•   +49 (0)89 - 45 22 094 0
  •   Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!

 

2 - 4 Minuten Lesezeit

Die E-Mail stellt für Unternehmen gleich mehrere Bedrohungen dar. Auf der einen Seite ist die E-Mail der mit Abstand wichtigste Angriffsvektor für Cyberkriminelle. Geschätzt starten 90% der Cyberangriffe heute mit einer E-Mail. Das andere Risiko: Schäden an Image, Reputation und Marke durch E-Mail-Betrug. Hier kommt DMARC ins Spiel.

DMARC (Domain-based Message Authentification, Reporting and Conformance) etabliert sich als Authentifizierungsstandard für E-Mails. Hintergrund für die Einführung der zusätzlichen Authentifizierungsprüfung ist die Idee, den wachsenden Missbrauch von E-Mails systematisch zu reduzieren.

Immer mehr Privatpersonen und vor allem Unternehmen in der DACH-Region sind der wachsenden Anzahl von Betrugsversuchen mit Phishing-Emails ausgesetzt. Dabei werden Aufmachung, Design und der Inhalt von E-Mails mittlerweile so gut kopiert, dass getäuschte Empfänger der Phishing- E-Mails immer wieder ihre Zugangsdaten zu Online-Banking, Office 365, Amazon & Co. unbeabsichtigt in die Hände von Cyberkriminellen geben.

Problem: Die Absender-E-Mail-Adresse ist gefälscht – im Handumdrehen

Besonders problematisch werden die immer besseren Phishing-Versuche wenn neben dem gesamten Inhalt sogar die E-Mail-Adresse des Absenders gefälscht wird. Im Namen großer und bekannter Marken und Unternehmen (z.B. Airlines, Banken, Online-Shops) werden massenweise missbräuchliche E-Mails verschickt.

Dies kann für Marken-Inhaber gleich auf mehreren Ebenen problematisch werden.

Nicht nur werden in ihrem Marken-Namen Betrugsversuche angestoßen – die Auswirkungen auf Vertrauen und Ansehen sind nicht zu unterschätzen – auch die offizielle E-Mail-Kommunikation, z.B. reguläre Newsletter, können betroffen sein, etwa durch die Einstufung als Spam durch E-Mail-Provider.


Schutz für Marken, Domains und E-Mail-Kommunikation: mit dem DMARC-E-Mail-Authentifizierungsstandard

Spoofing-Abwehr: Welche Rolle spielen DMARC-, SPF-, DKIM-Einträge?

Unter dem Begriff "Spoofing" (zu Deutsch: Manipulation, Verschleierung oder Vortäuschung) werden Methoden zusammengefasst, um die eigene Identität zu verschleiern. Wie etwa in der E-Mail-Kommunikation.

Mit DMARC setzen bereits einige weltweit agierende Unternehmen auf eine zusätzliche Sicherheitsebene im Bereich ihrer E-Mail-Kommunikation. Dabei ist DMARC keine originär neue Technologie. DMARC setzt vielmehr auf zwei etablierte Ansätze, die anhand der genutzten Domain überprüfen, ob der Versender legitimiert ist: SPF und DKIM.

Was ist SPF (Sender Policy Framework)?

Ein SPF-Eintrag in der DNS-Zone einer Domain legt fest, welche Computer E-Mails im Namen einer bestimmten Domäne versenden dürfen. Dadurch kann der Empfänger, sofern er SPF unterstützt, feststellen, ob der versendende Mail-Server auch die erforderlichen Rechte für den legitimen E-Mail-Versand für diese Domain hat.

Was ist DKIM (Domain Key Identified Message)?

Zusätzlich zu SPF erschwert DKIM das Fälschen einer Absenderadresse. Allen ausgehenden E-Mails wird eine digitale Signatur hinzugefügt. Auf diese Weise kann festgestellt werden, ob der Absender geändert oder die E-Mail auf ihrem Weg gefälscht wurde.

Schutz vor dem Missbrauch der Marke mit DMARC

Sind SPF und DKIM für Server und Domains korrekt eingerichtet, kann DMARC zum Einsatz kommen.

Gegenüber SPF und DKIM bietet DMARC einen besonderen Vorteil: Mit DMARC wird es Marken-Inhabern möglich, sich über den Identitätsmissbrauch informieren zu lassen und entsprechend zu entscheiden, wie mit verdächtigen E-Mails umgegangen wird.

DMARC und die DSGVO?

