[datensicherheit.de, 21.02.2024] Google und Yahoo! werden laut Medienberichten neue E-Mail-Authentifizierungsanforderungen einführen. Rob Holmes, „Group Vice President“ und „General Manager, Sender Security and Authentication“ bei Proofpoint, betont in seiner aktuellen Stellungnahme, dass die E-Mail offensichtlich eines der meistgenutzten Kommunikationsmittel in Unternehmen und der bevorzugte Kommunikationskanal für Verbraucher ist. Er warnt daher: „Deshalb nutzen Kriminelle dieses Medium für Phishing, ,Business Email Compromise’ (BEC), Spam und andere Betrugsmethoden.“ Google und Yahoo! kämpften jetzt mit neuen Anforderungen an die E-Mail-Authentifizierung gegen diesen Missbrauch von E-Mails. „Eine gute Nachricht für Verbraucher“, meint Holmes, allerdings hätten Unternehmen nicht mehr viel Zeit, um sich darauf vorzubereiten: „Sowohl Google als auch Yahoo! werden ihre neuen Anforderungen im Laufe des zweiten Quartals 2024 in Kraft setzen!“

Foto: Proofpoint

Rob Holmes: Wie jedes Sicherheitstool ist DMARC kein Allheilmittel, aber es ergänzt eine weitere Schutzebene…

Google und Yahoo! legen Finger in die Wunde der Unternehmen

E-Mail-Authentifizierung sei seit vielen Jahren bewährte Praxis. Holmes erläutert: „Das offene Protokoll DMARC (Domain-based Message Authentication Reporting and Conformance) beispielsweise gibt es schon seit zehn Jahren. Es ist der ,Goldstandard’ gegen die Nachahmung einer E-Mail-Absender-Domain, einer Schlüsseltechnik für BEC- und Phishing-Angriffe.“ Aber viele Unternehmen hätten es noch nicht implementiert und liefen durch die neuen Anforderungen Gefahr, „dass ihre E-Mails nicht mehr an ,Gmail’- und ,Yahoo’-Adressen zugestellt werden“. Die DMARC-Implementierung könne sich als schwierig erweisen, da sie eine Reihe von technischen Schritten und kontinuierliche Wartung erfordere. Nicht alle Unternehmen verfügten intern über die Ressourcen oder das Wissen, um die Anforderungen rechtzeitig zu erfüllen.

Phishing und BEC stellten eine enorme Bedrohung für Unternehmen aller Branchen dar. Proofpoints aktueller „State of the Phish“-Report zeigt demnach, dass 87 Prozent der deutschen Unternehmen im Jahr 2022 mit Phishing-Angriffen konfrontiert waren. Das FBI habe BEC aufgrund der enormen finanziellen Verluste der Opfer als „26-Milliarden-Dollar-Betrug“ bezeichnet. „Die E-Mail-Authentifizierung bietet Schutz vor diesen Bedrohungen, indem sie die Angriffskette bei E-Mail-basierten Angriffen unterbricht“, so Holmes.

Zeit als größte Herausforderung für Nutzer der E-Mail-Angebote von Google oder Yahoo!

DMARC und die damit verbundenen Authentifizierungsmechanismen – die Protokolle SPF (Sender Policy Framework) und DKIM (Domain Key Identified Mail) – arbeiteten zusammen, um E-Mails zu sichern und Techniken wie E-Mail-Spoofing zu verhindern. Holmes führt aus: „SPF ermöglicht es beispielsweise dem empfangenden E-Mail-Server zu überprüfen, ob die eingehende E-Mail von einer autorisierten IP-Adresse des Unternehmens stammt.“ Diese Überprüfung verhindere, „dass ein Angreifer die E-Mail-Identität eines Unternehmens annimmt“, und biete sowohl den Mitarbeitern als auch den Kunden ein gewisses Maß an Schutz.

Holmes unterstreicht: „Wenn Unternehmen mit ihren Kunden über ,Gmail’ und ,Yahoo’ kommunizieren und noch keine E-Mail-Authentifizierungsprotokolle wie SPF, DKIM und DMARC implementiert haben, ist Zeit die größte Herausforderung.“ Die Einrichtung erfordere für jedes Protokoll mehrere Schritte und könne sich als schwierig erweisen, „insbesondere wenn der Absender mehrere Domains verwendet“. Sobald die Protokolle eingerichtet sind, stehen Organisationen laut Holmes vor weiteren Herausforderungen, da sie ihre DMARC-, SPF- und DKIM-Einträge weiterhin pflegen müssten.

