung
E-Mail-Signaturen und -VerschlüsselungJörg Meier
 
Maic Beher – IT-Tage 2015 – MS SQL Server – Security und Verschlüsselungsmech...
Maic Beher – IT-Tage 2015 – MS SQL Server – Security und Verschlüsselungsmech...Maic Beher – IT-Tage 2015 – MS SQL Server – Security und Verschlüsselungsmech...
Maic Beher – IT-Tage 2015 – MS SQL Server – Security und Verschlüsselungsmech...Informatik Aktuell
 
Leitfaden fuer-smime-e-mail-zertifikate
Leitfaden fuer-smime-e-mail-zertifikateLeitfaden fuer-smime-e-mail-zertifikate
Leitfaden fuer-smime-e-mail-zertifikateJeffrey Keiser
 
Secure Emailing and its Pitfalls - Systemic Enhancements Are Required!
Secure Emailing and its Pitfalls - Systemic Enhancements Are Required!Secure Emailing and its Pitfalls - Systemic Enhancements Are Required!
Secure Emailing and its Pitfalls - Systemic Enhancements Are Required!Holliday Consulting
 
Cryptoparty - Hansjörg Schmidt
Cryptoparty - Hansjörg SchmidtCryptoparty - Hansjörg Schmidt
Cryptoparty - Hansjörg Schmidtspd-buxtehude
 
Kryptographie für Domino-Administratoren - Verstehen und verwenden!
Kryptographie für Domino-Administratoren - Verstehen und verwenden!Kryptographie für Domino-Administratoren - Verstehen und verwenden!
Kryptographie für Domino-Administratoren - Verstehen und verwenden!Thomas Bahn
 
Informationssicherheitsmanagment
InformationssicherheitsmanagmentInformationssicherheitsmanagment
InformationssicherheitsmanagmentClaus Brell
 
Warum verschlüsseln? Dein Leben - Deine Daten - Deine Freiheit
Warum verschlüsseln? Dein Leben - Deine Daten - Deine FreiheitWarum verschlüsseln? Dein Leben - Deine Daten - Deine Freiheit
Warum verschlüsseln? Dein Leben - Deine Daten - Deine FreiheitArian Kriesch
 
Schlüsselverwaltung - Objektorientierter Entwurf und Implementierung
Schlüsselverwaltung - Objektorientierter Entwurf und ImplementierungSchlüsselverwaltung - Objektorientierter Entwurf und Implementierung
Schlüsselverwaltung - Objektorientierter Entwurf und ImplementierungSven Wohlgemuth
 
Cryptware pm-bit locker-2018-04-26
Cryptware pm-bit locker-2018-04-26Cryptware pm-bit locker-2018-04-26
Cryptware pm-bit locker-2018-04-26faltmannPR
 
Zertificon Z1 SecureMail Gateway - Virtuelle Poststelle
Zertificon Z1 SecureMail Gateway - Virtuelle PoststelleZertificon Z1 SecureMail Gateway - Virtuelle Poststelle
Zertificon Z1 SecureMail Gateway - Virtuelle Poststellepswgroup
 
Verschluesselung E-Postbrief
Verschluesselung E-PostbriefVerschluesselung E-Postbrief
Verschluesselung E-PostbriefE-Postbrief
 

Similaire à E-Mail-Sicherheit (20)

Kryptographie – Einführung und Anwendungsmöglichkeiten
Kryptographie – Einführung und AnwendungsmöglichkeitenKryptographie – Einführung und Anwendungsmöglichkeiten
Kryptographie – Einführung und Anwendungsmöglichkeiten
 
Презентация компании Chiffry "Шифрованная телефония"
Презентация компании Chiffry "Шифрованная телефония"Презентация компании Chiffry "Шифрованная телефония"
Презентация компании Chiffry "Шифрованная телефония"
 
My Cypher 1.1
My Cypher 1.1My Cypher 1.1
My Cypher 1.1
 
Vertraulichkeit E-Postbrief
Vertraulichkeit E-PostbriefVertraulichkeit E-Postbrief
Vertraulichkeit E-Postbrief
 
