Secure Shell (SSH) kann nahezu beliebige TCP/IP-Ports über eine verschlüsselte und authentisierte Verbindung tunneln.
Bei der Benutzung von E-Mail im Internet sind das Post Office Protocol 3 (POP3) und das Simple Mail Transfer Protocol (SMTP) gängige Transport Mechanismen. Mit POP3 holt der Nutzer seine Nachrichten beim Mail-Server ab und speichert sie lokal auf seinem Rechner. IMAP (Internet Message Access Protocol) erlaubt einen Zugriff auf die E-Mail auf dem Server ohne sie abzuholen: Die Nachrichten bleiben dauerhaft auf dem Server und lassen sich dort auch in Ordnern verwalten.
Beim Abrufen der E-Mail vom Server wird das dazu erforderliche Passwort üblicherweise im Klartext über das Netz übertragen. Damit besteht das akute Risiko des Abhörens. Insbesondere wenn man den Mail-Client so einstellt, dass er alle fünf Minuten nach neuen Botschaften fragt, dann führt dies dazu, dass das Passwort auch alle fünf Minuten übertragen wird. Dies stellt eine erhebliche Sicherheitslücke dar.
Am einfachsten lässt sich der sichere Zugriff auf das Firmennetz aus der Wohnung eines Mitarbeiters gewährleisten. Hier gibt es feste Telefonnummern, die für ein Rückruf-Verfahren zur Verfügung stehen. Auch spielt die Portabilität keine große Rolle, da alles fest installiert werden kann. Als kostspielige, aber auch sichere Möglichkeit bietet sich die Installation einer kleinen Hardwarebox an, die die Funktionen ISDN-Router, Firewall und VPN-Gateway (Virtual Private Network) in sich vereint. Gerade wenn es nicht um große Leitungsgeschwindigkeiten geht (mehr als 128 Kbit Durchsatz ist nicht nötig), sind diese Geräte noch relativ preiswert. Im Allgemeinen sind sie fernwartbar, so dass auch das zentrale Management kein Problem darstellt. Nahezu alle Hersteller von Netzwerkkomponenten haben derartige Geräte im Angebot. Die Preise beginnen bei circa 800 DM ohne VPN (z.B. Allied Telesyn AT AR-130) und liegen mit VPN Funktion etwa zwischen 2000 und 3000 Mark (z.B. von Cisco, Elsa oder Utimaco).
Für Reisen sind diese Hardware-Boxen kaum geeignet, da sie den "EDV-Ballast" erhöhen. Hier muss auf reine Softwarelösungen zurückgegriffen werden, höchstens noch der Einsatz von Chipkarten oder kleinen Dongles (z.B. am USB-Port) erscheint zumutbar. Solange der Mitarbeiter seinen eigenen Computer bei sich hat, lässt sich die erforderliche Software relativ einfach installieren.
Secure Shell (SSH) stellt aus der Sicht des Benutzers einen vollständigen Ersatz für das Programm telnet und unter Unix für die so genannten r-Befehle (rlogin, rsh und rcp) dar. Zusätzlich zu den Grundfunktionen dieser Programme verschlüsselt SSH die komplette Kommunikation, so dass Abhören zwecklos wird. Eine weitere wichtige Eigenschaft von SSH ist die starke Authentifizierung. Sowohl der Client als auch der Server müssen sich durch ein Geheimnis ausweisen, um zu belegen, dass sie auch wirklich sind, wer oder was sie zu sein vorgeben.
Neben dem Verschlüsseln einer Terminalsitzung kann SSH aber noch mehr: Nahezu beliebige TCP/IP-Ports (insbesondere X-Windows) können über einen SSH-Tunnel umgeleitet werden. Hierzu meldet sich der Benutzer zuerst per SSH an, und startet dann den eigentlich gewünschten Dienst über den bestehenden Tunnel. Er muss dann lediglich im E-Mail Programm den POP3- oder IMAP-Server-Eintrag auf Localhost bzw. 127.0.0.1 ändern. Auf der Server-Seite muss nichts getan werden, um solche Tunnels zu ermöglichen. Prinzipiell ist es sogar möglich den Datenverkehr einer PPP-Verbindung über SSH zu tunneln und damit ein VPN aufzubauen (siehe http://sites.inka.de/~W1011/sw/ssh-ppp-new.txt).
Secure Shell (SSH) kann nahezu beliebige TCP/IP-Ports über
eine verschlüsselte und authentisierte Verbindung
tunneln.
