[datensicherheit.de, 20.02.2020] Die IATA-Fluggesellschaften schützen ihre Passagiere und andere IT-Anwender offenbar nicht davor, betrügerische E-Mails eben im Namen der jeweiligen Fluggesellschaft zu erhalten – dies haben nach eigenen Angaben Sicherheitsexperten des US-amerikanischen Cybersecurity-Unternehmens proofpoint im Rahmen einer Untersuchung festgestellt. Dabei seien alle 296 Mitgliedsfluggesellschaften der IATA (International Air Transport Association) berücksichtigt worden – auf diese IATA-Mitgliedsgesellschaften entfielen 82 Prozent des gesamten Flugverkehrs.

Abbildung: proofpoint

proofpoint-Untersuchung zu fehlenden DMARC-Einträgen bei IATA-Fluggesellschaften

Herausforderungen für IATA-Airlines: Storni, Verspätungen, Corona-Hotspots…

Gestrichene Flüge, vom Veranstalter stornierte Fernreisen, Verspätungen und Urlaubsziele, welche sich zu „Corona-Hotspots“ entwickeln… All dies verunsichere gegenwärtig die Passagiere der Fluggesellschaften. Für diese nicht stattfindenden Reisen möchten Fluggäste natürlich ihr bereits bezahltes Geld wieder zurück. Ein Großteil der betreffenden Kommunikation zwischen Reisenden und Fluggesellschaften finde via E-Mail statt.
Nachdem der Reisesektor schon immer ein weit verbreitetes Ziel für Cyber-Kriminelle gewesen sei, steigerten die durch die aktuelle „Pandemie“ ausgelösten Absagen die Unsicherheit im Reisemarkt und damit auch das Interesse der Hacker. „Denn ob bei der Buchung neuer Flüge oder der Suche nach Informationen über Flug-Annullierungen, Informationen zu den Stornokosten – eines bleibt gleich: Viele Menschen weltweit warten sehnsüchtig auf die Kommunikation mit den Fluggesellschaften. Das versuchen opportunistische Cyber-Kriminelle auszunutzen – kaum überraschend, denn E-Mail ist nach wie vor der wichtigste Bedrohungsvektor für Cyber-Kriminelle.“

Gefälschte E-Mails: IATA-Fluggesellschaften nutzen kaum Schutzmaßnahmen

Was viel mehr überrasche: „Dass die große Mehrheit der Fluggesellschaften gar nicht alle Möglichkeiten nutzt, um die Passagiere davor zu schützen, Opfer von betrügerischen E-Mails zu werden, die diese Menschen im Namen der Fluggesellschaften erhalten.“ Dabei wäre das mit einem DMARC-Eintrag schnell und einfach zu lösen.
Bei einer Untersuchung der 296 Mitgliedsfluggesellschaften der IATA habe proofpoint festgestellt, dass weit mehr als die Hälfte (61 Prozent) dieser Organisationen über keinen veröffentlichten DMARC-Eintrag (Domain-based Message Authentication, Reporting & Conformance) verfügten.

Nur 7% der IATA-Fluggesellschaften haben bisher vollständigen DMARC-Schutz umgesetzt

Dabei sei DMARC ein E-Mail-Validierungsprotokoll, welches Domain-Namen vor dem Missbrauch durch Cyber-Kriminelle weitestgehend schütze. Mit seiner Hilfe lasse sich die Identität des Absenders verlässlich authentifizieren, „bevor die Nachricht ihre beabsichtigte Bestimmung erreichen kann“. Es verifiziere, „dass die angebliche Domäne des Absenders nicht imitiert oder gefälscht wurde, und stützt sich auf die etablierten Standards DKIM (DomainKeys Identified Mail) und SPF (Sender Policy Framework), um sicherzustellen, dass die E-Mail die vertrauenswürdige Domäne nicht fälscht“.
Überhaupt hätten nur sieben Prozent der IATA-Fluggesellschaften einen vollständigen und damit auch den empfohlenen DMARC-Schutz umgesetzt. „Das heißt, 93 von 100 tun dieses nicht.“ Diese Einstellung und Richtlinie sei unter der Bezeichnung „Reject“ bekannt und blockiere betrügerische E-Mails dabei ihr beabsichtigtes Ziel zu erreichen. „Das bedeutet, dass nur sieben Prozent proaktiv verhindern, dass betrügerische E-Mails die Posteingänge ihrer Kunden erreichen.“

