Kommunikation schützen

Sichere Mails durch ­verifizierte Absender

| Autor / Redakteur: Georgeta Toth* / Susanne Ehneß

Die Aussicht, durch manipulative eMails vertrauliche Informationen zu erhalten, die entweder gewinnbringend veräußert werden oder selbst genutzt werden können, lockt Kriminelle an
Die Aussicht, durch manipulative eMails vertrauliche Informationen zu erhalten, die entweder gewinnbringend veräußert werden oder selbst genutzt werden können, lockt Kriminelle an (© MG - stock.adobe.com)

Der öffentliche Sektor muss aufholen – auch in puncto Security. ­Eine Schutzmöglichkeit gegen gefälschte eMails bietet das hersteller­unabhängige DMARC-System.

Cyberkriminalität gehört mittlerweile zu den Top-Bedrohungen für die europäischen Volkswirtschaften, wie eine Studie des Weltwirtschaftsforums herausgefunden hat, für die weltweit 12.000 Geschäftsleute in über 140 Ländern befragt wurden. Mit zunehmender Digitalisierung steht nun auch der öffentliche Sektor im Fokus von Kriminellen.

Zu verlockend ist die Aussicht, durch manipulative eMails vertrauliche Informationen zu erhalten, die entweder gewinnbringend veräußert werden oder selbst genutzt werden können. Dabei kann der öffentliche Sektor die ­Gefahr, die durch diesen Angriffsvektor entsteht, durch eine vergleichsweise einfache Maßnahme signifikant verringern.

Gefahr durch ­Kommunikation

Organisationen, darunter Behörden, Stiftungen und Gewerkschaften, erhalten eMails aus den verschiedensten Quellen. IT-Verantwortliche können die Mitarbeiter dieser Organisationen für das richtige Verhalten beim Empfangen von Mails aus externen Quellen ­relativ leicht sensibilisieren.

Während Mails aus externen Quellen von „normalen“ Service-Anbietern wie „@hotmail.de“, „@gmail.com“, „@web.de“ oder „@yahoo.com“ – um nur ein paar Beispiele zu nennen – offensichtlich eher mit Vorsicht zu öffnen sind, sieht das bei (vermeintlich) internen Absendern, oder solchen aus einer anderen öffentlichen Körperschaft, schon schwieriger aus. Oft modifizieren Betrüger Mails so, dass sie vorgeblich von einem Kollegen oder Vorgesetzten oder einer mit dem Empfänger in enger Verbindung stehenden Organisation stammen. In diesen Mails sollen Mitarbeiter zu fragwürdigen Aktivitäten motiviert werden. Dies kann entweder der Klick auf eine dubiose Webseite sein oder eine direkte Anweisung zur Durchführung einer konkreten Aktivität, wie zum Beispiel eine Zahlungsanweisung.

Auf diese Weise kann ein ­Absender, der angeblich bei einer anderen Behörde arbeitet, um vertrauliche Daten bitten. Die Methoden zur Tarnung sind raffiniert; häufig ist eine betrügerische eMail nicht von einer legitimen zu unterscheiden.

Effiziente Bekämpfung des Risikos technisch möglich

Doch es gibt, neben der kontinuierlichen Schulung und Sensibilisierung der Mitarbeiter, auch ein probates technisches Mittel, um derartige Betrugsversuche abzuwehren. Dabei handelt es sich um DMARC, ein System zur Verifizierung von eMails. Die Abkürzung steht für „Domain-based Message Authentication, Reporting and Conformance“ und überprüft die Identität des Absenders anhand der etablierten Standards DKIM (DomainKeys Identified Mail) und SPF (Sender Policy Framework).

Das SPF-Protokoll basiert auf dem DNS-Eintrag (Domain Name System), also der IP-Adresse, unter der eMails autorisiert versendet werden. Dadurch erkennt die Anwendung des Adressaten die Legitimität einer eMail anhand der hinterlegten, gültigen und nur schwer fälschbaren IP-Adresse – und nicht anhand des Domain-Namens.

Die zweite Komponente liegt mit dem DKIM-Protokoll verschlüsselt vor. Der passende Schlüssel findet sich öffentlich im DNS und dient der Signatur einer eMail. Der Empfänger erkennt dadurch, dass die Nachricht von einem legitimen Absender stammt und nicht verändert wurde. Gleichzeitig werden auf diese Weise sogenannte „Man-in-the-middle“ Angriffe erschwert.