SSH gibt es als Client und Server standardmäßig für eine Vielzahl von Unix-Varianten: sowohl das kommerzielle SSH von SSH Inc. (www.ssh.fi) als auch das kostenlose Open SSH (www.openssh.com). Beide Server unterstützen die Protokoll Version 2. Darüber hinaus gibt es eine große Anzahl von SSH-Client-Programmen für andere Betriebssysteme. Besonders erwähnenswert sind (weitere Programme sowie die Internetlinks, siehe [2]):
Damit sind der Anwendbarkeit dieser Software auf Clientseite fast keine Grenzen gesetzt. Das Server-Programm gibt es außerdem noch für VMS und (eingeschränkt) für Windows NT. Eines der interessantesten SSH-Programme ist die Java-Implementierung MindTerm (www.mindbright.se/mind term/), da sie auf den verschiedensten Plattformen läuft und zudem kostenlos verfügbar ist.
Ein Nachteil der SSH-Lösung darf jedoch nicht übersehen werden: Da jeder Nutzer zuerst eine Login-Sitzung zum E-Mail Server aufbaut, muss er entsprechende Login-Rechte haben. Diese Rechte möchte man aber eventuell aus Sicherheitsgründen nicht zu weit streuen, da die Möglichkeiten des Missbrauchs am Unix-Kommandozeilen-Prompt doch sehr groß sind.
Stunnel ist ein auf OpenSSL (www.open ssl. org) basierendes Programm, um gängige Protokolle über SSL zu leiten (www.stunnel. org). Da mittlerweile gängige Dienste wie POP3, IMAP usw. offizielle Portnummern für eine verschlüsselte Variante zugewiesen bekommen haben, ist dies standardisiert möglich. Beim Mailabholen per POP3 sieht das beispielsweise so aus: Der E-Mail-Client spricht in gewohnter Weise mit dem Stunnel-Client auf dem lokalen PC. Der Stunnel-Client verschlüsselt die Kommunikation und reicht die Daten verschlüsselt an den Stunnel-Server weiter. Der Stunnel-Server entschlüsselt die Information und gibt sie an den eigentlichen POP3-Server weiter.
Stunnel arbeitet auf Wunsch als Proxy für beliebige
Dienste, beispielsweise für verschlüsseltes POP 3
Damit stellt Stunnel eine extrem flexible Lösung dar. Insbesondere besteht auch die Möglichkeit, das Programm Stunnel auf einem anderen Rechner als dem eigentlichen E-Mail-Server oder -Client laufen zu lassen. Der einzige Konfigurationsaufwand im E-Mail-Programm ist ebenfalls die Änderung des POP3-Server Eintrags auf Localhost bzw. 127.0.0.1.
Einige E-Mail-Programme wie z.B. Outlook Express haben die entsprechende Funktionalität direkt eingebaut. Um die E-Mail sicher von einem verschlüsselnden Server abzuholen, muss man unter den Einstellungen für das E-Mail-Konto auf der Karte "Erweitert" lediglich das Kästchen "Dieser Server verwendet eine sichere Verbindung (SSL)" für POP3 markieren. Outlook und Outlook Express beherrschen sowohl POP3s ("s" wie "secure") als auch IMAPs, Netscape-Mail beherrscht nur IMAPs.
Manche Mail-Clients wie hier Outlook Express unterstützen
von Haus aus verschlüsseltes POP3 und SMTP.
Stunnel hat den großen Vorteil, dass der Nutzer keine Login-Berechtigung benötigt. Außerdem kann über verschiedene Stufen der Zertifikat-basierten Client- bzw. Server-Authentisierung eine große Sicherheit erreicht werden [3]. Leider kann Outlook Express kein Client-Zertifikat präsentieren. Der Stunnel-Client kann unter Windows NT mit geeigneten Hilfsprogrammen auch als Service betrieben werden.
In einem Virtual Private Network (VPN) verschlüsselt die VPN-Software den gesamten Netzwerkverkehr zwischen den Teilnehmern. Hier gibt es eine große Zahl von Produkten, die zwei prinzipiell verschiedene Ansätze realisieren: Entweder werden über zwei VPN-Gateways ganze Netzbereiche gekoppelt, oder aber auf jedem Client wird eine Software installiert, die dann eine Verbindung zu einem VPN-Gateway herstellt. Das VPN-Gateway entschlüsselt die ankommenden Datenpakete und reicht sie an das eigentliche Ziel weiter. Ausgehende Datenpakete werden vom VPN-Gateway verschlüsselt und zu einem anderen VPN-Gateway oder einem VPN-Client geschickt.
