de-DEen-GB
rss

Granikos Technology Blog

IllustrationÜber die Webseite Gemeinsames Registerportal der Länder haben Unternehmen u.a. die Möglichkeit, eine Online-Abfrage des eigenen Handelsregisterauszuges anzufragen und zusenden zu lassen. Diese Dienstleistung ist gebührenpflichtig.

Nach der Abfrage des Handelsregisterauszuges im Juli 2020 fand Anfang August 2020 eine E-Mail mit der Absenderadresse gebuehrennachweis@handelsregsiter.de ihren Weg in den Posteingang meines Postfaches. Auf der Webseite des Registerportals wird auf die Warnhinweise der Landesjustizverwaltungen und des Bundesministeriums der Justiz hingewiesen. Dieser Hinweis war Grund genug, doch einmal einen ausführlichen Blick auf die E-Mail des Gebührennachweises zu werfen. Dieser Hinweis wird in der E-Mail sogar noch einmal wiederholt.

Die allgemeine und die technische Bewertung der E-Mail mit Dateianhang des Gebührennachweises als PDF-Datei war sehr ernüchternd. Ich wurde sofort an die problematischen E-Mail-Nachrichten im Zusammenhang mit der NRW Soforthilfe erinnert. Denn auch im Fall des Registerportals werden die E-Mail-Nachrichten von Systemen der IT.NRW versendet.

 

Hinweis
Beim Aufruf der Webseite macht der kleine Buchstabe 's' den Unterschied. Die Url handelsregister.de führt zum Registerpoertal der Länder. Die Url handelregister.de führt jedoch zu einer privat geführten Website. Achten Sie darauf, dass Sie auf das richtige Portal zugreifen.

 

Die E-Mail - Aus Sicht des Anwenders

Bereits in der Übersicht des Posteingangs zeigte sich die E-Mail verhaltensauffällig. Die Absenderadresse der E-Mail-Nachricht verfügt über keinerlei Klartextnamen. Die Anzeige der E-Mail-Adresse alamierte mich sofort. Der Betrefftext der Nachricht förderte mein Misstrauen nur. Das Registerportal sendet anscheinend keine Einzelnachweise, sondern monatliche Zusammenfassungen. 

Ein weiterer Punkt ist, dass es sich um eine technische Nachricht handelt, auf die man als Empfänger nicht direkt anworten soll. Solch ein Vorgehen ist für Empfänger in der Regel nicht nachvollziehbar und, aus meiner Sicht, heutzutage ebenfalls ein Indikator für eine E-Mail-Nachricht zweifelhafter Herkunft.

 

Screenshot E-Mail mit Gebührennachweis

 

Anwender, die solch eine Nachricht erhalten, haben keinerlei Möglichkeit, die Integrität der Nachricht oder die Gültigkeit des Absenders zu überprüfen.

Der Blick in die technischen Informationen der E-Mail-Nachricht und die Prüfung wichtiger Basis-Sicherheitsfunktionen für die E-Mail-Kommunikationen zeigen eklatante Lücken auf, die heutzutage mit einfachen Mitteln vermeidbar sind. 

 

Die E-Mail - Aus Sicht der IT

E-Mail Kopfinformationen

Der erste Blick richtet sich immer auf die Kopfinformationen einer E-Mail-Nachricht. Wie schon im Falle der E-Mail-Nachrichten zur NRW Soforthilfe werden die Namen und IP-Adressen interner Systeme nicht aus den Kopfinformationen entfernt. Das Verhalten bei der Zustellung der E-Mail ändert sich durch das Entfernen der internen Topologieinformationen nicht. Jedoch stellen diese Informationen ein Sicherheitsrisiko dar. Potentielle Angreifer erhalten ausreichend Informationen über die Namensschema und IP-Adressen interner Systeme. 

 

Screenshot E-Mail Nachrichtenheader

Das Entfernen interner Topologieinformationen ist bereits seit Jahren Stand der Technik, wird in diesem Fall jedoch nicht angewandt.

 

MX - Mail Exchanger DNS Eintrag

Nach der Auswertung der E-Mail-Kopfinformationen ist die Prüfung des DNS-Eintrages für den oder die E-Mail-Server der Domäne handesregister.de an der Reihe. Ich verwende hierzu immer die Werkzeuge der Webseite MX Toolbox

Aus den Kopfinformationen können wir ablesen, dass das versendende System auf den Namen sbmail.it.nrw.de konfiguriert ist. Der Name wird vom öffentlichen Name Server auf die IP-Adresse 93.184.132.24 aufgelöst. 

Die Prüfung des MX DNS-Eintrages ergibt leider andere Informationen.

Screenshot - MX DNS-Eintrag handelsregister.de

 

Der Empfang von Nachrichten für die Domäne handelsregister.de erfolgt über den Namen postamt.it.nrw.de, der auf die IP-Adresse 93.184.132.233 aufgelöst wird. Dies stellt für E-Mail-Server die Nachrichten an Empfänger dieser Domäne senden, kein Problem dar. Für E-Mail-Server, die Nachrichten von handelsregister.de empfangen, ist dies jedoch problematisch.

