DMARC ante portas: Google und Yahoo! verschärfen E-Mail-Authentifizierungsanforderungen

Sowohl Google als auch Yahoo! setzen ihre neuen Anforderungen im Laufe des zweiten Quartals 2024 in Kraft

[datensicherheit.de, 21.02.2024] Google und Yahoo! werden laut Medienberichten neue E-Mail-Authentifizierungsanforderungen einführen. Rob Holmes, „Group Vice President“ und „General Manager, Sender Security and Authentication“ bei Proofpoint, betont in seiner aktuellen Stellungnahme, dass die E-Mail offensichtlich eines der meistgenutzten Kommunikationsmittel in Unternehmen und der bevorzugte Kommunikationskanal für Verbraucher ist. Er warnt daher: „Deshalb nutzen Kriminelle dieses Medium für Phishing, ,Business Email Compromise’ (BEC), Spam und andere Betrugsmethoden.“ Google und Yahoo! kämpften jetzt mit neuen Anforderungen an die E-Mail-Authentifizierung gegen diesen Missbrauch von E-Mails. „Eine gute Nachricht für Verbraucher“, meint Holmes, allerdings hätten Unternehmen nicht mehr viel Zeit, um sich darauf vorzubereiten: „Sowohl Google als auch Yahoo! werden ihre neuen Anforderungen im Laufe des zweiten Quartals 2024 in Kraft setzen!“

Foto: Proofpoint

Rob Holmes: Wie jedes Sicherheitstool ist DMARC kein Allheilmittel, aber es ergänzt eine weitere Schutzebene…

Google und Yahoo! legen Finger in die Wunde der Unternehmen

E-Mail-Authentifizierung sei seit vielen Jahren bewährte Praxis. Holmes erläutert: „Das offene Protokoll DMARC (Domain-based Message Authentication Reporting and Conformance) beispielsweise gibt es schon seit zehn Jahren. Es ist der ,Goldstandard’ gegen die Nachahmung einer E-Mail-Absender-Domain, einer Schlüsseltechnik für BEC- und Phishing-Angriffe.“ Aber viele Unternehmen hätten es noch nicht implementiert und liefen durch die neuen Anforderungen Gefahr, „dass ihre E-Mails nicht mehr an ,Gmail’- und ,Yahoo’-Adressen zugestellt werden“. Die DMARC-Implementierung könne sich als schwierig erweisen, da sie eine Reihe von technischen Schritten und kontinuierliche Wartung erfordere. Nicht alle Unternehmen verfügten intern über die Ressourcen oder das Wissen, um die Anforderungen rechtzeitig zu erfüllen.

Phishing und BEC stellten eine enorme Bedrohung für Unternehmen aller Branchen dar. Proofpoints aktueller „State of the Phish“-Report zeigt demnach, dass 87 Prozent der deutschen Unternehmen im Jahr 2022 mit Phishing-Angriffen konfrontiert waren. Das FBI habe BEC aufgrund der enormen finanziellen Verluste der Opfer als „26-Milliarden-Dollar-Betrug“ bezeichnet. „Die E-Mail-Authentifizierung bietet Schutz vor diesen Bedrohungen, indem sie die Angriffskette bei E-Mail-basierten Angriffen unterbricht“, so Holmes.

Zeit als größte Herausforderung für Nutzer der E-Mail-Angebote von Google oder Yahoo!

DMARC und die damit verbundenen Authentifizierungsmechanismen – die Protokolle SPF (Sender Policy Framework) und DKIM (Domain Key Identified Mail) – arbeiteten zusammen, um E-Mails zu sichern und Techniken wie E-Mail-Spoofing zu verhindern. Holmes führt aus: „SPF ermöglicht es beispielsweise dem empfangenden E-Mail-Server zu überprüfen, ob die eingehende E-Mail von einer autorisierten IP-Adresse des Unternehmens stammt.“ Diese Überprüfung verhindere, „dass ein Angreifer die E-Mail-Identität eines Unternehmens annimmt“, und biete sowohl den Mitarbeitern als auch den Kunden ein gewisses Maß an Schutz.

Holmes unterstreicht: „Wenn Unternehmen mit ihren Kunden über ,Gmail’ und ,Yahoo’ kommunizieren und noch keine E-Mail-Authentifizierungsprotokolle wie SPF, DKIM und DMARC implementiert haben, ist Zeit die größte Herausforderung.“ Die Einrichtung erfordere für jedes Protokoll mehrere Schritte und könne sich als schwierig erweisen, „insbesondere wenn der Absender mehrere Domains verwendet“. Sobald die Protokolle eingerichtet sind, stehen Organisationen laut Holmes vor weiteren Herausforderungen, da sie ihre DMARC-, SPF- und DKIM-Einträge weiterhin pflegen müssten.

