Heute beschäftigen wir uns mit einem sehr wichtigen Thema: Die Sicherheit der Daten, die von Ihnen über das Internet an Unternehmen der Versicherungswirtschaft verschickt werden. Dabei sprechen wir in erster Linie von der E-Mail, als mittlerweile etabliertes Kommunikationsmittel der Versicherungswirtschaft.
Vorwort
Sagt Ihnen der Name „Edward Snowden“ etwas? Durch diesen „Whistleblower“ (im deutschen Sprachraum auch „Enthüller“, „Skandalaufdecker“ oder „Hinweisgeber“) erfuhren wir umfassend von geheimdienstlichen Aktivitäten innerhalb der Bundesrepublik Deutschland. Wegen dieser Enthüllungen von Edward Snowden werben einige deutsche Internetprovider für E-Maildienstleistungen damit den Mailverkehr ab dem Jahr 2014 speziell zu verschlüsseln. Das nennt man dann „Email made in Germany“. Zu dieser Werbekampagne gibt es aber auch Gegenwind, weil die Anbieter erst jetzt diese langjährig etablierte Verschlüsselungstechnik einsetzen. Doch bei aller Kritik, die auf die Anbieter einprasselt, kristallisiert sich eines heraus: Man will etwas tun um Ausspähungen und Datenklau ein Ende zu setzen.
Man will die IT Sicherheit mit zusätzlichen Mechanismen, Verschlüsselungen und Systemen ausbauen und perfektionieren um Datenschutz zu gewährleisten.
E-Mail Sicherheit: Was muss man da eigentlich absichern und warum?
Eine E-Mail, die von Ihnen verfasst wird, wird zu den Servern (Hauptrechnern) Ihres Anbieters übertragen. Diese Hauptrechner entnehmen aus der Empfängeranschrift Ihrer E-Mail, einfach dargestellt, folgende Daten „Empfängername“@“Empfängeranbieter“. Mit diesem Daten wird der Server Ihres Anbieters dann versuchen den Server des „Empfängeranbieter“ zu kontaktieren. Dem Server des „Empfängeranbieters“ wird mitgeteilt die Mail doch bitte an das Postfach mit dem „Empfängername“ zuzustellen.
Beispiel: Bei der Adresse t.poetschan@a-concept.org kann man also sagen: „Empfängername“ lautet „t.poetschan“ und „Empfängeranbieter“ ist „a-concept.org“. Das „@“ (engl. „at“ gesprochen deutsch „et“) bedeutet „an“ und dient als Trennzeichen.
Aber wo ist das Risiko?
Wie Sie nun bemerken wird Ihre E-Mail von Ihnen zu Ihrem Anbieter, von Ihrem Anbieter zum Empfängeranbieter und von dort zum Empfänger transportiert. Wir haben also mehrere Abschnitte der Übertragung. Da das Internet wie ein Schienennetz funktioniert, kann es sein, dass Ihre E-Mail z. B. wegen eines technischen Problems über andere Länder geleitet werden muss um an`s Ziel zu kommen. Seit den Aufdeckungen von Edward Snowden wissen wir, dass der Datenverkehr auf den normalen Internetleitungen „abgehört“ werden kann. Das bedeutet im Grunde nichts anderes als dass jemand die als einzelne Internetpakete aufgesplitterten Daten abfängt, zusammensetzt, mitliest und dann erst an den Empfänger weiterleitet. Das wäre in etwa so als würde ein normaler Brief vor der Zustellung an den Empfänger aufgemacht, gelesen (oder vielleicht sogar kopiert) und wieder verschlossen wird.
Dieses „Mitlesen“ wurde, wie durch Edward Snowden bekannt wurde, von zahlreichen Geheimdiensten so praktiziert um an Informationen zu gelangen.
Es ist also wichtig, dass alle Ihre Daten, bevor diese Ihren häuslichen Computer verlassen, mit einer Verschlüsselung zu Ihrem Anbieter transportiert werden. Weiterhin ist es wichtig, dass alle weiteren transportierenden Server (Hauptrechner) jeweils erneut Ihre Daten ausschließlich verschlüsselt übertragen. Ihre Daten sollten im Idealfall seit dem Klicken auf den „Senden“ Button nicht ein einziges Mal unverschlüsselt transportiert worden sein.