ORR 2010: E-Mail-Verschlüsselung mit GPG
ORR 2010: E-Mail-Verschlüsselung mit GPGORR 2010: E-Mail-Verschlüsselung mit GPG
ORR 2010: E-Mail-Verschlüsselung mit GPG
 
E-Mail-Signaturen und -Verschlüsselung
E-Mail-Signaturen und -VerschlüsselungE-Mail-Signaturen und -Verschlüsselung
E-Mail-Signaturen und -Verschlüsselung
 
GPG Workshop
GPG WorkshopGPG Workshop
GPG Workshop
 
Maic Beher – IT-Tage 2015 – MS SQL Server – Security und Verschlüsselungsmech...
Maic Beher – IT-Tage 2015 – MS SQL Server – Security und Verschlüsselungsmech...Maic Beher – IT-Tage 2015 – MS SQL Server – Security und Verschlüsselungsmech...
Maic Beher – IT-Tage 2015 – MS SQL Server – Security und Verschlüsselungsmech...
 
Leitfaden fuer-smime-e-mail-zertifikate
Leitfaden fuer-smime-e-mail-zertifikateLeitfaden fuer-smime-e-mail-zertifikate
Leitfaden fuer-smime-e-mail-zertifikate
 
Secure Emailing and its Pitfalls - Systemic Enhancements Are Required!
Secure Emailing and its Pitfalls - Systemic Enhancements Are Required!Secure Emailing and its Pitfalls - Systemic Enhancements Are Required!
Secure Emailing and its Pitfalls - Systemic Enhancements Are Required!
 
Cryptoparty - Hansjörg Schmidt
Cryptoparty - Hansjörg SchmidtCryptoparty - Hansjörg Schmidt
Cryptoparty - Hansjörg Schmidt
 
Kryptographie für Domino-Administratoren - Verstehen und verwenden!
Kryptographie für Domino-Administratoren - Verstehen und verwenden!Kryptographie für Domino-Administratoren - Verstehen und verwenden!
Kryptographie für Domino-Administratoren - Verstehen und verwenden!
 
Informationssicherheitsmanagment
InformationssicherheitsmanagmentInformationssicherheitsmanagment
Informationssicherheitsmanagment
 
Warum verschlüsseln? Dein Leben - Deine Daten - Deine Freiheit
Warum verschlüsseln? Dein Leben - Deine Daten - Deine FreiheitWarum verschlüsseln? Dein Leben - Deine Daten - Deine Freiheit
Warum verschlüsseln? Dein Leben - Deine Daten - Deine Freiheit
 
Datenverschlüsselung in der Praxis
Datenverschlüsselung in der PraxisDatenverschlüsselung in der Praxis
Datenverschlüsselung in der Praxis
 
Schlüsselverwaltung - Objektorientierter Entwurf und Implementierung
Schlüsselverwaltung - Objektorientierter Entwurf und ImplementierungSchlüsselverwaltung - Objektorientierter Entwurf und Implementierung
Schlüsselverwaltung - Objektorientierter Entwurf und Implementierung
 
Cryptware pm-bit locker-2018-04-26
Cryptware pm-bit locker-2018-04-26Cryptware pm-bit locker-2018-04-26
Cryptware pm-bit locker-2018-04-26
 
Zertificon Z1 SecureMail Gateway - Virtuelle Poststelle
Zertificon Z1 SecureMail Gateway - Virtuelle PoststelleZertificon Z1 SecureMail Gateway - Virtuelle Poststelle
Zertificon Z1 SecureMail Gateway - Virtuelle Poststelle
 
PGP/GPG Einführung
PGP/GPG EinführungPGP/GPG Einführung
PGP/GPG Einführung
 
Verschluesselung E-Postbrief
Verschluesselung E-PostbriefVerschluesselung E-Postbrief
Verschluesselung E-Postbrief
 

Plus de Digicomp Academy AG

Becoming Agile von Christian Botta – Personal Swiss Vortrag 2019
Becoming Agile von Christian Botta – Personal Swiss Vortrag 2019Becoming Agile von Christian Botta – Personal Swiss Vortrag 2019
Becoming Agile von Christian Botta – Personal Swiss Vortrag 2019Digicomp Academy AG
 
