In diesem Blogbeitrag möchte ich über verschiedene Möglichkeiten schreiben, wie Einzelpersonen und Organisationen ihre Datenintegrität unterstützen können.
Ein Datenintegritätsdienst erkennt in der Regel, ob Daten unbefugt verändert wurden. Es gibt zwei Möglichkeiten, wie Daten verändert werden können: versehentlich, durch Hardware- und Übertragungsfehler, oder durch einen absichtlichen Angriff. Viele Hardwareprodukte und Übertragungsprotokolle verfügen über Mechanismen zur Erkennung und Korrektur von Hardware- und Übertragungsfehlern. Der Zweck der Datenintegritätsüberprüfung ist die Erkennung eines vorsätzlichen Angriffs.
Es soll dabei lediglich festgestellt werden, ob Daten verändert wurden. Ein Datenintegritätsdienst zielt nicht darauf ab, den ursprünglichen Zustand der Daten wiederherzustellen, wenn sie verändert wurden. Das wäre auch sehr schwierig, wenn nicht unmöglich.
Bei Daten im internen Netzwerk können Zugriffskontrollmechanismen insofern zur Datenintegrität beitragen, als dass Daten nicht verändert werden können, wenn der Zugriff verweigert wird.
Wir konzentrieren uns hier auf Daten, welche über den problematischen Kanal eintreffen, nämlich über die E-Mails.
Doch wie lässt sich überhaupt feststellen, ob die Datenintegrität bei Mails verletzt wurde?
Was bedeutet Datenintegrität?
Beginnen wir mit einer grundlegenden Erklärung dessen, was Datenintegrität bedeutet. Datenintegrität bezieht sich auf die Fähigkeit einer Organisation oder eines Unternehmens zu gewährleisten, dass die Daten in ihrem Besitz vertraulich, vollständig und zuverlässig sind. Ziel ist es, dass jegliche Daten – beispielsweise Finanzdaten, Kundeninformationen oder vertrauliche Unterlagen – jederzeit geschützt und sicher sind. Eine der einfachsten Möglichkeiten, um die Datenintegrität zu fördern, ist die Verwendung eines E-Mail-Signatursystems.
E-Mail-Signierung
Mit einem Signatursystem können die Absender von E-Mails verifiziert, geplant und validiert werden, um sicherzustellen, dass die E-Mail nicht geändert oder manipuliert wurde. Abgesehen von E-Mail-Signaturen arbeiten viele Unternehmen auch mit E-Mail-Verschlüsselung. Eine E-Mail-Verschlüsselung ist ein Verfahren, bei dem die Informationen in einer E-Mail verschlüsselt werden, um zu verhindern, dass sie für unautorisierte Personen offengelegt wird. Wenn also eine E-Mail versendet wird, kann der Inhalt durch eine dritte Partei nicht gelesen oder verändert werden.
Verwendung von DKIM und SPF
Eine weitere Möglichkeit, die Datenintegrität zu unterstützen, ist die Verwendung von DKIM und SPF. DKIM (Domain Keys Identified Mail) ist ein Dienst, der es Organisationen ermöglicht, E-Mails zu verifizieren und zu validieren. DKIM basiert auf asymmetrischer Kryptographie und versieht Mails mit einer digitalen Signatur. Mit DKIM können Sie sicherstellen, dass E-Mails authentisch und nicht geändert werden. Das Sender Policy Framework (SPF) hilft, E-Mail- Administratoren dabei zu identifizieren, ob bestimmte E-Mail-Nachrichten von einem berechtigten Mailserver versendet wurden.
