Aktuelles, Branche, Gastbeiträge - geschrieben von cp am Freitag, März 12, 2021 14:51 - noch keine Kommentare
Rückverfolgbarkeit und Authentizität in der E-Mail-Kommunikation
Blockchain im Einsatz für eine sichere elektronische Kommunikation
Von unserem Gastautor Marcel Mock, CTO und Mitgründer von totemo
[datensicherheit.de, 12.03.2021] Von Revisionssicherheit und Authentizität in der E-Mail-Kommunikation konnte bisher keine Rede sein. Das dazu nötige Bestätigen des Nachrichteneingangs und der Identität des Absenders verspricht der Ansatz, die Distributed-Ledger-Technologie (DLT) und eine öffentliche Blockchain in eine E-Mail-Lösung einzubinden. Wie das praxistauglich gelingt, zeigen die Schweizer Unternehmen totemo und sein Partner, das Blockchain-Start-up Vereign.
Kennen Sie eine Person, die weder eine berufliche noch eine private E-Mail-Adresse hat? Auf dem elektronischen Postweg erreicht man fast jeden, weil die E-Mail nach wie vor stark verbreitet ist. Darin liegt der große Vorteil der gut 50 Jahre alten Kommunikationsform, die auf Ray Tomlinson zurückgeht. Trotz seiner langen Geschichte behauptet sich die E-Mail heute gegen Messenger. Sie bleibt unverzichtbar, wenn wir uns austauschen wollen. Allerdings gibt es auch Schwachstellen, da es der E-Mail an Nachweisbarkeit fehlt.
Den ersten Punkt, das nötige Vertrauen herzustellen, erfüllt man leicht mit Verschlüsselung. Ob ein Absender jedoch authentisch ist oder dieses nur vortäuscht, lässt sich oft nicht sofort und sicher sagen. Allzu plumpes Phishing fällt auf. Vor professionellen Betrugsversuchen, bei der Cyberkrimineller persönliche Daten abgreifen wollen, schützen den Empfänger digitale Signaturen. Wer hingegen seine Kommunikation nachweisen muss, kann maximal belegen: Der eigene Mailserver hat die E-Mail übergeben. Ein revisionssicherer Beleg, wie ihn Fax und Einschreiben liefern, ist das nicht. Mit der Distributed-Ledger-Technologie lässt sich nun Rückverfolgbarkeit und Echtheitsprüfung für den E-Mail-Verkehr realisieren. Genau das verspricht die Lösung, welche die Unternehmen totemo und Vereign gemeinsam entwickelt haben. Die Kooperation resultiert in totemomail Verified, deren Herzstück ein E-Mail-Gateway ist, das alle nötigen DLT- und E-Mail-Funktionen koordiniert und ausführt.
Eine dezentrale Datenbank im Hintergrund
Die Blockchain ist eine DLT-Technologie, die vor allem durch die Digitalwährung Bitcoin bekannt wurde, deren Transaktionen sie vor Manipulation schützt. Neben Finanztransaktionen kommt die Technologie heute bei Lieferketten oder Smart Contract zum Einsatz, wobei folgendes Grundprinzip greift: Ein Nutzer erzeugt einen Datensatz, einen Block, den bis zu Tausende oder mehr Rechner im Netzwerk verifizieren und speichern. Der so verifizierte Block wird kryptografisch verschlüsselt an eine Kette von Datensätzen angehängt. Jeder Datensatz verfügt über eine nachvollziehbare Historie. Hinter DLT, dem „verteilten Kontenbuch“, steht ebenso eine dezentrale Datenbank. In einem Netzwerk erhalten Nutzer hier eine gemeinsame Schreib- und Leseberechtigung. Damit ein neuer Eintrag validiert wird und für alle bereitsteht, greift ein Konsensmechanismus.
Adaptieren des DLT-Ansatzes
Die Schweizer IT-Sicherheitsspezialisten adaptieren den DLT-Ansatz, indem sie eine Key-Value-Datenbank verwenden, die in der Cloud läuft. In diese schreibt das Gateway den Versandstatus der E-Mail sowie die Anzahl Anhänge. Das Gateway speichert dort alle Informationen einschließlich E-Mail-Meta-Daten in chronologisch aufgebauten Blöcken und schützt sie per Hash-Bäume vor Manipulation. Im nächsten Schritt schreibt die Lösung die gesicherten Daten in eine öffentliche Blockchain, wo sie fälschungssicher und für Dritte verifizierbar verankert sind. Bevor das Gateway die E-Mail verschickt, versieht sie diese mit einem QR-Code. Sobald die Nachricht raus ist, aktualisiert die Lösung den Status in der Datenbank auf „versendet“.
