Die MailStore Customer Security Awareness Initiative: Wieso Sicherheit für uns oberste Priorität hat

In einer immer mehr vernetzten Welt, spielt der Schutz von Daten nicht erst seit Einführung der DSGVO eine wichtige Rolle. Nach wie vor ist dabei das Thema E-Mail-Sicherheit von entscheidender Bedeutung, wie man am Beispiel der Schadsoftware Emotet beobachten kann, bei der nach knapp fünf monatiger Pause seit Kurzem wieder Angriffswellen zu verzeichnen sind. Dabei werden in der Regel per E-Mail Word-Dokumente mit eingebauten Makros versandt und der Empfänger dazu gebracht, diese Dokumente zu öffnen. Um Vertrauenswürdigkeit vorzutäuschen, klinkt sich die Schadsoftware dabei gerne in bestehende E-Mail-Konversationen ein. Eine weitere, große Bedrohung ist das sogenannte Spear-Phishing, was zuletzt beim Twitter-Hack zu großem Aufsehen geführt hat.

Beiden Angriffsformen ist gemein, dass jegliches Wissen über Konversationen, Themen, sowie das Verhältnis der Kontakte zueinander, dem Angreifer maßgeblich dabei hilft, das Vertrauen seiner Opfer zu gewinnen, um sie dazu zu bewegen, ihm beim Erreichen der Ziele unwissentlich zu unterstützen.

Warum es deshalb so wichtig ist, E-Mail-Postfächer und -Archive vor unberechtigtem Zugriff zu schützen und welche technischen Vorkehrungen wir in den vergangenen Jahren implementiert haben, um Installationen von Anfang an mit einem möglichst hohen Schutzniveau auszustatten, möchten wir im Folgenden genauer beleuchten.

Security

Der Wert von Informationen

Wissen Sie, was der Inhalt Ihres Postfachs über Sie verrät oder haben Sie sich diese Frage überhaupt schon einmal gestellt? Die Antwort wird vermutlich lauten: Nein. Sind doch unsere E-Mail-Postfächer heutzutage eine bunte, nahezu unüberschaubare Mischung aus Angeboten, Belegen, Unterhaltungen, Erinnerungen, Arbeitsblättern, und vielem mehr. Ausgereifte Suchfunktionen und Assistenzsysteme helfen uns dabei, stets das wiederzufinden, was wir gerade dringend benötigen.
Doch mit Abstand betrachtet zeigt sich, dass ein E-Mail-Postfach einer Art Logbuch unseres digitalen Lebens gleicht, sei es im beruflichen als auch privaten: Zum Beispiel lassen Bestellbestätigungen Rückschlüsse zu, wann man wo etwas bestellt hat, Benachrichtigungen aus sozialen Netzwerken offenbaren Kontakte in der digitalen Welt und Willkommensemails oder „Kennwort zurücksetzen“-E Mails geben Auskunft über Zugänge zu anderen genutzten Diensten.
Auch wenn uns viele dieser alltäglichen E-Mails im Moment des Empfangs wertvoll erscheinen, so haben wir spätestens nach ein paar Tagen vergessen, dass es sie überhaupt gibt. Ganz anders bewerten Hacker diesen „Datenreichtum“, wenn sie erst einmal Zugang zum Postfach erlangt haben, bietet er doch wertvolle Informationen für zielgerichtete Angriffe auf Einzelpersonen oder Organisationen.

Schutz auf allen Ebenen

Gleiches gilt analog auch für die in E-Mail-Archiven aufbewahrten Informationen, was für eine E‑Mail-Archivierungslösung gleich eine ganze Reihe Herausforderungen mit sich bringt, um unter Berücksichtigung der drei folgenden Zustände digitaler Daten jederzeit einen ausreichenden Schutz zu bieten:

  • Data in Transit: Übertragung von Daten zwischen verschiedenen Computersystemen
  • Data in Use: Verarbeitung von Daten unter Zuhilfenahme nicht-persistenten Speichers (z.B. Hauptspeicher, CPU-Cache, etc.)
  • Data at Rest: Persistente Speicherung von Daten auf Datenträgern

Da sowohl die Verarbeitung als auch Speicherung von Daten bei unseren MailStore-Produkten lokal stattfindet, sind sicherheitsrelevante Anforderungen selbst, oder unter Zuhilfenahme lokaler Hardware- und Softwarekomponenten, relativ leicht erfüllbar. Hingegen ist an der Übertragung von Daten (Data in Transit) immer auch mindestens eine Gegenstelle beteiligt, weshalb ein hinreichender Schutz während der Übertragung immer Teamplay erfordert.