Damit Ihr Anbieter weiß welcher Empfängeranbieter mit dem Namen „a-concept.org“ genau gemeint ist, gibt es das „Domain Name System“ (DNS). DNS kann man wie ein Telefonbuch für Rechneradressen bezeichnen. Hinter dem Name „a-concept.org“ steht im DNS, wie in einem Telefonbuch, die Rechneradresse „144.76.0.253“. Diese durch Punkte getrennte Adresse nennt sich „IP Adresse“.
Übrigens: Wenn Sie in Ihrem Browser (z. B. Internet Explorer) die Adresse www.google.de eingeben, frägt auch Ihr Computer das DNS System ab, um zu erfahren welcher Server (Hauptrechner) für www.google.de anzusprechen und zuständig ist!
Würde es ein Übeltäter schaffen in das DNS System eine falsche Rechneradresse einzutragen, werden Daten unkontrolliert an die u. U. gefälschte Rechneradresse geleitet. Erfolgt diese Kommunikation dann unverschlüsselt oder über nicht vertrauensvolle Verschlüsselungen, kann das Unheil seinen Lauf nehmen.
Was muss man tun um diesen Risiken vorzubauen?
Um die genannten und viele weiteren Risiken zu vermeiden gibt es ein ganzes Paket an Maßnahmen, die zum Schutz der Daten ergriffen werden müssen.
Verschlüsselung: Der Versender von Daten verschlüsselt die Daten mit einem vom Empfänger vorgegebenen „öffentlichen Schlüssel“. So kann sichergestellt werden, dass nur der Versender, der die Daten verschlüsselt, und der Empfänger, der die Daten mit einem „privaten“ Schlüssel entschlüsselt, die Inhalte lesen kann.
Diese Schlüssel werden von Zertifizierungsstellen ausgegeben. Es gibt eine große Diskussion zu diesem Thema, aber dennoch gibt bis heute in allen Browsern und Programmen „vertrauensvolle“ und „nicht vertrauensvolle“ Herausgeber von Verschlüsselungszertifikaten. Nur bei vertrauensvollen Zertifikaten ist für den Anwender ersichtlich, dass der „öffentliche Schlüssel“ zum Verschlüsseln Ihrer Daten auch zum „privaten Schlüssel“ des verifizierten Eigentümers gehört. Vertrauensvolle Zertifikate kennen Sie auch. Glauben Sie nicht? Ihr Online-Banking hat bestimmt eine „grüne Adresszeile“ im Browser. Die grüne Adresszeile zeigt, dass der Server hinter dem Namen (z. B. „bank-musterhausen.de“), tatsächlich auch zur „Bank Musterhausen“ gehört!
SPF (Sender Policy Framework): Wussten Sie, dass jeder Absender einen beliebigen Absenderanbieter einstellen kann? Sie könnten also eine E-Mail von einer E-Mailadresse (z. B. hans.mustermann@stadtwerke-musterhausen.de) erhalten obwohl diese überhaupt nicht von Hans Mustermann in den Stadtwerken verschickt worden ist. Mit SPF (Sender Policy Framework) kann man zumindest überprüfen ob die Rechneradresse der Quelle (also die IP Adresse des versendenden Servers) überhaupt berechtigt ist Mails mit dem Absenderanbieter „@stadtwerke-musterhausen.de“ zu versenden. Hierzu müssen die Eigentümer der Domains (z. B. stadtwerke-musterhausen.de) im DNS System lediglich entsprechende Einträge setzen, welche IP Adressen der Hauptrechner berechtigt sind E-Mails mit beispielsweise „@stadtwerke-musterhausen.de“ zu verschicken. Der Empfängerserver vergleicht dann die Quell-IP-Adresse mit den zum Führen der Absenderadresse (z. B. „@stadtwerke-musterhausen.de“) berechtigten Adressen im DNS System. Gibt es hier eine Abweichung stimmt etwas nicht mit dieser E-Mail!
DKIM (DomainKeys Identified Mail): Hierbei wird jede verschickte E-Mail mit einer digitalen Signatur (eine Art Unterschrift) versehen, die der empfangende Server anhand eines im DNS System veröffentlichten Schlüssels verifizieren kann. Kann der empfangende Mailserver die enthaltene digitale Signatur nicht mit dem öffentlichen Schlüssel des DNS Systems verifizieren, ist der Absenderanbieter nicht eindeutig festgestellt. Im Gegensatz zum SPF Verfahren kann DKIM auch auf einzelne komplette Adressen ausgeweitet werden. So kann dann sogar eine relativ sichere komplette Absenderverifizierung stattfinden.