Mehrzahl der IATA-Fluglinien lassen Unternehmensdomains für diverse Angriffe wie Phishing, Identitätsdiebstahl etc. offen

Insgesamt versäumten es die großen globalen Fluggesellschaften, einen angemessenen E-Mail-Schutz zu implementieren – und ließen ihre Unternehmensdomains für diverse Angriffe wie Phishing, Identitätsdiebstahl und andere unbefugte Nutzung offen.
Allerdings sei die Akzeptanz von Region zu Region unterschiedlich hoch. Von den von der IATA klassifizierten Regionen wiesen China und Nordasien den niedrigsten Grad an DMARC-Annahme auf, wobei 85 Prozent überhaupt keine veröffentlichten Richtlinien und daher keinen Einblick in die unbefugte Nutzung ihrer Domänen hätten. Es folgten der asiatisch-pazifische Raum (70 Prozent), Europa sowie der Nahe Osten und Afrika (beide Regionen mit 57 Prozent) und Amerika (43 Prozent).

In China & Nordasien hat bisher kein IATA-Carrier die strengste DMARC-Richtlinie (Reject) implementiert

Wenn es darum geht, ihre Kunden proaktiv vor E-Mail-Betrug zu schützen, schneide die Region „China & Nordasien“ am schlechtesten ab: Keiner der dortigen Carrier habe die strengste DMARC-Richtlinie (Reject) implementiert. Es folgten „Europa“ und der „Nahe Osten & Afrika“ (beide Regionen mit 93 Prozent) sowie „APAC“ und „Amerika“ (beide mit 89 Prozent).
Es bleibe zu hoffen, dass die Fluggesellschaften hierbei sehr schnell tätig werden, „um ihre Kunden besser vor Cyber-Angriffen, die die Domainnamen der Carrier missbrauchen, zu schützen“.

Weitere Informationen zum Thema:

proofpoint
White Paper / Getting Started with DMARC

datensicherheit.de, 24.05.2020
ZLoader: Malwareanalyse von Proofpoint belegt neue Variante

Foto: BfDI

[datensicherheit.de, 17.12.2010] Nach Angaben des Bundesdatenschutzbeauftragten habe der internationale Airline-Verband IATA eine grundlegende Änderung des Systems der Sicherheitskontrollen auf Flughäfen vorgeschlagen, das auf einer Sortierung der Flugreisenden nach Risikokategorien basiere:
Demnach sollten die Passagiere zunächst mittels biometrischer Merkmale (etwa Fingerabdrücke und digitales Gesichtsbild) identifiziert werden – auf dieser Basis finde ein Abgleich mit den Buchungsdaten statt. In einem weiteren Schritt würden die Reisenden in die drei Kategorien „bekannte Flugreisende“, „normale Flugreisende“ und „potenzielle Gefährder“ eingeteilt.
Die IATA verspreche sich von ihrem Modell offensichtlich eine Beschleunigung der Passagierkontrollen; profitieren würden davon aber nur die Businessreisenden, die ihre Flüge auf der Überholspur erreichen könnten. Für die „Normal“-Reisenden ergäben sich im Regelfall keine Verbesserungen. Für diejenigen, die nach undurchschaubaren Kriterien als „potenzielle Gefährder“ einsortiert würden, wäre das IATA-Modell sogar mit umfangreicheren, langwierigen und tiefer gehenden Kontrollen verbunden.
Datenschutzrechtlich sei dieser Vorschlag problematisch, denn alle Reisenden würden einem umfassenden Datenabgleich unterzogen („electronic data pre-screening“). Damit würden aber Daten, die für völlig andere Zwecke erhoben worden seien (etwa Kreditkartennummer, Alter, Wohnort und Geburtsdatum und -ort, Reiserouten, frühere Flugreisen), für eine Risikobewertung verwendet. Vermutlich würden bei dem Abgleich auch zusätzliche Daten staatlicher Stellen, etwa „No-Flight-Lists“ und andere Daten der Sicherheitsbehörden einbezogen. Die zusätzlichen Verhaltenskontrollen auf Basis von individuellen Interviews („advanced behavior detection through intelligent questioning of passengers based on information“) wären weiterere schwerwiegende Eingriffe in das Persönlichkeitsrecht, so Peter Schaar ins einem Blog.

Weitere Informationen zum Thema:

PETER SCHAAR. Der Blog, 16.12.2010
Triage am Flughafen?