Beide Überprüfungsmethoden – die der Vertrauenswürdigkeit des absendenden Mailsystems und die der Vertrauenswürdigkeit des Absenders – führen zu einem besonders effizienten Schutz und wehren gleichzeitig zwei verschiedene Angriffsarten ab. Mittels DMARC können Unternehmen nicht nur aktiv überprüfen, ob ihre Domains für eMail-Betrug missbraucht werden, sondern auch Richtlinien ausgeben, die z. B. vorgeben, alle Mails, die augenscheinlich von ihrer Domain stammen, aber DMARC nicht bestehen, eben nicht an die Adressaten zuzustellen.

Nutzung durch Behörden und Health-Firmen

Obwohl das herstellerunabhängige DMARC-System einen wirksamen Schutz gegen gefälschte Mails bietet, hat sich seine Implementierung noch nicht ausreichend weit durchgesetzt. In einer detaillierten DMARC-Analyse aller im DAX30 notierten Unternehmen im vierten Quartal 2018 hat Proofpoint festgestellt, dass lediglich ein Drittel der Unternehmen DMARC eingeführt hat. Von diesem Drittel blockieren lediglich zwei Unternehmen aktiv betrügerische Mails. Somit sind auch nur diese beiden Konzerne vollständig DMARC-konform.

Vorbildlich agieren bei der Implementierung von DMARC-Systemen hingegen Banken und Finanzdienstleister. Jedes dieser im DAX30 gelisteten Unternehmen hat DMARC bereits eingeführt.

Am passivsten waren Pharma- und Gesundheitsunternehmen mit einer Einführungsrate von nur 25 Prozent.

Während bei den DAX30-Unternehmen wenigstens etwas Bewegung erkennbar ist, ist die Lage im öffentlichen Sektor dagegen sehr unerfreulich. In einer weiteren Untersuchung widmete sich Proofpoint auch diesem Bereich: Weder eine Domain eines deutschen ­Bundeslandes noch eine Domain auch nur eines einzigen Bundesministeriums verfügt über einen DMARC-Eintrag!

Die Autorin: Georgeta Toth
Die Autorin: Georgeta Toth (© Proofpoint)

Täter sind nicht immer nur Cyberkriminelle

Dabei ist die Angriffsmotivation Cyberkrimineller bei Attacken auf den öffentlichen Sektor häufig erheblich höher als bei Angriffen auf Unternehmen. Während es bei Unternehmen meist darum geht, Zahlungen anzuweisen oder aber an vertrauliche Informationen zu gelangen, kann es bei Behörden auch darum gehen, aktiv in das politische Geschehen einzugreifen.

Hinter diesen Angriffen können neben den „üblichen“ Cyberkriminellen auch andere Akteure, wie etwa Drittstaaten, stehen. Ihnen geht es häufig um politische und gesellschaftliche Einflussnahme. So ist es beispielsweise möglich, entwendete vertrauliche Informationen und Dokumente im Rahmen von Fake-News-Kampagnen dazu zu verwenden, die Lage im betreffenden Land zu destabilisieren und die öffentliche Meinung in eine gewünschte Richtung zu lenken.

Es besteht also gerade im öffentlichen Sektor erheblicher Aufholbedarf. Denn das der eMail-Technologie innewohnende Gefahrenpotenzial stellt besonders in der hochsensiblen Behörden-Kommunikation ein erhebliches Risiko dar. Informationslecks und Angriffe durch Cyberkriminelle, die Unternehmen treffen, richten bereits genügend Schaden an.

Bei Angriffen auf den öffentlichen Sektor können die Konsequenzen jedoch noch erheblich weitreichender sein. Hier wird nicht nur ein klar abgrenzbarer Umkreis, im und um das Unternehmen, geschädigt, sondern gleich der gesamte Staat samt Gesellschaft. Hier zu einem Umdenken zu kommen, sollte daher im Selbstinteresse des öffentlichen Sektors sein.

*Die Autorin: Georgeta Toth, Senior Regional Director CEEMEA bei Proofpoint.

Kommentar zu diesem Artikel abgeben

Schreiben Sie uns hier Ihre Meinung ...
(nicht registrierter User)

Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
Kommentar abschicken
copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45914435 / Standards & Technologie)