de-DEen-GB
rss

Granikos Technology Blog

IllustrationÜber die Webseite Gemeinsames Registerportal der Länder haben Unternehmen u.a. die Möglichkeit, eine Online-Abfrage des eigenen Handelsregisterauszuges anzufragen und zusenden zu lassen. Diese Dienstleistung ist gebührenpflichtig.

Nach der Abfrage des Handelsregisterauszuges im Juli 2020 fand Anfang August 2020 eine E-Mail mit der Absenderadresse gebuehrennachweis@handelsregsiter.de ihren Weg in den Posteingang meines Postfaches. Auf der Webseite des Registerportals wird auf die Warnhinweise der Landesjustizverwaltungen und des Bundesministeriums der Justiz hingewiesen. Dieser Hinweis war Grund genug, doch einmal einen ausführlichen Blick auf die E-Mail des Gebührennachweises zu werfen. Dieser Hinweis wird in der E-Mail sogar noch einmal wiederholt.

Die allgemeine und die technische Bewertung der E-Mail mit Dateianhang des Gebührennachweises als PDF-Datei war sehr ernüchternd. Ich wurde sofort an die problematischen E-Mail-Nachrichten im Zusammenhang mit der NRW Soforthilfe erinnert. Denn auch im Fall des Registerportals werden die E-Mail-Nachrichten von Systemen der IT.NRW versendet.

 

Hinweis
Beim Aufruf der Webseite macht der kleine Buchstabe 's' den Unterschied. Die Url handelsregister.de führt zum Registerpoertal der Länder. Die Url handelregister.de führt jedoch zu einer privat geführten Website. Achten Sie darauf, dass Sie auf das richtige Portal zugreifen.

 

Die E-Mail - Aus Sicht des Anwenders

Bereits in der Übersicht des Posteingangs zeigte sich die E-Mail verhaltensauffällig. Die Absenderadresse der E-Mail-Nachricht verfügt über keinerlei Klartextnamen. Die Anzeige der E-Mail-Adresse alamierte mich sofort. Der Betrefftext der Nachricht förderte mein Misstrauen nur. Das Registerportal sendet anscheinend keine Einzelnachweise, sondern monatliche Zusammenfassungen. 

Ein weiterer Punkt ist, dass es sich um eine technische Nachricht handelt, auf die man als Empfänger nicht direkt anworten soll. Solch ein Vorgehen ist für Empfänger in der Regel nicht nachvollziehbar und, aus meiner Sicht, heutzutage ebenfalls ein Indikator für eine E-Mail-Nachricht zweifelhafter Herkunft.

 

Screenshot E-Mail mit Gebührennachweis

 

Anwender, die solch eine Nachricht erhalten, haben keinerlei Möglichkeit, die Integrität der Nachricht oder die Gültigkeit des Absenders zu überprüfen.

Der Blick in die technischen Informationen der E-Mail-Nachricht und die Prüfung wichtiger Basis-Sicherheitsfunktionen für die E-Mail-Kommunikationen zeigen eklatante Lücken auf, die heutzutage mit einfachen Mitteln vermeidbar sind. 

 

Die E-Mail - Aus Sicht der IT

E-Mail Kopfinformationen

Der erste Blick richtet sich immer auf die Kopfinformationen einer E-Mail-Nachricht. Wie schon im Falle der E-Mail-Nachrichten zur NRW Soforthilfe werden die Namen und IP-Adressen interner Systeme nicht aus den Kopfinformationen entfernt. Das Verhalten bei der Zustellung der E-Mail ändert sich durch das Entfernen der internen Topologieinformationen nicht. Jedoch stellen diese Informationen ein Sicherheitsrisiko dar. Potentielle Angreifer erhalten ausreichend Informationen über die Namensschema und IP-Adressen interner Systeme. 

 

Screenshot E-Mail Nachrichtenheader

Das Entfernen interner Topologieinformationen ist bereits seit Jahren Stand der Technik, wird in diesem Fall jedoch nicht angewandt.

