SMTP mit SSL-Authentifizierung - Spezialfall [GELÖST]

[Tobi]

Das Problem liegt eigentlich noch tiefer.
Gem. DSGVO muss ein Anbieter / Nutzer / Verarbeiter von personenbezogener Daten alles technisch mögliche gem. aktuellem Stand der Technik dafür machen, dass die gespeicherten Kunden-Daten sicher sind.
Siehe dazu: https://dsgvo-gesetz.de/art-32-dsgvo/

Das bewusste Verwenden eines veralteten SSL-Ciphers nur damit die olle Software noch läuft, halte ich als Nicht-Jurist zumindest für grob fahrlässig.

PayPal und auch viele andere Dienstleister nehmen bewusst keine TLS 1.0 Anfragen mehr an. Eben weil diese manipuliert sein könnten.

[goldene-zeiten]

Lieber Tobi,

deine Einwände sind berechtigt - darum tauschen wir uns ja aus.

Erster Punkt ist, dass wir keine Webpräsenzen fremder Kunden hosten. Wir verwalten auf dem Server ausschließlich unsere Eigenprojekte.

Zweitens überlege ich, ob ich einen virtuellen Server nehme, der dann das TSL-Problem mit der EMA abfedert.

Drittens wollte ich ja testen, ob vielleicht auch V1.1 noch laufen würde. Daher wollte ich ja wissen, welche Cipher ich da hinterlegen muss oder ob die gleichen gehen wie bei Version 1.0?

LG von

Björn

[Tobi]

Es geht nicht darum ob du für Dritte hostest.

Es geht darum, dass du in deiner Software Kundendaten deiner Kunden verwaltest. Du bist als Unternehmer dazu verpflichtet alles technisch Mögliche zu unternehmen damit die Daten deiner Kunden maximal sicher gespeichert sind.

Schon alleine die Überlegungen mit dem V-Server zeigen mir, dass du die Thematik nicht ansatzweise verstehst. Der V-Server macht deine Datenhaltung nicht sicherer. Du verschiebst nur den Single-Point-Of-Failure, an der grundsätzlichen Problematik ändert das nichts.

Und erschwerend kommt noch hinzu, dass es wohl eine Nachfolgesoftware gibt, welche du aber aus Zeitgründen noch nicht in Betrieb genommen hast.

Anstatt also hier zu fragen wie man die Serversicherheit herabsetzen kann solltest du aus meiner Sicht deine Zeit lieber damit verbringen deine Daten in eine Software mit angemessenem Sicherheitsniveau zu bringen.

Sorry aber so sehe ich das.

[OlliTheDarkness]

Es geht nicht darum ob du für Dritte hostest.

Es geht darum, dass du in deiner Software Kundendaten deiner Kunden verwaltest. Du bist als Unternehmer dazu verpflichtet alles technisch Mögliche zu unternehmen damit die Daten deiner Kunden maximal sicher gespeichert sind.

Schon alleine die Überlegungen mit dem V-Server zeigen mir, dass du die Thematik nicht ansatzweise verstehst. Der V-Server macht deine Datenhaltung nicht sicherer. Du verschiebst nur den Single-Point-Of-Failure, an der grundsätzlichen Problematik ändert das nichts.

Und erschwerend kommt noch hinzu, dass es wohl eine Nachfolgesoftware gibt, welche du aber aus Zeitgründen noch nicht in Betrieb genommen hast.

Anstatt also hier zu fragen wie man die Serversicherheit herabsetzen kann solltest du aus meiner Sicht deine Zeit lieber damit verbringen deine Daten in eine Software mit angemessenem Sicherheitsniveau zu bringen.

Sorry aber so sehe ich das.

100% bei dir.

[24unix]

Schon alleine die Überlegungen mit dem V-Server zeigen mir, dass du die Thematik nicht ansatzweise verstehst. Der V-Server macht deine Datenhaltung nicht sicherer. Du verschiebst nur den Single-Point-Of-Failure, an der grundsätzlichen Problematik ändert das nichts.