PFS (Perfect Forward Security): Prinzipiell kann jede Verschlüsselung aufgedeckt werden. Entweder aufwändige Analyseverfahren oder durch Ausspähung, Diebstahl, Bestechung etc.. Aus diesem Grund kann man PFS einsetzen, wobei immer neue Verschlüsselungen generiert werden. Hierbei wird ein jeweils individueller Schlüssel ausgehandelt. So wird jede E-Mail auf eine andere Art verschlüsselt. PFS gilt bei den deutschen Datenschutzbehörden als „must have“ und wird regelmäßig auch von Unternehmen eingefordert.
Um speziell den Inhalt einer E-Mail entsprechend zu sichern, kann man auf Systeme eie GnuPG (GPG) zurückgreifen. Hierbei handelt es sich um eine sogar staatlich anerkannte „Ende zu Ende“ E-Mail-Verschlüsselung. Hierbei wird bereits auf Ihrem Rechner eine E-Mail derart verschlüsselt, dass die eigentliche E-Mail lediglich als Briefumschlag dient. Den Inhalt der E-Mail ist mit einem Verschlüsselungsmechanismus verschlüsselt, der nur vom Empfänger mit passendem Schlüssel geöffnet werden kann. Vielleicht ist Ihnen schon aufgefallen, dass unsere Behörden gerne den „öffentlichen GPG Schlüssel“ oder das „öffentliche GPG Zertifikat“ anbieten?
Viel Gerede um nichts?
Wir haben aus Wikipedia eine „Liste der größten Versicherungsunternehmen nach Beitragseinnahmen“ auf einige der genannten Sicherheitsstandards überprüft. Wir haben nachgeprüft ob eine wirklich gesicherte Verbindung beim E-Mail Versand an und ob das Versicherungsunternehmen eine Überprüfung der Absenderechtheit via SPF und/oder DKIM zulässt. Wobei eine der beiden Varianten als grundsätzlich ausreichend galt.
Von 20 überprüften Unternehmen können wir nur bei drei Unternehmen ausreichende E-Mail Sicherheit für den Versand an und für die Absenderverifizierung beim Empfang von E-Mails dieser Unternehmenen feststellen.
Die Wichtigkeit wird zu unserer Freude vom Bundesamt für Sicherheit in der Informationstechnik geteilt. So wurde in einer Veröffentlichung des BSI zum Thema „E-Mail Sicherheit – Handlungsempfehlungen für Internet-Service-Provider“ unter anderem auf die von uns genannten Punkte eingegangen.
Besonders erfreut waren wir über eine Überprüfung von 2000 Firmen durch das Bayerische Landesamt für Datenschutzaufsicht. Zurzeit sind die Datenschützer bei der Überprüfung von Mailservern bayerischer Firmen sehr aktiv. Die Datenschützer mahnen Firmen an, welche gewisse Anforderungen nicht erfüllen.
Einen ähnlichen Test hat auch bereits das Fachmagazin „c’t“ im Frühjahr 2014 gemacht.
Die bayerischen Datenschützer haben bei rund einem Drittel der überprüften Mailserver das Fehlen der Transportverschlüsselung TLS moniert. Ebenfalls wurde das Fehlen von PFS, zu schwache Verschlüsselung und bei über vierzig betroffenen Firmen auch eine fehlende Behebung eines schwerwiegenden Fehlers in der Verschlüsselung namens „Heartbleed“ gestgestellt.
Wir werden die überprüften Versicherungsunternehmen nun anschreiben und auf die Wichtigkeit dieser Sicherheitsfunktionen hinweisen. Vorerst haben wir uns entschieden die genauen Testergebnisse nicht zu veröffentlichen, weil unter Umständen bestehende Lücken ausgenutzt werden könnten.
Ein Positivbeispiel wollen wir dennoch erwähnen. Die Haftpflichtkasse-Darmstadt VVaG bestand alle Tests.
Dieses Versicherungsunternehmen, das in der Branche für exzellente technische Umsetzung bekannt ist, stellt damit ein Musterbeispiel dar.
Wollen Sie selbst auch Ihre Mailsicherheit testen? Die angebotene Verschlüsselung Ihres Mailservers können Sie unter https://ssl-tools.net/mailservers jederzeit testen. Systeme wie SPF, DKIM oder vergleichbare können damit nicht getestet werden.