 

MX - Mail Exchanger DNS Eintrag

Nach der Auswertung der E-Mail-Kopfinformationen ist die Prüfung des DNS-Eintrages für den oder die E-Mail-Server der Domäne handesregister.de an der Reihe. Ich verwende hierzu immer die Werkzeuge der Webseite MX Toolbox

Aus den Kopfinformationen können wir ablesen, dass das versendende System auf den Namen sbmail.it.nrw.de konfiguriert ist. Der Name wird vom öffentlichen Name Server auf die IP-Adresse 93.184.132.24 aufgelöst. 

Die Prüfung des MX DNS-Eintrages ergibt leider andere Informationen.

Screenshot - MX DNS-Eintrag handelsregister.de

 

Der Empfang von Nachrichten für die Domäne handelsregister.de erfolgt über den Namen postamt.it.nrw.de, der auf die IP-Adresse 93.184.132.233 aufgelöst wird. Dies stellt für E-Mail-Server die Nachrichten an Empfänger dieser Domäne senden, kein Problem dar. Für E-Mail-Server, die Nachrichten von handelsregister.de empfangen, ist dies jedoch problematisch.

Einer der Standardprüfungen, die E-Mail-Server beim Empfang einer Nachricht durchführen, ist die Prüfung, ob die einliefernde IP-Adresse mit der IP-Adressauflösung des MX-Eintrages übereinstimmt. Wenn dies, wie in diesem Fall, nicht zutrifft, erhöht dies automatisch der Wahrlichkeit, dass es sich um eine Spam-Nachricht handelt. Je mehr Absenderprüfungen fehlschlagen, desto höher ist die Wahrscheinlichkeit. 

Die Tatsache, dass unterschiedliche System für den Versand und für den Empfang von E-Mail-Nachrichten verwendet werden, ist nicht ungewöhnlich. Um solch eine Konfiguration anderen E-Mail-Servern bekanntzumachen, gibt es eine technische Lösung; das Sender Policy Framework.

 

SPF - Sender Policy Framework

Das Sender Policy Framework (SPF) unterstützt die Möglichkeit, gültige Systeme für den Versand von E-Mail-Nachrichten einer einzelnen Domäne zu definieren. HIerzu wird in der DNS-Zone ein sog. SPF-Eintrag hinterlegt, der sowohl Namen als auch IP-Adressen gültiger Systeme enthalten kann. Zusätzlich ist es möglich, Referenzen auf SPF-Einträge anderer Domänen einzutragen, wenn diese ebenfalls E-Mail-Nachrichten für die Domäne versenden.

Die Domäne handelsrgister.de existiert kein SPF-Eintrag in der externen DNS-Zone.

Screenshot - fehlender SPF Eintrag für handelsregister.de

 

Dies bedeutet, dass keine gültigen Systeme für den Versand von E-Mail-Nachrichten definiert sind. Empfangende Systeme haben keine Möglichkeit zur Prüfung und nehmen somit E-Mail-Nachrichten von beliebigen Systemen aus dem Internet entgegen. Dies stellt ein enormes Sicherheitsrisiko dar und kann als fahrlässige Fehlkonfiguration eingestuft werden. 

Das Fehlen des SPF-Eintrages wird beim Empfang einer Nachricht von modernen Systemen als Verstoß gegen Industriestandards bewertet und führt automatisch zu einer Erhöhung der Spam-Wahrscheinlichkeit. 

 

DKIM - Integrität der E-Mail-Kopfinformationen

Selbst wenn keine SPF-Informationen vorliegen, können in einer E-Mail die Empfänger- und Absenderinformationen abgesichert werden. Hierzu steht die Funktion DomainKeys Identified Mail (DKIM) zu Verfügung. Hierbei erfolgt eine Signierung dieser und andere Informationen der E-Mail. Das empfangende System hat die Möglichkeit, eine DKIM-signierte E-Mail-Nachricht mit Hilfe des DKIM-Eintrages in der DNS-Zone der sendenden Domäne zu prüfen. 

Hierdurch wird sichergestellt, dass die Nachricht von einem System signiert wurde, dass über den privaten DKIM-Schlüssel verfügt. Absender ohne Zugriff auf den privaten Schlüssel haben keine Möglichkeit, solch eine Signierung durchzuführen. 

Screenshot - Fehlende DMARC, SPF und DKIM Einträge für handelsregister.de

E-Mail-Nachrichten der Domäne handelsregister.de werden nicht durch eine DKIM-Signierung geschützt. Somit haben empfangende Systeme keinerlei Möglichkeit, die Gültigkeit einer E-Mail-Nachricht der Domäne handelsregister.de zu prüfen.