Einer der Standardprüfungen, die E-Mail-Server beim Empfang einer Nachricht durchführen, ist die Prüfung, ob die einliefernde IP-Adresse mit der IP-Adressauflösung des MX-Eintrages übereinstimmt. Wenn dies, wie in diesem Fall, nicht zutrifft, erhöht dies automatisch der Wahrlichkeit, dass es sich um eine Spam-Nachricht handelt. Je mehr Absenderprüfungen fehlschlagen, desto höher ist die Wahrscheinlichkeit. 

Die Tatsache, dass unterschiedliche System für den Versand und für den Empfang von E-Mail-Nachrichten verwendet werden, ist nicht ungewöhnlich. Um solch eine Konfiguration anderen E-Mail-Servern bekanntzumachen, gibt es eine technische Lösung; das Sender Policy Framework.

 

SPF - Sender Policy Framework

Das Sender Policy Framework (SPF) unterstützt die Möglichkeit, gültige Systeme für den Versand von E-Mail-Nachrichten einer einzelnen Domäne zu definieren. HIerzu wird in der DNS-Zone ein sog. SPF-Eintrag hinterlegt, der sowohl Namen als auch IP-Adressen gültiger Systeme enthalten kann. Zusätzlich ist es möglich, Referenzen auf SPF-Einträge anderer Domänen einzutragen, wenn diese ebenfalls E-Mail-Nachrichten für die Domäne versenden.

Die Domäne handelsrgister.de existiert kein SPF-Eintrag in der externen DNS-Zone.

Screenshot - fehlender SPF Eintrag für handelsregister.de

 

Dies bedeutet, dass keine gültigen Systeme für den Versand von E-Mail-Nachrichten definiert sind. Empfangende Systeme haben keine Möglichkeit zur Prüfung und nehmen somit E-Mail-Nachrichten von beliebigen Systemen aus dem Internet entgegen. Dies stellt ein enormes Sicherheitsrisiko dar und kann als fahrlässige Fehlkonfiguration eingestuft werden. 

Das Fehlen des SPF-Eintrages wird beim Empfang einer Nachricht von modernen Systemen als Verstoß gegen Industriestandards bewertet und führt automatisch zu einer Erhöhung der Spam-Wahrscheinlichkeit. 

 

DKIM - Integrität der E-Mail-Kopfinformationen

Selbst wenn keine SPF-Informationen vorliegen, können in einer E-Mail die Empfänger- und Absenderinformationen abgesichert werden. Hierzu steht die Funktion DomainKeys Identified Mail (DKIM) zu Verfügung. Hierbei erfolgt eine Signierung dieser und andere Informationen der E-Mail. Das empfangende System hat die Möglichkeit, eine DKIM-signierte E-Mail-Nachricht mit Hilfe des DKIM-Eintrages in der DNS-Zone der sendenden Domäne zu prüfen. 

Hierdurch wird sichergestellt, dass die Nachricht von einem System signiert wurde, dass über den privaten DKIM-Schlüssel verfügt. Absender ohne Zugriff auf den privaten Schlüssel haben keine Möglichkeit, solch eine Signierung durchzuführen. 

Screenshot - Fehlende DMARC, SPF und DKIM Einträge für handelsregister.de

E-Mail-Nachrichten der Domäne handelsregister.de werden nicht durch eine DKIM-Signierung geschützt. Somit haben empfangende Systeme keinerlei Möglichkeit, die Gültigkeit einer E-Mail-Nachricht der Domäne handelsregister.de zu prüfen.

 

DMARC - Schutz vor E-Mail-Missbrauch

Um den MIßbrauch von E-Mail-Nachrichten einzuschränken, wurde die Funktion DMARC (Domain-based Message Authentication, Reporting and Conformance) entwickelt. DMARC kann ergänzend zu SPF und DKIM eingesetzt werden. Auch DMARC wird über einen DNS-Eintrag in der Absender-Domäne definiert. Ein DMARC-Eintrag gibt dem empfangenden System Informationen, wie mit einer E-Mail zu verfahren ist, wenn die Validierung von SPF und DKIM fehlschlägt. Zusätzlich kann in einem DMARC-Eintrag festgelegt werden, an welche E-Mail-Adresse Benachrichtigungen über fehlerhafte E-Mail-Nachrichten gesendet werden sollen. Als Betreiber einer Domäne erhalte ich so Informationen, welche System in Internet meine Domäne als Absenderdomäne verwenden. 

Da weder DKIM-, noch SPF-Einträge für die Domäne handelsregister.de vorhanden sind, fehlt auch ein DMARC-Eintrag. 

Gerade im Hinblick auf die Sensibilität der Informationen, die über diese Domäne versendet werden, ist die Implementierung aller drei Schutzfunktionen drigend angeraten.

 

E-Mail-Verschlüsselung oder -Signierung

Ob eine Verschlüsselung der E-Mail-Nachricht an sich notwendig ist, kann man diskutieren. Sowohl Nachricht als auch der PDF-Dateianhang waren nicht verschlüsselt. Eine S/MIME Signierung der Nachricht, als Mindestmaß zur Sicherstellung der Integtrität des Absender, fehlte ebenfalls.

 

TLS-Prüfung 

Das sendende System sbmail.it.nrw.de ist nicht für eigehende Verbindungen aus dem Internet konfiguriert. Die Prüfung des MX-Endpunktes für handelsregister.de offenbahrte die bereits bekannten TLS-Schwächen.

Der Test des TLS-Endpunkte erfolgte mit dem TLS-Scanner von ImmuniWeb.