Swiss IPv6 Council – Case Study - Deployment von IPv6 in einer Container Plat...
Swiss IPv6 Council – Case Study - Deployment von IPv6 in einer Container Plat...Swiss IPv6 Council – Case Study - Deployment von IPv6 in einer Container Plat...
Swiss IPv6 Council – Case Study - Deployment von IPv6 in einer Container Plat...Digicomp Academy AG
 
Innovation durch kollaboration gennex 2018
Innovation durch kollaboration gennex 2018Innovation durch kollaboration gennex 2018
Innovation durch kollaboration gennex 2018Digicomp Academy AG
 
Roger basler meetup_digitale-geschaeftsmodelle-entwickeln_handout
Roger basler meetup_digitale-geschaeftsmodelle-entwickeln_handoutRoger basler meetup_digitale-geschaeftsmodelle-entwickeln_handout
Roger basler meetup_digitale-geschaeftsmodelle-entwickeln_handoutDigicomp Academy AG
 
Roger basler meetup_21082018_work-smarter-not-harder_handout
Roger basler meetup_21082018_work-smarter-not-harder_handoutRoger basler meetup_21082018_work-smarter-not-harder_handout
Roger basler meetup_21082018_work-smarter-not-harder_handoutDigicomp Academy AG
 
Xing expertendialog zu nudge unit x
Xing expertendialog zu nudge unit xXing expertendialog zu nudge unit x
Xing expertendialog zu nudge unit xDigicomp Academy AG
 
Responsive Organisation auf Basis der Holacracy – nur ein Hype oder die Zukunft?
Responsive Organisation auf Basis der Holacracy – nur ein Hype oder die Zukunft?Responsive Organisation auf Basis der Holacracy – nur ein Hype oder die Zukunft?
Responsive Organisation auf Basis der Holacracy – nur ein Hype oder die Zukunft?Digicomp Academy AG
 
IPv6 Security Talk mit Joe Klein
IPv6 Security Talk mit Joe KleinIPv6 Security Talk mit Joe Klein
IPv6 Security Talk mit Joe KleinDigicomp Academy AG
 
Agiles Management - Wie geht das?
Agiles Management - Wie geht das?Agiles Management - Wie geht das?
Agiles Management - Wie geht das?Digicomp Academy AG
 
Gewinnen Sie Menschen und Ziele - Referat von Andi Odermatt
Gewinnen Sie Menschen und Ziele - Referat von Andi OdermattGewinnen Sie Menschen und Ziele - Referat von Andi Odermatt
Gewinnen Sie Menschen und Ziele - Referat von Andi OdermattDigicomp Academy AG
 
Querdenken mit Kreativitätsmethoden – XING Expertendialog
Querdenken mit Kreativitätsmethoden – XING ExpertendialogQuerdenken mit Kreativitätsmethoden – XING Expertendialog
Querdenken mit Kreativitätsmethoden – XING ExpertendialogDigicomp Academy AG
 
Xing LearningZ: Digitale Geschäftsmodelle entwickeln
Xing LearningZ: Digitale Geschäftsmodelle entwickelnXing LearningZ: Digitale Geschäftsmodelle entwickeln
Xing LearningZ: Digitale Geschäftsmodelle entwickelnDigicomp Academy AG
 
Swiss IPv6 Council: The Cisco-Journey to an IPv6-only Building
Swiss IPv6 Council: The Cisco-Journey to an IPv6-only BuildingSwiss IPv6 Council: The Cisco-Journey to an IPv6-only Building
Swiss IPv6 Council: The Cisco-Journey to an IPv6-only BuildingDigicomp Academy AG
 
UX – Schlüssel zum Erfolg im Digital Business
UX – Schlüssel zum Erfolg im Digital BusinessUX – Schlüssel zum Erfolg im Digital Business
UX – Schlüssel zum Erfolg im Digital BusinessDigicomp Academy AG
 
Die IPv6 Journey der ETH Zürich
Die IPv6 Journey der ETH Zürich Die IPv6 Journey der ETH Zürich
Die IPv6 Journey der ETH Zürich Digicomp Academy AG
 
