Risikozone   /     E-Mails sch├╝tzen

Description

Die zweite Episode des Risikozone-Podcasts greift die E-Mail-Thematik aus der ersten Episode auf. Prof. Dr. Andreas Noack und Viktor Garske diskutieren im ersten Teil eine E-Mail-Betrugskampagne, die aktuell im Umlauf ist, und gehen im zweiten Teil genauer auf den Schutz von Inhalten in E-Mails ein. Sie erkl├Ąren die M├Âglichkeiten der digitalen Signaturen sowie der Verschl├╝sselung und legen den Einsatz der Verfahren im Kontext von S/MIME und PGP dar. So k├Ânnen z. B. E-Mails von Unternehmen, die zunehmend sensible Daten wie Rechnungen oder pers├Ânliche Informationen enthalten, integrit├Ątsgesch├╝tzt und/oder vor Zugriff unbefugter Dritter wirksam gesch├╝tzt werden.

Subtitle
In dieser Episode diskutieren Prof. Dr. Andreas Noack und Viktor Garske im ersten Teil eine aktuelle Betrugskampagne und gehen im zweiten Teil genauer auf den Schutz von Inhalten in E-Mails ein.
Duration
00:34:59
Publishing date
2022-09-01 08:04
Link
https://risikozone.de/rz002/
Deep link
https://risikozone.de/rz002/#
Contributors
  Viktor Garske
author   contributor  
  Andreas Noack
contributor  
Enclosures
https://risikozone.de/podlove/file/33/s/feed/c/mp3/rz-ep002.mp3
audio/mpeg

Shownotes

Die zweite Episode des Risikozone-Podcasts greift die E-Mail-Thematik aus der ersten Episode auf. Prof. Dr. Andreas Noack und Viktor Garske diskutieren im ersten Teil eine E-Mail-Betrugskampagne, die aktuell im Umlauf ist, und gehen im zweiten Teil genauer auf den Schutz von Inhalten in E-Mails ein. Sie erkl├Ąren die M├Âglichkeiten der digitalen Signaturen sowie der Verschl├╝sselung und legen den Einsatz der Verfahren im Kontext von S/MIME und PGP dar. So k├Ânnen z. B. E-Mails von Unternehmen, die zunehmend sensible Daten wie Rechnungen oder pers├Ânliche Informationen enthalten, integrit├Ątsgesch├╝tzt und/oder vor Zugriff unbefugter Dritter wirksam gesch├╝tzt werden.

Shownotes

News

In der Nachrichtensektion geht es um einen PayPal-Phishing-Scam, also eine Betrugskampagne, die PayPal instrumentalisiert. Siehe hierzu die Originalnachricht auf krebsonsecurity.com, dem Blog von Brian Krebs.

Schwerpunktthema: S/MIME und PGP

Das Schwerpunktthema der heutigen Episode ist die Verschl├╝sselung und Signierung von E-Mails. Dies ist immer dann wichtig, wenn der Inhalt

  • vor dem Zugriff Dritter gesch├╝tzt werden soll (Verschl├╝sselung) oder
  • der Empf├Ąnger ├╝berpr├╝fen k├Ânnen soll, ob der Inhalt unver├Ąndert erhalten wurde (Signierung mittels Digitaler Signatur).

Es ist an dieser Stelle hervorzuheben, dass eine Digitale Signatur mit der typischen ÔÇ×E-Mail-SignaturÔÇť nichts gemein hat: letztere ist ein simpler Text, der an das Ende der E-Mail angef├╝gt wird, erstere ist das Ergebnis einer kryptographischen Operation.

Im Folgenden einige hilfreiche Links zu den entsprechenden Themen:

Loslegen

Wer E-Mails verschl├╝sseln bzw. signieren m├Âchte, kann also zwischen S/MIME und PGP w├Ąhlen, mitunter auch seine E-Mails durch beide Techniken sch├╝tzen. Obgleich beide Techniken an sich nicht miteinander kompatibel sind, kann aber z. B. eine E-Mail sowohl mit S/MIME als auch mit PGP signiert werden.