Google hat zusätzliche Anforderungen für Unternehmen, die Massen-E-Mails versenden

Eine Möglichkeit diesen Prozess zu vereinfachen seien „Tools“, „die sich in bestehende Arbeitsabläufe integrieren lassen und die Implementierung rationalisieren“. Durch die Zusammenarbeit mit einem Sicherheitspartner könnten Unternehmen außerdem auf sehr erfahrene Ressourcen zurückgreifen, „die sie möglicherweise nicht im eigenen Haus haben“.

Die neuen Anforderungen unterschieden sich geringfügig zwischen Google und Yahoo!: „Google hat zusätzliche Anforderungen für Unternehmen, die Massen-E-Mails versenden (5.000 oder mehr pro Tag). Es empfiehlt sich, ,Best Practices’ für die E-Mail-Authentifizierung zu implementieren, die über die Anforderungen dieser E-Mail-Anbieter hinausgehen.“ Die Einführung von „Best Practices“ erhöhe die Sicherheit und helfe, Risiken im E-Mail-Verkehr zu minimieren.

Maßnahmen von Google und Yahoo setzen manche Unternehmen unter Druck – geben aber den längst nötigen Anschub

Durch die Maßnahmen von Google und Yahoo mögen manche Unternehmen sich unter Druck gesetzt fühlen. Letztlich würden sie ihnen helfen, ihre Mitarbeiter, Teams und Stakeholder besser zu schützen. Google und Yahoo wollten ihre Nutzer schützen.

Für Unternehmen sei die E-Mail-Authentifizierung allerdings von noch größerem Nutzen, weil betrügerische E-Mails nicht nur Kunden beeinträchtigen. Daher sollten Unternehmen diese neuen Anforderungen als Katalysator betrachten, um ihren allgemeinen Schutz vor E-Mail-Bedrohungen zu verstärken und zu verbessern.

Mit Sicherheitspartner zusammenzuarbeiten, um neuen Anforderungen von Google und Yahoo! zu genügen

Holmes legt nahe: „Es empfiehlt sich, mit einem vertrauenswürdigen Sicherheitspartner zusammenzuarbeiten, der über E-Mail-Authentifizierungsexperten verfügt, die sie durch den Implementierungsprozess führen und diesen vereinfachen.“ Unternehmen könnten auch Proofpoint-Ressourcen wie die technische Kurzbeschreibung „DMARC Creation Wizard“ und das E-Mail-Authentifizierungskit nutzen, um den Einstieg zu erleichtern.

Es gebe auch „Tools“, mit denen die DMARC- und SPF-Einträge einer Domain überprüft und ein DMARC-Eintrag für die Domain erstellt werden könne. Solche sollten Teil einer umfassenden „Email Fraud Defense“-Lösung sein, „die gehostete SPF-, gehostete DKIM- und gehostete DMARC-Funktionen bietet, um die Bereitstellung und Wartung zu vereinfachen und die Sicherheit zu erhöhen“.

Neue E-Mail-Anforderungen von Google und Yahoo! sollten Unternehmen als Chance begreifen

Holmes’ Fazit: „Der Mensch ist nach wie vor das schwächste Glied in der Kette digitaler Angriffe, und menschliches Versagen ist die Hauptursache für Cyber-Vorfälle.“ Während die Sensibilisierung und Schulung der Nutzer eine wichtige Rolle bei der Stärkung der menschlichen Komponente spiele, seien technische Kontrollen wie DMARC von entscheidender Bedeutung, um Unternehmen vor E-Mail-basierten Angriffen und Betrug zu schützen.

Aber er gibt ausch abschließend zu bedenken: „Wie jedes Sicherheitstool ist DMARC kein Allheilmittel, aber es ergänzt eine weitere Schutzebene, um die Sicherheit insgesamt zu verbessern.“ Die neuen E-Mail-Anforderungen von Google und Yahoo! böten Unternehmen nun eine große Chance, die Lücken in ihrer E-Mail-Sicherheit zu schließen. Unternehmen müssten diesen Weg indes nicht alleine beschreiten: „Es gibt Experten und Ressourcen, die ihnen dabei helfen können, E-Mail-Betrug ganzheitlich anzugehen“.

