Kontakt
QR-Code für die aktuelle URL

Story Box-ID: 3747

cirosec GmbH Ferdinand-Braun-Straße, 4 74074 Heilbronn, Deutschland http://www.cirosec.de
GH
cirosec GmbH

cirosec warnt vor vermeintlich sicheren E-Mail-Systemen

Schwachstelle in Novell GroupWise entdeckt

(lifePR) (Heilbronn, )
HEILBRONN, 5. Juni 2007 – cirosec, der Spezialist im IT-Sicherheitsbereich, warnt vor Angriffsmöglichkeiten auf angeblich sichere Firmen-E-Mail-Systeme und deren Nutzung ohne VPN-Verschlüsselung über das Internet.

Hersteller von E-Mail-Systemen behaupten oft, dass die Kommunikation zwischen E-Mail-Client und E-Mail-Server verschlüsselt und generell sicher ist. Allerdings ist diese Verschlüsselung zwischen Client und Server oft unzureichend implementiert. Dadurch werden Angriffe auf die Kommunikation möglich.

Dies wurde einmal mehr bei einer Sicherheitsüberprüfung deutlich, die Andreas Schmidt, Berater bei der cirosec GmbH, im Auftrag eines Kunden durchgeführt hat. Bei der Überprüfung des GroupWise Mail-Systems von Novell war es ihm möglich, trotz SSL-Verschlüsselung die Kommunikation zwischen Client und Server anzugreifen und die Anmeldeinformationen (Benutzername und Passwort) abzugreifen, ohne dass dies für den Anwender sichtbar gewesen wäre. Möglich war dieser so genannte Man-In-The-Middle-Angriff durch gravierende Fehler bei der Implementierung der Verschlüsselung des Protokolls, das für die Kommunikation zwischen Client und Server genutzt wird.

Ist ein Angreifer einmal in Besitz von den genannten Anmeldeinformationen, kann er sich anschließend am GroupWise Server anmelden und somit auf die Daten des Opfers zugreifen. Dies ist besonders dann kritisch, wenn Anwender ungeschützt, also ohne VPN aus öffentlichen Netzen, wie beispielsweise von Hotel-WLANs auf firmeninterne Daten zugreifen.

Die Angriffsmöglichkeit wurde nach der Entdeckung an den Hersteller Novell gemeldet, der mittlerweile einen Patch veröffentlicht hat, durch den die gemeldete Schwachstelle behoben wird. Allerdings ist diese Art von Fehler auch bei allen anderen kommerziellen E-Mail-Systemen denkbar. Deshalb empfiehlt cirosec, sich nicht auf die herstellerseitige Verschlüsselung zu verlassen, sondern auf jeden Fall die Kommunikation über eine VPN-Verschlüsselung zu implementieren, insbesondere bei Nutzung von E-Mail-Systemen über das Internet.
Für die oben stehenden Storys, das angezeigte Event bzw. das Stellenangebot sowie für das angezeigte Bild- und Tonmaterial ist allein der jeweils angegebene Herausgeber (siehe Firmeninfo bei Klick auf Bild/Titel oder Firmeninfo rechte Spalte) verantwortlich. Dieser ist in der Regel auch Urheber der Texte sowie der angehängten Bild-, Ton- und Informationsmaterialien. Die Nutzung von hier veröffentlichten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber. Bei Veröffentlichung senden Sie bitte ein Belegexemplar an service@lifepr.de.
Wichtiger Hinweis:

Eine systematische Speicherung dieser Daten sowie die Verwendung auch von Teilen dieses Datenbankwerks sind nur mit schriftlicher Genehmigung durch die unn | UNITED NEWS NETWORK GmbH gestattet.

unn | UNITED NEWS NETWORK GmbH 2002–2024, Alle Rechte vorbehalten

Für die oben stehenden Storys, das angezeigte Event bzw. das Stellenangebot sowie für das angezeigte Bild- und Tonmaterial ist allein der jeweils angegebene Herausgeber (siehe Firmeninfo bei Klick auf Bild/Titel oder Firmeninfo rechte Spalte) verantwortlich. Dieser ist in der Regel auch Urheber der Texte sowie der angehängten Bild-, Ton- und Informationsmaterialien. Die Nutzung von hier veröffentlichten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber. Bei Veröffentlichung senden Sie bitte ein Belegexemplar an service@lifepr.de.