Xing LearningZ: Die 10 + 1 Trends im (E-)Commerce
Xing LearningZ: Die 10 + 1 Trends im (E-)CommerceXing LearningZ: Die 10 + 1 Trends im (E-)Commerce
Xing LearningZ: Die 10 + 1 Trends im (E-)CommerceDigicomp Academy AG
 
Zahlen Battle: klassische werbung vs.online-werbung-somexcloud
Zahlen Battle: klassische werbung vs.online-werbung-somexcloudZahlen Battle: klassische werbung vs.online-werbung-somexcloud
Zahlen Battle: klassische werbung vs.online-werbung-somexcloudDigicomp Academy AG
 
General data protection regulation-slides
General data protection regulation-slidesGeneral data protection regulation-slides
General data protection regulation-slidesDigicomp Academy AG
 

Plus de Digicomp Academy AG (20)

Becoming Agile von Christian Botta – Personal Swiss Vortrag 2019
Becoming Agile von Christian Botta – Personal Swiss Vortrag 2019Becoming Agile von Christian Botta – Personal Swiss Vortrag 2019
Becoming Agile von Christian Botta – Personal Swiss Vortrag 2019
 
Swiss IPv6 Council – Case Study - Deployment von IPv6 in einer Container Plat...
Swiss IPv6 Council – Case Study - Deployment von IPv6 in einer Container Plat...Swiss IPv6 Council – Case Study - Deployment von IPv6 in einer Container Plat...
Swiss IPv6 Council – Case Study - Deployment von IPv6 in einer Container Plat...
 
Innovation durch kollaboration gennex 2018
Innovation durch kollaboration gennex 2018Innovation durch kollaboration gennex 2018
Innovation durch kollaboration gennex 2018
 
Roger basler meetup_digitale-geschaeftsmodelle-entwickeln_handout
Roger basler meetup_digitale-geschaeftsmodelle-entwickeln_handoutRoger basler meetup_digitale-geschaeftsmodelle-entwickeln_handout
Roger basler meetup_digitale-geschaeftsmodelle-entwickeln_handout
 
Roger basler meetup_21082018_work-smarter-not-harder_handout
Roger basler meetup_21082018_work-smarter-not-harder_handoutRoger basler meetup_21082018_work-smarter-not-harder_handout
Roger basler meetup_21082018_work-smarter-not-harder_handout
 
Xing expertendialog zu nudge unit x
Xing expertendialog zu nudge unit xXing expertendialog zu nudge unit x
Xing expertendialog zu nudge unit x
 
Responsive Organisation auf Basis der Holacracy – nur ein Hype oder die Zukunft?
Responsive Organisation auf Basis der Holacracy – nur ein Hype oder die Zukunft?Responsive Organisation auf Basis der Holacracy – nur ein Hype oder die Zukunft?
Responsive Organisation auf Basis der Holacracy – nur ein Hype oder die Zukunft?
 
IPv6 Security Talk mit Joe Klein
IPv6 Security Talk mit Joe KleinIPv6 Security Talk mit Joe Klein
IPv6 Security Talk mit Joe Klein
 
Agiles Management - Wie geht das?
Agiles Management - Wie geht das?Agiles Management - Wie geht das?
Agiles Management - Wie geht das?
 
Gewinnen Sie Menschen und Ziele - Referat von Andi Odermatt
Gewinnen Sie Menschen und Ziele - Referat von Andi OdermattGewinnen Sie Menschen und Ziele - Referat von Andi Odermatt
Gewinnen Sie Menschen und Ziele - Referat von Andi Odermatt
 
Querdenken mit Kreativitätsmethoden – XING Expertendialog
Querdenken mit Kreativitätsmethoden – XING ExpertendialogQuerdenken mit Kreativitätsmethoden – XING Expertendialog
Querdenken mit Kreativitätsmethoden – XING Expertendialog
 
Xing LearningZ: Digitale Geschäftsmodelle entwickeln
Xing LearningZ: Digitale Geschäftsmodelle entwickelnXing LearningZ: Digitale Geschäftsmodelle entwickeln
Xing LearningZ: Digitale Geschäftsmodelle entwickeln
 