Weitere Informationen zum Thema:

proofpoint
DMARC Creation Wizard / Create your DMARC record now

proofpoint
Awareness Material / Email Authentication Kit

datensicherheit.de, 20.02.2024
Mangelnde Cyber-Sicherheit im Gesundheitswesen: Deutsche Krankenhäuser bringen sich untereinander in Gefahr / Proofpoint warnt: DMARC-Implementierung in deutschen Krankenhäusern noch alarmierend gering

[datensicherheit.de, 20.02.2024] Erfolgreiche Cyber-Angriffe auf Einrichtungen des Gesundheitswesens, zum Beispiel auf Krankenhäuser, sollten in besonderer Weise alarmierend wirken – denn diese gehen alltäglich auch mit den sensibelsten aller persönlichen Daten um. Offenbar sind solche Angriffe inzwischen gar nicht mehr so selten, wie beispielsweise die Vorfälle im Krankenhaus Lindenbrunn, dem Dreifaltigkeitshospital in Lippstadt, der Caritas-Klinik Domenicus in Berlin und den Bezirkskliniken Franken gezeigt haben – dabei handelt es sich nur um die Geschädigten, die im noch jungen Jahr 2024 zur Kenntnis der Medien gelangt sind. Da stellt sich die Frage nach dem Grund, weshalb Krankenhäuser offenbar ein so leichtes Ziel für Cyber-Kriminelle geworden sind… Für Einrichtungen des Gesundheitswesens, wie auch für andere Organisationen, ist der Hauptangriffsweg nach Expertenansicht die E-Mail – und für die überzeugendsten E-Mail-Angriffe fälschen Cyber-Kriminelle demnach die E-Mail-Adresse einer Organisation, zu der ihr Opfer bereits eine Beziehung aufgebaut hat: Hier nun im Falle von Einrichtungen des Gesundheitswesens sind dies eben in erster Linie andere solche Einrichtungen. Dabei gibt eine relativ einfache Möglichkeit, diese Fälschungen zu verhindern – nämlich die Implementierung des DMARC-Protokolls (Domain-based Message Authentication Reporting and Conformance). Die Wirksamkeit dieses Protokolls zur Eindämmung von Phishing, BEC (,Business Email Compromise’), Spam und anderer Betrugsmethoden soll nun auch der Grund sein, weshalb Google und Yahoo es für Unternehmen, welche E-Mails in großen Mengen versenden wollen, zur Pflicht machen werden.

Foto: Proofpoint

Miro Mitrovic: Ergebnisse sind beunruhigend: Nur 31 Prozent der deutschen Krankenhäuser haben überhaupt einen DMARC-Eintrag veröffentlicht

DMARC-Analysen von 194 Domains deutscher Krankenhäuser

IT-Sicherheitsexperten von Proofpoint haben nach eigenen Angaben DMARC-Analysen von 194 Domains deutscher Krankenhäuser durchgeführt – und zwar von jenen, die es demnach auf die „Newsweek“-Liste der weltbesten Krankenhäuser 2023 geschafft haben: „Die Ergebnisse sind beunruhigend. Nur 31 Prozent von ihnen haben überhaupt einen DMARC-Eintrag veröffentlicht. Das bedeutet, dass 69 Prozent keinerlei Maßnahmen ergriffen haben, um Patienten, Lieferanten und andere Gesundheitseinrichtungen vor E-Mail-Betrug zu schützen.“ Noch schlimmer sei, dass nur sechs Prozent DMARC auf höchster Umsetzungsstufe („Reject“ / ablehnen) implementiert hätten, was im Umkehrschluss zur Folge habe, dass 94 Prozent nicht proaktiv verhinderten, dass betrügerische E-Mails ihre Ziele erreichen.

Weil der jüngste erfolgreiche Angriff auf ein deutsches Krankenhaus, das Krankenhaus Lindenbrunn, in Niedersachsen stattgefunden habe, hätten Experten von Proofpoint auch eine DMARC-Analyse für alle Krankenhäuser in diesem Bundesland durchgeführt – mit höchst alarmierenden Ergebnissen: „Von den 119 analysierten Domains haben nur 40 (34%) einen DMARC-Eintrag veröffentlicht. Somit haben 66 Prozent überhaupt keinen Eintrag veröffentlicht. Von den untersuchten niedersächsischen Krankenhäusern haben nur vier (3%) DMARC auf ,Reject’-Level implementiert. 97 Prozent verhindern folglich nicht proaktiv, dass betrügerische E-Mails, die ihre Domäne missbrauchen, ihre Adressaten erreichen.“

Führende deutsche Krankenhäuser setzen andere Krankenhäuser, Lieferanten und Patienten sehr hohem Risiko aus

