Dreieich/Frankfurt, März 2016 – Wie lassen sich E-Mailverschlüsselung und verschlüsselte Telefonie in Unternehmen integrieren – wann und für wen ist dies überhaupt sinnvoll? Dies waren die Kernfragen der zweiten Business Cryptoparty in Frankfurt am Main. Giegerich & Partner, Lösungsanbieter für sichere IT-Netzwerke und Software in Unternehmen, sowie die QGroup, Spezialist im IT-Security-Umfeld, hatten zu der Veranstaltung eingeladen. Rund 30 IT-Verantwortliche aus ganz unterschiedlichen Branchen fanden sich in den Räumen der QGroup zusammen, beispielsweise aus Rechtsanwaltskanzleien, Finanzdienstleister, Wirtschaftsprüfer, Verwaltung und IT-Unternehmen. Viele der Teilnehmer gaben eingangs an, dass es Überlegungen gebe, demnächst Verschlüsselungstechnologien in ihren jeweiligen Unternehmen einzuführen.
In zwei Vorträgen ging es um die Möglichkeiten und Anforderungen beim Einsatz von E-Mail- und Telefonieverschlüsselung. Zudem äußerten die Teilnehmer Ihre Wünsche, Bedenken und Bedürfnisse im Hinblick auf den Einsatz der Technologien.
Kinderleichter Mitschnitt von VoIP-Telefonaten
Achim Dölker, IT-Forensiker und Pentester bei der QGroup, „schockte“ die Teilnehmer zunächst mit einem Live-Hack, in dem er mit einigen wenigen Scriptzeilen – die jedermann googeln kann – ein VoiP-Telefonat im Unternehmensnetzwerk mitschnitt. „Standard SIP-Telefonie ist nicht verschlüsselt. Auf jedem Knoten zwischen zwei Gesprächspartnern kann ein Telefonat mit einem einfachen TCP-Dump abgehört werden. Insbesondere WLAN-Hotspots ermöglichen im Grunde das Mithören für alle, die sich im Sendebereich befinden“, kommentierte Dölker die eindrucksvolle Demonstration. Zugleich wies er darauf hin, dass verschlüsselte Telefonie kein Allheilmittel ist, etwa wenn ein Telefonat ohnehin in der Öffentlichkeit geführt werde.
Lösungen für verschlüsselte Telefonie
Anschließend wurden einige Lösungen zum verschlüsselten mobilen Telefonieren vorgestellt. Darunter zum einen die Lösungen von Mobilfunkprovidern, die sich hauptsächlich an Großkunden wenden und eine neue Telefonnummer erfordern, sowie die App-Lösungen Qnective, Cellcrypt, Skype for Business und Adeya. Mit Adeya hat die QGroup eine gemeinsame Business-Lösung entwickelt. Vorteile von Adeya sind die automatische Provisionierung, d.h. die Einrichtung der Nutzerrechte, eine hohe Sicherheit durch RSA-Verschlüsselung mit 2048 bit, Secure-Chat und Secure-SMS sowie der Möglichkeit einer Benachrichtigung von Offline-Nutzern. Die Einrichtung erfolgt dabei für jeden Kunden mit einer eigenen Version der App, die sich die jeweiligen Gesprächspartner dann herunterladen können. Auf Teilnehmerseite herrschte ein großes Interesse an solchen Lösungen. Aufgrund mangelnder Erfahrung hatte jedoch bisher keines der Unternehmen eine Lösung eingesetzt.
Erfahrungen mit E-Mailverschlüsselung in Unternehmen
Den zweiten Vortrag eröffnete Hans-Joachim Giegerich, Geschäftsführer von Giegerich & Partner, mit einem kurzen Resümee zum Einsatz von E-Mailverschlüsselung in Unternehmen – und einer überraschenden Erkenntnis. „Ich habe im vergangenen Jahr mit vielen unserer Kunden über den tatsächlichen Einsatz unserer E-Mailverschlüsselungs-Lösung gpg4o gesprochen. Beim Schlüsselmanagement gibt es häufig erheblichen Nachholbedarf. Viele Unternehmen überlassen das Schlüsselmanagement sozusagen dem Anwender“, so Hans-Joachim Giegerich zum Status quo. Demnach sind die Schlüssel meist nur auf den jeweiligen Geräten und die Passphrasen nur dem Nutzer zugänglich. Was aber, wenn ein Anwender überraschend das Unternehmen verlässt oder erkrankt? In diesem Fall wären die verschlüsselten Daten nicht mehr zugänglich – mit möglicherweise erheblichen Schwierigkeiten oder gar Schäden für das entsprechende Unternehmen. Abhilfe schaffen hier intelligente Mechanismen zur Schlüsselverwaltung und -archivierung.