Swiss IPv6 Council: The Cisco-Journey to an IPv6-only Building
Swiss IPv6 Council: The Cisco-Journey to an IPv6-only BuildingSwiss IPv6 Council: The Cisco-Journey to an IPv6-only Building
Swiss IPv6 Council: The Cisco-Journey to an IPv6-only Building
 
UX – Schlüssel zum Erfolg im Digital Business
UX – Schlüssel zum Erfolg im Digital BusinessUX – Schlüssel zum Erfolg im Digital Business
UX – Schlüssel zum Erfolg im Digital Business
 
Minenfeld IPv6
Minenfeld IPv6Minenfeld IPv6
Minenfeld IPv6
 
Was ist design thinking
Was ist design thinkingWas ist design thinking
Was ist design thinking
 
Die IPv6 Journey der ETH Zürich
Die IPv6 Journey der ETH Zürich Die IPv6 Journey der ETH Zürich
Die IPv6 Journey der ETH Zürich
 
Xing LearningZ: Die 10 + 1 Trends im (E-)Commerce
Xing LearningZ: Die 10 + 1 Trends im (E-)CommerceXing LearningZ: Die 10 + 1 Trends im (E-)Commerce
Xing LearningZ: Die 10 + 1 Trends im (E-)Commerce
 
Zahlen Battle: klassische werbung vs.online-werbung-somexcloud
Zahlen Battle: klassische werbung vs.online-werbung-somexcloudZahlen Battle: klassische werbung vs.online-werbung-somexcloud
Zahlen Battle: klassische werbung vs.online-werbung-somexcloud
 
General data protection regulation-slides
General data protection regulation-slidesGeneral data protection regulation-slides
General data protection regulation-slides
 