E-Mail-Verschlüsselungs-Gateway
Ein E-Mail–Verschlüsselungs-Gateway unterstützt verschiedene Verschlüsselungs-Standard-Technologien (wie S/MIME, TLS, Gateway-to-Gateway-Verschlüsselung, kombinierte Verfahren oder zusätzlich eigene Verschlüsselungsverfahren). So wird der verschlüsselte Versand zu 100% gewährleistet. Der Absender wird dadurch befähigt, auch einem gänzlich unbekannten Empfänger ohne vorherigen Schlüsselaustausch eine verschlüsselte E-Mail zu schicken. Bei Unsicherheit über das angewandte Verschlüsselungsverfahren des Empfängers, reicht bei einem Gateway-Anbieter wie SEPPmail das manuelle Anstossen einer Verschlüsselungsoption über einen Outlook Button. In diesem Fall entscheidet sich z.B. SEPPmail für ein eigenes Verschlüsselungsverfahren.
Erhält Bob die Mail von Alice, welche über das Gateway in einen HTML-Container verpackt wurde, muss Bob, damit er die Verschlüsselung dechiffrieren kann, sich lediglich über ein Login des Gateway-Dienstes authentisieren. So benötigt auch der Empfänger für das Entschlüsseln einer sicheren Antwort bloss einen beliebigen E-Mail-Client. Durch eine Rule Engine wird bestimmt, wie jede einzelne E-Mail verarbeitet wird. Es greifen auch weitere Funktionen wie Spam- und Virenschutz. Konfigurierbar ist ein solches Regelwerk meist über eine browserbasierte Administratoroberfläche, damit sich für jedes Unternehmen spezifische Security Rulesets anpassen lassen. Das Gateway überprüft in jedem Fall, ob das gelernte Zertifikat gültig ist und ob an der E-Mail etwas geändert wurde, erkenntlich an einer Subject-Kennzeichnung wie «signed OK» bzw. «signed INVALID».
Auf das neue Datenschutzgesetz vorbereitet sein
Das revidierte Schweizer Datenschutzgesetz tritt am 1. September 2023 in Kraft. Das Hauptziel des Gesetzes besteht darin, die Transparenz und den Schutz der persönlichen Daten von betroffenen Personen zu stärken. Bei einem Verstoss drohen Bussgelder von bis zu 250’000 Franken.
Wichtig zu verstehen: Im revDSG werden nicht die Unternehmen zur Kasse gebeten, sondern natürliche Personen, z.B. der CISO oder IT-Leiter. Das neue Datenschutzgesetz stellt insbesondere höhere Ansprüche an die Datenintegrität bei Personendaten und besonders schützenswerten Personendaten, die in noch stärkerem Umfang als bisher durch technische Massnahmen geschützt werden müssen. Zu den «gewöhnlichen» Personendaten gegenüber besonders schützenswerten Personendaten (wie Daten über die Gesundheit, politische und weltanschauliche Ansichten) zählen beispielsweise der Name, die Adresse oder das Geburtsjahr der jeweiligen Person. Ein hohes Risiko eines «Profilings» bestünde für die Persönlichkeit oder die Grundrechte der betroffenen Person insbesondere bei einer Verknüpfung von Daten, die eine Beurteilung wesentlicher Aspekte der Persönlichkeit einer natürlichen Person erlauben würde (Kapitel 2. Abs. 1, Art. 5g). Eine wesentliche Rolle spielt daher eine datenschutzkonforme E-Mail-Kommunikation.
Ausblick
Ich hoffe, dass Sie jetzt eine bessere Vorstellung davon haben, wie Einzelpersonen und Organisationen ihre Datenintegrität unterstützen können, indem sie Mailsignaturen und Mailverschlüsselung sowie DKIM und SPF verwenden. Ein weiteres Thema wäre die Integritätsprüfung der Daten im internen Netzwerk.
Auf unserem IT-Security Blog Tec-Bite werde ich Sie weiter über Themen wie Montoring und Logging, Datenschutzmassnahmen und E-Mail-Governance auf dem Laufenden halten. Ich freue mich, Ihnen bei der Förderung Ihrer Datenintegrität zu helfen.
Weiterführende Links:
Lenti
Lenti ist Senior Security Engineer und langjähriger AVANTEC-Mitarbeiter. Er interessiert sich für Firewalls, Zscaler, BlueCoat, SEPPmail, Cisco IronPort, Sandboxing und das Zusammenspiel aller Komponenten in komplexen Umgebungen.