#Security: DMARC sorgt für mehr E-Mail-Sicherheit

20. Dezember 2021, 12:47
  • security
  • kolumne
  • switch
image

E-Mail ist der am häufigsten verwendete Angriffsvektor für Phishing und Betrug im Internet. Damit Internetnutzende der Gefahr nicht schutzlos ausgeliefert sind, müssen technische Schutzmassnahmen her. Die gibt es zwar, doch ihre Einführung ist nicht trivial.

Jedes Jahr im Dezember steigt die Anzahl ausgelieferter Pakete mit Geschenken und Einkäufen für die Weihnachtszeit. Die Post versendet zu Spitzenzeiten bis zu eine Million Pakete pro Tag. Um ein Vielfaches höher ist die Anzahl der Phishing E-Mails, die in diesen Tagen in unseren elektronischen Briefkästen landet. Typischerweise wird man darin aufgefordert, eine niedrige Gebühr für ein vermeintlich beim Zoll oder Transportunternehmen festsitzendes Paket zu bezahlen. Die Wahrscheinlichkeit ist hoch, dass jemand auf ein Paket wartet und die Gebühr aus Unachtsamkeit bezahlt. Dabei werden nicht nur Geld, sondern auch die Kreditkartendaten inklusive der CVV-Nummer an die Täter gesendet.
Die Täter sind erfolgreich, weshalb die Phishing-Flut nicht aufhört. Mehr als die Hälfte der beim Nationalen Zentrum für Cybersicherheit (NCSC) gemeldeten Fälle betreffen Phishing oder Betrug. E-Mail ist der meistgenutzte Angriffsvektor. Das Problem ist seit Jahren bekannt, die Abwehrmassnahmen scheinen nur begrenzt zu funktionieren.

Täuschung der Nutzenden

Wieso ist es für Internetnutzende so schwer, Phishing zu erkennen? Der Absender einer E-Mail wird im E-Mail-Programm oder Webmail im Von- oder From-Feld angezeigt. Die Identität des Absenders lässt sich also feststellen. Aus Gründen der Bequemlichkeit programmieren Entwickler die E-Mail-Clients so, dass dieses Feld fast ausschliesslich den "Display Name" anzeigt. Dieser bereits in RFC 822 im Jahr 1982 eingeführte Standard erlaubt es, im From-Feld neben der E-Mail-Adresse einen frei spezifizierbaren Namen anzugeben. Und die meisten E-Mail-Clients zeigen ausschliesslich diesen Namen ohne E-Mail-Adresse an. Dies führt dazu, dass Empfängerinnen und Empfänger von Phishingmails beispielsweise "Post" oder "Schweizer Zoll" als Absender sehen, auch wenn die E-Mail-Adresse dahinter eindeutig als verdächtig zu erkennen wäre.

Kampf gegen Domain-Missbrauch

Doch nicht immer lassen sich Phishingmails oder Betrugsversuche an einer nicht passenden Absender-Domain erkennen. Es landen auch viele Phishingmails von Domain-Namen wie schweiz-zoll.ch oder ezv-admin.ch im Posteingang. Doch wie ist das möglich, und gibt es dagegen keine Abwehrmassnahmen? Wieso stellt Switch als Registrierungsstelle diese Domain-Namen nicht einfach ab, wenn sie vom NCSC eine Meldung erhält?
Switch bekämpft Missbrauch mit .ch- und .li-Domain-Namen aktiv und deaktiviert in Zusammenarbeit mit den Behörden Domain-Namen wie "paket-wartet.ch", wenn sie für Phishing-Zwecke missbraucht werden. Nach dem Deaktivieren sind die Domain-Namen nicht mehr erreichbar.

Registrierung schützt vor Missbrauch

Wenn ein Domain-Name jedoch nur genutzt wird, um einer E-Mail mehr Autorität zu verleihen, nützt es nichts, ihn abzuschalten. Im Gegenteil, er kann sogar noch mehr Schaden anrichten. Ein Beispiel ist die Domain "schweiz-zoll.ch", zu der die Registrierungsstelle massenweise Meldungen bekommt. Auch die Eidgenössische Zollverwaltung (EZV) hat Anfang des Jahres davor gewarnt. Die Sicherheitsexperten von Switch konnten schnell feststellen, dass der Domain-Name gar nicht registriert war und nur als Absender für Phishingmails missbraucht wurde. Leider filtern nicht alle E-Mail-Anbieter automatisch E-Mails von ungültigen Domain-Namen. Der Domain-Name wurde im weiteren Verlauf des Angriffs von einem Schweizer Anbieter von Anti-Spam Lösungen registriert und mit einer DMARC Policy veröffentlicht. DMARC hilft E-Mails zu authentisieren und erlaubt empfangenden E-Mail Servern, nicht authentisierte E-Mails abzulehnen. Leider nutzen zu wenige E-Mail-Anbieter DMARC. Und so erhalten die Registrierungsstelle und der Domain-Namen-Halter weitere Aufforderungen, diesen abzuschalten. 
image
Warnmeldung auf schweiz-zoll.ch, die der Bekämpfung von Phishing dient.
Einige Schweizer E-Mail-Anbieter sowie Gmail und Microsoft beachten beim Empfang einer E-Mail die veröffentliche DMARC Policy. Seit einiger Zeit missbrauchen Angreifer auch die Domain-Namen "ezv-admin.ch" oder "douane.ch" die noch keine DMARC Policy veröffentlicht haben.