E-Mail-Sicherheit

  • 1. Digicomp Hacking Day 2014 E-Mail Sicherheit 11. Juni 2014 GO OUT Production GmbH, Schulstrasse 11, 8542 Wiesendangen, www.goSecurity.ch 1 Wissen Sie, wie es um Ihre IT-Sicherheit steht? Sichere E-Mail-Kommunikation Andreas Wisler GO OUT Production GmbH Dipl. Ing FH, CISSP, CISA, ISO 27001 Lead Auditor www.goSecurity.ch / wisler@goout.ch
  • 2. Digicomp Hacking Day 2014 E-Mail Sicherheit 11. Juni 2014 GO OUT Production GmbH, Schulstrasse 11, 8542 Wiesendangen, www.goSecurity.ch 2 Bedrohungen • Abhören von Nachrichten oder Einsicht in Nachrichten. Personen nehmen Einblick in Informationen oder Nachrichten, obwohl dies vom Verfasser der Nachricht oder der Information unerwünscht oder ungewollt ist. • Löschen (Delete) von Nachrichten oder Teile davon. Informationen, welche aufbewahrt oder gesandt werden sollen, werden vom Verfasser der Nachricht ungewollt oder von einem unberechtigten Dritten vorsätzlich gelöscht. Bedrohungen • Verändern von Nachrichten. Hier wird eine Nachricht soweit verändert, dass der Sinn oder Zweck der ursprünglichen Nachricht nicht mehr mit der veränderten übereinstimmt. • Bestreiten des Versands von Nachrichten (Non Repudiation of origin). Hier wird vom Absender einer Nachricht bestritten, dieNachricht versandt zu haben. ABC ABD ABC? ABC ABC Nein!
  • 3. Digicomp Hacking Day 2014 E-Mail Sicherheit 11. Juni 2014 GO OUT Production GmbH, Schulstrasse 11, 8542 Wiesendangen, www.goSecurity.ch 3 Bedrohungen • Bestreiten des Empfangs von Nachrichten (Non Repudiation of receipt). Hier wird vom Empfänger einer Nachricht bestritten, die Nachricht erhalten zu haben. (Rechts) • Einspeisen von Nachrichten (Insertion). Hier werden von einer Person Nachrichten in die Kommunikation zweier oder mehrerer Teilnehmer eingefügt, welches von diesen Teilnehmern nicht erwünscht oder gewollt ist. ABC ABCDEF DEF Bedrohungen • Wiederholen von Nachrichten (Reply). Bei diesem Angriff werden von einer Person bereits versandte Nachrichten noch einmal in die Kommunikation eingespiesen. Doch dies ist den Kommunikationsteilnehmer unerwünscht. • Vortäuschen einer anderen Identität (Masquerade). Eine Person gibt sich als eine andere Person aus, um eine andere Person in die Irre zu führen. Alice Bob Carl Ich bin Alice
  • 4. Digicomp Hacking Day 2014 E-Mail Sicherheit 11. Juni 2014 GO OUT Production GmbH, Schulstrasse 11, 8542 Wiesendangen, www.goSecurity.ch 4 Ziel der Kryptographie • Gewährleistung von – Integrität – Vertraulichkeit – Authentizität – Verbindlichkeit Begriffe der Kryptographie Plaintext Ciphertext
  • 5. Digicomp Hacking Day 2014 E-Mail Sicherheit 11. Juni 2014 GO OUT Production GmbH, Schulstrasse 11, 8542 Wiesendangen, www.goSecurity.ch 5 Begriffe der Kryptographie – Plaintext Daten die von jedermann gelesen und verstanden werden können – Encryption verschlüsseln – Ciphertext Darin ist die Botschaft vom „plaintext“ verschlüsselt enthalten. Der Inhalt der Botschaft ist nicht ersichtlich, auch nicht für diejenigen, welche den „ciphertext“ sehen können. – Decryption Entschlüsseln - Wiederherstellen des Zustandes vor der Verschlüsselung – Algorithmus Ein Set von Regeln, welche ver- & entschlüsseln Symmetrische Verschlüsselung • ein einziger Schlüssel für die Ver- und Entschlüsselung • sehr schnell • Oft für lokale Verschlüsselung verwendet (Bitlocker, TrueCrypt, KeePass, etc.) • problematische Schlüsselverteilung (darf nicht über den gleichen Weg erfolgen) Sender Empfänger
  • 6. Digicomp Hacking Day 2014 E-Mail Sicherheit 11. Juni 2014 GO OUT Production GmbH, Schulstrasse 11, 8542 Wiesendangen, www.goSecurity.ch 6 Asymmetrische Verschlüsselung • Public Key Verschlüsselung – zur Verschlüsselung wird ein Schlüsselpaar verwendet – mit dem öffentlichen Schlüssel werden die Daten verschlüsselt mit dem privaten Schlüssel entschlüsselt – der öffentliche Schlüssel ist allen bekannt, der private Schlüssel dagegen bleibt geheim Verschlüsselung • Die Nachricht von Alice an Bob wird verschlüsselt über-tragen, indem die Nachricht zuerst mit dem öffentlichen Schlüssel (Public Key) verschlüsselt wird. Das Prinzip der PKI liegt darin, dass die Nachricht nur noch mit dem privaten Schlüssel (Private Key) entschlüsselt werden kann.