Der Unterschied zwischen den Verfahren liegt, wie in der Folge von Andreas erw├Ąhnt, in der Vertrauensetablierung: Bei S/MIME gibt es Zertifizierungsstellen (CA), denen der E-Mail-Client automatisch vertraut (diese Liste wurde vom Hersteller des E-Mail-Clients voreingestellt). Eine von diesen CAs stellt f├╝r die E-Mail-Adresse nach einer Verifizierung ein Zertifikat mit dem Public Key aus, das in Verbindung mit einem Public-Key verwendet werden kann. Bei GPG kann man sich Public- und Private-Key selber generieren. Es erfolgt keine Verifizierung durch eine zentrale Stelle, vielmehr k├Ânnen Freunde und Bekannte digital signieren, dass das Keypair aus Public- und Private-Key auch wirklich zu der Person geh├Ârt. Sie nehmen somit dezentral im Kollektiv die Aufgabe der CA wahr.

Eine S/MIME-CA l├Ąsst sich die Dienstleistung der Verifikation in der Regel bezahlen. Wir k├Ânnen in der K├╝rze keine ├ťbersicht m├Âglicher oder gar empfehlenswerter S/MIME-CAs aufbereiten. Wichtig f├╝r die eigenen Recherche ist nur, dass die CA in den meisten E-Mail-Clients, mit denen man kommuniziert, bereits vorhinterlegt sein sollte. Spezialf├Ąlle wie unternehmensinterne CAs, die evtl. von Partnerunternehmen anerkannt werden, lassen wir an dieser Stelle aus.

Wer unmittelbar die Technik hinter dem Verschl├╝sseln und Signieren ausprobieren m├Âchte und Mozilla Thunderbird einsetzt, kann dies mit OpenGPG (eine Form von PGP) kosteng├╝nstig (= kostenlos) ausprobieren, da Thunderbird dies seit Version 78 nativ unterst├╝tzt. Eine Anleitung hierzu steht in der Thunderbird-Hilfe auf support.mozilla.org bereit.

Namensnennung

Die Hintergrundmusik wurde uns freundlicherweise von Jason Shawn von Audionautix.com unter der CC-BY-4.0-Lizenz bereitgestellt!

Hinweise

Die im Podcast erw├Ąhnten Methoden und Werkzeuge f├╝r Angriffe dienen ausschlie├člich dem Bildungszweck zur Verbesserung der IT-Sicherheit. Es wird ausdr├╝cklich angemerkt, dass u. a. das Aussp├Ąhen und Abfangen von Daten sowie die Computersabotage strafbar sind.

Zur Verbesserung der Barrierefreiheit verf├╝gt diese Episode ├╝ber ein automatisiert erstelltes Transkript. Da die zugrundeliegende Technik in einem fr├╝hen Stadium ist, sind die Ergebnis teilweise nutzbar, aber noch nicht zuverl├Ąssig richtig oder gar vollst├Ąndig. Im Zweifelsfall ist ausschlie├člich das gesprochene Wort ma├čgeblich. Weitere Hinweise befinden sich auf der Unterseite ÔÇ×TranskriptÔÇť.

Deeplinks to Chapters

00:00:00.000 Intro
255
00:00:58.000 Vorstellung Andreas
255
00:02:40.000 News: PayPal-Rechnungs-Scam
255
00:06:47.000 Erfahrungen und Tipps im Umgang mit potentiellem Scam
255
00:09:54.000 ├ťberleitung zum Hauptthema
255
00:11:25.000 Was ist sicher? - Die Informationssicherheitsziele
255
00:14:50.000 E-Mails sind standardm├Ą├čig nicht verschl├╝sselt
255
00:16:08.000 E-Mail-Verschl├╝sselung: S/MIME vs. PGP
255
00:17:53.000 Hintergr├╝nde
255
00:19:43.000 Verschl├╝sselung vs. Digitale Signatur
255
00:22:00.000 Beispiel f├╝r S/MIME-Nutzung
255
00:24:25.000 Typosquatting
255
00:26:33.000 Transportverschl├╝sselung
255
00:29:10.000 Ende-zu-Ende-Verschl├╝sselung
255
00:29:32.000 Public Key, Secret Key und Zertifikate
255
00:32:40.000 Zusammenfassung
255
00:33:41.000 Outro
255