Ich denke, Du hast den Ansatz mit dem Mail-Relay nicht verstanden.

Die Datenhaltung bleibt da, wo sie ist, nur die EMA verschickt seine Mails über dieses eine Relay.

[24unix]

100% bei dir.

Wie fast immer, starke Meinung mit wenig Substanz.

Ja, sorry, auch andere können austeilen wie Du.

[Tobi]

Schon alleine die Überlegungen mit dem V-Server zeigen mir, dass du die Thematik nicht ansatzweise verstehst. Der V-Server macht deine Datenhaltung nicht sicherer. Du verschiebst nur den Single-Point-Of-Failure, an der grundsätzlichen Problematik ändert das nichts.

Ich denke, Du hast den Ansatz mit dem Mail-Relay nicht verstanden.

Die Datenhaltung bleibt da, wo sie ist, nur die EMA verschickt seine Mails über dieses eine Relay.

Dann auch nochmals für dich
Solange du und deine Anwender einer potentiell gefährdeten Komponente wider besseren Wissens Vertrauen schenkt ist die gesamte Softwarekonstruktion in Frage gestellt.

Wie alt muss eine Software sein, damit sie nur TLS 1.0 kann? Es ist doch auch mal gut, dass so altes Zeug abgeschaltet wird. Wir haben öfters mal mit Kunden eine Diskussion warum dieses und jenes ein Update benötigt und warum das Update denn nötig sei? Es geht doch in solchen Fällen darum bekannten Sicherheitsproblemen einen Riegel vorzuschieben.

Wenn ich also über das Mailsystem dem User glaubhaft eine Mail schicken kann mit welcher er bitte seine Registrierung mit Passwort bestätigen mag, dann ist das für mich ein realistisches Szenario welches erst durch das bewusste Ignorieren von defacto Standards entstanden ist.

[24unix]

Ich antworte morgen. Mag am Tablet nicht gerne tippen.

[goldene-zeiten]

Vielen lieben Dank für euren zahlreichen Input.

Die Sache mit dem vServer wurde so gemeint, wie sie 24unix gemeint hat. So wurde sie auch zuvor thematisiert. Nur für die EMA wäre der vServer da. Alle anderen Anwendungen würde ich auf dem bestehenden Hauptserver belassen und auf den von KeyHelp empfohlenen Standard wieder hochsetzen.

Dass es kein Software-Update für die EMAs mehr gibt, ist halt ein Fakt. Das hat nichts mit Fahrlässigkeit zu tun sondern damit, dass die EMA EOL ist und die Software eben auch. Dafür kann ich nichts und das kann ich auch nicht beeinflussen. Da es sich um einen Rollout/Hardware-Tausch von mehreren EMAs handelt (incl. den ganzen Sensoren), ist das eben nicht hopplahopp mal eben schnell umgestellt.

Die einzig plausible Lösung wäre dann eben der zweite Container/vServer.

[24unix]

Schon alleine die Überlegungen mit dem V-Server zeigen mir, dass du die Thematik nicht ansatzweise verstehst. Der V-Server macht deine Datenhaltung nicht sicherer. Du verschiebst nur den Single-Point-Of-Failure, an der grundsätzlichen Problematik ändert das nichts.

Ich denke, Du hast den Ansatz mit dem Mail-Relay nicht verstanden.

Die Datenhaltung bleibt da, wo sie ist, nur die EMA verschickt seine Mails über dieses eine Relay.

Dann auch nochmals für dich
Solange du und deine Anwender einer potentiell gefährdeten Komponente wider besseren Wissens Vertrauen schenkt ist die gesamte Softwarekonstruktion in Frage gestellt.

Also, jetzt noch mal von einem Rechner aus:

Lage: Es wird eine EMA verwendet (ich weiß nicht mal, was das ist, Software? Hardware-Appliance? Ist aber auch unerheblich.)
Die ist EOL und wird auch nicht kurzfristig ersetzt.

Dieses Teil soll eMail versenden, kann es aber nur, wenn man das KH-Panel in einen ungewünschten Zustand versetzt.