Vorüberlegungen für verschlüsselungsinteressierte Unternehmen
Der Vortrag widmete sich anschließend deswegen vor allem den Aspekten, um die sich Unternehmen im Vorfeld einer Verschlüsselungslösung widmen müssen. Dabei zunächst die Frage: Warum möchte ich eigentlich verschlüsseln? Geht es um die Wahrung von Geschäftsinteressen, also z.B. Forschungsergebnisse und Verträge, vertragliche oder gar gesetzliche Pflichten, Haftungsrisiken oder schlicht und einfach um die Reputation des Unternehmens?
An zweiter Stelle dann die eindeutige Aufforderung eine Verschlüsselungsrichtlinie zu konzipieren: Was wird wann und von wem verschlüsselt? Wie wird der Umgang mit Mailarchiven und CMS-Systemen organisiert? Macht es Sinn, die verschlagwortete Suche in verschlüsselten Mails zu ermöglichen? Die Antwort auf die letzte Frage war ein eindeutiges Nein, denn so würden wiederum Angriffsszenarien ermöglicht, da Hacker dann genau wissen, welche Mail zu entschlüsseln sei.
Grundsätzlich können Unternehmen sich zwischen Client- und Gateway-/Server-basierten Lösungen entscheiden. Während clientbasierte Lösungen maximale Vertraulichkeit gewährleisten, erhöhen sie den administrativen Aufwand. Server- bzw. Gateway-basierte Lösungen bieten Vertraulichkeit zwischen zwei Servern oder Gateways und verlagern den administrativen Aufwand zentral auf die Server- bzw. Gateway-Seite. Gegenüber clientbasierten Lösungen sind sie jedoch häufig weniger transparent.
Was die verfügbaren Technologien anbetrifft kommen Hans-Joachim Giegerich zufolge – neben den gängigen Verfahren openPGP und S/MIME – Lösungen wie DE-Mail und Epostbrief kaum in Frage. Diese könnten höchsten das postalische Einschreiben ersetzen, seien aber nicht als sichere E-Mail zu betrachten. Ein Teilnehmer brachte die Verschlüsselung über entsprechende Nachrichtenportale ins Spiel. „Solche Lösungen können temporär hilfreich sein. Sie sollten jedoch eher eine initiale Lösung sein, um sich dem Thema Verschlüsselung dann systematisch zu widmen“, so Hans-Joachim Giegerich.
Fazit: Viel erreicht, dennoch viel zu tun
Alle Teilnehmer waren sich einig, dass Verschlüsselungstechnologien in den Unternehmen angekommen sind. Nun gelte es das ganze auf feste organisatorische und administrative Füße zu stellen.
In zwei Vorträgen ging es um die Möglichkeiten und Anforderungen beim Einsatz von E-Mail- und Telefonieverschlüsselung. Zudem äußerten die Teilnehmer Ihre Wünsche, Bedenken und Bedürfnisse im Hinblick auf den Einsatz der Technologien.
Kinderleichter Mitschnitt von VoIP-Telefonaten
Achim Dölker, IT-Forensiker und Pentester bei der QGroup, „schockte“ die Teilnehmer zunächst mit einem Live-Hack, in dem er mit einigen wenigen Scriptzeilen – die jedermann googeln kann – ein VoiP-Telefonat im Unternehmensnetzwerk mitschnitt. „Standard SIP-Telefonie ist nicht verschlüsselt. Auf jedem Knoten zwischen zwei Gesprächspartnern kann ein Telefonat mit einem einfachen TCP-Dump abgehört werden. Insbesondere WLAN-Hotspots ermöglichen im Grunde das Mithören für alle, die sich im Sendebereich befinden“, kommentierte Dölker die eindrucksvolle Demonstration. Zugleich wies er darauf hin, dass verschlüsselte Telefonie kein Allheilmittel ist, etwa wenn ein Telefonat ohnehin in der Öffentlichkeit geführt werde.