  • 7. Digicomp Hacking Day 2014 E-Mail Sicherheit 11. Juni 2014 GO OUT Production GmbH, Schulstrasse 11, 8542 Wiesendangen, www.goSecurity.ch 7 Signierung • Alice signiert die Nachricht mit dem eigenen privaten Schlüssel (Private Key) und schickt die Nachricht in Klartext an Bob. Somit ist sie für alle Stellen dazwischen lesbar. Mit dem öffentlichen Schlüssel von Alice (Public Key) kann Bob nun die Echtheit der Nachricht kontrollieren. Sichere E-Mail
  • 8. Digicomp Hacking Day 2014 E-Mail Sicherheit 11. Juni 2014 GO OUT Production GmbH, Schulstrasse 11, 8542 Wiesendangen, www.goSecurity.ch 8 S/MIME Secure Mail Extensions • S/MIME steht für Secure/Multipurpose Internet Mail Extension und bezeichnet ein Protokoll, welches die sichere Übertragung von MIME-Daten gewährleistet • S/MIME garantiert dabei Vertraulichkeit und Integrität der Daten sowie die Authentifizierung des Kommuni- kationspartners • Ein wesentlicher Vorteil dieses Protokolls ist, dass es völlig im Hintergrund und ohne Eingreifen des Benutzers arbeiten kann Vertrauenshierarchie Verisign Eigensignierung Amazon Verisign Alice Bob Amazon Amazon Thawte Eigensignierung Carol Thawte Klient- zertifikate Vertrauensstellung Root CA Intermediate CA
  • 9. Digicomp Hacking Day 2014 E-Mail Sicherheit 11. Juni 2014 GO OUT Production GmbH, Schulstrasse 11, 8542 Wiesendangen, www.goSecurity.ch 9 Struktur X.509 Zertifikat • Verschlüsselte E-Mail • E-Mail Optionen
  • 10. Digicomp Hacking Day 2014 E-Mail Sicherheit 11. Juni 2014 GO OUT Production GmbH, Schulstrasse 11, 8542 Wiesendangen, www.goSecurity.ch 10 Zertifikat Extras – Internetoptionen… – Inhalte – Zertifikate… Zertifikat
  • 11. Digicomp Hacking Day 2014 E-Mail Sicherheit 11. Juni 2014 GO OUT Production GmbH, Schulstrasse 11, 8542 Wiesendangen, www.goSecurity.ch 11 Zertifikat • bestehend aus – Öffentlicher Schlüssel – Name des Antragstellers – Name der Ausgabestelle – Signatur des Zertifikates mit privatem Schlüssel der CA – Gültigkeit von / bis – Version X509 – Seriennummer – Signaturalgorithmus der CA Gesetzliche Situation • Seit 1. Januar 2005 werden elektronische Signaturen der handschriftliche Unterschriften gleichgestellt.  Bundesgesetz über die elektronische Signatur • definiert die Bedingungen, unter denen Anbieterinnen von Zertifizierungsdiensten auf freiwilliger Basis anerkannt werden können, und regelt ihre Tätigkeiten im Bereich der elektronischen Zertifikate. Es legt zudem die Voraussetzungen fest, die eine elektronische Signatur erfüllen muss, um die gleichen Wirkungen wie eine handschriftliche Unterschrift erzielen zu können. • Die neuen gesetzlichen Bestimmungen sind mit der geltenden Regelung der EU kompatibel. • Informationen: www.admin.ch/ch/d/ff/2003/8221.pdf
  • 12. Digicomp Hacking Day 2014 E-Mail Sicherheit 11. Juni 2014 GO OUT Production GmbH, Schulstrasse 11, 8542 Wiesendangen, www.goSecurity.ch 12 SuisseID • Die SuisseID ist ein standardisierter elektronischer Identitätsnachweis. • Das SuisseID-System enthält drei Elemente: – Elektronischer Identitätsnachweis – Qualifizierte elektronische Signatur – Elektronischer Funktionsnachweis • Anbieter – QuoVadis / Trüb – Post (Swiss Sign) – Swisscom (Unternehmen) – BIT (Verwaltungen) PGP Entstehungsgeschichte • Verdienst von Phil Zimmermann – 1991: erste Freeware Version als Resultat eines Projektes • ohne finanzielle Unterstützung • ohne industrielle Unterstützung • als Ein-Personen Projekt – 1993-1996: Strafverfolgung von Phil Zimmermann • PGP benützt RSA and Merkle-Hellmann Technologie, beides Patentrechtlich geschützt. • Zusätzlich darf Verschlüsselungssoftware nicht aus den USA exportiert werden ohne die explizite Genehmigung vom State Department.