Nachdem wir im Zuge der Entwicklung von MailStore 10 deutliche Verbesserungen beim Schutz der gespeicherten Daten (Data at Rest), unter anderem durch die vollständige Verschlüsslung der Datenbanken, in denen Meta-Daten von E‑Mails gespeichert sind, vorgenommen haben, wurde sich seitdem kontinuierlich dem Schutz der Daten während der Übertragung (Data in Transit) gewidmet.

Ausschlaggebend dafür waren vor vier Jahren die Ankündigungen diverser Browserhersteller, unter anderem Google, über die zukünftige Behandlung von unverschlüsselt abgerufenen Webseiten. Bereits im April 2015 verkündete Mozilla die Absicht, Unterstützung für unsicheres HTTP auslaufen zu lassen, jedoch ohne sich auf ein genaues Datum festzulegen.

Warnung Eingabeformular
Anfänglich wurde nur vor Eingabeformularen gewarnt. Quelle: https://security.googleblog.com/2016/09/moving-towards-more-secure-web.html
Warnung HTTP Seiten
Später dann wurden jegliche per HTTP abgerufenen Seite als unsicher markiert.
Quelle: https://blog.cloudflare.com/https-or-bust-chromes-plan-to-label-sites-as-not-secure/

Für Nutzer unserer MailStore-Produkte hätte dies zur Folge gehabt, dass beim Besuch des MailStore Web Access, und möglicherweise auch irgendwann bei der Nutzung des Outlook Add-ins, Warnungen vor dem Besuch einer unsicheren Webseite erschienen wären, wenn der Administrator nicht die notwendigen Schritte zur Absicherung des MailStore-Dienstes unternommen und z.B. den Zugriff per unverschlüsseltem HTTP deaktiviert hätte.

Einzige logische Konsequenz war daher, zukünftig vollständig ohne unverschlüsselte Verbindungen auszukommen und alles Vorhandene dahingehend zu überprüfen.

Die MailStore Customer Security Awareness Initiative

Aus diesem Grund wurde Ende 2016 zunächst ein mehrstufiger Maßnahmen-Katalog erstellt, in dem unter anderem mit Hilfe eines Threat-Models alle Gefahren analysiert und Lösungen skizziert wurden. Dabei wurden sowohl ein- als auch ausgehende Verbindungen gleichermaßen betrachtet. Im Anschluss wurden potenzielle Auswirkungen auf Nutzer unserer E-Mail-Archivierungsprodukte analysiert. Relativ schnell zeichnete sich ab, dass eine rein technische Herangehensweise an die notwendigen Änderungen nicht ausreichen würde, um Kunden auf den Weg zu „Security by Default“ mitzunehmen.

Daher wurde intern die Customer Security Awareness Initiative ins Leben gerufen, um entwicklungsbegleitend eine Sensibilisierung unserer Kunden für das Thema IT-Sicherheit und Schutz von Daten auf kommunikativer Ebene stattfinden zu lassen. Diese führte zu einer Reihe Veröffentlichungen wie z.B. MailStore hat die Sicherheit im Blick: Mehr IT Security im Mittelstand oder Für den Admin: Sicherer Mobiler Zugriff auf E-Mail-Archive durch TLS-Verschlüsselung, die sowohl den Sinn und Zweck, als auch den Nutzen für den Anwender anhand praxisbezogener Beispiele unterstreichen sollten.

Auf dem Weg zu Security by Default

Basierend auf dem Wissen darüber, was zu tun sei, um das Ziel von Security by Default zu erreichen, wurden den notwendigen Änderungen sinnvoll erscheinende zeitliche Mindestabstände zugeordnet. Über die Zeit wurden daraus konkrete Versionen, in denen diese Änderungen umgesetzt wurden, was rückblickend folgende Änderungshistorie ergibt:

Version Erschienen Änderung Begründung
10.1 29.3.2017 STARTTLS als Standard in neuen Archivierungs- und Exportprofilen Der Großteil heutiger E-Mail-Server bietet Verschlüsselung standardmäßig an.

Viele E-Mail-Anbieter erlauben gar keine unverschlüsselten Anmeldungen mehr.