Der Empfänger scannt mit seinem Smartphone den QR-Code in seiner E-Mail oder klickt auf den Code, der als Alternative verlinkt ist. In beiden Fällen startet eine Browser-App, die alle relevanten Informationen wie Absender, Betreff und Datum sowie Anzahl der Anhänge aus der Blockchain ausliest und den Hashwert prüft. Der Empfänger gleicht ab, ob Status und Anhänge der empfangenen Nachricht übereinstimmen. Ist das der Fall, hat er einen Beleg für die Integrität und Authentizität der E-Mail. Ein Phishing-Versuch fliegt sofort auf, da in einer gefälschten E-Mail der QR-Code fehlt. Der Verdacht eines Man-in-the-Middle-Angriffs liegt nahe, wenn an der empfangenen E-Mail mehr Dateien anhängen als an der ursprünglich verschickten Nachricht. So ist der Empfänger gewarnt.
Nachrichteneingang nachweislich bestätigt
Noch einfacher und sicherer wird das, wenn Sender und Empfänger das Gateway von totemo einsetzen. In der Konstellation codiert die Lösung beim Empfänger den Eingang der Nachricht ebenfalls in der Key-Value-Datenbank und in der Blockchain. Diese Aufgabe kann auch die App von Vereign oder ein Add-on für gängige E-Mail-Programme wie Outlook und Gmail auf Empfängerseite übernehmen. Ein Administrator in der Firma des Absenders sieht über die Verified-Konsole, dass automatisch der E-Mail-Empfang bestätigt wurde. Der Absender hat so seinen revisionssicheren Nachweis, dass die Nachricht angekommen ist.
Schwäche in Stärke umgewandelt
Der Einsatz von DLT und öffentlicher Blockchain im E-Mail-Verkehr erzeugt einen fälschungssicheren Audit-Trail, sodass die Identität vor Missbrauch geschützt wird. Dafür setzt das Konzept von totemo und Vereign beim Absender an, um Phishing und andere Attacken zu verhindern. Ihre gemeinsam entwickelte Lösung sorgt zudem für eine Nachweisbarkeit in der E-Mail-Kommunikation, die mit Fax und Einschreiben leicht mithält.
Weitere Informationen zum Thema:
datensicherheit.de, 29.06.2020
Digitale Identitäten in der Produktion
totemo
Website
Aktuelles, Experten - Nov 21, 2024 20:50 - noch keine Kommentare
ePA für alle: Daten für die Forschung und das Risiko trägt der Patient
weitere Beiträge in Experten
- CRA endgültig in Kraft getreten: Digitale Produkte in der EU kommen auf den Prüfstand
- Datenleck bei Öko-Stromanbieter: 50.000 Datensätze deutscher Tibber-Kunden im Darknet
- HmbBfDI unternahm branchenweite Schwerpunktprüfung im Forderungsmanagement
- Repräsentative Studie von Civey und QBE: Über 24 Prozent deutscher Unternehmen kürzlich von Cyber-Attacke betroffen
- Datenschutz-Sandbox: Forschungsprojekt soll sicherer Technologieentwicklung Raum geben
Aktuelles, Branche - Nov 21, 2024 20:58 - noch keine Kommentare
Gelsemium-Hacker: ESET warnt vor neuen Linux-Backdoors
weitere Beiträge in Branche
- Laut 2025 Identity Fraud Report alle fünf Minuten ein Deepfake-Angriff
- Unternehmen sollten NIS-2 ernst nehmen und schnell konforme Lösungen etablieren
- Betrug im Digital-Zeitalter: Moderne IT definiert -Bedrohungen und -Schutzmaßnahmen neu
- TOPqw Webportal: G DATA deckte fünf Sicherheitslücken auf
- Proofpoint gibt Tipps gegen Online-Betrug – Hochsaison der Online-Einkäufe startet
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren