Mehr E-Mail-Sicherheit mit DANE

Mit DANE kommen E-Mails beim richtigen Empfänger an

| Autor / Redakteur: Julia Janßen-Holldiek und Florian Mielke / Peter Schmitz

Das Netzwerkprotokoll DANE (DNS-based Authentication of Named Entities) erweitert die verbreitete Transportweg­verschlüsselung SSL/TLS und sorgt so dafür, dass E-Mails sicher beim richtigen Empfänger ankommen.
Das Netzwerkprotokoll DANE (DNS-based Authentication of Named Entities) erweitert die verbreitete Transportweg­verschlüsselung SSL/TLS und sorgt so dafür, dass E-Mails sicher beim richtigen Empfänger ankommen. (Bild: gemeinfrei / Pixabay)

Das Netzwerkprotokoll DANE (DNS-based Authentication of Named Entities) erweitert die verbreitete Transportwegverschlüsselung SSL/TLS und sorgt so dafür, dass E-Mails mit Sicherheit beim Richtigen ankommen. DANE verhindert außerdem Man-in-the-Middle-Angriffe, indem es das Zusammenspiel von DNSSEC (Domain Name System Security Extensions) und SSL/TLS sichert.

Sich in den E-Mail-Verkehr zwischen Kunden und Lieferanten einzuhacken, kann sich für Cyberkriminelle lohnen. Bei einem erfolgreichen Angriff können beispielsweise Zahlungen umgeleitet oder sensible Kunden-Daten wie Adresse, Bankverbindung und Einkaufsgewohnheiten in unberechtigte Hände fallen. Bei Versicherungen, Krankenkassen, Kreditinstituten oder auch Dating-Plattformen wiegt das besonders schwer, denn hier sind hochsensible Kundendaten unterwegs.

Verhindern lässt sich das mit dem Netzwerkprotokoll DANE (DNS-based Authentication of Named Entities), einem Prüfverfahren, das den Aufbau einer verschlüsselten Verbindung zwischen einem Client und einem Server absichert. Über einen Zertifikatsabgleich (TLSA Record) schließen DANE nutzende Kommunikationspartner die konzeptionelle Schwäche von SSL/TLS, bei der ein Dritter sich als „der richtige Server“ ausgeben könnte und den Client dazu bringen könnte, seine Daten an den „falschen Richtigen“ zu übertragen. Voraussetzung für den Einsatz von DANE ist DNSSEC (Domain Name System Security Extensions), welches sicher stellt, dass die per DNS übermittelten Prüfmerkmale verifizierbar sind. Denn auch hier könnten Angreifer falsche Angaben ins DNS einschleusen und den Client zum Falschen leiten.

HTTPS mit TLS 1.3 in der Praxis

Transportverschlüsselung Teil 3

HTTPS mit TLS 1.3 in der Praxis

11.06.18 - Wem die Sicherheit von HTTPS-Verbindungen am Herzen liegt, der ist gut beraten, die TLS-Konfiguration zu überdenken, denn ohne eine moderne Transportverschlüsselung sind gute Vorsätze beim Datenschutz nur ein Papiertiger. Zwar ist TLS 1.3 nun offiziell aus den Startlöchern, aber die Implementierung ist leider voller Tücken und Überraschungen. lesen

Mit DNSSEC und DANE die DSGVO erfüllen

Passiert das, ist nicht nur die eigene Reputation in Gefahr, es drohen auch finanzielle Konsequenzen. Sofern dem Verantwortlichen oder dem gegebenenfalls beauftragten Auftrags-Verarbeiter (in diesem Fall der E-Mail Service Provider) die Verantwortung für die Datenschutzverletzung zugeschrieben werden kann, werden die Aufsichtsbehörden tätig. Im Falle einer Verletzung personenbezogener Daten gemäß Artikel 58 DSGVO machen diese möglicherweise Untersuchungs-, Abhilfe- und Sanktionsbefugnisse gegenüber dem oder den Verantwortlichen geltend. Im schlimmsten Fall kann dies sogar ein endgültiges Verbot der Verarbeitung solcher Daten zur Folge haben, was konkret ein Verbot der Geschäftstätigkeit bedeutet. Darüber hinaus können Zwangsgelder verhängt werden. Daneben oder alternativ drohen nach Artikel 83 DSGVO erhebliche Geldbußen bis zu 20 Millionen Euro oder 4 Prozent des Gesamtjahresumsatzes. Jüngstes Beispiel: Die britische Datenschutzbehörde (ICO) hat gegen British Airways ein Bußgeld in Höhe von umgerechnet 205 Millionen Euro verhängt, nachdem sich Unbekannte Zugriffe auf die Kundendaten der Fluggesellschaft erschlichen hatten.