Screenshot - TLS Zusammenfassung postamt.it.nrw.de

 

Die schlechte Beurteilung hat mehrere Gründe:

  • Unterstützung von TLS 1.0

    Screenshot - Unterstützte TLS-Protokolle von postamt.it.nrw.de
     
  • Unterstützung unsicherer TLS-Verfahren und damit ein Verstoß gegen Best Practices Empfehlungen

    Screenshot - Industry Best Practices Analyse für postamt.it.nrw.de
    Die fehlende Unterstützung von TLS 1.3 ist noch nicht als kritisch zu bewerten. Das eine TLS-Neuaushandlung durch den TLS-Client unterstützt wird, ist jedoch als sehr kritisch einzustufen. Hierzu existieren zahlreiche dokumentierte Angriffsszenarien.
     
  • Unterstützung von unsicheren Cipher Suiten
TLS_RSA_WITH_RC4_128_MD5
TLS_RSA_WITH_RC4_128_SHA
TLS_RSA_WITH_IDEA_CBC_SHA
TLS_RSA_WITH_3DES_EDE_CBC_SHA
TLS_DHE_RSA_WITH_3DES_EDE_CBC_SHA
TLS_ECDHE_RSA_WITH_RC4_128_SHA
TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA
TLS_DH_anon_WITH_RC4_128_MD5
TLS_DH_anon_WITH_3DES_EDE_CBC_SHA
TLS_DH_anon_WITH_AES_128_CBC_SHA
TLS_DH_anon_WITH_AES_256_CBC_SHA
TLS_DH_anon_WITH_CAMELLIA_128_CBC_SHA
TLS_DH_anon_WITH_CAMELLIA_256_CBC_SHA
TLS_DH_anon_WITH_SEED_CBC_SHA
TLS_ECDH_anon_WITH_RC4_128_SHA
TLS_ECDH_anon_WITH_3DES_EDE_CBC_SHA
TLS_ECDH_anon_WITH_AES_128_CBC_SHA
TLS_ECDH_anon_WITH_AES_256_CBC_SHA
TLS_DH_anon_WITH_AES_128_CBC_SHA256
TLS_DH_anon_WITH_AES_256_CBC_SHA256
TLS_DH_anon_WITH_AES_128_GCM_SHA256
TLS_DH_anon_WITH_AES_256_GCM_SHA384

 

 

Fazit

Auch in diesem Fall ist es nicht möglich, ein postives Fazit zu ziehen. Im Vergleich zur Problematik der E-Mail-Nachrichten zur NRW Soforthilfe handelt es sich hier um E-Mail-Nachrichten, die zu einer bundesweit bereitgestellen Diensleistung gehören. Die Bundesländer und der Bund, die diese Dienstleistung in Anspruch nehmen, tun gut daran, sich für eine Verbesserung der Sicherheit im Umgang mit E-Mail-Nachrichten einzusetzen. 

Die Möglichkeiten zur Verbesserung gliedern sich in zwei Bereiche.

  • Implementierung von Industriestandards zur Sicherung der E-Mail-Kommunikation
    • Implementierung von SPF, DKIM, DMARC
  • Umsetzung von Standards zur Sicherung von E-Mail-Nachrichten, die durch Applikationen versendet werden
    • Nutzung von Klartextnamen für Absenderadressen
    • S/MIME-Signierung von E-Mail-Nachrichten

SPF, DKIM und DMARC sind Industriestandards. Dass diese Funktionen nicht zum Schutz von E-Mail-Nachrichten verwendet werden, ist grob fahrlässig. 

Im Hinblick auf eine eGovernment-Infrastruktur und ein Vertrauen in eine sichere (E-Mail-)Kommunikation besteht bei IT.NRW noch Nachholbedarf. Die aktuelle Konfiguration öffnet Tür und Tor für Betrüger und ist geradezu eine Einladung zum Versand von Phishing- und Malware-Nachrichten. Unternehmen, die Nachrichten von solchen Domänen empfangen, können sich nur durch eine explizite Abweisung der E-Mail-Nachrichten schützen. Andere Lösungsansätze führen immer manuellen Anpassungen auf der Empfängerseite und zu einem erhöhten Aufwand beim Betrieb einer sicheren IT-Infrastruktur. 

Der Handlunsbedarf liegt eindeutig auf Seiten von IT.NRW.  

 

Links

 

 

Weiterlesen »

NRW-Soforthilfe 2020 und E-Mail-Kommunikation - Die Geschichte eines angekündigten Betruges

IllustrationÜber das Desaster der Antragstellung für die NRW Soforthilfe 2020 wurde schon viel geschrieben und konnte den Eindruck gewinnen, dass Maßnahmen zum Schutz der Kommunikation und gegen weitere Betrugsversuche unternommen werden. Augenscheinlich hatte man nur die Antragstellung über das Online-Formular im Blick. Die dazugehörige E-Mail-Kommunikation der Bezirksregierung Köln war und ist aktuell nicht Bestandteil grundlegender Schutzmaßnahmen.

Das folgende Beispiel einer empfangenen E-Mail der Bezirksregierung Köln mit dem Absender Corona-Soforthilfe@bezreg-koeln.nrw.de habe ich zum Anlass genommen, mir die Konfiguration der Absenderdomäne einmal genauer anzuschauen. Die Ergebnisse sind beängstigend.

Ausgangspunkt der Recherche ist die empfange E-Mail-Nachricht. In dieser sind alle benötigten Informationen enthalten.

