Fachvortrag UMA - Secutron GmbH
Fachvortrag UMA - Secutron GmbH
Fachvortrag UMA - Secutron GmbH
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
Unified Mail Archiv (<strong>UMA</strong>)<br />
Mailarchivlösung mit Beweiswerterhaltung aus der Box
Securepoint <strong>GmbH</strong><br />
Deutsches Unternehmen<br />
Mehr als 15 Jahre IT-Security-Erfahrung<br />
Hauptsitz Lüneburg, Geschäftsstelle in Potsdam und Vertriebsbüro Stuttgart<br />
72 hochqualifizierte Mitarbeiter<br />
Entwicklung/Support durch eigene deutsche Security-Software-Spezialisten<br />
1.300 aktive Fachhandelspartner in DACH<br />
Indirekter Vertrieb über Fachhandel/Systemhäuser<br />
Zur Zeit am schnellsten wachsender Hersteller in Europa
Auszug aus der Kundenliste<br />
Einige 10.000 Kunden: Ministerien, Behörden, Industrie und Handel, Bildungseinrichtungen,<br />
Hotels, Kliniken, Banken, Ärzte, Rechtsanwälte, Handwerk u.v.a.
Securepoint Lösungen<br />
Zugangs- und IT-Sicherheitslösungen für Unternehmensnetzwerke:<br />
Securepoint <strong>UMA</strong>: Komplettes<br />
MailaArchiv GDPdU konform inkl.<br />
Beweiswerterhaltender<br />
Langzeitspeicherung nach TR-eSOR<br />
Securepoint Operation Center:<br />
Komplettes Management von bis zu<br />
65.535 UTM- und VPN-Systemen<br />
für Ihre Kunden oder Filialbetriebe<br />
Securepoint WLAN und<br />
Network Access Controller:<br />
Konfigurationsfreier Internet-<br />
Zugriff und WLAN-Management<br />
für Mitarbeiter, Gäste und<br />
Besucher.<br />
Securepoint UTM-/VPN-Produkte:<br />
Ganzheitlicher Netzwerkschutz und<br />
sichere Filialanbindung
Securepoint UTM:<br />
Die All-in-One-Security-Lösung<br />
Firewall (Deep Stateful Packet Inspection)<br />
AntiVirus-Filtering (Email und Web)<br />
Web-Content-Filtering<br />
Spam-Filter und AntiPhishing (POP3, SMTP)<br />
VPN-Gateway (IPSec, L2TP/PPTP, SSL/OpenVPN): Windows 7-Ready (IKEv2)<br />
Proxies für HTTP, FTP (over http), SMTP, POP3, VNC, VoIP/SIP/RDP<br />
Authentisierung über NTLM, LDAP, Radius oder lokale Benutzer<br />
Hochverfügbarkeit, Cluster, Bonding/Trunking, Multipath Routing, IDS
Securepoint NAC:<br />
Sichere Gäste-Zugangslösungen<br />
Einfachste, sichere, flexible Bereitstellung von Internetzugängen<br />
für Mitarbeiter, Gäste und Besucher in Hotels, Kliniken, Schulen...<br />
Lösung der haftungstechnischen Probleme (Schutz vor illegale<br />
IT-Nutzung Nutzungseinschränkung, Protokollierung und Nachweis)<br />
Problemlose Einbindung und Nutzung bestehender Infrastrukturen<br />
(LDAP/Active Directory, Access Points...)
Securepoint <strong>UMA</strong>:<br />
Die E – Mail-Archiv-Lösung<br />
Transparent in das Netzwerk zu integrieren<br />
Einfache Administration/Wartung über WebInterface<br />
Integrierte Datensicherheit/Verschlüsselung<br />
Integration an Active Directory oder LDAP Verzeichnisdienste<br />
Supervisor Mode nach Vier-Augen-Prinzip<br />
Indizierung der E-Mails und Anhänge zur Suche im Archiv<br />
Userbasierter Read-only-Zugriff via Browser-Interface oder E-Mail<br />
Client (zum Beispiel Outlook, Thunderbird, Apple-Mail etc.)<br />
Beweiswerterhaltende Langzeitspeicherung nach Technischer<br />
Richtlinie 03125 des BSI (TR-eSOR) und DIN –<br />
in Evaluierung nach Protection Profile ArchiSafe und<br />
Zertifizierung nach TR-eSOR<br />
Qualifizierte externe Zeitstempel
Securepoint <strong>UMA</strong>:<br />
Überblick<br />
Transparent in das Netzwerk integriert. Keine Änderungen erforderlich.<br />
Zugriff auf den<br />
Mailserver und das E-<br />
Mail-Archiv.<br />
Zugang über Vier-Augen-Prinzip.
Securepoint <strong>UMA</strong>:<br />
Storagevarianten / Zeitstempel<br />
Local Storage (interne Festplatte) mit und ohne Raid<br />
(Festplatten sind austauschbar)<br />
Network Storage / External Storage<br />
automatische Backup Mechanismen konfigurierbar<br />
gezieltes Restore durch Privacy Officer<br />
Vordefinierter Zeitstempeldienst von AuthentiDate<br />
Zeitstempelserver frei konfigurierbar
Securepoint <strong>UMA</strong>:<br />
Dynamic Single User Authentication<br />
automatische Active Directory Anbindung<br />
Nutzerverwaltung wird automatisch synchronisiert<br />
Eigenes Archiv je Nutzer<br />
Automatischer Webclient-Zugang je Nutzer<br />
Integration per IMAP in alle IMAP-fähigen (Fat-) E-Mail-Client Umgebungen<br />
Integrierter Archive Mail Reader<br />
Schreibender Archivzugriff nur durch Revisoren<br />
(Vier-Augen-Prinzip mit Privacy Officer)<br />
Indexierung des Content inkrementell konfigurierbar<br />
Automatisierbare Löschfristenvorgabe<br />
Löschmechanismus über Indexierte Inhalte möglich
Securepoint <strong>UMA</strong>:<br />
Die Zugriffsmöglichkeiten<br />
Zugriff auf das Archiv via WebInterface<br />
Zugriff auf das Archiv via Outlook<br />
Administration über WebInterface
Für Administratoren:<br />
Der Status auf der Startseite<br />
Network Traffic<br />
CPU Usage<br />
Memory Usage<br />
Storage Use
Für Administratoren:<br />
Das Setup – schnell und einfach
Vorschrift und Gesetze:<br />
E-Mails müssen archiviert werden<br />
Der E-Mail-Verkehr gehört zu dem handels- und steuerrechtlich relevanten<br />
Geschäftsvorgängen. E-Mails, die im Zusammenhang mit finanzbuchhalterischen<br />
Vorgängen stehen – dazu gehört nach aktueller Rechtsprechung<br />
bereits ein Angebot – sind nach den Richtlinien der Langzeitarchivierung<br />
unveränderbar über einen Zeitraum von bis zu 10 Jahren vorzuhalten.<br />
Die Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GDPdU)<br />
enthalten Regeln zur Aufbewahrung digitaler Unterlagen und zur<br />
Mitwirkungspflicht der Steuerpflichtigen bei Betriebsprüfungen.
§257 IV HGB: GDPdU,<br />
§147 III AO & Co.<br />
Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GDPdU)<br />
§257 IV HGB, §147 III AO (Aufbewahrung von Buchführungsunterlagen etc.)<br />
Die Anforderungen der GDPdU an die Aufbewahrung von Rechnungen im Sinne des UStG<br />
("elektronische Abrechnungen") sind unter anderem:<br />
Die Rechnung muss eine qualifizierte elektronische Signatur tragen (Faksimile-Unterschriften<br />
reichen nicht aus),<br />
der Empfänger muss die Signatur im Hinblick auf die Integrität der<br />
Daten und die Signaturberechtigung prüfen und das Ergebnis<br />
dokumentieren,<br />
der Empfänger muss die Rechnung auf einem Datenträger speichern,<br />
der Änderungen nicht mehr zulässt,<br />
der Empfänger muss den Eingang der Rechnung, ihre Konvertierung<br />
sowie die weitere Verarbeitung und Archivierung protokollieren,<br />
der Empfänger muss sicherstellen, dass die Übertragungs-,<br />
Archivierungs- und Konvertierungssysteme den GoBS entsprechen.<br />
Ähnliche Anforderungen gelten für die Aufbewahrung sonstiger<br />
aufbewahrungspflichtiger digitaler Unterlagen.
Archivierung zum Schutz<br />
vor Datenverlust<br />
E-Mails, als unternehmenskritische Informationsträger, müssen vor Datenverlust<br />
und illegalem Ausspähen geschützt werden. E-Mails gehen durch defekte<br />
PST-Dateien (MS-Outlook), unvorsichtiges Löschen oder Systemwechsel verloren. Oft<br />
werden ganze Postfächer beim Ausscheiden eines Mitarbeiters aus dem Unternehmen<br />
entfernt, ohne dass dafür eine notwendige Erlaubnis des Benutzers vorliegt.<br />
damals heute morgen?
Archivierung als Schutz vor<br />
Überlastung von E-Mail-Servern<br />
Im Laufe weniger Tage und Monate sammeln sich E-Mail-Daten auf Servern an<br />
und belegen Speicherplatz. Je größer der zulässige Anhang (Attachment), desto<br />
größer der benötigte Speicherplatz. Da viele Firmen Größenbeschränkungen für<br />
Postfächer definieren, müssen diese Daten in ein Archiv überführt und nicht mehr<br />
aktuelle Informationen in den Postfächern gelöscht werden.
Manipulationssicherheit:<br />
Fällt die Signatur für Elektronische Rechnungen?<br />
Steuervereinfachungsgesetz 2011: Dieser Punkt der veränderten EU-Richtline<br />
2006/112/EC soll bis zum 30. Juni 2011 in nationales Gesetz umgewandelt<br />
werden.<br />
Umsatz Steuer Gesetz § 14 Abs. 1 (UStG):<br />
1. § 14 wird wie folgt geändert: a) Absatz 1 wird wie folgt gefasst: „(1) Rechnung ist<br />
jedes Dokument, mit dem über eine Lieferung oder sonstige Leistung abgerechnet wird,<br />
gleichgültig, wie dieses Dokument im Geschäftsverkehr bezeichnet wird. Die Echtheit der<br />
Herkunft der Rechnung, die Unversehrtheit ihres Inhalts und ihre Lesbarkeit müssen<br />
gewährleistet werden. Echtheit der Herkunft bedeutet die Sicherheit der Identität des<br />
Rechnungsausstellers. Unversehrtheit des Inhalts bedeutet, dass die nach diesem Gesetz<br />
erforderlichen Angaben nicht geändert wurden. Jeder Unternehmer legt fest, in welcher<br />
Weise die Echtheit der Herkunft, die Unversehrtheit des Inhalts und die Lesbarkeit der<br />
Rechnung gewährleistet werden. Dies kann durch jegliche innerbetriebliche<br />