„Nur wenn sie DMARC auf der ,Reject’-Stufe implementieren, verhindern Organisationen effektiv, dass betrügerische E-Mails, die ihre Domain missbrauchen, andere Organisationen erreichen“, stellt Miro Mitrovic, „Area Vice President für die DACH-Region“ bei Proofpoint, klar und unterstreicht: „Mit anderen Worten: 94 Prozent der führenden deutschen Krankenhäuser, die DMARC nicht auf ,Reject’-Stufe implementieren, setzen andere Organisationen – nicht zuletzt andere Krankenhäuser, Lieferanten und Patienten – einem sehr hohen Risiko aus, Opfer von E-Mail-basierter Cyber-Kriminalität zu werden.“

Dies sei ein äußerst bedauernswerter Zustand, zumal DMARC weder ein sehr teurer Weg ist, IT-Sicherheit zu gewährleisten und andere zu schützen, noch handele es sich um so etwas wie ein gut gehütetes Geheimnis. „Angesichts der Sensibilität der Daten, mit denen Krankenhäuser zu tun haben, ist das Ergebnis unserer Analyse besonders schockierend. Unseres Wissens schneidet keine andere Branche so schlecht ab wie das Gesundheitswesen“, kommentiert Mitrovic.

Nicht nur für Krankenhäuser: DMARC weithin anerkanntes E-Mail-Validierungsprotokoll

DMARC sei ein weithin anerkanntes E-Mail-Validierungsprotokoll, welches Domain-Namen vor dem Missbrauch durch Cyber-Kriminelle schützen solle. Es authentifiziere die Identität des Absenders, „bevor eine Nachricht ihren Bestimmungsort erreicht“. DMARC habe drei Schutzstufen: „Monitor“, „Quarantäne“ und „Reject“. „Reject“ sei nun die zuverlässigste Methode, um zu verhindern, dass verdächtige E-Mails ihre Adressaten erreichen.

„Vor diesem Hintergrund kündigten Google, Yahoo! und Apple Ende letzten Jahres an, dass sie ab dem ersten Quartal 2024 eine E-Mail-Authentifizierung verlangen werden, damit Nachrichten von ihren Plattformen versandt werden können. Dies ist ein wichtiger Schritt zur Verhinderung von Spam und Betrug.“ Diese Sicherheitsanforderungen gelten laut Mitrovic insbesondere für Konten, die täglich große Mengen an E-Mails versenden, z.B. Organisationen des Gesundheitswesens, welche neben anderen Maßnahmen auch das DMARC-Authentifizierungsprotokoll einsetzen müssten. Die Nichteinhaltung der Vorschriften werde die Zustellbarkeit legitimer Nachrichten an Kunden mit „Gmail“- und „Yahoo“-Konten erheblich beeinträchtigen.

Weitere Informationen zum Thema:

CSO DEUTSCHLAND, Julia Mutzbauer, 12.02.2024
IT lahmgelegt / Cyberangriff auf Krankenhaus Lindenbrunn

proofpoint, Craig Temple, 31.01.2024
Google and Yahoo Set a Short Timeline to Meet New DMARC Requirements. Are You Ready?

proofpoint
Email Fraud Defense – Für sichere E-Mails

datensicherheit.de, 07.01.2021
Cyberangriffe auf Krankenhäuser: Anstieg um 220 Prozent / Diese Zahl meldet Check Point Research für die vergangenen zwei Monate / Region Zentraleuropa am stärksten betroffen mit einem Anstieg 145 Prozent

datensicherheit.de, 29.10.2020
Ransomware-Attacke auf US-Krankenhäuser / Hacker versuchen mittels Ransomware Daten zu erbeuten und Lösegeldzahlungen zu erzwingen

datensicherheit.de, 16.09.2020
Hacker-Angriffe: Krankenhäuser können Abwehr stärken / Michal Salat gibt Tipps, wie Systeme, Patientendaten und Operationen gegen Hacker geschützt werden können

[datensicherheit.de, 17.11.2023] „Nur sieben der 20 größten Einzelhändler in Deutschland schützen Verbraucher ausreichend vor Betrügereien mit ihrem Namen.“ Proofpoint geht in einer aktuellen Stellungnahme auf das Ergebnis einer eigenen Analyse ein. Gerade im Vorfeld des „Black Friday“ treten Einzelhändler demnach vermehrt mit (potenziellen) Kunden in Kontakt, um ihnen besondere Angebote zu unterbreiten. Cyber-Kriminelle machten sich diese Tatsache als „Trittbrettfahrer“ zunutze, indem sie bekannte Marken verkörperten, um Konsumenten zu betrügen. Gegen diesen Missbrauch ihrer Markenidentität könnten Händler Verbraucher schützen, „indem sie die DMARC-Richtlinien zum Schutz der E-Mail-Kommunikation vollständig umsetzen“. Allerdings hätten bisher nur 35 Prozent der größten Einzelhändler in Deutschland diesen Schritt unternommen.

