Gratis
11. Januar 2019 - E-Mail-Sicherheit

E-Mail-Betrug: Deutsche Unternehmen sehr anfällig

Drucken

Das Konzept für den E-Mail-Versand ist seit vielen Jahren unverändert. Es birgt in sich die Gefahr, einer gefälschten Absenderadresse aufzusitzen. Obwohl es dagegen inzwischen Schutzmechanismen wie DMARC gibt, setzen zu wenige Unternehmen sie ein.

DMARC hilft, E-Mail-Betrug rechtzeitig zu erkennen DMARC hilft, E-Mail-Betrug rechtzeitig zu erkennen (Bild: Peshkova / iStock / Thinkstock)

Es ist für technisch fortgeschrittene Anwender ohne großen Aufwand möglich, die Absenderangabe einer E-Mail zu fälschen.

Dies ist dem Alter der technischen Spezifikationen für die elektronische Post geschuldet. Als die ersten E-Mails versendet wurden, dachten die Entwickler des Internets nicht an Betrüger. Sie sahen letztlich nur das Potenzial der grenzenlosen Kommunikation.

Geblieben ist seitdem die Unsicherheit, ob die Nachricht im Posteingang tatsächlich vom richtigen Absender stammt, ihr Inhalt vertrauenswürdig ist.

DMARC rüstet Absenderverifikation nach

Ein von Google, Yahoo und anderen Providern entwickelter Standard, „Domain-based Message Authentication, Reporting and Conformance“ (DMARC) genannt, bietet die Möglichkeit, den Absender einer Mail zu verifizieren.

Anhand der genutzten Domain einer Adresse lässt sich mithilfe von DMARC überprüfen, ob der Versender der echte ist. Dazu setzt das Verfahren auf etablierte andere Standards, die in erster Linie zum Einsatz kommen, um Spam-Nachrichten zu bekämpfen:

  • DKIM (Domain Keys Identified Mail) und
  • SPF-Einträge (Sender Policy Framework).

DKIM erlaubt die Verifizierung einer E-Mail über eine asymmetrische Verschlüsselung.

Erhält der empfangende Mailserver eine E-Mail, ist diese mit einem digitalen Schlüssel signiert. Anhand des öffentlichen Keys, den der DNS-Server der Domain des Absenders zur Verfügung stellt, lässt sich die Herkunft der Mail sicher verifizieren oder widerlegen.

SPF legt darüber hinaus fest, welche Server E-Mails von dieser Domain versenden dürfen.

Deutsche Unternehmen und Organisationen setzen selten DMARC ein

Das Unternehmen Proofpoint hat im vierten Quartal 2018 eine detaillierte DMARC-Analyse aller im DAX30 notierten Firmen sowie verschiedener Regierungsstellen durchgeführt.

Das Ergebnis: Nur ein Drittel (33 Prozent) der DAX30-Unternehmen hat DMARC eingeführt, obwohl das Verfahren Mitarbeiter, Kunden und Partner vor domain-basiertem E-Mail-Betrug schützen könnte.

Mit anderen Worten sind zwei Drittel der untersuchten Unternehmen dem Risiko von E-Mail-Betrug und dem sogenannten Domain-Spoofing ausgesetzt.

Wie Proofpoint in der Untersuchung erwähnt, haben im Bereich der Banken und Finanz-Dienstleistungen alle Firmen DMARC implementiert.

Deutliches Potenzial haben dagegen die Unternehmen aus dem Pharma- und Gesundheitsbereich. Hier sind es erst 25 Prozent, die das Verfahren implementiert haben.

Deutsche Behörden und Ministerien stehen ebenfalls abseits.

Verantwortliche Stellen müssen verhindern, dass personenbezogene Daten in die Hände unbefugter Dritter gelangen. Das DMARC-Verfahren könnte wirkungsvoll verhindern, dass Mitarbeiter in bester Absicht Informationen an einen gefälschte, aber auf den ersten Blick vertrauenswürdige Adresse versenden.

Insofern istt es durchaus empfehlenswert, den Einsatz des Verfahrens innerhalb der eigenen Organisation zu prüfen.

Stephan Lamprecht