Kontrollverfahren erreicht werden, die einen verlässlichen Prüfpfad zwischen Rechnung<br />
und Leistung schaffen können. Rechnungen sind auf Papier oder vorbehaltlich der<br />
Zustimmung des Empfängers elektronisch zu übermitteln. Eine elektronische Rechnung ist<br />
eine Rechnung, die in einem elektronischen Format ausgestellt und empfangen wird.“
Manipulationssicherheit:<br />
ArchiSoft, ArchiSig und ArchiSafe<br />
Zur Erfüllung rechtlicher Anforderungen wird eine manipulationssichere Archivierung<br />
gefordert. Diese wird neben der Möglichkeit eines Schreibens auf eine WORM<br />
(wobei auch hier eine jahrelange Manipulationssicherheit in Frage gestellt werden kann)<br />
durch kryptografische Prozesse auf die zu archivierenden E-Mails erzielt. Als unabhängige<br />
Instanz hat hier das Fraunhofer-Institut für Sichere Informationstechnologie (SIT) dazu ein<br />
Modul „ArchiSoft“ entwickelt, welches diesen Prozess übernimmt und auch sicherstellt, dass<br />
nach unsicher werden dieses kryptografischen Prozesses alle bereits im E-Mail-Archiv<br />
befindlichen E-Mails mit dem neueren, sicheren kryptografischen Prozess nachsiginiert<br />
werden. In Verbindung mit der Nutzung von akkreditierten Zeitstempeldiensten soll so<br />
eine dauerhafte Manipulationssicherheit gewährleistet werden.<br />
Grundforderungen der aktualisierten Direktive der KOM<br />
vom Juli 2010 i.V.m. Steuervereinfachungsgesetzes 2011:<br />
Authentizität des Absenders, Integrität des Inhalts und Lesbarkeit<br />
der Rechnung über den Dokumentenlebenszyklus. Erreichbar durch<br />
EDI-FAC und Qualifizierte Elektronische Signatur.
Archivlösung nach<br />
TR 03125 des BSI (TR-eSOR)<br />
Liefert einen Katalog mit Kriterien/Empfehlungen zu<br />
Dokumentenformaten<br />
Speicherformate (XAIP)<br />
Architektur<br />
Organisation<br />
Anforderungen an Komponenten<br />
Schnittstellen<br />
Definiert wie der Schutz der Integrität, Authentizität, Verfügbarkeit und Lesbarkeit der<br />
aufbewahrten Daten sichergestellt werden kann<br />
Basiert auf dem<br />
ERS-Standard<br />
Ergebnissen des Projekts ArchiSafe<br />
Ergebnissen des Projekts ArchiSig<br />
Standards rund um XML (XAdES) , CMS (CAdES) , PDF (PAdES)<br />
Systeme können sich in zwei Konformitätsklassen prüfen lassen<br />
Funktionale Konformität<br />
Schnittstellen Konformität<br />
Soll die Basis für die Etablierung eines ISO Standards sein
Anforderungen an<br />
Langzeitspeicherung<br />
Langzeitaufbewahrung<br />
Integrität und Authentizität der Dokumente<br />
Nachweis und Erhaltung der elektronischen Form<br />
Bewahrung eines hohen Beweiswerts<br />
Wirtschaftlichkeit<br />
Kostengünstig und performant<br />
Rechtliche Anforderungen<br />
Aufbewahrungsfristen (retention management)<br />
Datenschutz (Löschen von Dokumenten)<br />
Verkehrsfähigkeit
Langzeitspeicherung vs.<br />
„Archivierung“<br />
Langzeitspeicherung<br />
Archivierung<br />
Speicherung für eine begrenzte Zeit (z.B. 110 Jahre)<br />
Speicherung für eine bestimmte Zeit (Löschverpflichtung)<br />
An Fristen gebunden<br />
Beweiswerterhaltung<br />
Für immer<br />
Kulturerbe<br />
Beweiswert muss nicht mehr zwingend auf elektronischem Wege geschützt werden
Beweiskraft erhalten …<br />
Herausforderungen:<br />