Folgende Optionen sehe ich:

1: Auf eMail von der EMA verzichten. Sicherlich nicht in Sinne des Betreibers.
2. KH so anpassen, dass es geht, dafür aber veraltete/unsichere Technik im Betrieb haben.
3. Ein Relay aufsetzen, dass exakt nur die Mails von der EMA entgegen nimmt und mit aktueller Technik an KH weiterleitet.
4. EMA upgraden, was aber unter den Prämissen schon ausgeschlossen wurde.

Ich sehe Lösung 3. als durchaus valide. Was hättest Du gemacht?

[goldene-zeiten]

Du hast alles perfekt und professionell zusammengefasst. EMA heißt übrigens Einbruchmeldeanlage und ist, wenn man so will, eine Appliance. Die Umstellungen sind natürlich aufwändiger, weil man auch komplett alle Sensoren austauschen muss. Option 3 erscheint mir daher auch am sinnvollsten. Und in diesem Zustand bin ich nun eben auch reingeraten, weil ja bis vor drei Monaten die EMA zumindest noch mit Gmail kommunizieren konnte. Daher brauchte ich ja auch nicht diesen unvorteilhaften Zustand von KeyHelp. Aber es wird kein Dauerzustand bleiben und der vServer wird es hoffentlich kurzfristig richten.

[Tobi]

Was hättest Du gemacht?

Ich hätte mir rechtzeitig eine neue EMA besorgt.
Ist ja nicht so, dass das Ende von TLS 1.0 überraschend gekommen wäre.

Was hier passieren wird:
Veraltete Technik wird mit einem Provisorium über die empfohlene Laufzeit hinweg betrieben.

[goldene-zeiten]

Es mag für dich grundsätzlich immer alles banal aussehen. Aber tatsächlich ist das bei einer gewissen Firmengröße nicht alles immer gleich umstellbar. Jede der drei Filialen ist gleich ausgestattet. Unterschiedliche EMA sind aufgrund des Wartungsaufwandes nicht denkbar. Das führt aber auch grundsätzlich dazu, dass die Hardware samt aller neuen Sensoren und der Montage auch relativ zeitnah und parallel durchgeführt werden muss. Das dieser Schritt kommen wird, steht ja auch außer Frage. Aber ich kann nicht an allen Baustellen parallel arbeiten. Denn wie man ja gesehen hat, gab es ja auch noch viele andere Dinge technische Natur und mit dem Server zu lösen, die ich einfach vorziehen musste. Und im Gegensatz zu einem Privathaushalt kann man nicht einfach ein neues System irgendwo aufbauen ohne es im Vorfeld ausgiebig getestet zu haben. Das gilt im übrigen auch für fertige Lösungen wie EMAs, denn man kann sich gar nicht vorstellen wie viel Fehler da in einem angeblich ausgereiften Produkt stecken. Zudem muss auch alles mit den Alarmzentralen abgesprochen sein. Dieses Projekt an sich betreue ich genauso aber du unterschätzt hier die Komplexität des Ganzen.

[Tobi]

Ob ich das jetzt unterschätze oder nicht lassen wir mal dahingestellt.

Du bist halt ein Selbermachen-Typ. Nicht umsonst (wortwörtlich) gibt es Systemhäuser und IT-Integratoren.
Ja, auch die könnten Schmuck verkaufen. Ob sie das erfolgreich hinbekommen lass ich mal offen.

Also wenn du es partout auf deine Art machen willst, dann könntest du zumindest zwischen den Filialen ein VPN aufziehen und in einer Filiale einen lokalen TLS 1.0 Mail-Server einrichten. Dann wäre zumindest die Angriffsfläche nach außen minimiert da der Mailserver von der EMA über die lokale IP (und zwar nur diese) angesprochen werden könnte.

Da es sich aber andererseits um die Systemsicherheit deiner Filialen handelt würde ich persönlich auch hier keine Kompromisse eingehen und einen Fachmann mit der Installation / Upgrade beauftragen.