 

E-Mail Kopfinformationen

Eine E-Mail-Nachricht besteht, wie ein klassicher Brief, aus zwei Teilen. Zum einen gibt es den Umschlag, der alle Zustellinformationen, enthält, und als Zweites den Inhalt, der die lesbaren Informationen und vielleicht auch Dateianhänge für dem Empfänger bereithält.

Für eine genauere Betrachtung der E-Mail-Zustellung sind die Informationen des Umschlages, die sog. Kopfinformationen, von großem Interesse. Ich habe diese Informationen mit Hilfe des Message Header Analyzers von Microsoft in ein besser lesbares Format gebracht. Der nachfolgende Screen zeigt die wichtigsten Kopfinformationen der E-Mail:

  • Betreff
  • Absender
  • Empfänger
  • Alle an der E-Mail-Zustellung beteiligten Serversysteme
Hinweis
Aus Gründen der Vertraulichkeit sind in diesem Screenshot ausgewählte Informationen unkenntlich gemacht.

 

Screenshot - Message Header bezreg-koeln.nrw.de

Besonders interessant sind die rot umrandeten Zeilen 1 - 10. Diese Zeilen geben uns Aufschluss über alle beteiligten internen Systeme der IT.NRW, die als zentraler IT-Dienstleister für die Bezierksregierung Köln tätig ist. Die unkenntlich gemachten Textstellen beinhalten Informatioen über:

  • Computername des Applikationssystems, das für die Erstellung dieser E-Mail zuständig war
  • Computernamen und -adressen der internen E-Mail-Systeme
  • Produktnamen der intern verwendeten E-Mail-Software
  • Produktnamen der intern verwendeten Antivirus-Lösungen
  • Verbindungskette der internen E-Mail-Computersysteme inklusive lokaler Schleifen

Als eine der einfachsten Schutzfunktionen für E-Mail-Nachrichten, die an externe Empfänger gesendet werden, werden die Informationen interner Systeme aus dem Kopfinformationen der E-Mail entfernt. Hierdurch wird sichergestellt, dass keine Informationen über interne Computeradressen oder -name nach aussen gelangen. Diese Informationen lassen u.U. Rückschlüsse zu, die eine möglichen Hackerangriff begünstigen können. Moderne E-Mail-Systeme entfernen solche Informationen mit Hilfe einer Header-Firewall aus einer E-Mail.

Idealerweise hätten die Kopfinformationen mit dem grünumrandeten Eintrag aus Zeile 11 begonnen. Das dort als Submitting Host eingetragene System ist das für die externe Zustellung verantwortliche System.

Die Informationen der Zeilen 1 -10 gehören nicht in eine externe E-Mail.

Nach einem Blick auf die Kopfinformationen der E-Mail geht es mit einer Prüfung der technischen Einstellungen für die E-Mail-Kommunikation der Absenderdomäne bezreg-koeln.nrw.de weiter. 

 

MX Resource Records

Die einfachste Prüfung einer Absenderdomäne ist die Überprüfung auf E-Mail-Systeme für den Empfang von E-Mail-Nachrichten. In den meisten Fällen sind die diese Systeme auch für den Versand von Nachrichten zuständig. Wenn eine Domäne auch E-Mail-Nachrichten empfängt, muss sie über mindestens einen speziellen DNS-Eintrag verfügen. Mit Hilfe eines DNS-Eintrages vom Typ MX wird festgelegt, welche Systeme E-Mail-Nachrichten von anderen Absendern empfangen. 

Für die Überprüfung dieser Einstellungen nutze ich die Webseite mxtoolbox.com. Sie ist ein unerlässliches Werkzeug für jeden E-Mail-Administrator.

Der folgende Screenshot zeigt das Ergebnis der Überprüfung der MX-Einträge vom 6. Mai 2020.

Screenshot - MX Resource Records bezreg-koeln.nrw.de

Für die Domäne bezreg-koeln.nrw.de werden zwei Systeme mit unterschiedlicher Präferenz (Pref-Spalte) aufgeführt. Das System mit Präferenz 60 hat gegenüber dem zweiten System die höhere Priorität und wird daher bevorzugt von zustellenden Systemen angesprochen. Sollte das System nicht antworten, erfolgt ein Zustellversuch an das zweite System mit Präferenz 80.

Ein besonderes Augenmerk gilt den IP-Adressen der Systeme. In den Kopfinformationen der E-Mail hatte das sendende System die Adresse 93.184.128.152. Diese Adresse gehört zu keinem beiden aufgeführten Systeme. Damit ist klar, dass es noch weitere E-Mail-Systeme gibt, die augenscheinlich nur für den Versand verwendet werden. Aber dazu im nächsten Abschnitt mehr.

Eine weitere wichtige Information wird uns von MXToolbox ebenfalls mitgeteilt. Die Domäne verfügt über keinen DMARC-Eintrag. Was das ist und warum es gut ist, solch einen Eintrag vorzuhalten, erkläre ich weiter unten.

MX-Einträge sind für die E-Mail-Kommunikation existenziell. Neben diesem Eintragstyp gibt es noch weitere, die eine E-Mail-Kommunikation sicherer machen können. Kommen wir daher zur IP-Adresse des sendenden Systems zurück.