Bewusstsein bei Markeninhabern

Auf Seiten der Markeninhaber ist das Bewusstsein für technische Schutzmassnahmen ihrer Marke vor Phishing nur begrenzt vorhanden. Momentan haben erst 12% der Top 1000 .ch-Domain-Namen eine DMARC Policy veröffentlicht. Sehr häufig missbrauchen Täter aber nicht den primären Domain-Namen. Sie weichen lieber auf Ungenutzte aus, die als "defensive registrations" dem Markenschutz dienen.
Vorbildlich hat unter anderen die Credit Suisse gehandelt. Sie hat bei der Einführung von DMARC nicht nur credit-suisse.com, sondern auch andere Domain-Namen wie credit-suisse.ch mit einer DMARC Policy versehen.

Gemeinsam für mehr Sicherheit im Internet

E-Mails bleiben ein primärer Angriffsvektor auf Unternehmen und Internetnutzende. Deshalb ist es im Rahmen der digitalen Transformation der Schweiz unerlässlich, diesen Kommunikationskanal mit den vorhandenen Mitteln abzusichern. Diese Aufgabe lässt sich nur gemeinsam erfüllen, da E-Mail ein verteiltes System ist. Betreiber der E-Mail-Infrastruktur, Markenrechteinhaber, Behörden und Verbände müssen vorhandene technische und kommunikative Mittel koordinieren und einsetzen. Dabei haben es Schweizer E-Mail-Betreiber nicht leicht. Eine E-Mail-Adresse ist meist eine Gratisleistung, die sie zusammen mit einem Webhosting oder Internetzugang anbieten. Da gibt es für sie wenig Spielraum, in die Sicherheit zu investieren. Als Registrierungsstelle für .ch-Domain-Namen setzt SWITCH hier im Auftrag des Bundesamtes für Kommunikation in Zukunft einen finanziellen Anreiz. Registrare werden für .ch- und .li- Domain-Namen unterschiedliche Preise bezahlen, je nachdem, ob sie offene Sicherheitsstandards wie DNSSEC und DMARC anbieten oder nicht. Tun sie dies, partizipieren sie zudem anteilmässig an den erzielten Mehreinnahmen.
Aber auch die Internetnutzenden stehen in der Pflicht: Sie müssen nicht nur jede empfangene E-Mail mit einem gesunden Mass an Misstrauen lesen, sondern auch einen E-Mail-Provider wählen, der angemessene Schutzmassnahmen bietet, aktuelle Sicherheitsstandards verwendet und Phishingmails filtert.
Die Schweizer E-Mail Hoster haben das Problem erkannt und verbessern ihre Schutzmassnahmen laufend. Am Swiss Web Security Day 2021 wurde das Thema in einem Panel mit Vertreterinnen und Vertretern der Hoster, Behörden und juristischen Fachpersonen für E-Mail-Sicherheit und -Bewusstseinsförderung diskutiert.
Über den Autor:
Michael Hausding studierte Informatik an der TU Darmstadt und MTEC an der ETH Zürich. Seit 2008 arbeitet er als Sicherheitsexperte im Team von SWITCH-CERT und ist auf DNS- und Domain-Missbrauch spezialisiert.
Über die Kolumne #Security:
Die Kolumne von Switch über Sicherheit erscheint 6 mal jährlich. Die Autoren äussern unabhängig ihre Meinung, die sich nicht mit der Redaktionsmeinung von inside-it.ch und inside-channels.ch decken muss.

Loading

Mehr zum Thema

image

Bericht zeigt russische Cyber­aktivitäten seit Kriegs­beginn

Mit dem russischen Angriffskrieg gehen massive Cyber­kampagnen einher. Diese betreffen die Ukraine, aber auch weitere Länder, darunter die Schweiz, zeigt ein Report.

publiziert am 23.6.2022
image

70% der Schweizer Industriebetriebe Opfer von Cyberattacken

Eine Mitgliederbefragung des Branchenverbands Swissmem zeigt, dass mehr als Zweidrittel der Firmen mindestens einmal attackiert wurden, einzelne sogar mehr als 20-mal.

publiziert am 23.6.2022
image

Cloud-Anbieter wie Mega könnten Daten ihrer Kunden manipulieren

Ein ETH-Kryptografie-Team nahm die Verschlüsselung der Cloud Services des neuseeländischen Anbieters Mega unter die Lupe und fand gravierende Sicherheitslücken. Das dürfte kein Einzelfall sein.

publiziert am 23.6.2022
image

Mehrere kritische Datenschutzvorfälle im Kanton Zürich

Seit rund einem Jahr müssen Behörden im Kanton Zürich Datenschutzvorfälle melden. Die Datenschutzbeauftragte zieht eine erste Bilanz. Die Nutzung von Cloud-Angeboten wird kritisch gesehen.

publiziert am 22.6.2022