Aktuelles, Branche, Gastbeiträge - geschrieben von am Freitag, März 12, 2021 14:51 - noch keine Kommentare

Rückverfolgbarkeit und Authentizität in der E-Mail-Kommunikation

Blockchain im Einsatz für eine sichere elektronische Kommunikation

Von unserem Gastautor Marcel Mock, CTO und Mitgründer von totemo

[datensicherheit.de, 12.03.2021] Von Revisionssicherheit und Authentizität in der E-Mail-Kommunikation konnte bisher keine Rede sein. Das dazu nötige Bestätigen des Nachrichteneingangs und der Identität des Absenders verspricht der Ansatz, die Distributed-Ledger-Technologie (DLT) und eine öffentliche Blockchain in eine E-Mail-Lösung einzubinden. Wie das praxistauglich gelingt, zeigen die Schweizer Unternehmen totemo und sein Partner, das Blockchain-Start-up Vereign.

Kennen Sie eine Person, die weder eine berufliche noch eine private E-Mail-Adresse hat? Auf dem elektronischen Postweg erreicht man fast jeden, weil die E-Mail nach wie vor stark verbreitet ist. Darin liegt der große Vorteil der gut 50 Jahre alten Kommunikationsform, die auf Ray Tomlinson zurückgeht. Trotz seiner langen Geschichte behauptet sich die E-Mail heute gegen Messenger. Sie bleibt unverzichtbar, wenn wir uns austauschen wollen. Allerdings gibt es auch Schwachstellen, da es der E-Mail an Nachweisbarkeit fehlt.

Marcel Mock, CTO und Mitgründer von totemo

Marcel Mock, CTO und Mitgründer von totemo, Bild: totemo

Den ersten Punkt, das nötige Vertrauen herzustellen, erfüllt man leicht mit Verschlüsselung. Ob ein Absender jedoch authentisch ist oder dieses nur vortäuscht, lässt sich oft nicht sofort und sicher sagen. Allzu plumpes Phishing fällt auf. Vor professionellen Betrugsversuchen, bei der Cyberkrimineller persönliche Daten abgreifen wollen, schützen den Empfänger digitale Signaturen. Wer hingegen seine Kommunikation nachweisen muss, kann maximal belegen: Der eigene Mailserver hat die E-Mail übergeben. Ein revisionssicherer Beleg, wie ihn Fax und Einschreiben liefern, ist das nicht. Mit der Distributed-Ledger-Technologie lässt sich nun Rückverfolgbarkeit und Echtheitsprüfung für den E-Mail-Verkehr realisieren. Genau das verspricht die Lösung, welche die Unternehmen totemo und Vereign gemeinsam entwickelt haben. Die Kooperation resultiert in totemomail Verified, deren Herzstück ein E-Mail-Gateway ist, das alle nötigen DLT- und E-Mail-Funktionen koordiniert und ausführt.

Eine dezentrale Datenbank im Hintergrund

Die Blockchain ist eine DLT-Technologie, die vor allem durch die Digitalwährung Bitcoin bekannt wurde, deren Transaktionen sie vor Manipulation schützt. Neben Finanztransaktionen kommt die Technologie heute bei Lieferketten oder Smart Contract zum Einsatz, wobei folgendes Grundprinzip greift: Ein Nutzer erzeugt einen Datensatz, einen Block, den bis zu Tausende oder mehr Rechner im Netzwerk verifizieren und speichern. Der so verifizierte Block wird kryptografisch verschlüsselt an eine Kette von Datensätzen angehängt. Jeder Datensatz verfügt über eine nachvollziehbare Historie. Hinter DLT, dem „verteilten Kontenbuch“, steht ebenso eine dezentrale Datenbank. In einem Netzwerk erhalten Nutzer hier eine gemeinsame Schreib- und Leseberechtigung. Damit ein neuer Eintrag validiert wird und für alle bereitsteht, greift ein Konsensmechanismus.

Adaptieren des DLT-Ansatzes

Die Schweizer IT-Sicherheitsspezialisten adaptieren den DLT-Ansatz, indem sie eine Key-Value-Datenbank verwenden, die in der Cloud läuft. In diese schreibt das Gateway den Versandstatus der E-Mail sowie die Anzahl Anhänge. Das Gateway speichert dort alle Informationen einschließlich E-Mail-Meta-Daten in chronologisch aufgebauten Blöcken und schützt sie per Hash-Bäume vor Manipulation. Im nächsten Schritt schreibt die Lösung die gesicherten Daten in eine öffentliche Blockchain, wo sie fälschungssicher und für Dritte verifizierbar verankert sind. Bevor das Gateway die E-Mail verschickt, versieht sie diese mit einem QR-Code. Sobald die Nachricht raus ist, aktualisiert die Lösung den Status in der Datenbank auf „versendet“.

Der Empfänger scannt mit seinem Smartphone den QR-Code in seiner E-Mail oder klickt auf den Code, der als Alternative verlinkt ist. In beiden Fällen startet eine Browser-App, die alle relevanten Informationen wie Absender, Betreff und Datum sowie Anzahl der Anhänge aus der Blockchain ausliest und den Hashwert prüft. Der Empfänger gleicht ab, ob Status und Anhänge der empfangenen Nachricht übereinstimmen. Ist das der Fall, hat er einen Beleg für die Integrität und Authentizität der E-Mail. Ein Phishing-Versuch fliegt sofort auf, da in einer gefälschten E-Mail der QR-Code fehlt. Der Verdacht eines Man-in-the-Middle-Angriffs liegt nahe, wenn an der empfangenen E-Mail mehr Dateien anhängen als an der ursprünglich verschickten Nachricht. So ist der Empfänger gewarnt.

Nachrichteneingang nachweislich bestätigt

Noch einfacher und sicherer wird das, wenn Sender und Empfänger das Gateway von totemo einsetzen. In der Konstellation codiert die Lösung beim Empfänger den Eingang der Nachricht ebenfalls in der Key-Value-Datenbank und in der Blockchain. Diese Aufgabe kann auch die App von Vereign oder ein Add-on für gängige E-Mail-Programme wie Outlook und Gmail auf Empfängerseite übernehmen. Ein Administrator in der Firma des Absenders sieht über die Verified-Konsole, dass automatisch der E-Mail-Empfang bestätigt wurde. Der Absender hat so seinen revisionssicheren Nachweis, dass die Nachricht angekommen ist.

Schwäche in Stärke umgewandelt

Der Einsatz von DLT und öffentlicher Blockchain im E-Mail-Verkehr erzeugt einen fälschungssicheren Audit-Trail, sodass die Identität vor Missbrauch geschützt wird. Dafür setzt das Konzept von totemo und Vereign beim Absender an, um Phishing und andere Attacken zu verhindern. Ihre gemeinsam entwickelte Lösung sorgt zudem für eine Nachweisbarkeit in der E-Mail-Kommunikation, die mit Fax und Einschreiben leicht mithält.

Weitere Informationen zum Thema:

datensicherheit.de, 29.06.2020
Digitale Identitäten in der Produktion

totemo
Website

 



Kommentieren

Kommentar

Theiners Talk

Kooperation

TeleTrusT

Mitgliedschaft

German Mittelstand e.V.

Mitgliedschaft

BISG e.V.

Multiplikator

Allianz für Cybersicherheit

Datenschutzerklärung