 

SPF Resource Records

Ein System, das E-Mail-Nachrichten empfängt, verfügt über keinerlei Informationen, welche Systeme für den Versand einer Domäne berechtigt sind. Als Eigentümer einer Domäne kann ich mit Hilfe eines SPF-Eintrages definieren, welchen Systemen es  explizit erlaubt ist, für meine Domäne E-Mail-Nachrichten zu versenden. 

Der folgende Screenshot zeigt das Ergebnis der SPF-Prüfung für die Domäne bezreg-koeln.nrw.de vom 6. Mai 2020.

Screenshot - SPF

Es ist kein SPF-Eintrag vorhanden. Empfangende E-Mail-Systeme haben keine Möglichkeit zur Überprüfung des sendenden Systems. MIt dem Fehlen dieses Eintrages wird der Versand von betrügerischen E-Mail-Nachrichten begünstigt, wenn nicht sogar wissentlich in Kauf genommen.

Das Vorhandensein eines SPF-Eintrages stellt keinen vollständigen Schutz dar. Dazu bedarf es noch weiterer Maßnahmen. Jedoch ist die Nutzung eines SPF-Eintrages seit Jahren Stand der Technik.

Moderne E-Mail-Systeme und Anti-Spam-/Anti-Mailware-Lösungen bewerten das Nichtvorhandensein eines SPF-Eintrages immerhin mit einer Erhöhung der Spam-Wahrscheinlichkeit. Dies kann u.U. dazu führen dass Nachrichten der Bezirksregierung Köln nicht im Posteingang, sondern im Junk-E-Ordner landen.

Es gibt auch Positives zu berichten.

 

PTR Resource Record

Der Name eines E-Mail-Systems ist nicht das einzige Merkmal, auf das ein empfangendes System achtet. Im Normalfall wird ein Computername zu einer numerischen Conmputeradresse aufgelöst. Es gibt aber auch das genaue Gegenteil, die sog. Rückwärtsauflösung. Das empfangende System versucht hierbei die numerische Computeradresse zu einem Namen aufzulösen. Dies erfolgt mit Hilfe eines sog. PTR-Eintrages, der im DNS des Internet-Leitungsanbieters erfolgt. Ist diese Auflösung erfolgreich und der gefundende Name entspricht dem Computernamen der Verbindung, gilt die Identität des Systems als einfach bestätigt. 

Der folgende Screenshot zeigt die Ergebnis für die IP-Adressen der beiden MX-Einträge.

Screenshot - PTR Resource Record

Beide System verfügen über einen zum Computernamen passenden PTR-Eintrag.

 

SMTP Test

Als Abschluss der aktiven Tests erfolgte eine Prüfung der E-Mail-Verbindung zu einem der beiden Systeme mit MX-Eintrag. HIer gibt es wenig Auffälliges zu berichten.

Die Nutzung von HTML-Tags (<br />) in einem Server-Banner ist unüblich und eher hinderlich. E-Mail-Server erwarten eine klare Kennung des Status und des Computernamens. In diesem Fall wird der Status 220 und der Name relay1v.it.nrw.de gleich zweimal in einer Textzeile zurückgegeben. Es wird sicherlich Systeme geben, die dies als nicht protkollkonformes Format bewerten.

Der folgende Screenshot zeigt das Ergebnis des SMTP-Tests.

Screenshot - SMTP Test

Der E-Mail-Server unterstützt verschlüsselte Verbindungen und lässt, wie die Liste der unterstützten Befehle zeigt, weitere E-Mail-Befehle erst nach dem Aufbau einer verschlüsselten Verbindung zu. Ob die Unterstützung des ETRN Befehls zeitgemäß ist, kann man diskutieren. Es wird sicherlich technische Anforderungen auf Seiten der IT.NRW geben, die dies erfordern.

Es fehlen allerdings zwei wichtige Komponenten, um E-Mail-Nachrichten der Domäne bezreg-koeln.nrw.de sicherer zu machen. DMARC und DKIM.

 

DMARC

Die zu Anfang besproche Prüfung der MX-Einträge hat gezeigt, dass kein DMARC-Eintrag vorhanden ist. Ein DMARC-Eintrag legt für eine Domäne, in diesem Fall wäre es für bezreg-koeln.nrw.de, fest, ob und wenn ja welche Informationen ein empfangender E-Mail-Server über E-Mails dieser Domäne sammeln soll. Hierdurch ist es möglich, Fehlerberichte zu erhalten und so festzustellen, welche unberechigten Systeme im Internet E-Mail-Nachrichten im Namen der Bezirksregierung Köln versenden. Solch ein Eintrag fehlt vollständig.

DMARC ist aber nur im Zusammenspiel mit SPF- und DKIM-Einträgen sinnvoll. Die Funktion und die Wichtigkeit eines SPF-Eintrages habe ich schon besprochen. Kommen wir zu DKIM.

 

DKIM

Die Aufgabe von DKIM ist Sicherstellung einer vertrauensvollen E-Mail-Zustellung. Diese Sicherstellung bezieht sich auf den E-Mail-Umschlag. Das empfangende System erkennt, dass der E-Mail-Umschlag mit Hilfe einer DKIM-Signierung gesichert wurde. Hierzu hat das Absendersystem Umschlagsinformationen mit einem Schlüssel, der nur auf dem Absendersystem exisitert, signiert. Das Empfangssystem findet den öffentlichen Schlüssel wiederum als besonderen DNS-Eintrag. Mit diesem Schlüssel können nun die Signaturinformation aufgelöst und anschließend überprüft werden. Hierdurch wird die Integrität des Absendersystems für die Domäne sichergestellt. 