 

DMARC - Schutz vor E-Mail-Missbrauch

Um den MIßbrauch von E-Mail-Nachrichten einzuschränken, wurde die Funktion DMARC (Domain-based Message Authentication, Reporting and Conformance) entwickelt. DMARC kann ergänzend zu SPF und DKIM eingesetzt werden. Auch DMARC wird über einen DNS-Eintrag in der Absender-Domäne definiert. Ein DMARC-Eintrag gibt dem empfangenden System Informationen, wie mit einer E-Mail zu verfahren ist, wenn die Validierung von SPF und DKIM fehlschlägt. Zusätzlich kann in einem DMARC-Eintrag festgelegt werden, an welche E-Mail-Adresse Benachrichtigungen über fehlerhafte E-Mail-Nachrichten gesendet werden sollen. Als Betreiber einer Domäne erhalte ich so Informationen, welche System in Internet meine Domäne als Absenderdomäne verwenden. 

Da weder DKIM-, noch SPF-Einträge für die Domäne handelsregister.de vorhanden sind, fehlt auch ein DMARC-Eintrag. 

Gerade im Hinblick auf die Sensibilität der Informationen, die über diese Domäne versendet werden, ist die Implementierung aller drei Schutzfunktionen drigend angeraten.

 

E-Mail-Verschlüsselung oder -Signierung

Ob eine Verschlüsselung der E-Mail-Nachricht an sich notwendig ist, kann man diskutieren. Sowohl Nachricht als auch der PDF-Dateianhang waren nicht verschlüsselt. Eine S/MIME Signierung der Nachricht, als Mindestmaß zur Sicherstellung der Integtrität des Absender, fehlte ebenfalls.

 

TLS-Prüfung 

Das sendende System sbmail.it.nrw.de ist nicht für eigehende Verbindungen aus dem Internet konfiguriert. Die Prüfung des MX-Endpunktes für handelsregister.de offenbahrte die bereits bekannten TLS-Schwächen.

Der Test des TLS-Endpunkte erfolgte mit dem TLS-Scanner von ImmuniWeb.

Screenshot - TLS Zusammenfassung postamt.it.nrw.de

 

Die schlechte Beurteilung hat mehrere Gründe:

  • Unterstützung von TLS 1.0

    Screenshot - Unterstützte TLS-Protokolle von postamt.it.nrw.de
     
  • Unterstützung unsicherer TLS-Verfahren und damit ein Verstoß gegen Best Practices Empfehlungen

    Screenshot - Industry Best Practices Analyse für postamt.it.nrw.de
    Die fehlende Unterstützung von TLS 1.3 ist noch nicht als kritisch zu bewerten. Das eine TLS-Neuaushandlung durch den TLS-Client unterstützt wird, ist jedoch als sehr kritisch einzustufen. Hierzu existieren zahlreiche dokumentierte Angriffsszenarien.
     
  • Unterstützung von unsicheren Cipher Suiten
TLS_RSA_WITH_RC4_128_MD5
TLS_RSA_WITH_RC4_128_SHA
TLS_RSA_WITH_IDEA_CBC_SHA
TLS_RSA_WITH_3DES_EDE_CBC_SHA
TLS_DHE_RSA_WITH_3DES_EDE_CBC_SHA
TLS_ECDHE_RSA_WITH_RC4_128_SHA
TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA
TLS_DH_anon_WITH_RC4_128_MD5
TLS_DH_anon_WITH_3DES_EDE_CBC_SHA
TLS_DH_anon_WITH_AES_128_CBC_SHA
TLS_DH_anon_WITH_AES_256_CBC_SHA
TLS_DH_anon_WITH_CAMELLIA_128_CBC_SHA
TLS_DH_anon_WITH_CAMELLIA_256_CBC_SHA
TLS_DH_anon_WITH_SEED_CBC_SHA
TLS_ECDH_anon_WITH_RC4_128_SHA
TLS_ECDH_anon_WITH_3DES_EDE_CBC_SHA
TLS_ECDH_anon_WITH_AES_128_CBC_SHA
TLS_ECDH_anon_WITH_AES_256_CBC_SHA
TLS_DH_anon_WITH_AES_128_CBC_SHA256
TLS_DH_anon_WITH_AES_256_CBC_SHA256
TLS_DH_anon_WITH_AES_128_GCM_SHA256
TLS_DH_anon_WITH_AES_256_GCM_SHA384

