Kommentar zu gefälschten eMails

Bundesfinanzhof patzt bei der eMail-Sicherheit

| Autor / Redakteur: Stefan Cink / Peter Schmitz

Der Bundesfinanzhof hat seine E-Mail-Infrastruktur nicht mit DMARC-Einträgen abgesichert. Das begünstigt eine aktuelle Angriffswelle mit Schad-E-Mails, die in seinem Namen versendet werden.
Der Bundesfinanzhof hat seine E-Mail-Infrastruktur nicht mit DMARC-Einträgen abgesichert. Das begünstigt eine aktuelle Angriffswelle mit Schad-E-Mails, die in seinem Namen versendet werden. (© Bundesfinanzhof)

Seit dem 7. Juni warnt der Bundesfinanzhof auf seiner Webseite vor gefälschten eMails. Bislang unbekannte Täter versenden laut der Warnung eMails mit schadhaften Anhängen und verwenden die eMail-Domain des Bundesfinanzhofs im Absender. eMail-Security-Experte Stefan Cink ist über die unzulängliche Absicherung der eMail-Server entsetzt.

Die Warnung des Bundesfinanzhof (BFH) wird aktuell zwar in den sozialen Medien geteilt, die tatsächliche Reichweite dürfte sich jedoch in Grenzen halten und der Großteil der Opfer wird, wenn überhaupt, viel zu spät informiert. Potenzielle Opfer mit einem Blogbeitrag rechtzeitig warnen zu wollen, ist sicherlich richtig, aber aufgrund der gerade aufgeführten Punkte lediglich ein kleiner Baustein in der Kommunikation.

Deutlich sinnvoller und effektiver ist die direkte Warnung aller beteiligten eMail-Firewalls. Hierfür ist kein Blogbeitrag nötig, sondern eine einfache, bereits bestens standardisierte und kostenfrei verfügbare Technik namens DMARC (IETF RFC 7489 – Domain-based Message Authentication, Reporting, and Conformance, 2015).

Phishing-Schutz DMARC und der Datenschutz

DMARC und die EU-DSGVO

Phishing-Schutz DMARC und der Datenschutz

21.12.18 - Täuschend echte E-Mails von Banken, großen Versandhändlern oder Logistikunternehmen, die unter irgend einem Vorwand persönliche Daten abfragen wollen, kennt heute fast jeder. Solche Phishing-Attacken schaden der Reputation und damit auch der Mail-Zustellbarkeit der kopierten Marke. Dabei kann man sich mit DMARC wirksam gegen den Missbrauch der eigenen Marke schützen. Aber darf man das überhaupt? lesen

Mit einem DMARC-Eintrag erklären Domaininhaber öffentlich allen anderen eMail-Servern weltweit, wie sie mit eMails von der geschützten Domain umgehen sollen. Viel wichtiger ist jedoch: Jeder kann so wissen, welche Server im Netz überhaupt im Namen der angegebenen Domain eMails verschicken dürfen. Mit dieser Information können gefälschte Mails von der empfangenden Seite sicher und effizient erkannt werden.

Die Einrichtung eines DMARC-Eintrags bringt sicherlich am Anfang Aufwand mit sich. Der entstandene Aufwand ist aber im Verhältnis zur gewonnenen Transparenz schnell wieder ausgeglichen. Diese Tatsache und andere positive Nebeneffekte kann man im DMARC-Einführungsbericht des HMRC, des englischen Finanzministeriums nachlesen. In England sind Bundesbehörden sogar angehalten, DMARC verpflichtend einzuführen.

Viele Online-Dienste setzen auf DMARC

Moderne Secure-Mail-Gateways nutzen diese Möglichkeit zur Prüfung des Absenders bereits seit vielen Jahren. Es ist unverständlich, warum es noch immer einige Hersteller von eMail-Security gibt, die diese Prüfungsmöglichkeit nicht bieten.

Auch die meisten Online-Dienste haben die Notwendigkeit eines DMARC-Eintrags bereits seit langem erkannt. Vor allem dann, wenn es bei der angebotenen Dienstleistung um Geld geht. Paypal ist hier ein gutes Beispiel. Sämtliche im Verkehr befindlichen Paypal-Domains sind DMARC geschützt. Verwender einer eMail-Firewall, die diese Informationen konsequent auswertet, brauchen sich um gefälschte Paypal-Mails keine Sorgen machen. Sie werden sie nie zu Gesicht bekommen und müssen auch nicht ständig auf der Internetseite von Paypal nachsehen, ob es eine neue Warnung vor gefälschten eMails gibt.

Diese Möglichkeit der Absenderprüfung ist Empfängern einer eMail des Bundesfinanzhofs leider verwehrt, da die Behörde ihre Mail-Domains nicht mit DMARC abgesichert hat. So bleibt den Opfern der Fake-Mail nur die Hoffnung, dass die eingesetzte eMail-Sicherheitslösung ihren Dienst gut verrichtet und den Anhang als Virus erkennt. Gute eMail-Security-Lösungen bieten beispielsweise zusätzlich den proaktiven Schutz eines Content Disarm & Reconstruction Verfahrens (CDR), mit dem schadhafte Dokumente in sichere PDF-Dateien umgewandelt werden.

Sogar das Bundesamt für Sicherheit in der Informationstechnik (BSI) nennt DMARC in einem Ratgeber zur E-Mail-Sicherheit als ein wichtiges Verfahren bei der E-Mail Authentifizierung. Es ist also völlig unverständlich, warum Unternehmen und Behörden DMARC nicht eingerichtet haben und es Angreifern damit leicht machen, in ihrem Namen Schindluder zu treiben. Net at work unterstützt Unternehmen und Behörden bei der Einrichtung von DMARC mit einem kostenfreien Ratgeber.

Zusammenfassung

Der Bundesfinanzhof hat seine eMail-Infrastruktur nicht mit DMARC-Einträgen abgesichert. Das begünstigt die aktuell laufende Angriffswelle mit Schad-eMails, die in seinem Namen versendet werden.

Dieser Beitrag erschien zuerst in unserem Schwesterportal Security Insider.

Über den Autor: Stefan Cink ist Experte für eMail-Security bei Net at Work.

Kommentar zu diesem Artikel abgeben
Lächerlich! So vergeht kaum eine Woche, in der ich nicht auch gefälschte Mails mit dem Absender...  lesen
posted am 02.07.2019 um 08:14 von Unregistriert


Mitdiskutieren
copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 45982445 / System & Services)