DKIM selbst ist kein neuer Standard für die Sicherung von E-Mail-Nachrichten. Alle großen E-Mail-Anbieter prüfen eingehenden E-Mail-Nachrichten auf DKIM-Signaturen.

Dies ist kein Ersatz für eine mögliche und auch notwendige Verschlüsselung des E-Mail-Inhaltes. Der im Übrigen ebenfalls nicht stattfindet. 

Kommen wir zum Abschluss noch zur Verbindungsverschlüsselung.

 

SSL/TLS Test

Der folgende Screenshot zeigt das Ergebnis der Verschlüsselungsfunktionen im Hinblick auf gängige Industriestandards. 

Screenshot - SSL/TLS Test

Das Ergegbis ist in amerikanischer Notenstufe (A-F) dargestellt, wobei ein A einer Schulnote 1 entspricht. Mehr muss nicht gesagt werden.

Der Hauptgrund für die schlechte Note liegt darin, dass die E-Mail-Systeme alte und unsichere Verbindungsprotokolle und Verschlüsselungstechnologien unterstützen. Diese unsicheren Protokolle und Verschlüsselungen sollten im Jahr 2020 nicht mehr aktiv sein. 

 

Fazit

Die aktuelle Konfiguration der E-Mail-Umgebung der Bezirksregierung Köln und anderer Behörden, die diese IT-Plattform nutzen, kann durch Betrüger ausgenutzt werden. Einfachste Konfigurationen für sichere E-Mail-Kommunikation, die seit Jahren Stand der Technik sind, finden keine Anwendung. Hier wird, meiner Einschätzung nach, grobfahrlässig gehandelt. Betrügerische E-Mail-Nachrichten können ohne Probleme im Namen der Bezirksregierung Köln versendet werden. 

In der Pflicht ist nicht nur die Bezirksregierung Köln, sondern vielmehr der Landesbetrieb IT.NRW, der als zentraler IT-Dienstleister für zahlreiche Behörden und Dienststellen auftritt. Hier muss etwas passieren, um Bürger für betrügerischen E-Mail-Nachrichten, nicht nur im Zusammenhang der NRW Soforthilfe, zu schützen. Alle Behörden und Dienststellen in NRW, die auf eine sichere E-Mail-Kommunikation mit Bürgern und Unternehmen vertrauen und hierzu die Dienstleistungen der IT.NRW in Anspruch nehmen, sollten die für sie gültigen Einstellungen dringend überprüfen lassen.

E-Mail-Nachrichten der NRW Soforthilfe 2020 werden als Klartext versendet, obwohl sie persönliche Informationen enthalten und somit einem besonderen Schutzbedürfnis unterliegen. Der Einsatz einer sog. Gateway-basierten E-Mail-Verschlüsselung kann hier schnell und einfach Abhilfe schaffen. Ebenso ist die Implementierung von SPF, DKIM und DMARC Pflicht.

Ich wünsche mir, dass IT.NRW die Absicherung der E-Mail-Kommunikation ernster nimmt und ihrer Verantwortung, auch als Vorbildfunktion, nachkommt. In der heutigen Zeit vertrauen Bürger auf die IT-Sicherheit, die propagiert wird. Im Rahmen der NRW-Soforthilfe hat dieses Vertrauen sehr gelitten.

Ohne eine Verbessung der E-Mail-Sicherheit, ist dem Betrug weiterhin Tür und Tor geöffnet.

 

Links

 

 

 

Weiterlesen »

Bild Teamwork In den letzten Monaten sind mir während meiner Beratung in IT-Projekten immer öfter Menschen begegnet, die mit ihrer beruflichen Situation, ihrem Arbeitsalltag oder ihrem persönlichen Arbeitsumfeld unzufrieden sind. Diese Unzufriedenheit wirkte sich bei einigen bereits auf die körperliche Gesundheit aus. 

 

Woher kommt die Unzufriedenheit?

Die Unzufriedenheit im Berufsalltag hat unterschiedliche und oftmals sehr persönliche Gründe. Jeder von uns hat eigene Vorstellungen davon, was der Sinn von Arbeit sein soll und was uns im Inneren antreibt, einer Arbeit nachzugehen.

  • Stellen Sie sich schon morgens, vor dem Aufstehen, die Frage, warum Sie überhaupt aufstehen möchten?
  • Wandern die ersten Gedanken am Morgen zur Arbeit und zu unliebsamen Aufgaben oder unliebsamen Menschen, mit denen Sie gezwungenermaßen zusammenarbeiten müssen?
  • Müssen Sie sich gefühlt zum Gang zur Arbeit zwingen?  
  • Fühlen Sie sich an Ihrem Arbeitsplatz unterfordert?
  • Haben Sie das Gefühl, dass Ihr Arbeitgeber kein arbeitsfreundliches Umfeld anbietet?
  • Müssen Sie sich an Ihrem Arbeitsplatz ständig verstellen, um von Ihren Kollegen akzeptiert zu werden?
  • Verwenden Sie kräftezehrende Energie darauf, einem bestimmten Rollenbild zu entsprechen, dass nicht Sie sind?
  • Finden Sie an Ihrem Arbeitsplatz keine Person, die Sie unterstützt und mit Sie sich über Ihre beruflichen Sorgen austauschen können?
  • Verhindert Ihr Arbeitgeber aktiv Ihre persönliche Weiterentwicklung und verweigert Ihnen die Teilnahme an Fortbildungen?
  • Verspüren Sie einen ständigen Druck, den Erwartungen anderer, insbesondere von Vorgesetzten, gerecht werden zu müssen?