Google hat zusätzliche Anforderungen für Unternehmen, die Massen-E-Mails versenden

Eine Möglichkeit diesen Prozess zu vereinfachen seien „Tools“, „die sich in bestehende Arbeitsabläufe integrieren lassen und die Implementierung rationalisieren“. Durch die Zusammenarbeit mit einem Sicherheitspartner könnten Unternehmen außerdem auf sehr erfahrene Ressourcen zurückgreifen, „die sie möglicherweise nicht im eigenen Haus haben“.

Die neuen Anforderungen unterschieden sich geringfügig zwischen Google und Yahoo!: „Google hat zusätzliche Anforderungen für Unternehmen, die Massen-E-Mails versenden (5.000 oder mehr pro Tag). Es empfiehlt sich, ,Best Practices’ für die E-Mail-Authentifizierung zu implementieren, die über die Anforderungen dieser E-Mail-Anbieter hinausgehen.“ Die Einführung von „Best Practices“ erhöhe die Sicherheit und helfe, Risiken im E-Mail-Verkehr zu minimieren.

Maßnahmen von Google und Yahoo setzen manche Unternehmen unter Druck – geben aber den längst nötigen Anschub

Durch die Maßnahmen von Google und Yahoo mögen manche Unternehmen sich unter Druck gesetzt fühlen. Letztlich würden sie ihnen helfen, ihre Mitarbeiter, Teams und Stakeholder besser zu schützen. Google und Yahoo wollten ihre Nutzer schützen.

Für Unternehmen sei die E-Mail-Authentifizierung allerdings von noch größerem Nutzen, weil betrügerische E-Mails nicht nur Kunden beeinträchtigen. Daher sollten Unternehmen diese neuen Anforderungen als Katalysator betrachten, um ihren allgemeinen Schutz vor E-Mail-Bedrohungen zu verstärken und zu verbessern.

Mit Sicherheitspartner zusammenzuarbeiten, um neuen Anforderungen von Google und Yahoo! zu genügen

Holmes legt nahe: „Es empfiehlt sich, mit einem vertrauenswürdigen Sicherheitspartner zusammenzuarbeiten, der über E-Mail-Authentifizierungsexperten verfügt, die sie durch den Implementierungsprozess führen und diesen vereinfachen.“ Unternehmen könnten auch Proofpoint-Ressourcen wie die technische Kurzbeschreibung „DMARC Creation Wizard“ und das E-Mail-Authentifizierungskit nutzen, um den Einstieg zu erleichtern.

Es gebe auch „Tools“, mit denen die DMARC- und SPF-Einträge einer Domain überprüft und ein DMARC-Eintrag für die Domain erstellt werden könne. Solche sollten Teil einer umfassenden „Email Fraud Defense“-Lösung sein, „die gehostete SPF-, gehostete DKIM- und gehostete DMARC-Funktionen bietet, um die Bereitstellung und Wartung zu vereinfachen und die Sicherheit zu erhöhen“.

Neue E-Mail-Anforderungen von Google und Yahoo! sollten Unternehmen als Chance begreifen

Holmes’ Fazit: „Der Mensch ist nach wie vor das schwächste Glied in der Kette digitaler Angriffe, und menschliches Versagen ist die Hauptursache für Cyber-Vorfälle.“ Während die Sensibilisierung und Schulung der Nutzer eine wichtige Rolle bei der Stärkung der menschlichen Komponente spiele, seien technische Kontrollen wie DMARC von entscheidender Bedeutung, um Unternehmen vor E-Mail-basierten Angriffen und Betrug zu schützen.

Aber er gibt ausch abschließend zu bedenken: „Wie jedes Sicherheitstool ist DMARC kein Allheilmittel, aber es ergänzt eine weitere Schutzebene, um die Sicherheit insgesamt zu verbessern.“ Die neuen E-Mail-Anforderungen von Google und Yahoo! böten Unternehmen nun eine große Chance, die Lücken in ihrer E-Mail-Sicherheit zu schließen. Unternehmen müssten diesen Weg indes nicht alleine beschreiten: „Es gibt Experten und Ressourcen, die ihnen dabei helfen können, E-Mail-Betrug ganzheitlich anzugehen“.

Weitere Informationen zum Thema:

proofpoint
DMARC Creation Wizard / Create your DMARC record now

proofpoint
Awareness Material / Email Authentication Kit

datensicherheit.de, 20.02.2024
Mangelnde Cyber-Sicherheit im Gesundheitswesen: Deutsche Krankenhäuser bringen sich untereinander in Gefahr / Proofpoint warnt: DMARC-Implementierung in deutschen Krankenhäusern noch alarmierend gering