 

 

Fazit

Auch in diesem Fall ist es nicht möglich, ein postives Fazit zu ziehen. Im Vergleich zur Problematik der E-Mail-Nachrichten zur NRW Soforthilfe handelt es sich hier um E-Mail-Nachrichten, die zu einer bundesweit bereitgestellen Diensleistung gehören. Die Bundesländer und der Bund, die diese Dienstleistung in Anspruch nehmen, tun gut daran, sich für eine Verbesserung der Sicherheit im Umgang mit E-Mail-Nachrichten einzusetzen. 

Die Möglichkeiten zur Verbesserung gliedern sich in zwei Bereiche.

  • Implementierung von Industriestandards zur Sicherung der E-Mail-Kommunikation
    • Implementierung von SPF, DKIM, DMARC
  • Umsetzung von Standards zur Sicherung von E-Mail-Nachrichten, die durch Applikationen versendet werden
    • Nutzung von Klartextnamen für Absenderadressen
    • S/MIME-Signierung von E-Mail-Nachrichten

SPF, DKIM und DMARC sind Industriestandards. Dass diese Funktionen nicht zum Schutz von E-Mail-Nachrichten verwendet werden, ist grob fahrlässig. 

Im Hinblick auf eine eGovernment-Infrastruktur und ein Vertrauen in eine sichere (E-Mail-)Kommunikation besteht bei IT.NRW noch Nachholbedarf. Die aktuelle Konfiguration öffnet Tür und Tor für Betrüger und ist geradezu eine Einladung zum Versand von Phishing- und Malware-Nachrichten. Unternehmen, die Nachrichten von solchen Domänen empfangen, können sich nur durch eine explizite Abweisung der E-Mail-Nachrichten schützen. Andere Lösungsansätze führen immer manuellen Anpassungen auf der Empfängerseite und zu einem erhöhten Aufwand beim Betrieb einer sicheren IT-Infrastruktur. 

Der Handlunsbedarf liegt eindeutig auf Seiten von IT.NRW.  

 

Links

 

 

Weiterlesen »
The english version of the post has been published at ENow's ESE Blog: The Requirement to Trust and Change When Moving to the Cloud

 

Cloud Security ImageDie Möglichkeit, computerbasierte Daten auf Fremdsystemen zu verarbeiten ist keine neue Erfindung. Zum Beispiel wird die Auslagerung von Finanzdaten zu Steuerberatern zur weiteren Verarbeitung bereits seit Jahrzehnten genutzt. Seit der Einführung des Begriffes „Cloud“ erzeugt der Gedanke, das computerbasierte Daten bei Fremddienstleistern gespeichert und verarbeitet werden, jedoch für ein unwohles Gefühl.

In Gesprächen zum Thema Office 365 bekomme ich oft umgehend zahlreiche Argumente gegen "die Cloud" zu hören. Bei einer genauen Betrachtung der Argumente wird aber meist schnell deutlich, dass diese durch Vorurteile geprägt und nicht durch persönliche Erfahrungen gedeckt sind. Die unzähligen Chancen zur Nutzung von Cloud-Diensten für die Weiterentwicklung von einem Unternehmen hergestellten Produkte oder angebotenen Dienstleistungen treten in den Hintergrund.

An diesem Umstand sind die Cloud-Anbieter allerdings nicht ganz unschuldig, da sie bei der Einführung von Cloud-Technologien nur ihre Marketingargumente im Fokus hatten und die Fragen oder Bedenken der potentiellen Kunden ignoriert haben.

Veränderung

Mit dem Begriff Cloud wird nicht der Ort der gespeicherten Daten bei einem Fremddienstleister beschrieben, sondern vielmehr der Gedanke, wie mit Daten gearbeitet wird. Die althergebrachten Methoden zum individuellen Arbeiten mit E-Mails, dem gemeinsamen Erstellen von Dokumenten oder die Einführung von modernen Softwarelösungen halten der digitalen Transformation nicht Stand.

