Warum TLS für Ihre E-Mail-Verschlüsselungsstrategie möglicherweise nicht ausreicht
Das digitale Zeitalter hat unser Leben und die Art und Weise, wie Unternehmen arbeiten, revolutioniert. Unternehmen haben heute eine wesentlich intensivere Interaktion mit ihren Kunden und verfügen über deutlich mehr Daten, um ihr Geschäft und das Kaufverhalten ihrer Kunden besser zu verstehen. Diese Daten ermöglichen es Unternehmen, Effizienzlücken zu schließen, Wachstumschancen zu identifizieren und ihre Kunden besser zu bedienen.
Diese Daten sind, wenig überraschend, unglaublich wertvoll. Ihr Schutz ist daher entscheidend für das Überleben eines Unternehmens in einem sehr wettbewerbsintensiven Markt. Wenn Organisationen ihre personenbezogenen Daten (PII), geschützte Gesundheitsinformationen (PHI), geistiges Eigentum (IP) oder andere vertrauliche Informationen schützen, gewährleisten sie die Geschäftskontinuität, demonstrieren die Einhaltung von Datenschutzvorschriften und bewahren ihren guten Ruf.
Unternehmen müssen ihre sensiblen Informationen schützen, egal ob sie auf Servern gespeichert oder per E-Mail oder über einen anderen Kommunikationskanal geteilt werden. Die Transport Layer Security (TLS) ist zu einem wichtigen Bestandteil jeder E-Mail-Sicherheitsstrategie von Organisationen geworden, da sie versuchen, Vorschriften wie die Payment Card Industry Data Security Standard (PCI DSS), den Health Insurance Portability and Accountability Act (HIPAA) und die Datenschutz-Grundverordnung der Europäischen Union (DSGVO) einzuhalten.
Die Aktivierung von TLS garantiert jedoch nicht, dass Ihre E-Mails vor neugierigen Blicken sicher sind. Tatsächlich nutzen viele Organisationen TLS immer noch falsch, was ihre E-Mails anfällig für unbefugten Zugriff und Datenlecks macht.
Wie funktioniert TLS?
Damit eine Website oder Anwendung TLS nutzen kann, muss ein TLS-Zertifikat installiert sein. Ein TLS-Zertifikat wird der Person oder dem Unternehmen ausgestellt, das eine Domain besitzt. Das Zertifikat enthält wichtige Informationen über den Besitzer der Domain und den öffentlichen Schlüssel des Servers, die beide für die Validierung der Identität des Servers wichtig sind.
Eine TLS-Verbindung wird mit einer Sequenz namens TLS-Handshake initiiert. Immer wenn jemand eine Website besucht, die TLS verwendet, beginnt der TLS-Handshake zwischen dem Gerät des Benutzers (auch bekannt als Client-Gerät) und dem Webserver.
Während des TLS-Handshakes machen das Gerät des Benutzers und der Webserver folgendes:
- Bestimmen, welche Version von TLS (TLS 1.0, 1.2, 1.3, usw.) zu verwenden ist,
- Entscheiden, welche Verschlüsselungssätze zu verwenden sind,
- Authentifizieren die Identität des Servers mit dem TLS-Zertifikat des Servers, und
- Generieren Sitzungsschlüssel für das Verschlüsseln von Nachrichten zwischen dem Gerät des Benutzers und dem Webserver nach Abschluss des Handshakes.
Was ist eine Zertifizierungsstelle (CA)?
Eine Zertifizierungsstelle (CA) ist eine Organisation, die dazu dient, die Identitäten von Entitäten (z.B., Websites, E-Mail-Adressen, Unternehmen oder Einzelpersonen) zu validieren und sie durch Ausstellung elektronischer Dokumente, bekannt als digitale Zertifikate, an kryptographische Schlüssel zu binden.
Ein digitales Zertifikat bietet folgendes:
- Authentifizierung – dient als Nachweis zur Validierung der Identität der Entität, an die es ausgestellt wurde
- Verschlüsselung – für sichere Kommunikation über unsichere Netzwerke
- Die Integrität von Dokumenten, die mit dem Zertifikat signiert wurden, so dass eine dritte Partei im Transit sie nicht verändern kann
Was ist der Unterschied zwischen TLS und SSL?