Als VPN-Gateway können sowohl Router mit entsprechenden Verschlüsselungsmodulen als auch Firewall-Rechner mit Zusatzsoftware dienen. Alle renommierten Hersteller von Routern und Firewalls bieten solche Zusatzmodule für ihre Produkte an. Obwohl fast alle VPN-Lösungen heute auf der IPsec-Spezifikation (www.ietf.org/html. charters/ipsec-charter.html) beruhen, heißt das nicht, dass auch Produkte verschiedener Hersteller zueinander kompatibel sind.
Die Firma Network Associates (www. nai.com) bietet für ihr PGPnet Anleitungen an, wie diese Software für einen Cisco Router bzw. für die Firewall-1/VPN-1 von Checkpoint Systems zu konfigurieren ist (www.pgp.com/products/config-guide. asp#vpn). PGPnet ist Bestandteil von Pretty Good Privacy (PGP). Für die Firewall-1/VPN-1-Kombination gibt es mit dem kostenlosen SecuRemote von Checkpoint Sytems ebenfalls eine interessante VPN-Lösung (siehe www.checkpoint.com/products/vpn1/secure moteds.html).
Als IPsec-Gateway kann auch ein Linux-System mit dem Softwarepaket FreeSwan dienen (www.freeswan.org). Eine interessante kommerzielle Lösung ist die Hardware von Utimaco (www.utimaco.de). Sie hat insbesondere in größeren Installationen den Vorteil eines guten zentralen Managements. Allgemein haben VPN-Lösungen den Vorteil, dass sie den gesamten Datenverkehr verschlüsseln. Dafür fällt aber ein gewisser Planungsaufwand für das Schlüsselmanagement an. Unter Umständen ist sogar der Aufbau einer Public-Key-Infrastruktur (PKI) erforderlich.
Am schwierigsten wird die Bereitstellung einer vernünftigen Remote-Lösung für E-Mail jedoch, wenn fremde Hardware, z.B. ein PC in einem Internet Cafe am Urlaubsort, zum Einsatz kommen soll (siehe auch [1]). Dort kann man nicht erst eigene Software installieren, sondern muss mit den Möglichkeiten der vorhandenen Software arbeiten. Dies bedeutet letztendlich meist die Beschränkung auf einen WWW-Browser.
Die vielen kommerziellen, häufig werbefinanzierten E-Mail-Provider wie ePost, GMX, web.de oder Hotmail machen den komfortablen Zugriff auf die E-Mail per Web-Portal mit dem Browser vor - teilweise bereits verschlüsselt. Firmen, die ein eigenes Portal für ihre Mitarbeiter wünschen, finden zahlreiche fertige Lösungen: Unter anderem den Roxen-Server (www.roxen.com) mit IMHO Web-Mail Interface (www.lysator.liu. se/~stewa/IMHO/about.html), den Apache-Server (www.apache.org/httpd.html) mit IMP Web-Mail Interface (http://horde.org/imp), Microsoft Outlook Web Access oder den Netscape Messaging Server (www. ipla net.com/products/infrastructure/messa ging/n_mess). Darüber hinaus gibt es im Internet zahlreiche CGI- und Perl-Skripte unterschiedlichster Qualität zum Selberbasteln (z.B. www.cru.fr/http-mail/).
Es sollte sich von selbst verstehen, dass der Zugriff auf Firmenmail nur über eine verschlüsselte https-Verbindung erfolgen darf. Eine Integration von E-Mail-Verschlüsselung mit PGP oder S/MIME ist nicht vernünftig integrierbar, da der Zugriff auf den geheimen Schlüssel ohne Chipkarteneinsatz nicht sicher möglich ist.
Ein Web-Zugriff auf die E-Mail birgt allerdings auch Gefahren. Zum einen werden immer wieder Sicherheitslücken bekannt, so dass eine sorgfältige Installation und Pflege der Software unerlässlich ist. Zum anderen muss der Client (WWW-Browser) sauber konfiguriert sein. Denn was nützt alle Sorgfalt beim Zugriff auf die E-Mail, wenn die Texte anschließend im Browser-Cache auf der Festplatte des Internet-Cafes zurückbleiben und anderen zugänglich sind? Auch die Eingabe des Passwortes ist nicht ungefährlich, da man meist nicht weiß, was Software auf einem fremden System alles protokolliert. Hier müssen unbedingt Einmal-Passwort-Programme wie S/Key (www.cert.dfn. de/infoserv/dib/dib-9404.html) oder Opie (www.inner.net/pub/opie/) oder Hardware-Token wie SecurID von RSA Security (www.rsasecurity.com/products/securid/) eingesetzt werden.