Diese Liste an Fragen zum Arbeitsumfeld kann beliebig erweitert werden.

Wenn Sie eine der Fragen für sich persönlich mit einem Ja beantworten können, ist die Zeit reif für eine Veränderung des beruflichen Umfeldes.  

Eine solche Veränderung erfordert immer eins: Mut.

 

Mut zur Veränderung

Eine berufliche Veränderung herbeizuführen, ist für Viele gar nicht so einfach. Solch eine Veränderung wirkt sich schließlich unmittelbar auf alle Bereiche des Lebens und auf das direkte familiäre Umfeld aus. Daher nehmen wir eine mögliche Veränderung des Arbeitsumfeldes oder sogar des Arbeitsverhältnisses als unlösbares Problem war und wählen stattdessen lieber den Weg des geringeren Widerstandes. Es erscheint uns einfacher, im aktuellen Status Quo zu verharren und die tägliche Unzufriedenheit zu ertragen. Der Weg zu einer beruflichen Veränderung erscheint als unüberwindbarer Kraftakt. 

Oftmals fehlt es uns auch einfach an Selbstvertrauen in die eigenen Fähigkeiten. Dazu besteht absolut kein Grund.

Für jeden ist der Weg und die notwendige Zeit zur beruflichen Veränderung unterschiedlich. Was jedoch für alle gleich ist, ist der Umstand, sich der eigenen Fähigkeiten und persönlichen beruflichen Interessen bewusst zu werden. Mit diesem Bewusstsein haben Sie direkt den Grundstein für Ihr Selbstvertrauen gelegt. Hierauf können Ihre Gedanken zur beruflichen Veränderung aufbauen. 

Eine berufliche Veränderung bedeutet nicht, dass Sie den gleichen Job nur bei einem anderen Arbeitgeber wahrnehmen sollen. Stellen Sie sich die Frage, was Sie besonders gut können, was Ihnen besonders viel Spaß macht und worin Sie Ihre ganz persönliche Erfüllung finden. Dies kann bedeutet, dass Sie in ein gänzlich anderes Berufsbild wechseln und so mehr Spaß an der Arbeit haben. Es kann auch bedeuten, dass Sie aus einer abhängigen Beschäftigung in die Selbstständigkeit wechseln und so in die Lage versetzt werden, Ihre Arbeitszeiten selbst einzuteilen.

Gerade im Bereich der IT und dem aktuellen Trend zu Cloud-Technologien stehen Ihre persönlichen Chancen gut. Allen Unternehmen fehlen spezialisierte Fachleute, um die sich schnell weiterentwickelnden Technologien zu verstehen, zu implementieren und zu betreiben. Die Unternehmen sind auf Sie angewiesen. Hier liegt Ihre Chance. 

Trauen Sie sich! Ihr Mut zur Veränderung wird belohnt.

 

Scheitern gehört dazu

Es wäre naiv zu denken, dass Scheitern unmöglich wäre. Aus persönlicher Erfahrung kann ich Ihnen sagen, dass Scheitern etwas Gutes ist. Leider wird Scheitern in unserem Kulturraum als etwas Negatives wahrgenommen. Lösen Sie sich von dieser negativen Assoziation, bevor Sie sich auf den Weg machen und versichern Sie sich des Rückhalts in Ihrem persönlichen Umfeld. 

Die wichtigste Erfahrung bei einem Scheitern ist, sich des Scheiterns bewusst zu werden und es nicht zu verdrängen. Je länger Sie es Verdrängen, desto größer wird der eigene emotionale Schmerz und, vielleicht schlimmer, der finanzielle Schaden. Hören Sie auf Meinungen aus dem familiären Umfeld und gönnen Sie sich das Recht, eine einmal getroffene Entscheidung abzuändern. 

Scheitern zuzulassen, ist eine Stärke.

 

Erfahrung

Natürlich liegt mein Themenschwerpunkt im Bereich der IT und hier besonders im Bereich der Microsoft-Technologien für On-Premises- und Cloudlösungen. 

Wenn Sie Fragen zur beruflichen Veränderung haben, ein Mentoring oder eine Begleitung bei der beruflichen Veränderung suchen, sprechen Sie mich an. Gerne teile ich meine persönlichen Erfahrungen aus der Zeit der abhängigen Beschäftigung und dem Wechsel in die Selbstständigkeit. Sie finden mich bei LinkedIn und Twitter.

Microsoft hilft Ihnen beim Erlernen neuer Fähigkeiten und bei der Erweiterung vorhandenen Wissen. Gerade erst wurde Microsoft Learn auf eine neue Plattform gebracht, um das Lernen noch einfacher zu ermöglichen. Mit dem Wandel zu cloudbasierten Produkten und Diensten wandeln sich auch die Anforderungen an das Wissen. In Zukunft ist ein Wissensspektrum, basierend auf einer Job-Rolle wichtiger als ein Wissenssilo zu einem einzelnen Produkt. Reines Produktwissen gehört der Vergangenheit ein.