Der Weg zu neuen Methoden des Arbeitens erfordert eine Veränderung dieser etablierten Arbeitsweisen.

Anwender haben heute in den Cloud-Diensten unterschiedliche Werkzeuge zur Verfügung, um in ihrem individuellen Arbeitsumfeld kreativ und produktiv zu agieren. Und dies unabhängig vom Arbeitsgerät oder Arbeitsort.

Unternehmen als Ganzes nähern sich dem Thema Cloud nur langsam, da die hohe Veränderungsgeschwindigkeit der Cloud-Dienste in IT-Abteilungen als negative Eigenschaft angesehen wird. Dies ist umso interessanter, als es sich hierbei um keine neue Entwicklung handelt. Der Wechsel aus dem trägen Umfeld, in dem neue Produktversionen erst mit großer Verzögerung eingeführt wurden, in ein Umfeld, in dem jedes Quartal eine neue Produktversion mit sich bringt, fällt schwer. Die etablierten Prozesse, die bei der Einführung einer neuen Produktversion zu befolgen sind, dauern oft länger als die Nutzungszeit des Produktes.

Vertrauen

Die Auswahl eines Cloud-Anbieters richtet sich nicht nur nach dem angebotenen Diensten, sondern auch nach dem Vertrauen, dass ich als Unternehmen dem Anbieter entgegenbringe. Dieses Vertrauen ist auf mehreren Ebenen notwendig. Hierzu gehören die physikalischen Sicherheitsfunktionen der Rechenzentren ebenso wie der technische Zugriffsschutz auf Server und Speichermedien.

Die in Office 365 eingesetzten Produkte haben die gleiche Codebasis wie die Produkte für die Installation in einer lokalen IT-Infrastruktur. Hier vertrauen Kunden bereits den Funktionen und der Sicherheit der eingesetzten Produkte. Der große Unterschied ist, dass in der Cloud die Funktionen für einen sicheren Zugriff nicht optional deaktiviert werden können, was in einer lokalen IT-Umgebung möglich ist.

Microsoft bietet in der Kombination von Office 365 und Microsoft Azure eine Cloud-Plattform, in der Daten sicher und verschlüsselt gespeichert werden. Der Zugriff auf diese Daten ist für berechtigte Mitarbeiter des Office 365 Kunden nur über verschlüsselte Kommunikationswege möglich. Mitarbeiter von Microsoft als direktem Dienstleister des Cloud-Angebotes oder Mitarbeiter von Vertragsunternehmen haben keinen Zugriff auf die Daten. Office 365 bietet im Zusammenspiel mit Azure AD eine Audit-Funktion für die Verwaltung der Cloud-Umgebung und den Zugriff von Anwendern auf Daten. Diese Audit-Funktionen sind Anforderungen der EU-Datenschutzrichtlinie (DSGVO) und anderen.

Microsoft stellt in den Trust Centern von Office 365 und Microsoft Azure alle Informationen bereit, um das Vertrauen in die Cloud-Plattform zu schaffen.

Zusammenfassung

Die Nutzung von Cloud-Diensten erfordert Vertrauen in den Cloud-Anbieter, die Cloud-Infrastruktur und den Cloud-Dienst selber. Wenn Ihr Unternehmen bereits Fremddienstleister für die Datenverarbeitung beauftragt hat, ist das notwendige Vertrauen bereits vorhanden. Der Namenszusatz "Cloud" ändert nichts an diesem Vertrauen. Bei Zweifeln zur Cloudnutzung stellen die Cloud-Anbieter Informationen zur Verfügung, um diesen Zweifeln zu begegnen.

Neben dem Vertrauen bedarf es auf dem Weg zu einer erfolgreichen und produktiven Nutzung von Cloud-Diensten der Bereitschaft zur Veränderung von etablierten Arbeitsweisen hin zu flexiblem Arbeiten.

Cloud ist kein Ort – Cloud ist ein Gedanke

 

Links

 

 

Weiterlesen »

Das Exchange Blog Cumulative Update für August 2015 (CU0815) fasst interessante Themen rund um Exchange Server und Office 365 (Exchange Online), Azure und Skype for Business (aka Lync) des Monats August 2015 zusammen.