Proofpoint rät zu DMARC – einem weithin anerkannten Protokoll zur Validierung von E-Mails

„DMARC ist ein weithin anerkanntes Protokoll zur Validierung von E-Mails, das Domänen-Namen vor dem Missbrauch durch Cyberkriminelle schützen soll.“ Es authentifiziere die Identität des Absenders – bevor eine Nachricht ihr beabsichtigtes Ziel erreicht. DMARC habe drei Schutzstufen: „Überwachen“, „Quarantäne“ und „Ablehnen“.

„Ablehnen“ verhindere am zuverlässigsten, dass verdächtige E-Mails den Posteingang erreichen. Nur 35 Prozent der 20 größten Einzelhändler in Deutschland hätten DMARC auf dieser strengsten Stufe umgesetzt.

Proofpoint moniert: Viele Einzelhändler verweigern bislang geringe Mühe zum Schutz der Marke und Kunden

„In den heißen Phasen im Einzelhandel, insbesondere zum Wochenende mit ,Black Friday’ und ,Cyber Monday’ und der Vorweihnachtszeit, erhalten Verbraucher disproportional viele E-Mails insbesondere von Online-Händlern. Cyber-Kriminelle nutzen diese Tatsache und schmuggeln ihre gefährlichen Nachrichten unter diesen E-Mail-Verkehr, indem sie die Absender-Adressen bekannter Marken fälschen“, erläutert Miro Mitrovic, „Area Vice President DACH“ bei Proofpoint. Unternehmen könnten diesen Missbrauch ihrer Marke unterbinden, indem sie DMARC umsetzen. „Dass viele Einzelhändler diese geringe Mühe nicht auf sich nehmen, gibt Anlass zur Sorge“, unterstreicht Mitrovic.

Seit Jahren nutzten viele Organisationen auf der ganzen Welt DMARC, um den Missbrauch ihrer Marken-Domain für E-Mail-Betrug zu verhindern. DMARC sei eine Art Passkontrolle für die E-Mail-Kommunikation. Dieses Verfahren überprüfe die Identität des Absenders, „indem es den Absender anhand der etablierten Standards DKIM (Domain Keys Identified Mail) und SPF (Sender Policy Framework) ordnungsgemäß authentifiziert“. Diese Kontrollfunktion schütze Mitarbeiter, Kunden und Partner vor Cyber-Kriminellen, welche sich als Absender einer vertrauenswürdigen Marke ausgeben wollten, um E-Mail-Empfänger zum unbedachten Klick auf Links oder Dokumente zu verleiten.

Proofpoint-Analyse zur DMARC-Implementierung führender Einzelhändler in Deutschland

Um herauszufinden, wie es im Vorfeld der heißen Phase im Einzelhandel um die Implementierung des DMARC-Standards in Deutschland steht, hat Proofpoint nach eigenen Angaben eine detaillierte DMARC-Analyse bei den 20 größten Einzelhändlern durchgeführt. Dazu gehörten internationale Konzerne ebenso wie deutsche Unternehmen.

Zentrale Ergebnisse der Proofpoint-Analyse:

• 18 der 20 Händler (90%) haben DMARC zumindest teilweise umgesetzt. Nur die höchste Umsetzungsstufe (reject: ablehnen) schützt allerdings verlässlich gegen die Fälschung der Marken-Domain.
• Zwei der 20 untersuchten Unternehmen (10%) treffen überhaupt keine DMARC-Maßnahmen gegen den Missbrauch ihrer Marken-Domain.
• Nur sieben der 20 Unternehmen (35%) erfüllen die strengste, empfohlene Umsetzung der DMARC-Richtlinien. Das bedeutet, dass 65 Prozent ihre Kunden nur unzureichend vor betrügerischen E-Mails schützen.

Proofpoint gibt Verbrauchern Tipps, um auf sichere Schnäppchenjagd gehen zu können:

Schützen Sie Ihre Passwörter:
Verwenden Sie dasselbe Passwort nicht mehrmals. Nutzen Sie einen Passwort-Manager, um die Handhabung der Passwörter zu vereinfachen und ein Höchstmaß an Sicherheit zu gewährleisten. Erhöhen Sie das Sicherheitsniveau mit Multi-Faktor-Authentifizierung!