Auf den ersten Blick haben Desktop-Firewalls nicht viel mit dem Abholen von E-Mail über verschlüsselte Verbindungen zu tun. Dennoch gehören die beiden Themen eng zusammen: Wer sich ins Internet einwählt und eine verschlüsselte Verbindung ins Firmennetz aufbaut, beherbergt auf seinem Computer ein Ende des Tunnels zum Intranet - andererseits ist der heimische Computer mit dem Internet verbunden. Gelingt es einem Angreifer z.B. mittels eines Trojanischen Pferds, den Rechner eines Mitarbeiters zu übernehmen, so hat er auch Zugriff auf den Tunneleingang und steht damit mit einem Bein im Firmennetz.
Dabei kommt es nicht nur auf das Vorhandensein eines Desktop-Firewalls zum Schutz des eigenen Rechners an, sondern auch auf die korrekte Konfiguration. Sonst kann die Schutzsoftware nach hinten losgehen. Ein einfaches Beispiel dazu: Auf einem Privatrechner läuft das Programm Web Washer als Werbefilter. Eine schlampige oder unbedachte Konfiguration führt dazu, dass dieses Programm von anderen als Proxy mitbenutzt werden kann (vgl. Screenshot). Hierdurch eröffnet man Angreifern aus dem Internet Zugriff auf interne, unter Umständen vertrauliche, Web-Server.
Beim Einsatz von Software wie z. B. dem Werbefilter WebWasher
auf einem Rechner, der am Firmennetz hängt, darf man
keinesfalls per Proxy-Service Fremden eine Hintertür
öffnen.
Eine sauber konfigurierte Desktop-Firewall schützt jedoch den "Tunneleingang" und ist damit unerlässlich. Die Firma Network Associates (NAI) hat dies begriffen und wird mit PGP7 eine Desktop-Firewall ausliefern, so dass durch PGP nicht nur die E-Mail selbst (auf dem Transport), sondern auch der Ursprungsrechner der E-Mail geschützt sind. Aber auch andere Hersteller haben Desktop- oder Personal-Firewalls im Angebot. Eine Auswahl von Personal Firewalls zeigt ohne Anspruch auf Vollständigkeit die folgende Liste:
Aladdin eSafe Enterprise (es gibt eine
kostenlose Version für den Privatgebrauch) Black ICE Defender Checkpoint VPN-1 Secure Client F-Secure Distributed Firewall Raptor
Mobile (ab Version 5.5) McAfee.com Personal Firewall
(früher Signal 9, Conseal PC-Firewall)
ZoneAlarm (kostenlos für nicht-kommerzielle
Anwendung)Gerade Mitarbeitern, die sich regelmäßig ins Firmennetz einwählen, kann nur dringend empfohlen werden, zuhause eine solche Desktop-Firewall einzusetzen. Aus der Sicht der Firma sind diese Produkte jedoch tendenziell zu sehr Personal Firewalls, d.h. die Konfiguration geschieht durch den Anwender. Für ein Unternehmen ist es aber wünschenswert, eine Policy für die Desktop-Firewall derart vorzugeben, dass der Mitarbeiter diese nicht verändern kann. Nur so kann letztendlich die Sicherheit gewährleistet werden (vgl. S. 48).
Die Einführung eines E-Mail-Systems, das allen organisatorischen und technischen Anforderungen gerecht wird, bedeutet einigen Aufwand. Insbesondere die Archivierung der durch die E-Mail abgewickelten Geschäftsprozesse, die Vertretungsregeln bzw. die Zugänglichkeit der E-Mail durch den Stellvertreter und von unterwegs erfordern einiges an Planung. Einen nicht zu unterschätzenden Aufwand stellt auch das Schlüsselmanagement dar. Dagegen ist die Installation und Inbetriebnahme der Clients einfach. Der Umgang mit E-Mail-Verschlüsselung und VPNs ist vielen Mitarbeitern jedoch fremd und suspekt. Sie müssen sich erst noch daran gewöhnen.
Dr. Rainer W. Gerling ist Datenschutzbeauftragter der Max-Planck-Gesellschaft zur Förderung der Wissenschaften e.V.
© SecuMedia-Verlags-GmbH, D-55205 Ingelheim,
KES 4/2000, Seite 16