Zertifikate laufen aus, sind nicht mehr prüfbar<br />
Algorithmen werden unsicher (z.B. heute SHA-1)<br />
Eine 5 Jahre alte Signatur ist eventuell alleine nicht mehr beweiskräftig<br />
Erhalt der Beweiskraft<br />
Nachvollziehbarkeit von früheren Signaturprüfungen ermöglichen<br />
Detaillierte Prüfergebnisse aufbewahren (Antworten der Trustcenter)<br />
Prüfergebnisse müssen ggf. übersigniert werden<br />
Nachweis, dass früher mal eine (positive) Prüfung stattgefunden hat<br />
Dokumente neu signieren<br />
Signaturen regelmäßig prüfen, solange sie noch prüfbar sind<br />
Daten übersignieren (stärker), deren Signatur bald nicht mehr sicher ist
Die Architektur der <strong>UMA</strong><br />
mit Governikus LZA<br />
bisher:<br />
SECUREPOINT<br />
keine Revisionssicherheit<br />
Fehleranfälligkeit<br />
<strong>UMA</strong><br />
111101101110001<br />
manipulierbar<br />
111101101110001<br />
1<br />
1<br />
1<br />
1<br />
0<br />
1<br />
1<br />
0<br />
1<br />
1<br />
1<br />
111101101110001<br />
0<br />
111101101110001<br />
0<br />
111101101110001<br />
0<br />
1<br />
111101101110001<br />
111101101110001
„Nachsignatur“ nach ArchiSig<br />
(Merkle) Hash-Baum:<br />
Besteht aus Hash-Werten von beliebig vielen Dokumenten<br />
Pro Hash-Baum nur EIN akkreditierter Zeitstempel erforderlich<br />
Dokument<br />
d1<br />
Hash1(d1) Hash 2(d 2)<br />
Dokument<br />
d 1<br />
Reduzierter Hash-Baum + Zeitstempel<br />
Hash5(h1|h2)<br />
Dokument<br />
d 2<br />
+ =<br />
Hash<br />
h1=H(d1)<br />
Hash<br />
h2=H(d2)<br />
Hash<br />
h6=H(h3|h4)<br />
Timestamp<br />
t=TSP(h7)<br />
Zeitstempel<br />
Hash 7(h 5|h 6)<br />
Hash6(h3|h4)<br />
Hash 3(d 3) Hash 4(d 4)<br />
Dokument<br />
d 3<br />
Zeitstempel-Siegel<br />
Dokument<br />
d 4<br />
Hashwert<br />
Hashwert-Baum<br />
Beweis-Dokument
Timetable Securepoint <strong>UMA</strong><br />
Entwicklung seit 2009<br />
Segmenttests seit Oktober 2010<br />
Alphatests Mai 2011 – Juni 2011<br />
Interne Betaphase ab Juli 2011<br />
<strong>UMA</strong> Version 1.0 ab 09/2011
Wichtige Fragen im Projekt:<br />
Werden bereits elektronisch signierte Dokumente empfangen?<br />
Werden bereits elektronisch Signierte Dokumente versendet?<br />
Steht der E-Mail-Server physikalisch beim Kunden?<br />
Welche Protokolle nutzt der Kunde (POP3 / SMTP)?<br />
Wie hoch ist der Traffic derzeit in GB (Tag / Woche / Monat / Jahr)?<br />
Wie viele Postfächer betreibt der Kunde?<br />
Wie ist die Anzahl eingehender und ausgehender E-Mails?<br />
Wie groß ist der derzeitige Speicherbedarf über alle Nutzer insgesamt?<br />
GB absolut?<br />
Wachstum im Monat um wie viel MB / GB / TB?<br />
inklusive durch Nutzer gelöschte E-Mails?<br />
Gibt es Peaks durch Mailings / Rechnungsversand (Tag / Woche / Monat / Jahr)?
Preismodell <strong>UMA</strong><br />
… gar nicht mal so teuer …<br />
Billig?!<br />
GEIZ IST GEIL<br />
Händler EK 251,47 € netto???<br />
preisWERT!!<br />
… ein Mailarchiv<br />
für 1.500 Euro?<br />
Günstig
Securepoint <strong>UMA</strong><br />
- manipulationssicher -<br />
- revisionssicher -<br />
- gesetzeskonform -<br />
- sicher -<br />
- einfach -<br />
- günstig -
… the meat is on the table:<br />
Bitte fragen Sie jetzt…