[goldene-zeiten]

Also ich wollte nur klarstellen, dass ich zwei Kernkompetenzen habe. Ich bin selbst Entwickler und IT-Administrator. Das Tätigkeitsumfeld ist sehr breit gesteckt. Und von der Zweitkompetenz für Schmuck und Uhren brauchen wir ja nicht reden. Die sprichst du mir ja glücklicherweise auch nicht ab. Vielleicht hast du ja aus dem ein oder anderen Post schon mitbekommen, dass ich PHP und vor allem TYPO3 Entwickler bin. Ich betreue die ganze IT an allen Standorten und sehe daher auch keine Veranlassung, dies an ein überteuertes Systemhaus abzugeben. Ich habe vor meinem jetzigen Selbständigkeit schon Systemhäuser und Agenturen kennengelernt, weil ich selbst da gearbeitet hatte. Das ist haarsträubend und ich bin immer wieder erstaunt wie merkwürdig teilweise da gearbeitet wird. Das kann man pauschal nicht sagen aber beispielsweise WordPress Präsenzen kann ich beispielsweise nicht als vollwertig ernst nehmen. Warum sollte ich das Server housing, die Entwicklung einer Webseite, das Design, als auch CCTV und EMA außer Haus geben, wenn ich das auf einem vergleichbaren Level Hand haben kann, wie eine IT-Firma?. Deine Lösung mit dem VPN wäre eine Zwischenlösung. Natürlich käme auch ein lokaler Mailserver in Betracht. Bei der CCTV ist ein VPN überhaupt kein Problem. Virtuelle Rundgänge erfolgen ja zentral über Überwachungssystem. Bei der EMA kann ich dir nur bedingt zustimmen. Natürlich kann man intern auch ein Nagios aufsetzen, welches die permanente Verfügbarkeit der Systeme prüft. Aber wenn ich im Störungsfall oder bei anderen Dingen schnell auf die EMA zugreifen muss und mich dann immer durch einen VPN durchhangeln muss ist das nicht praktikabel. Die Lösung mit dem virtuellen Server, der dann auf TLS 1.0 läuft ist daher wirklich die praktikabelste. Dann sind alle anderen Systeme aktuell und sicher. Und im Anschluss daran kann ich dann die EMA sukzessive einen Rollout unterziehen. In einem Punkt sind wir uns auf jeden Fall definitiv einig: die jetzige Lösung bei den Produktivserver von KeyHelpp kann nicht so bleiben. Ich verstehe deiner Sichtweise natürlich auch. Du möchtest natürlich immer die neuesten Lösungen verkaufen. Genau davon lieben auch Systemhäuser. Auch hier wie gesagt kenne ich ja mit auch von Bekannten, wie hier künstlich Probleme erzeugt werden oder Panik gemacht wird damit eben die Kasse gefüllt ist.

Und noch eine kleine Anmerkung möchte ich machen: diejenigen, die Alarmanlagen und Überwachungsanlagen aufbauen, nennt man ja Errichter: Diese Errichter waren früher alles andere als IT-Spezialisten. Das brauchen sie auch gar nicht, weil das ja in sich geschlossene Systeme waren und es da keine Verbindung zum Internet gab. Das hat sich mittlerweile geändert, da ja alles über die normale Netzwerkverkabelung funktioniert. Im übrigen aus Sicherheitsgründen mit allen Vor- und Nachteilen. Das neue Problem ist aber nun, dass die ganzen IT-Systemhäuser, die sich nun mit Überwachung und Alarmanlagen beschäftigen, nicht die fachspezifischen Gegebenheiten kennen, wie Sie die der Errichter kennt. Also dein Argument, mit einem Systemhaus wäre man richtig bedient, ist also so einfach auch nicht zu beantworten. Und dann kommt noch das ganze Thema Datenschutz dazu. Das hattest Du ja schon für Webserver angesprochen. Aber auch hier gibt es sehr spezifische Dinge zu beachten bei einer EMA als auch bei Überwachungsanlage. Kurz um: du magst mich selbst machen Typ nennen. Aber ich kann dir versichern, dass du mit einem Systemhaus nicht unbedingt besser und sicherer dran bist.