4its setzt auf höchste Sicherheitsstandards durch neue Verschlüsselungstechnik DANE

In Zeiten von NSA-Überwachungsskandalen, Industriespionage und wiederholten Hackerangriffen auf Serversysteme mit hochsensiblen Daten kann IT-Sicherheitsmaßnahmen nicht genug Bedeutung beigemessen werden. Besonders wichtig sind sie im Business-Umfeld und speziell für die E-Mail-Kommunikation.

Die 4its GmbH setzt daher als einer der ersten Anbieter im B2B-Bereich für ihre Produktlinie UNGANA auf eine ganz neue Sicherheitstechnik namens DANE (= DNS-based Authentication of Named Entities), um den Versand von E-Mails noch sicherer zu gestalten.

DANE wird zusätzlich zu der bekannten SSL-Verschlüsselung für einen noch stärker abgeschirmten E-Mail-Transport eingesetzt. Während sich die SSL-Verschlüsselungsmechanismen darauf konzentrieren, den Übertragungsweg abzusichern, setzt DANE schon vorher an: Noch bevor eine E-Mail in einer verschlüsselten Verbindung auf Reisen geht, prüft DANE die Echtheit des Zielservers und holt von dessen SSL-Zertifikat einen digitalen Fingerabdruck ein. Dieser wird mit dem Servereintrag im so genannten DNS-System, einer Art weltweitem Telefonverzeichnis des Internets, abgeglichen und auf Echtheit geprüft. Auch die Kommunikation mit dem DNS-System während dieser Echtheitsprüfung wird eigens vor Manipulation geschützt, durch eine weitere Technik namens DNSSEC.

Durch den kombinierten Einsatz von DANE und DNSSEC lässt sich sicherstellen, dass die E-Mail auch tatsächlich an den gewünschten Empfangsserver versandt wird.

Das Besondere an DANE: Dass E-Mail- und Web-Server über verschlüsselte SSL-Verbindungen miteinander kommunizieren, ist gang und gäbe. Was bei diesen Mechanismen bislang nicht überprüft wurde, ist die Gültigkeit der Server-Zertifikate. Genau hier aber gab es zahlreiche Fälle von Missbrauch und z.B. Einbrüche bei Zertifizierungsstellen. Und genau an dieser Schwachstelle setzt DANE an, am Einfallstor für Kriminelle und Geheimdienste, die gefälschte Zertifikate einsetzen, um die Echtheit von Servern vorzutäuschen und Daten zu entwenden.

Ein weiterer Vorteil: Anders als bei Initiativen wie z.B. „E-Mail for Germany“ basiert DANE auf offenen Standards und funktioniert über Netzwerk- und Ländergrenzen hinweg. „E-Mail for Germany“ hingegen setzt auf ein eigenes Verschlüsselungsverfahren, das die Mitglieder Telekom, GMX und Web.de gemeinsam ins Leben gerufen haben und das nur innerhalb Deutschlands und nur zwischen den Mitgliedern der Allianz funktioniert.

DANE und DNSSEC werden bislang erst von wenigen E-Mail-Programmen und -Anbietern verwendet. Wir setzten auf DANE, weil wir an das Potential dieser Technologie glauben, die E-Mail-Kommunikation über Ländergrenzen hinweg noch sicherer zu machen. Zu wünschen ist, dass weitere E-Mail-Anbieter folgen und das Verfahren ebenfalls nutzen. Prominenter Wegbereiter: Der Bund hat vor wenigen Wochen seine Mail- und Webserver mit dieser Technik ausgestattet. Weiter so!