TLS hat sich aus einem früheren Verschlüsselungsprotokoll namens Secure Sockets Layer (SSL), entwickelt von Netscape, entwickelt. Die Entwicklung von TLS Version 1.0 begann als SSL Version 3.1, aber der Name des Protokolls wurde vor der Veröffentlichung geändert, um anzuzeigen, dass es nicht mehr mit Netscape verbunden war. Daher werden TLS und SSL manchmal austauschbar verwendet.
Mögliche Sicherheitslücken bei TLS
Obwohl TLS und SSL zweifellos eine wichtige Grundlage für den Ansatz jedes Unternehmens zur Datensicherheit bilden, enthalten sie dennoch Schwachstellen.
Die Hauptproblematik entsteht durch das mangelnde Verständnis der Unternehmen hinsichtlich der E-Mail-Verschlüsselung, wobei viele glauben, dass der Transportkanal und somit die E-Mail vollständig gesichert ist, wenn TLS verwendet wird.
Unternehmen müssen jedoch daran denken, dass E-Mail-Nachrichten zwischen dem E-Mail-Server des Absenders und des Empfängers reisen, ein Kanal, der Hops außerhalb ihrer jeweiligen Netzwerke einschließt. Eine E-Mail ist nur bis zum nächsten Mail-Hop geschützt, und es besteht keine Möglichkeit zu kontrollieren, was damit geschieht, sobald sie den nächsten Simple Mail Transfer Protocol (SMTP) Hop erreicht.
Eine vertrauliche Nachricht könnte also innerhalb des Netzwerks des Unternehmens offengelegt werden, da TLS keine Ende-zu-Ende-Verschlüsselung bietet. TLS sichert nur den Kanal vom Gerät des Absenders zum Unternehmens-Mail-Server. Aber E-Mails werden oft über zusätzliche Server übertragen, wo eine Verschlüsselung nicht garantiert werden kann.
Zum Beispiel können Daten im Falle von Antivirus-Prüfungen und Inhalts-Scans auf dem Weg neugierigen Administratoren oder anderen Mitarbeitern ausgesetzt sein.
Ein weiteres Sicherheitsrisiko liegt in den verwendeten X.509-Zertifikaten. Viele Unternehmen versäumen es, ihre Zertifikate zu validieren, wodurch alle ihre sensiblen Daten freigelegt werden.
Unternehmen müssen sicherstellen, dass Zertifikate von einer vertrauenswürdigen und renommierten Zertifizierungsstelle (CA) ausgestellt wurden. Dies ist alles andere als trivial, da viele Unternehmen ihre Zertifikate selbst signieren.
Unternehmen müssen auch prüfen, ob Zertifikate gültig sind und ob Verschlüsselungsalgorithmen und Schlüssellängen aktuell (sprich: auf dem neuesten Stand) sind.
Viele Unternehmen, insbesondere solche, die OpenSSL verwenden, erstellen ihre eigenen Zertifikate, da dies bequem und kostengünstiger ist als Zertifikate von einer ordnungsgemäßen CA. Ja, Zertifikate kosten Geld. Sie müssen gekauft und erneuert werden. Wenn Unternehmen vergessen zu erneuern, wird das Zertifikat schließlich widerrufen und die Unternehmen müssen die CA (wieder) für ein neues Zertifikat bezahlen.
Unternehmen sind oft auch nicht darüber informiert, dass wenn sie eine falsche TLS-Version verwenden, die keine “Perfect Forward Secrecy” bereitstellt, Nachrichten von nicht autorisierten Benutzern entschlüsselt werden können, die die Schlüssel entdecken.
Eine weitere bekannte TLS-Einschränkung ist die “optionale TLS”-Systemkonfiguration. Mit “verpflichtendem TLS” wird das ursprüngliche System eine E-Mail-Nachricht nur dann übertragen, wenn das nächste System in der Kette TLS unterstützt; die Nachricht wird nicht übertragen, wenn dieses System TLS nicht unterstützt. Wenn jedoch ein System “optionales TLS” verwendet, wird es die Nachricht trotzdem übertragen, wodurch der Kanal unverschlüsselt bleibt und die Nachricht ausgesetzt wird.
