Hallo zusammen, hier möchte ich das Forum auf eine erhebliche Schwachstelle in der SPX-Verschlüsselung im Rahmen der Email Protection hinweisen (Stand Juni 2016). Das Werbeversprechen von Sophos lautet bereits 2009: "Die neue, zum Patent angemeldete SPX-Encryption-Technologie ermöglicht einen zuverlässigen Schutz sensibler Daten bei der Übertragung per E-Mail und lässt sich zugleich einfach implementieren und verwalten: Gemäß den vom Administrator konfigurierten Richtlinien werden ausgehende Nachrichten am E-Mail-Gateway automatisch in verschlüsselte, passwortgeschützte PDF-Dokumente umgewandelt. Durch die SPX-Technologie muss das zur Entschlüsselung erforderliche Passwort nicht zwangsläufig über einen anderen Kanal, zum Beispiel per Telefon, an den Empfänger übermittelt werden - dieser kann das Passwort auch selbst bestimmen: Dafür erhält der Empfänger vor der Zustellung der Nachricht einen Link auf eine https-geschützte Seite innerhalb des Webportals der Appliance, auf der er ein Passwort hinterlegen kann." Folgendes Szenario: Email Protection ist für alle internen Mitarbeiter eingerichtet und S/MIME-Zertifikate werden für die Absender ordnungsgemäß erstellt. Die Kommunikations mittels S/MIME funktioniert auch einwandfrei. Nun möchte ein interner Absender eine Email garantiert verschlüsselt versenden, weiß jedoch nicht genau ob der Empfänger S/MIME oder PGP unterstützt. Hier sollte nun die SPX-Verschlüsselung zum tragen kommen. Per speziellem Tag "#CS" in der Betreffzeile soll die Datenschutzfunktion eine SPX-Verschlüsselung auslösen. Dieses funktioniert auch, solange der Absender kein S/MIME-Zertifikat besitzt (z.B. technische Email-User) einwandfrei. Versendet jedoch ein Mitarbeiter, der über die Sophos UTM ein gültiges S/MIME-Zertifikat besitzt eine Email, so erfolgt der Versand unverschlüsselt!!! Zusammen mit Techniker von Sophos wurde das Problem im April 2015 analysiert und darauf eingegrenzt, dass ausschließlich überprüft wird, ob der Absender S/MIME kann. Inwieweit für den Empfänger ein öffentliches S/MIME-Zertifikat vorliegt oder nicht, wird hingegen nicht ausgewertet. Dieses hat zur Folge, dass die SPX-Verschlüsselung für "interne Benutzer" mit S/MIME-Zertifikat niemals zum Einsatz kommt (der Absender hat ein gültiges S/MIME-Zertifikat). Somit werden Emails insbesondere an Empfänger ohne S/MIME bzw. PGP stets unverschlüsselt übertragen. Die Funktion der SPX-Verschlüsselung ist somit vollständig sinnfrei und garantiert nicht wie im Werbeversprechen einen zuverlässigen Schutz sensibler Daten! Sophos ist dieser Bug bereits seit dem 30.04.2015 bekannt (Bug-ID 31632). Logdateien wurden ebenfalls ausgetauscht. Telefonisch wurde ein Fehler in der Implementierung bestätigt, doch heute wird jeglicher Kontaktversuch seitens Sophos geblockt und es handelt sich angabegemäß nur noch um ein Feature. Insbesondere auch der Leiter Presales ist zu keiner Auskunft bereit. Somit komme ich zum Fazit, dass der Schutz sensibler Daten für Sophos nur ein Feature ist und ein ernsthafter Datenschutz nicht vorgesehen ist.
↧