10.2 18.10.2017 Neuer responsiver MailStore Web Access ausschließlich über HTTPS verfügbar

 

Im Einklang mit unseren Unternehmensrichtlinien müssen Neuentwicklungen aktuellen Sicherheitsstandards entsprechen.
Legacy Web Access als unsicher markieren Der Legacy Web Access erlaubt weiterhin Anmeldungen über unverschlüsseltes HTTP.
11.0 18.4.2018 Integrierter IMAP-Server ermöglicht keine Anmeldung über unverschlüsselte Verbindungen Bei der Einrichtung testen E-Mail-Clients in der Regel zunächst auf verschlüsselte Verbindungen. Daher waren nur geringe Auswirkungen auf Kunden zu erwarten.
11.1 18.7.2018 Kennwortrichtlinie Die Kennwortrichtlinie bietet Schutz vor zu einfachen Kennwörtern und beruht auf einer Anforderung der IDW PS 880-Prüfung.
12.0 10.4.2019 HTTP für Legacy Web Access und Outlook Add-in standardmäßig bei Neuinstallationen deaktiviert Die Möglichkeit, Zugangsdaten unverschlüsselt an MailStore Server zu übertragen, soll bei Neu­installationen unterbunden werden.
Unterstützung zum Import eigener Zertifikate und dem Anfordern von Let’s Encrypt™ Zertifikaten während der Installation und in der Dienstkonfiguration Bereits bei der Installation von MailStore Server soll eine einfache Möglichkeit bestehen, vertrauenswürdige Zertifikate zu verwenden und somit Warnungen auf Nutzerseite bei Verwendung von Web Access oder Outlook Add-in zu verhindern.
Informationen über Verwendung unsicherer ausgehender Verbindungseinstellungen auf dem Admin-Dashboard und in Profilen Mit dem Hinweislevel „Information“ soll zunächst Problembewusstsein dafür geschaffen werden, dass Zugangsdaten von MailStore-Produkten ungeschützt an Drittsysteme übertragen werden.
13.0 15.7.2020 Unterstützung für unverschlüsselte HTTP-Verbindungen vollständig entfernt Nach dreijähriger Übergangszeit sollte jetzt das Ziel erreicht werden, dass nur noch verschlüsselte eingehende Verbindungen zu MailStore-Produkten aufgebaut werden können.
Informationen über Verwendung unsicherer ausgehender Verbindungseinstellungen zu Warnungen umgewandelt Mit dem Hinweislevel „Warnung“ sollen Administratoren stärker dazu bewegt werden, die Übertragung von Zugangsdaten abzusichern.

Verschiebung der Verantwortung

Der Ansatz „Security by Default“ bedeutet in vielerlei Hinsicht eine Verschiebung der Verantwortung weg vom Administrator, der in der Vergangenheit selber dafür verantwortlich war, eingesetzte Softwarelösungen adäquat abzusichern, hin zum Softwarehersteller, der durch eine ganzheitliche Betrachtung des Themas Sicherheit während des gesamten Entwicklungsprozesses deutlich fundiertere Kenntnisse über potenzielle Gefahren und deren Abwehr besitzt und somit in der Lage ist, Software mit sicheren Standardeinstellungen auszuliefern.

Darüber hinaus bewegen wir uns als Hersteller von E-Mail-Archivierungslösungen auch nicht in einer Blase, sondern müssen auf globale Trends und sich ändernde Anforderungen reagieren, die gerade durch die hohen Sicherheitsanforderungen an Cloud-Dienste immer stärker spürbar werden. Nicht ohne Grund wurde in MailStore 13 Unterstützung moderner Authentifizierung für Microsoft 365 und Google G Suite implementiert.

Andererseits entbindet dieser Paradigmenwechsel IT-Verantwortliche, gerade beim Zusammenspiel unterschiedlicher Systeme, nicht davon, ihr eigenes Netzwerk mehr als Teil eines weltweiten Netzwerks zu begreifen als es vielleicht noch vor einigen Jahren üblich war und daher grundsätzlich aktuelle Sicherheitsprinzipen umzusetzen.

In kommenden Beiträgen wollen wir einige typische Bedrohungen genauer unter die Lupe nehmen und aufzeigen, wie Sie sich durch den Einsatz von MailStore 13 mit nur wenigen Handgriffen effektiv davor schützen können.

Weitere Informationen

Wenn Sie mehr zum Thema Security erfahren möchten, empfehlen wir Ihnen folgende Blogbeiträge zu unseren Produkten und unserer Produktstrategie:

Produktbezogene Artikel zum Thema Security:

Weitere Artikel zum Thema Security:

Daniel Weuthen, Director of EngineeringÜber den Autor:

Dieser Artikel wurde von Daniel Weuthen geschrieben. Daniel ist Director of Engineering bei der MailStore Software GmbH.

Sharing


Leave a Reply