Mit dem Inkrafttreten der DSGVO stellt sich die Frage, ob durch den Einsatz von DMARC gesetzwidrig personenbezogene Daten verarbeitet werden. Authentifizierungsergebnisse, die durch sogenannte "Aggregated Reports" und "Failure Reports" übermittelt werden, enthalten unter anderem folgende Informationen: -die IP-Adressen, die Mails für die DMARC-Policy Domain versendet haben -die Ausgangs-E-Mail Adresse -die Empfänger-E-Mail Adresse -den Betreff der Mail -den Mail-Body

In einem Gutachten zur Vereinbarkeit von DMARC und EU-DSGVO kommt die Kompetenzgruppe E-Mail des Verbandes der Internetwirtschaft eco e.V. zu dem Ergebnis, dass DMARC-Reports grundsätzlich zulässig und gerechtfertigt und durchaus mit der EU-DSGVO vereinbar sind .

66% der DAX30-Unternehmen sind nicht DMARC-konform

Trotz des offensichtlichen Mehrwerts bleibt die DMARC-Implementierungsrate in Deutschland niedrig. Laut einer aktuellen Untersuchung unseres E-Mail-Security-Partners Proofpoint von Dezember 2018 haben nur ein Drittel der DAX30-Unternehmen DMARC eingeführt. Nur zwei Unternehmen blockieren betrügerische E-Mails, die ihre Domain missbrauchen, proaktiv. Fast 66% sind von daher nicht vollständig DMARC-konform und unzureichend vor E-Mail-Betrug und Domain-Spoofing geschützt.

Den vollständigen Report finden Sie hier: Einfachste Sicherheitsmechanismen fehlen: 3 von 5 deutschen Unternehmen im DAX30 sind dem Risiko von E-Mail-Betrug ausgesetzt

Schreiben oder rufen Sie uns an, um gemeinsam abzuwägen, inwiefern die DMARC-Authentifizierung für Sie relevant wird.

Ähnliche Artikel

IT-Security-Trainings in Unternehmen: Was müssen Mitarbeiter im Jahr 2019 wissen?

IT-Sicherheitsverantwortliche wissen: Die Gewährleistung höchstmöglicher Cyber-Sicherheit und die Reduzierung von Cyber-Risiken finden jeweils keinen Schlusspunkt. Beides sind kontinuierliche Prozesse. Selbiges gilt auch für IT-Security-Trainings für Mitarbeiter. Was sind aktuelle Themen und Inhalte, die Mitarbeiter zu Cyber-Sicherheit im Jahr 2019 wissen sollten?

Phishing E-Mails in Unternehmen: Bedrohungen steigen, Security-Awareness-Trainings helfen (State of the Phish 2019)

Mit der jährlich erscheinenden Erhebung "State of the Phish" gibt Proofpoint einen tiefgreifenden Einblick in den aktuellen Stand der Bedrohungslage rund um Phishing sowie zum IT-Sicherheitsbewusstsein und -Verhalten von End-Usern. Die Ergebnisse des aktuellen Reports "State of the Phish 2019" liegen nun vor. Unsere Einordnung der Studie finden Sie hier.

IT-Security-Trends 2019: DSGVO, KI, Human Factor & Co – Ein Blick hinter die Buzzwords

IT-Sicherheit wird endgültig zur Chefsache. Die Bedrohungslage ist offenkundig: Der Digitalverband Bitkom schätzt den Gesamtschaden der deutschen Industrie durch Cyber-Angriffe in den letzten beiden Jahren auf 43 Milliarden Euro. Die Auseinandersetzung mit IT-Sicherheit (und ihren Trends) wird für die digitale Transformation zum kritischen Erfolgsfaktor.

Wissenswertes und regelmäßige IT-Security-Updates direkt über E-Mail erhalten?

Wir haben festgestellt, dass Abonnenten unseres Newsletters früher Bescheid wissen, besser informiert sind und rund 46,8% cooler sind.



CYQUEO Newsletter
Please wait

Lassen Sie uns gemeinsam loslegen

Wir unterstützen Sie gerne!

Servus aus München

A gscheids Haferl Kaffee
hat´s hier:

CYQUEO
Kistlerhofstraße 75
D-81379 München

Anrufen

Alle Klarheiten beseitigt?
Rufen Sie uns an! Unser Team berät Sie
qualifiziert und ehrlich zur bestmöglichen
IT-Security für Ihr Unternehmen.

+49 89 45 22 094 - 40

Wir rufen Sie zurück

Ich habe die Datenschutzerklärung gelesen und akzeptiert.