Systeme und ihr Umfeld

Content Security

Inhaltsprüfung trotz Verschlüsselung

Von Franz Fesseler, Köln

Zentrale Content-Security-Lösungen können verschlüsselte E-Mails und SSL-geschützte WWW-Inhalte nicht ohne weiteres prüfen. Verschiedene Ansätze ermöglichen jedoch eine Entschlüsselung am Gateway zum Sicherheitscheck auf unerwünschte oder gefährliche Inhalte.

Chiffrierte E-Mails lassen sich erst nach dem Entschlüsseln auf Viren und andere unerwünschte Inhalte prüfen. Eine Ende-zu-Ende-Verschlüsselung setzt somit zentrale Content-Security-Lösungen außer Kraft. Gleiches gilt für den HTTPS-Verkehr, wo WWW-Inhalte durch eine SSL-Verbindung verschlüsselt zwischen Client und Server übertragen werden. Das hebelt einen wichtigen Sicherheitsgrundsatz aus: Daten sollten an der Kommunikationsschnittstelle zwischen einem unsicheren Netz (z. B. Internet) und einem zu schützenden Netz (internes Netz) geprüft werden. In den genannten Szenarien passieren chiffrierte Daten jedoch ungeprüft die Firewall und befinden sich bereits im internen Netz, bevor eventuell eine Content-Inspection auf den Arbeitsstationen stattfindet.

Als unschöner Ausweg bleibt, verschlüsselten Datenverkehr generell zu unterbinden. Dies kollidiert aber mit den geschäftlichen Anforderungen, vertrauliche Kommunikation zu ermöglichen und via HTTPS gesichert Information zu übertragen. Obwohl dem Empfänger einer chiffrierten E-Mail häufig bekannt ist, mit wem er kommuniziert, bleiben Risiken. Selbst wenn der Absender – was nicht die Regel ist – über einen zertifizierten Schlüssel eindeutig identifizierbar ist, könnte dieser unbeabsichtigt Viren transportieren.

Der Markt bietet mittlerweile Produkte, um dieses Dilemma aufzulösen und trotz Verschlüsselung eine zentrale Inhaltssicherung zu gewährleisten. Dabei verfolgen verschiedene Anbieter unterschiedliche Lösungsansätze.

Der Ansatz von cv cryptovision ( [externer Link] www.cryptovision.com) setzt zusätzliche Softwarekomponenten auf Server- und Client-Seite ein. Die Konformität mit dem Signaturgesetz und die identische Vorgehensweise bei Verschlüsselung und digitaler Signatur von E-Mails waren Grundlage für diesen Architekturansatz, bei dem die geheimen Schlüssel grundsätzlich beim Anwender verbleiben. Möglich wird die Dechiffrierung auf dem Server durch die üblicherweise verwendete Hybridverschlüsselung von Public-Key-Systemen: Statt die gesamte Nachricht mit dem Public-Key zu chiffrieren, verschlüsselt man damit nur einen Transferschlüssel (Message Key). Für die Prüfung im Einzelfall genügt es, diesen Transferschlüssel zu kennen.

Abbildung 1: Virencheck verschlüsselter E-Mail mit cv act insight von cv cryptovision

Der Ablauf im Einzelnen (vgl. Abbl. 1): Wenn eine hybridverschlüsselte E-Mail das Gateway (1) erreicht, wird sie auf dem cv act insight-Server zwischengespeichert (2). Die verschlüsselte E-Mail setzt sich unter anderem aus der mit dem Transferschlüssel symmetrisch verschlüsselten E-Mail und dem per Public-Key-Verfahren chiffrierten Transferschlüssel zusammen. Der chiffrierte Transferschlüssel wird innerhalb des Firewall-Systems identifiziert, abgetrennt (3) und mit einer entsprechenden Anfrage an den Empfänger geschickt (4). Dieser kann nun entscheiden, ob das System die E-Mail analysieren darf oder sie an eine alternative externe Adresse (z. B. privater E-Mail-Account) weiterleiten soll (5a). So gelangt keine Nachricht ungeprüft ins interne Netz.

Üblicherweise dürfte der Empfänger jedoch den Transferschlüssel freigeben, sprich mithilfe seiner Smartcard oder eines Softwarezertifikats entschlüsseln (5b). Der dechiffrierte Transferschlüssel geht dann – mit einer internen Transport-Verschlüsselung geschützt – an den insight-Server (6), der somit die verschlüsselte E-Mail dechiffrieren kann (7). Nach Überprüfung des Inhalts (8) und erfolgter Freigabe kann die ursprüngliche, verschlüsselte Original-E-Mail dem Empfänger zugestellt oder wegen gefährdender Inhalte direkt gelöscht werden. Der Empfänger erhält in diesem Fall lediglich eine Information über den Vorgang.

ICC ( [externer Link] www.iccgmbh.com) geht einen anderen Weg, der ausschließlich eine Serverkomponente sowie eventuell ein bowserbasiertes Java-Applet beim Anwender erfordert (vgl. Abb. 2). Das Produkt hält dabei offen, wo die geheimen Schlüssel abgelegt sind. Dies kann zentral geschehen, zum Beispiel auf einem besonders geschützten LDAP-Server, oder auch dezentral auf Chipkarten. Bei letzterer Vorgehensweise verbleibt der Private-Key beim Besitzer und erfüllt so die Anforderungen des Signaturgesetzes.

Abbildung 2: Virenschutz für verschlüsselte E-Mail mit JULIA von ICC

Wenn dem Server über einen Verzeichnisdienst sowohl der geheime Schlüssel als auch das zugehörige Passwort zur Verfügung stehen, kann dieser logischerweise ohne weiteres chiffrierte E-Mails entschlüsseln, prüfen und bei unkritischem Inhalt an den Empfänger weiterleiten. Dazu sind entweder alle geheimen Schlüssel zusätzlich auf dem Server vorzuhalten oder man nutzt gleich die von ICCs JULIA angebotene Möglichkeit einer zentralen, für den Endanwender transparenten Verschlüsselung und Signatur.

Falls die Private-Keys, beispielsweise auf einer Chipkarte, beim Empfänger verbleiben, hält der Server eingehende chiffrierte E-Mails zunächst fest und informiert den Empfänger durch eine Hinweis-Mail, dass eine verschlüsselte Nachricht für ihn eingegangen ist. Um die Prüfung und anschließende Zustellung zu ermöglichen, entschlüsselt der Empfänger via Browserapplet (Java) unter Einsatz seiner Kryptocard die E-Mail für den Server. Wenn die Prüfung unkritischen Inhalt ergibt, schickt dieser die Nachricht entweder im chiffrierten Original oder in der entschlüsselten Variante an den Empfänger.

Eine weitere Lösung für die Prüfung von chiffrierten E-Mails bietet Tumbleweed ( [externer Link] www.tumbleweed.com/de/) für Exchange-Serversysteme an.

Franz Fesseler ist Geschäftsführer der ICC InfoTeSys Computer Consulting GmbH ( [externer Link] www.iccgmbh.com).