Hier sind einige zusätzliche Gründe, warum TLS möglicherweise nicht ausreicht, um Ihre E-Mail-Kommunikation zu sichern.
TLS schützt E-Mails vor einigen, aber nicht allen Arten von Angriffen
TLS allein ist nicht ausreichend für die E-Mail-Sicherheit, da es nur vor einigen Formen von E-Mail-Angriffen schützt. TLS ist besonders wirksam gegen Man-in-the-Middle und Lauschangriffe, die während der Datenübertragung auftreten. Wenn Sie vertrauliche Informationen auf Ihren Servern oder Datenbanken gespeichert haben, müssen Sie ein zusätzliches Verschlüsselungsprotokoll wie Pretty Good Privacy (PGP) oder Secure/Multipurpose Internet Mail Extensions (S/MIME) verwenden.
Diese Verschlüsselungsprotokolle stellen sicher, dass ein Hacker, der Zugang zum Server erhält, die verschlüsselten Daten nicht lesen kann. Und da diese Protokolle nicht darauf angewiesen sind, Klartext über das Kabel zu senden, sind sie weniger anfällig für Traffic-Analysen und andere Side-Channel-Angriffe, die verschlüsselte Kommunikationsströme überwachen.
TLS kann anfällig für Downgrade-Angriffe sein
TLS wird in der Regel verwendet, um Verbindungen zwischen Ihrem Computer und einem Server zu sichern, wie wenn Sie sich mit einem Browser in Ihr E-Mail-Konto einloggen. Aber es kann auch für andere Verbindungen verwendet werden, wie das Versenden von E-Mails von einem Server zu einem anderen.
Das Problem mit diesem Ansatz ist, dass die gesamte Verbindung nicht verschlüsselt ist. Nur die Daten zwischen den sendenden und empfangenden Servern sind verschlüsselt – und diese Server haben möglicherweise keine starke Sicherheit. Ein Downgrade-Angriff könnte den Verkehr auf einem unverschlüsselten Link abfangen und Nachrichten lesen, während sie vorbeigehen. Es sei denn, Sie haben Ende-zu-Ende-Verschlüsselung, könnten Sie Ihre Daten und Ihre Organisation gefährden.
TLS benötigt einen stärkeren Handshake
TLS ist das heute am häufigsten verwendete Verschlüsselungsprotokoll, hat aber immer noch Einschränkungen. Um sicherzustellen, dass die E-Mails Ihres Unternehmens von Anfang an sicher und verschlüsselt sind, verwenden Sie STARTTLS mit Verschlüsselungsalgorithmen wie PGP oder S/MIME.
Auf diese Weise können selbst wenn jemand Ihre E-Mails während der Übertragung abfängt, diese ohne Ihren privaten Schlüssel nicht gelesen werden. Es erschwert auch einen Man-in-the-Middle-Angriff, indem eine zusätzliche Verschlüsselungsebene über dem ursprünglichen TLS-Handshake hinzugefügt wird.
Wenn Sie vertrauliche Informationen haben, die sicher übertragen werden müssen, sollten Sie in Erwägung ziehen, eine zusätzliche Schutzschicht hinzuzufügen, indem Sie Ihre E-Mail über einen Drittanbieterdienst verschlüsseln.
Kiteworks für Ende-zu-Ende-Sicherheit und Verschlüsselung
Kiteworks ist mehr als ein sicherer E-Mail-Anbieter. Es dient als Private Content Network (PCN) für Governance, Compliance und Sicherheit im Zusammenhang mit dem Senden und Empfangen sensibler Inhalte innerhalb, durch und aus einer Organisation.
Kiteworks bietet unternehmensweite Verschlüsselung und einheitliche Sicherheitskontrollen über ein E-Mail-Verschlüsselungsgateway sowie ein Microsoft Outlook-Plugin, eine Webanwendung, ein Unternehmensanwendungs-Plugin oder eine mobile Anwendung. Es bietet auch rollenbasierte Policy-Automatisierung, um die Sicherheit und Compliance der sensibelsten Informationen einer Organisation zu gewährleisten.
Vereinbaren Sie eine persönliche Demo, um zu erfahren, wie Kiteworks das Senden und Empfangen von E-Mails automatisiert, die vertrauliche Informationen enthalten, unabhängig vom verwendeten Verschlüsselungsstandard.