Exchange Server

Office 365 & Exchange Online

  • [STICKY] Office 365-Trust Center, http://bit.ly/Office365TrustCenter
  • Network planning and performance tuning for Office 365, http://bit.ly/Office365NetworkPlanning Hybrid deployment best practices, http://bit.ly/ExchangeHybridBestPractices Exchange 2013 Hybrid Wizard–Empty Certificate Dropdown, http://bit.ly/HCWCertificateDropdown Managing Encryption in Exchange Online – Which Is the Right Technology for Your Organization?, http://bit.ly/ManagingExchangeOnline

Skype for Business, Lync Server & Communication

  • Lync 2010 Client Security Update – August 2015, http://bit.ly/Lync2010UpdateAug2015 Lync 2013 / SfB 2015 Client Security Update – August 2015, http://bit.ly/Lync2013UpdateAugust2015

Windows Azure

Allgemeine Themen & Sicherheit

Replay

Podcast Empfehlungen

Tools / Software

 


Gerne unterstützen wir Sie bei der Planung und Durchführung Ihrer Exchange Server Implementierung oder Migration.

Sie denken über einen vollständigen Wechsel zu Office 365 oder eine Hybrid-Konfiguration mit Office 365 nach? Wir beraten Sie umfassend und ausführlich über die Möglichkeiten der Office 365 Plattform.

Sie möchten mehr über Exchange Server 2016 erfahren? Gerne erläutern wir Ihnen die technischen Änderungen und Möglichkeiten für Ihr Unternehmen in einem Workshop.

Weitere Informationen zu unseren Dienstleistungen finden Sie auf unserer Website (https://www.granikos.eu) oder nehmen Sie direkt mit uns Kontakt auf: info@granikos.eu

 

 

 

Weiterlesen »

Das Exchange Blog Cumulative Update für Juli 2015 (CU0715) fasst interessante Themen rund um Exchange Server und Office 365 (Exchange Online), Azure und Skype for Business (aka Lync) des Monats Juli 2015 zusammen.

Exchange Server

Office 365 & Exchange Online

Skype for Business, Lync Server & Communication

Windows Azure

Allgemeine Themen & Sicherheit

Replay

Podcast Empfehlungen

Tools / Software

 


Gerne unterstützen wir Sie bei der Planung und Durchführung Ihrer Exchange Server Implementierung oder Migration.

Sie denken über einen vollständigen Wechsel zu Office 365 oder eine Hybrid-Konfiguration mit Office 365 nach? Wir beraten Sie umfassend und ausführlich über die Möglichkeiten der Office 365 Plattform.

Sie möchten mehr über Exchange Server 2016 erfahren? Gerne erläutern wir Ihnen die technischen Änderungen und Möglichkeiten für Ihr Unternehmen in einem Workshop.

Weitere Informationen zu unseren Dienstleistungen finden Sie auf unserer Website (https://www.granikos.eu) oder nehmen Sie direkt mit uns Kontakt auf: info@granikos.eu

 

 

Weiterlesen »

Das Exchange Blog Cumulative Update für Juni 2015 (CU0615) fasst interessante Themen rund um Exchange Server und Office 365 (Exchange Online), Azure und Skype for Business (aka Lync) des Monats Juni 2015 zusammen.

Alle Links für des CU 0615 finden Sie über unser Bitly Tag Blog CU 0515 (als Bitly Mitglied).

Exchange Server

Office 365 & Exchange Online

Skype for Business, Lync Server & Communication

Windows Azure

Allgemeine Themen & Sicherheit

Replay

Podcast Empfehlungen

Tools / Software

 


Gerne unterstützen wir Sie bei der Planung und Durchführung Ihrer Exchange Server Implementierung oder Migration.

Sie denken über einen vollständigen Wechsel zu Office 365 oder eine Hybrid-Konfiguration mit Office 365 nach? Wir beraten Sie umfassend und ausführlich über die Möglichkeiten der Office 365 Plattform.

Sie möchten mehr über Exchange Server 2016 erfahren? Gerne erläutern wir Ihnen die technischen Änderungen und Möglichkeiten für Ihr Unternehmen in einem Workshop.

Weitere Informationen zu unseren Dienstleistungen finden Sie auf unserer Website (https://www.granikos.eu) oder nehmen Sie direkt mit uns Kontakt auf: info@granikos.eu

 

Weiterlesen »