  • 13. Digicomp Hacking Day 2014 E-Mail Sicherheit 11. Juni 2014 GO OUT Production GmbH, Schulstrasse 11, 8542 Wiesendangen, www.goSecurity.ch 13 PGP • Plattformübergreifend • Weltweit verfügbar • Basiert auf Algorithmen, die den „Zeittest“ bestanden haben • viele Anwendungsformen (Benutzer bis Grossfirma) • Weder entwickelt noch kontrolliert durch – Staatliche Institutionen – Standardisierungsgremien Verschlüsselung passphrase H DC SelectIDA I I Key ID encrypted private key EP Private key KRa H Message M message EC signature + message RNG session key Ks EP I I Output Encrypted signature + message Public key ring selectIDB public key KRb Key ID Private key ring
  • 14. Digicomp Hacking Day 2014 E-Mail Sicherheit 11. Juni 2014 GO OUT Production GmbH, Schulstrasse 11, 8542 Wiesendangen, www.goSecurity.ch 14 Authentifikation 1. Der Sender erstellt die Nachricht. 2. Mit SHA-1 generiert er einen 160-bit langen Hash Code von der Nachricht. 3. Der Hash Code wird mit dem privaten RSA Schlüssel des Senders verschlüsselt und an die Nachricht angehängt. 4. Der Empfänger entschlüsselt den Hash Code mit dem Public RSA Schlüssel des Senders. 5. Der Empfänger berechnet den Hash Code vom Dokument und vergleicht ihn mit dem angehängten.. Verschlüsselung 1. Der Sender generiert die Nachricht und eine Zufallszahl von 128 Bit (=Session Key für diese Nachricht). 2. Die Nachricht wird mit dem Session Key verschlüsselt (Algorithmen: CAST-128, IDEA oder 3DES) 3. Der Session Key wird mit dem RSA Public Key vom Empfänger verschlüsselt und der verschlüsselten Nachricht vorgehängt. 4. Der Empfänger entschlüsselt den Session Key mit seinem privaten RSA Key. 5. Mit dem Session Key kann er die Nachricht entschlüsseln.
  • 15. Digicomp Hacking Day 2014 E-Mail Sicherheit 11. Juni 2014 GO OUT Production GmbH, Schulstrasse 11, 8542 Wiesendangen, www.goSecurity.ch 15 Entschlüsselung passphrase H DC encrypted private key Public key riag Private key ring DP private key KRb encrypted message + signature receiver s Key ID select Encrypted session ley DC Session key K message Sender s Key ID Encrypted digest H DP Compare select public key KUa Vgl. PGP & S/MIME • Zertifikate haben bei S/MIME eine wesentlich höhere Bedeutung als bei PGP, was auch der Hauptunterschied zwischen den beiden ist • Während PGP das Vertrauen in fremde Schlüssel dem Anwender überlässt („Web of Trust“) sind bei S/MIME Zertifikate nach dem X.509 Standard obligatorisch • Praktisch alle E-Mail Clients unterstützen den S/MIME-Standard
  • 16. Digicomp Hacking Day 2014 E-Mail Sicherheit 11. Juni 2014 GO OUT Production GmbH, Schulstrasse 11, 8542 Wiesendangen, www.goSecurity.ch 16 Vgl. PGP & S/MIME • Beide Standards unterscheiden sich in ihren Vetrauensmodellen und Datenformaten • S/MIME & PGP sind zueinander nicht kompatibel • Unternehmen streben eher S/MIME mit X.509 Zertifikaten an • Die unklaren Vertrauensbeziehungen von PGP werden des Öfteren als „risikoreich“ empfunden • Die PKI-Struktur auf der anderen Seite als sehr „unflexibel“. Das Schlüsselmanagement müssen „bezahlt“ werden • Vertrauenswürdigkeit ist nur mit org. & techn. Mitteln zu erzielen Fazit • E-Mail-Verschlüsselung ist problemlos möglich • Die Anwendung ist aber «komplex» • Das Schlüsselhandling ist die grosse Herausforderung • Nur wenn «alle» mitmachen, kann es sinnvoll genutzt werden
  • 17. Digicomp Hacking Day 2014 E-Mail Sicherheit 11. Juni 2014 GO OUT Production GmbH, Schulstrasse 11, 8542 Wiesendangen, www.goSecurity.ch 17 Mit uns wissen Sie, wie es um Ihre IT-Sicherheit steht! Th. Furrer S. Walser A. Zlateva N. Rasstrigina A. Wisler S. Müller E. Kauth C. Wehrli A. Kulhanek J. Kappeler Dienstleistungen …