Fakt ist: Es reicht nicht aus, den eigenen Server bestmöglich abzusichern. Denn ein Man-in-the-Middle-Angriff nutzt die Schwachstelle des Transports einer E-Mail von A nach B. Um den Anforderungen von Artikel 5 Absatz 1 f. DSGVO zu genügen, die angemessene Sicherheit personenbezogener Daten zu gewährleisten, sollten sensible Kundendaten mittels DNSSEC und DANE geschützt werden.

Mail-Security versagt bei CEO-Fraud und Spear-Phishing

E-Mail-Sicherheit

Mail-Security versagt bei CEO-Fraud und Spear-Phishing

12.12.17 - Sicherheitsexperten testeten den Schutz durch Mail-Security-Systeme vor Spear-Phishing und CEO-Fraud in mehreren Live-Hacking-Workshops auf der IT-Security-Conference. Die meisten Systeme versagten in der Praxis unnötigerweise, obwohl sich die Attacken mit wenig Aufwand hätten abwehren lassen. lesen

So funktioniert ein ein typischer Mailtransport mit DANE

Wie sieht nun ein typischer Mailtransport mit DANE aus? Gesetzt den Fall, Sie als Online-Händler senden eine Mail an einen Kunden mit einem Mailkonto bei example.de. Dann sieht das wie folgt aus:

  • Ihr Mailserver bestimmt den für die Empfängerdomain zuständigen Mailserver. Dabei prüft er auch, ob der DNS-Server der Empfängerdomain DNSSEC anbietet.
  • Bietet der DNS-Server DNSSEC an, prüft Ihr Mailserver, ob ein TLSA (TLS-Authentifizierung)-Record für die Empfängerdomain vorliegt.
  • Dann baut Ihr Mailserver eine Verbindung zum Mailserver der Empfängerdomain auf. Bietet dieser kein STARTTLS für eine Verschlüsselung der Verbindung an, bricht Ihr Mailserver sofort ab, denn der Verdacht einer Downgrade-Attacke steht im Raum.
  • Bietet der Zielserver STARTTLS an, beginnt Ihr Mailserver eine TLS-verschlüsselte Verbindung. Dabei vergleicht er die Prüfsumme des Zertifikats des Zielservers mit der TLSA-Information, die er per DNSSEC erhalten hatte.
  • Stimmen die Summen überein, gilt der Zielserver als verifiziert. Passen die Summen nicht zusammen, bricht ein DANE-aktivierter Client sofort ab, denn es besteht der Verdacht einer „Man-in-the-Middle“-Attacke. Herkömmliche Clients senden jetzt ahnungslos weiter und senden Daten an ein nicht vertrauenswürdiges Ziel.

So weit, so sicher. Damit DANE mit DNSSEC funktioniert, müssen sowohl DANE als auch DNSSEC auf dem Mailserver des Online-Händlers eingerichtet sein. Sofern ein E-Mail-Service-Provider für den Versand genutzt wird, muss die Mailplattform so erweitert werden, dass DNS-Abfragen auch auf DNSSEC-Funktionalität prüfen und dessen Fähigkeiten zur Verifikation nutzen.

Die Grundlagen dafür sind längst gegeben. „DNSSEC ist ein ausgereiftes und seit Jahren stabiles Verfahren“, sagt Patrick Koetter, Kompetenzgruppenleiter der Gruppen „Anti-Abuse“ und „E-Mail“ des eco – Verband der Internetwirtschaft e.V.. „Praktische Erfahrung auf großen ISP-Plattformen und Messungen zeigen, die Bedenken mancher Administratoren sind fachlich nicht haltbar.“

Bedenkt man die finanziellen Konsequenzen und den Reputationsverlust, den eine Downgrade-Attacke und/oder „Man-in-the-Middle“-Attacke nach sich ziehen können, lohnt sich der einmalige Aufwand für die Aktivierung von DANE und DNSSEC. Sie stellen die einzige automatisierte und kostengünstige Möglichkeit für eine wirklich sichere Datenübertragung zwischen E-Mailservern dar.

Über die Autoren: Julia Janßen-Holldiek ist Director CSA und Florian Mielke ist Manager Business Development CSA beim Verband der Internetwirtschaft eco.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 46066234 / Protokolle und Standards)