Schauen Sie sich einmal die Übersicht der Lernangebote für die unterschiedlichen Job-Rollen bei Microsoft Learn in Ruhe an und überlegen Sie sich dann, wie Ihre berufliche Zukunft aussehen soll.

 

Links

 

 

 

Weiterlesen »

Microsoft Ignite 2018 LogoDie Microsoft Ignite 2018 Konferenz startet in einer Woche. 

Sie bietet auch in diesem Jahr wieder zahlreiche Breakout- und Theater-Sessions, um sich mit aktuellen und kommen Produkten und Funktionen auseinander zu setzen. Natürlich bietet die Konferenz auch den idealen Rahmen, um zu netzwerken.

Wenn Sie nicht  Vorort sein können, ist das nicht schlimm. Sie können die Aufzeichnungen der Sessions und die Inhalte in der Tech Community anschauen und herunterladen.

Meine Empfehlungen

Natürlich geht es nicht ohne Exchange Server. Die Veröffentlichung der dritten Version moderner Exchange Server steht bevor. Es wird sicher interessante Neuigkeiten und Funktionen rund um Exchange Server 2019 geben.

Exchange Server 

Neben Exchange Server ist Microsoft Teams ein großes Thema. Mit Microsoft Teams ermöglichen Sie eine sichere und effiziente Zusammenarbeit zwischen Mitarbeitern und externen Partnern.

Microsoft Teams

 

Links

 

Lassen Sie uns in Kontakt bleiben. Ich werde auf der Ignite Konferenz sein und freue mich, Sie dort persönlich kennenzulernen.

 

Weiterlesen »

The Program:

  • Implementation/migration of round about 25 instances with a Specific Laboratory Software, supporting ~30 laboratories world-wide
  • Reduce support cost per instance by standardization (for existing and added instances)
  • Development of a template ("foundation") containing common functionality which can be influenced by configuration. Integration of the foundation into all instances. Provide all instances in operation with the current version of the foundation on a regular basis.

 

The challenges:

  • 2-3 implementation projects parallel
    • Full scope not clear in the beginning
  • Increasing number of instances in operation
    • Regular update of foundation version necessary to keep them streamlined in order to reduce support cost
    • Requirements and bugfixes from systems in operation have to be included into foundation development process
  • Many and changing team members, part-time availability
    • Round about 12 team members (incl. development and support)
    • Changes due to boundary conditions triggered by external influences
    • 80% of people only part-time available for the program
  • High interdependency between ongoing projects and Systems which are already in in operation due to foundation development and shared resources.
  • Organization of communication process between projects and operation
  • Balancing individual business needs on one hand versus streamlined standard software on the other hand

 

Why agile:

  • Manage individual projects (introduction of new Software)
    • Decision for projects taken during run-time of the program
    • Sequence of projects changing
  • Manage user stories across projects (details not available at start of the program)
    • Each new project delivers a slightly differentiating list of user stories
    • Each instance in operation delivers additional stories
  • Manage process
    • Change process quite complex, adaptions to the process must be quickly implementable
       

 

The agile setup - how did we handle the challenges:

  • In fact the program has been setup before we got in touch with the standard Scrum process (See our blog: What is Scrum?). So we used other role names, but some of them have exactly - amongst others - the tasks defined for the standard Scrum roles.

 

Bild

 

Orange = Business, Green = IT

 

 

  • Scrum Master ~ Development Coordinator / Program QA
  • Product Owner
    • Program Manager
      • Overall Product Owner
    • Project Manager and Application Managers
      • Product Owner for particular instances -> Prioritization and review / testing of stories
      • Write User Stories
      • "Imitate" the end user for sprint releases
  • Global Change Manager
    • Scope definition for the foundation
    • Release management of the foundation
    • Organization of SME-Board
    • Prioritization
    • Product Owner for foundation
  • Architect
    • Knowledge of implementation framework
    • Sets up development guidelines and general implementation approach
    • Gives first estimation of requirements with a technical view
    • Better management of the large product backlog, due to technical understanding, prioritization estimation
  • Program QA
    • Set up of change management process for the program
    • Regular overall review of change management process
       
  • Additional meetings
    • Subject Matter Experts Board (SME) (bi-weekly)
      • Participants: Whole team
      • Reviews the requirements from a technical and functional point of view
      • Gives implementation recommendations as decision memo for the CAB (Change Advisory Board)
      • Discusses additional technical issues
    • Process Review Meeting (quarterly in the beginning, currently twice a year)
      • Participants: Whole team 

 

The experiences:

  • User stories: Definition of user stories dependent on target group, developing a template of user story definition fitting for all team member in different roles, with different views and different backgrounds is a time consuming task
  • Testing: Developing awareness for testing right after delivering of implemented user story took also lot of time and patience 
  • Definition of project related sprint releases is useful to get quick feedback and reduces the effort for project managers (not every project manager has to test each increment)
  • A clear definition of product ownership incl. responsibility for successful product delivery is important for a successful project

 

This was the last part of our small Series about Agile Project Management

The whole Series contains 4 pieces:

Agile Project Management – Basics (Part1)
Agile Project Management – What is SCRUM (Part2)
Agile Project Management – Agile Project Management in real Life (Part3)
Agile Project Management – Agile on the next Level – Program Management (Part4)

If you have any comments on our Articles, your Feedback is highly welcome.

 

 

Weiterlesen »