Hüten Sie sich vor gefälschten Websites:
Vermeiden Sie betrügerische Websites, die seriöse Marken imitieren! Diese Nachahmer-Websites bieten möglicherweise gefälschte oder nicht existierende Produkte an, verbreiten Malware oder versuchen, Geld und Anmeldedaten zu stehlen.

Phishing- und Smishing-Angriffe abwehren:
Seien Sie auf der Hut vor Phishing-E-Mails, die zu unsicheren Websites führen, um persönliche Daten wie Anmeldeinformationen und Kreditkartendaten zu stehlen. Seien Sie auch vorsichtig bei SMS-Phishing („Smishing“) und Nachrichten, die Sie über Soziale Medien bzw. Messenger erhalten!

Klicken Sie nicht auf Links:
Vermeiden Sie es, auf Links zu klicken, und geben Sie stattdessen die jeweilige Website-Adresse manuell in Ihren Browser ein, um auf beworbene Angebote zuzugreifen. Geben Sie Sonderangebotscodes während des Bestellvorgangs ein, um deren Legitimität zu überprüfen!

Überprüfung vor dem Kauf:
Betrügerische Werbung, gefälschte Websites bzw. mobile Apps können sehr überzeugend sein. Bevor Sie eine neue App herunterladen oder eine unbekannte Website besuchen, sollten Sie sich die Zeit nehmen, Online-Bewertungen zu lesen und nach Kundenbeschwerden zu suchen!

Proofpoint rät zur DMARC-Einführung, denn Google und Yahoo! Setzen 2024 Maßstäbe

Google und Yahoo! hätten vor Kurzem angekündigt, dass sie ab Februar 2024 eine E-Mail-Authentifizierung von solchen Absendern verlangen würden, die große Mengen an E-Mails verschicken. Dies sei ein wichtiger Schritt zur Verhinderung von Spam und Betrug.

„Konten, die täglich große Mengen an E-Mails versenden, werden neben anderen Maßnahmen auch das DMARC-Authentifizierungsprotokoll einsetzen müssen.“ Die Nichteinhaltung der Vorschriften werde dann die Zustellbarkeit legitimer Nachrichten an Kunden mit „Gmail“- und „Yahoo“-Konten erheblich beeinträchtigen.

Weitere Informationen zum Thema:

proofpoint, Craig Temple, 11.10.2023
Google und Yahoo! setzen kurze Frist für die Einhaltung der neuen DMARC-Anforderungen. Sind Sie bereit?

proofpoint
White Paper: Erste Schritte mit DMARC

[datensicherheit.de, 20.02.2020] Die IATA-Fluggesellschaften schützen ihre Passagiere und andere IT-Anwender offenbar nicht davor, betrügerische E-Mails eben im Namen der jeweiligen Fluggesellschaft zu erhalten – dies haben nach eigenen Angaben Sicherheitsexperten des US-amerikanischen Cybersecurity-Unternehmens proofpoint im Rahmen einer Untersuchung festgestellt. Dabei seien alle 296 Mitgliedsfluggesellschaften der IATA (International Air Transport Association) berücksichtigt worden – auf diese IATA-Mitgliedsgesellschaften entfielen 82 Prozent des gesamten Flugverkehrs.

Abbildung: proofpoint

proofpoint-Untersuchung zu fehlenden DMARC-Einträgen bei IATA-Fluggesellschaften

Herausforderungen für IATA-Airlines: Storni, Verspätungen, Corona-Hotspots…

Gestrichene Flüge, vom Veranstalter stornierte Fernreisen, Verspätungen und Urlaubsziele, welche sich zu „Corona-Hotspots“ entwickeln… All dies verunsichere gegenwärtig die Passagiere der Fluggesellschaften. Für diese nicht stattfindenden Reisen möchten Fluggäste natürlich ihr bereits bezahltes Geld wieder zurück. Ein Großteil der betreffenden Kommunikation zwischen Reisenden und Fluggesellschaften finde via E-Mail statt.
Nachdem der Reisesektor schon immer ein weit verbreitetes Ziel für Cyber-Kriminelle gewesen sei, steigerten die durch die aktuelle „Pandemie“ ausgelösten Absagen die Unsicherheit im Reisemarkt und damit auch das Interesse der Hacker. „Denn ob bei der Buchung neuer Flüge oder der Suche nach Informationen über Flug-Annullierungen, Informationen zu den Stornokosten – eines bleibt gleich: Viele Menschen weltweit warten sehnsüchtig auf die Kommunikation mit den Fluggesellschaften. Das versuchen opportunistische Cyber-Kriminelle auszunutzen – kaum überraschend, denn E-Mail ist nach wie vor der wichtigste Bedrohungsvektor für Cyber-Kriminelle.“

