Neue M3AAWG-Richtlinien empfehlen opportunistische TLS-Verschlüsselung als schnelle Lösung zum Schutz der Endbenutzer vor allgegenwärtiger Überwachung


SAN FRANCISCO, CA--(Marketwired - Dec 5, 2014) - Der Bericht "TLS for Mail: M3AAWG Initial Recommendations" behandelt eine Reihe von strategischen Handlungsempfehlungen (Best Practices), die Tausende von regionalen und mittelgroßen Dienstleistern und Unternehmen im Allgemeinen dabei helfen sollen, Endanwender vor Lauschangriffen oder dem Diebstahl von Kennwörtern zu schützen. Die "Messaging, Malware and Mobile Anti-Abuse Working Group" veröffentlichte heute dieses Paper, um den Einsatz opportunistischer TLS- und anderer grundlegender Verschlüsselungsmaßnahmen als weltweit zentrale Praxis für Organisationen anzuregen, die ihre eigenen E-Mail-Server verwalten.

Das Internet Architect Board, ein Ausschuss der Normungsorganisation IETF, veröffentlichte im November eine Erklärung, in der es die Betreiber mit Nachdruck aufforderte, "Verschlüsselungstechnik überall dort einzusetzen, wo sie noch nicht verwendet wird". Das Board greift damit einen zunehmenden Konsens in der Branche auf, der auch in einer von der M3AAWG organisierten Video-Diskussion über verschlüsselte E-Mails mit Messaging-Ingenieuren von Facebook und Google thematisiert wurde. Da die Technologien zur Unterstützung dieser Anstrengungen oft sehr zeitintensiv sind und umfassende Planungsarbeiten erfordern, weist das Paper der M3AAWG auf drei grundlegende Schritte hin, die von Organisationen unternommen werden sollten, um relativ kurzfristig ein bedeutendes Volumen ihres E-Mail-Verkehrs zu schützen.

Die Empfehlungen gelten für Organisationen, die im Bereich E-Mail-Dienste tätig sind, darunter E-Mail-Dienstleister, Netzwerkbetreiber, Internetdienstanbieter und E-Mail-Postfach-Anbieter. Diese sollten auch in kleinen, mittelständischen und Großunternehmen implementiert werden, die häufig ihre eigenen Mail-Server unterhalten.

"Das Internet ist eine gemeinsame Anstrengung vieler Akteure und ein Betreiber kann nicht alleine eine vollständige Sicherheit der E-Mails seiner Benutzer garantieren, selbst wenn er die striktesten Richtlinien befolgt. Die einzige Möglichkeit, Endanwender gegen die heute vorherrschenden Formen von Internetkriminalität und allgegenwärtiger Überwachung ("pervasive monitoring") zu schützen, besteht darin, dass sich Betreiber und Unternehmen überall diesen Herausforderungen stellen und die erforderlichen Maßnahmen ergreifen, um Mails auf dem Weg zum Empfänger zu schützen. Die Empfehlungen der M3AAWG hinsichtlich opportunistischer TLS-Verschlüsselung zielen auf Technologien ab, die Betreiber umgehend als ersten Schritt implementieren können, um E-Mails zu schützen, die über ihre Server versendet werden, und das Vertrauen der Benutzer in das Internet zu erhalten", sagte Chris Roosenraad, Vorstandsvorsitzender der M3AAWG.

Das aktuelle Problem ist, dass E-Mails ohne jegliche Verschlüsselung über das Internet übermittelt werden. Die Best Practices, die in dem Bericht "TLS for Mail: M3AAWG Initial Recommendations" (https://www.m3aawg.org/sites/maawg/files/news/M3AAWG_TLS_Initial_Recommendations-2014-12.pdf) dargestellt werden, empfehlen den Einsatz einer Verschlüsselung an drei Stellen:

  • Aktivierung der opportunistischen Verschlüsselungsoption in TLS für alle Mail-Server. Diese Maßnahme sorgt dafür, dass das System automatisch versucht, den Kommunikationskanal zu verschlüsseln, sobald E-Mails von anderen Systemen erhalten oder E-Mails versendet werden. TLS erzeugt umgehend einen Schlüssel und benötigt keinen im Voraus geplanten Schlüsselaustausch, wodurch der Verschlüsselungsprozess vereinfacht wird.
  • Verschlüsselung des E-Mail-Verkehrs auf den internen Dienstleister-Netzwerken
  • Nutzung der Verschlüsselung zum Schutz der Kennwörter der Benutzer

Die Special-Interest-Gruppe (SIG) der M3AAWG für "Pervasive Monitoring" entwickelt zudem eine Reihe von Best Practices, die eine genaue Anleitung zur Implementierung einer opportunistischen TLS-Verschlüsselung bieten und weitere wichtige Probleme thematisieren. Die beiden Vorsitzenden der SIG kündigten die heute veröffentlichten Empfehlungen an und erläutern in der Pervasive Monitoring Playlist im YouTube-Kanal der M3AAWG unter www.youtube.com/maawg die künftige Roadmap der Organisation.

Über die Messaging, Malware and Mobile Anti-Abuse Working Group (M3AAWG)

Die Messaging, Malware and Mobile Anti-Abuse Working Group (M3AAWG) stellt einen Zusammenschluss mehrerer Unternehmen dar, die gemeinsam gegen Bots, Malware, Spam, Viren, Denial-Of-Service-Attacken und ähnliche Online-Angriffe vorgehen. Die M3AAWG (www.M3AAWG.org) repräsentiert über eine Milliarde Postfächer einiger der größten Netzwerkbetreiber weltweit. Dabei setzt die M3AAWG auf die gesamte Erfahrung seines globalen Mitgliedernetzwerks, um mit Hilfe von Technologien, Zusammenarbeit und politischen Maßnahmen gegen Angriffe auf bereits bestehende Netzwerke und neue Dienste aktiv vorgehen zu können. Sie informiert außerdem Entscheidungsträger weltweit über technische und operative Probleme im Zusammenhang mit Online-Missbrauch und Messaging. Die M3AAWG hat ihren Sitz in San Francisco und beschäftigt sich mit den spezifischen Anforderungen des Marktes. Sie wird von größeren Netzwerkbetreibern und Messaging-Anbietern unterstützt.

M3AAWG-Vorstand: AT&T (NYSE: T), CenturyLink (NYSE: CTL), Cloudmark, Inc., Comcast (NASDAQ: CMCSA), Constant Contact (NASDAQ: CTCT), Cox Communications, Damballa, Inc., Facebook, Google, LinkedIn, Mailchimp, Orange (NYSE: ORA) (EURONEXT: ORA), PayPal, Return Path, Time Warner Cable, Verizon Communications und Yahoo! Inc.

Die M3AAWG-Vollmitglieder sind: 1&1 Internet AG, Adobe Systems Inc., AOL, BAE Systems Detica, Campaign Monitor Pty., Cisco Systems, Inc., CloudFlare, Dyn, iContact/Vocus, Internet Initiative Japan (IIJ) (NASDAQ: IIJI), Level3; Litmus, McAfee Inc., Microsoft Corp., Mimecast, Nominum, Inc., Oracle Marketing Cloud, Proofpoint, Scality, Spamhaus, Sprint, Symantec und Twitter.

Die vollständige Mitgliederliste steht unter http://www.m3aawg.org/about/roster zur Verfügung.

Kontakt-Information:

Pressekontakt:
Linda Marcus, APR
+1-714-974-6356 (US-Pazifik)
LMarcus@astra.cc
Astra Communications