Lösungen für verschlüsselte Telefonie
Anschließend wurden einige Lösungen zum verschlüsselten mobilen Telefonieren vorgestellt. Darunter zum einen die Lösungen von Mobilfunkprovidern, die sich hauptsächlich an Großkunden wenden und eine neue Telefonnummer erfordern, sowie die App-Lösungen Qnective, Cellcrypt, Skype for Business und Adeya. Mit Adeya hat die QGroup eine gemeinsame Business-Lösung entwickelt. Vorteile von Adeya sind die automatische Provisionierung, d.h. die Einrichtung der Nutzerrechte, eine hohe Sicherheit durch RSA-Verschlüsselung mit 2048 bit, Secure-Chat und Secure-SMS sowie der Möglichkeit einer Benachrichtigung von Offline-Nutzern. Die Einrichtung erfolgt dabei für jeden Kunden mit einer eigenen Version der App, die sich die jeweiligen Gesprächspartner dann herunterladen können. Auf Teilnehmerseite herrschte ein großes Interesse an solchen Lösungen. Aufgrund mangelnder Erfahrung hatte jedoch bisher keines der Unternehmen eine Lösung eingesetzt.
Erfahrungen mit E-Mailverschlüsselung in Unternehmen
Den zweiten Vortrag eröffnete Hans-Joachim Giegerich, Geschäftsführer von Giegerich & Partner, mit einem kurzen Resümee zum Einsatz von E-Mailverschlüsselung in Unternehmen – und einer überraschenden Erkenntnis. „Ich habe im vergangenen Jahr mit vielen unserer Kunden über den tatsächlichen Einsatz unserer E-Mailverschlüsselungs-Lösung gpg4o gesprochen. Beim Schlüsselmanagement gibt es häufig erheblichen Nachholbedarf. Viele Unternehmen überlassen das Schlüsselmanagement sozusagen dem Anwender“, so Hans-Joachim Giegerich zum Status quo. Demnach sind die Schlüssel meist nur auf den jeweiligen Geräten und die Passphrasen nur dem Nutzer zugänglich. Was aber, wenn ein Anwender überraschend das Unternehmen verlässt oder erkrankt? In diesem Fall wären die verschlüsselten Daten nicht mehr zugänglich – mit möglicherweise erheblichen Schwierigkeiten oder gar Schäden für das entsprechende Unternehmen. Abhilfe schaffen hier intelligente Mechanismen zur Schlüsselverwaltung und -archivierung.
Vorüberlegungen für verschlüsselungsinteressierte Unternehmen
Der Vortrag widmete sich anschließend deswegen vor allem den Aspekten, um die sich Unternehmen im Vorfeld einer Verschlüsselungslösung widmen müssen. Dabei zunächst die Frage: Warum möchte ich eigentlich verschlüsseln? Geht es um die Wahrung von Geschäftsinteressen, also z.B. Forschungsergebnisse und Verträge, vertragliche oder gar gesetzliche Pflichten, Haftungsrisiken oder schlicht und einfach um die Reputation des Unternehmens?
An zweiter Stelle dann die eindeutige Aufforderung eine Verschlüsselungsrichtlinie zu konzipieren: Was wird wann und von wem verschlüsselt? Wie wird der Umgang mit Mailarchiven und CMS-Systemen organisiert? Macht es Sinn, die verschlagwortete Suche in verschlüsselten Mails zu ermöglichen? Die Antwort auf die letzte Frage war ein eindeutiges Nein, denn so würden wiederum Angriffsszenarien ermöglicht, da Hacker dann genau wissen, welche Mail zu entschlüsseln sei.
Grundsätzlich können Unternehmen sich zwischen Client- und Gateway-/Server-basierten Lösungen entscheiden. Während clientbasierte Lösungen maximale Vertraulichkeit gewährleisten, erhöhen sie den administrativen Aufwand. Server- bzw. Gateway-basierte Lösungen bieten Vertraulichkeit zwischen zwei Servern oder Gateways und verlagern den administrativen Aufwand zentral auf die Server- bzw. Gateway-Seite. Gegenüber clientbasierten Lösungen sind sie jedoch häufig weniger transparent.
Was die verfügbaren Technologien anbetrifft kommen Hans-Joachim Giegerich zufolge – neben den gängigen Verfahren openPGP und S/MIME – Lösungen wie DE-Mail und Epostbrief kaum in Frage. Diese könnten höchsten das postalische Einschreiben ersetzen, seien aber nicht als sichere E-Mail zu betrachten. Ein Teilnehmer brachte die Verschlüsselung über entsprechende Nachrichtenportale ins Spiel. „Solche Lösungen können temporär hilfreich sein. Sie sollten jedoch eher eine initiale Lösung sein, um sich dem Thema Verschlüsselung dann systematisch zu widmen“, so Hans-Joachim Giegerich.
Fazit: Viel erreicht, dennoch viel zu tun
Alle Teilnehmer waren sich einig, dass Verschlüsselungstechnologien in den Unternehmen angekommen sind. Nun gelte es das ganze auf feste organisatorische und administrative Füße zu stellen.