Gefälschte E-Mails: IATA-Fluggesellschaften nutzen kaum Schutzmaßnahmen

Was viel mehr überrasche: „Dass die große Mehrheit der Fluggesellschaften gar nicht alle Möglichkeiten nutzt, um die Passagiere davor zu schützen, Opfer von betrügerischen E-Mails zu werden, die diese Menschen im Namen der Fluggesellschaften erhalten.“ Dabei wäre das mit einem DMARC-Eintrag schnell und einfach zu lösen.
Bei einer Untersuchung der 296 Mitgliedsfluggesellschaften der IATA habe proofpoint festgestellt, dass weit mehr als die Hälfte (61 Prozent) dieser Organisationen über keinen veröffentlichten DMARC-Eintrag (Domain-based Message Authentication, Reporting & Conformance) verfügten.

Nur 7% der IATA-Fluggesellschaften haben bisher vollständigen DMARC-Schutz umgesetzt

Dabei sei DMARC ein E-Mail-Validierungsprotokoll, welches Domain-Namen vor dem Missbrauch durch Cyber-Kriminelle weitestgehend schütze. Mit seiner Hilfe lasse sich die Identität des Absenders verlässlich authentifizieren, „bevor die Nachricht ihre beabsichtigte Bestimmung erreichen kann“. Es verifiziere, „dass die angebliche Domäne des Absenders nicht imitiert oder gefälscht wurde, und stützt sich auf die etablierten Standards DKIM (DomainKeys Identified Mail) und SPF (Sender Policy Framework), um sicherzustellen, dass die E-Mail die vertrauenswürdige Domäne nicht fälscht“.
Überhaupt hätten nur sieben Prozent der IATA-Fluggesellschaften einen vollständigen und damit auch den empfohlenen DMARC-Schutz umgesetzt. „Das heißt, 93 von 100 tun dieses nicht.“ Diese Einstellung und Richtlinie sei unter der Bezeichnung „Reject“ bekannt und blockiere betrügerische E-Mails dabei ihr beabsichtigtes Ziel zu erreichen. „Das bedeutet, dass nur sieben Prozent proaktiv verhindern, dass betrügerische E-Mails die Posteingänge ihrer Kunden erreichen.“

Mehrzahl der IATA-Fluglinien lassen Unternehmensdomains für diverse Angriffe wie Phishing, Identitätsdiebstahl etc. offen

Insgesamt versäumten es die großen globalen Fluggesellschaften, einen angemessenen E-Mail-Schutz zu implementieren – und ließen ihre Unternehmensdomains für diverse Angriffe wie Phishing, Identitätsdiebstahl und andere unbefugte Nutzung offen.
Allerdings sei die Akzeptanz von Region zu Region unterschiedlich hoch. Von den von der IATA klassifizierten Regionen wiesen China und Nordasien den niedrigsten Grad an DMARC-Annahme auf, wobei 85 Prozent überhaupt keine veröffentlichten Richtlinien und daher keinen Einblick in die unbefugte Nutzung ihrer Domänen hätten. Es folgten der asiatisch-pazifische Raum (70 Prozent), Europa sowie der Nahe Osten und Afrika (beide Regionen mit 57 Prozent) und Amerika (43 Prozent).

In China & Nordasien hat bisher kein IATA-Carrier die strengste DMARC-Richtlinie (Reject) implementiert

Wenn es darum geht, ihre Kunden proaktiv vor E-Mail-Betrug zu schützen, schneide die Region „China & Nordasien“ am schlechtesten ab: Keiner der dortigen Carrier habe die strengste DMARC-Richtlinie (Reject) implementiert. Es folgten „Europa“ und der „Nahe Osten & Afrika“ (beide Regionen mit 93 Prozent) sowie „APAC“ und „Amerika“ (beide mit 89 Prozent).
Es bleibe zu hoffen, dass die Fluggesellschaften hierbei sehr schnell tätig werden, „um ihre Kunden besser vor Cyber-Angriffen, die die Domainnamen der Carrier missbrauchen, zu schützen“.

Weitere Informationen zum Thema:

proofpoint
White Paper / Getting Started with DMARC

datensicherheit.de, 24.05.2020
ZLoader: Malwareanalyse von Proofpoint belegt neue Variante

[datensicherheit.de, 10.07.2020] Rund drei von vier Unternehmen setzen auf die vielfältigen Möglichkeiten der Online-Werbung. Dazu zählen Suchmaschinenmarketing, Programmatic Advertising oder Anzeigen in Social Media. Das zeigt die Studie „Benchmarks der Internetnutzung 2020“, die der eco – Verband der Internetwirtschaft e. V. und absolit Dr. Schwarz Consulting heute herausgegeben haben.

Grade beim Thema Sicherheit haben viele Unternehmen jedoch noch Verbesserungspotenzial, etwa bei der Sicherung der eigenen Domain vor dem Missbrauch Dritter. Das kann dem eigenen E-Mail-Marketing und der Marken-Reputation sehr schaden. Die Verschlüsselung der Datenübertragung über die Webseite und den E-Mail-Server hat sich zwar mit jeweils 99 Prozent durchgesetzt. Doch 44 Prozent verhindern nicht den Versand von E-Mails über nicht autorisierte Server mit gefälschter Absenderadresse, was etwa mit SPF (Sender Policy Framework) ohne großen Aufwand möglich ist.

Viele Marken schützen sich nicht vor Missbrauchsversuchen

Von den 5.036 untersuchten Firmen in Deutschland, Österreich und der Schweiz machen besonders die Händler und Markenhersteller aktiv Werbung. 91 Prozent von ihnen setzen auf Paid Advertising. In manchen Sektoren liegen diese Werte sogar noch höher, etwa im Elektronikhandel (100 Prozent) oder Modehandel (97 Prozent). Weniger spendabel zeigt sich die Gesundheitsbranche (70 Prozent) sowie B2B-Unternehmen (59 Prozent).

Dr. Schwarz, eco Experte Online-Marketing im eco – Verband der Internetwirtschaft e. V., Bild: eco

Nur jeder dritte E-Mail-Versender schützt die eigene Absenderdomain mittels DMARC (Domain-based Message Authentication, Reporting and Conformance) vor Missbrauchsversuchen durch Cyber-Kriminelle. Regeln, wie Internet Service Provider (ISPs) mit eben diesen verdächtigen Mails umgehen sollen, definiert sogar nur jeder Zwanzigste. „Natürlich können diese Maßnahmen, vor allem bei großen Unternehmen mit vielen Abteilungen, zeitaufwendig sein, verbessern jedoch deutlich den Schutz für die eigene Marke“, sagt Dr. Schwarz, eco Experte Online-Marketing im eco – Verband der Internetwirtschaft e. V.

Mobile-First haben viele noch nicht verinnerlicht

Die Studie zeigt einen weiteren Schwachpunkt in der Online-Präsenz vieler Unternehmen: Die Webseiten sind noch nicht für eine Nutzung auf mobilen Geräten optimiert. „Google wird immer stärker über die mobile Ansicht einer Webseite indexieren, hier müssen viele Unternehmen nacharbeiten um nicht auf hintere Ränge zu fallen“, sagt Dr. Schwarz. Insbesondere die Ladezeiten sind bei vielen mobilen Seiten zu lange. Das läge stark an den eingesetzten Tracking-Tools, deren Pixel den Aufbau der Seite verlangsamen. 42 Prozent der untersuchten Unternehmen erreichen für ihre mobile Seite nur einen mangelhaften PageSpeed Score. Vorbildliche Werte erreichen nur drei Prozent der untersuchten Seiten.

Organische Sichtbarkeit bei Händlern fünfmal höher als bei Marken

Im Rahmen der Studie wurde auch untersucht, wie gut die organische Sichtbarkeit der über 5.000 Unternehmen ist. Interessant ist der Vergleich zwischen Markenherstellern und Händlern. Immer mehr Marken suchen neben den klassischen Handelspartnern ebenfalls den direkten Kundenzugang oder steigen in den stationären Handel ein. Vertical Brands verzichten sogar komplett auf den Händlervertrieb und verkaufen direkt an den Endkunden. Dennoch zeigt der Vergleich der Sichtbarkeiten in den organischen Suchergebnissen einen großen Reichweitenvorteil der Händler. So ist deren Sichtbarkeit im Schnitt fünfmal größer als die der Markenhersteller. Dies lässt darauf schließen, dass der Handel vor allem in den frühen Phasen des Kaufentscheidungsprozesses über Suchmaschinen auch weiterhin der Platzhirsch bleibt.

Weitere Informationen zum Thema:

eco – Verband der Internetwirtschaft e. V.
Studie „Benchmarks der Internetnutzung 2020“

datensicherheit.de, 03.07.2020]
Telemediengesetz: eco kritisiert verpasste Chance