:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/98/02/9802905292c1188fc7967a35f617be9d/0114319926.jpeg "Eine Übersicht der drei häufigsten Firewall-Schwachstellen und wie Unternehmen sich schützen können. (Bild: jahidsuniverse - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b0/1e/b01e79eb55bde7b9a2d1ec3f6bb609f1/0114319823.jpeg "Im Kampf gegen aktuelle Bedrohungen sind Intelligence-Tools eine gute Hilfe, da sich mit ihnen ein mehrschichtiger Sicherheitswall aufbauen lässt. (Bild: denisismagilov - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/63/d1/63d1b63470a199c6d3dd30f867257cae/0114316603.jpeg "Die meisten IT-Sicherheitslösungen konzentrieren sich darauf, unrechtmäßigen Zugriff von außen zu erkennen und zu verhindern. Insider-Threats bleiben hingegen oft lange unbemerkt. (Bild: Blue Planet Studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/12/58/12582dfe400f011eb34437a6a7510c94/0114247209.jpeg "Cyberkriminelle nutzen immer häufiger verschlüsselten Datenverkehr um Unternehmen anzugreifen. Gigamons Precryption-Technologie deckt bisher verborgene Bedrohungen auf, einschließlich Lateral Movement, Malware-Verteilung und Datenexfiltration in virtuellen, Cloud- und Container-Anwendungen. (Bild: freshidea - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/42/76/4276ea2d1e8017bef9f8062a8f86460e/0114233512.jpeg "Die mit NIS2 bevorstehende Einführung von Mindeststandards im Bereich der Cybersicherheit betrifft viele Institutionen, die das Thema bisher nur stiefmütterlich behandelt haben. (Bild: Андрей Яланский - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9d/23/9d238490894591cb945d1780b486d622/0113765261.jpeg "Schnelle oder aber komplexe Cloud Migrationen sorgen für mehr Konfigurationsfehler und damit für potenziell mehr Sicherheitslücken. (Bild: dmshpak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/82/91/8291aade8ce1ba7b0c9ca477cc338fba/0114233278.jpeg "Unternehmen sollten die im Artikel vorgestellten vier Prinzipien umsetzen, offener mit dem Thema Sicherheit umgehen und Informationen und Best Practices zu teilen, um die Sicherheit der gesamten Branche zu verbessern. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/c4/54c4a0adf74bd1c468477c6da476dff2/0114233608.jpeg "Penetationstests sind eine wichtige Grundlage für das Schließen von Sicherheitslücken. (Bild: Mediaparts - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a4/41/a441d1fcb6898f9bc0139d483077730b/0113477103.jpeg "Die Integration von Sicherheitsprozessen in den Software Development Lifecycle sollte mglichst transparent erfolgen. (© ipopba-stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/67/77/6777619429ac7c92cadc7368950ef7ac/0114229692.jpeg "Die neuen Tokentypen Tagespasswort und applikationsspezifisches Passwort in privacyIDEA 3.9 ermöglichen dem Administrator auch in heterogenen Umgebungen, die Authentifizierung an alten Applikationen zentral zu verwalten. (Bild: privacyIDEA)")
:quality(80)/p7i.vogel.de/wcms/3a/0e/3a0e510718ff64c8142c752d9244e514/0114089617.jpeg "Durch einen kompromittierten Microsoft-Account und einen ungeschützten Crash-Dump konnte die Hackergruppe Storm-0558 einen Master-Signatur-Schlüssel von Microsoft stehlen. Die Folgen sind gravierend. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/56/e8/56e81a2cc5d033e060c48271040ce400/0114030088.jpeg "Angriffe auf die kritische Infrastruktur werden weiter zunehmen und Phishing wird ein wichtiger Angriffsvektor sein. Eine Phishing-sichere MFA kann helfen Risiken zu minimieren. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/40/e0/40e0210cf7edf333e58492904af25b94/0112115131.jpeg "Business Continuity Management (BCM) ist ein ganzheitlicher Ansatz zur Fortführung der Geschäftsprozesse im Krisenfall. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/68/47/6847dbe6e975e7baac1f48295a15ef54/0112115142.jpeg "Anything-as-a-Service ist ein Sammelbegriff für Services als Dienstleistung aus der Cloud. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
DMARC und die EU-DSGVO Phishing-Schutz DMARC und der Datenschutz
Täuschend echte E-Mails von Banken, großen Versandhändlern oder Logistikunternehmen, die unter irgend einem Vorwand persönliche Daten abfragen wollen, kennt heute fast jeder. Solche Phishing-Attacken schaden der Reputation und damit auch der Mail-Zustellbarkeit der kopierten Marke. Dabei kann man sich mit DMARC wirksam gegen den Missbrauch der eigenen Marke schützen. Aber darf man das überhaupt?
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
:fill(fff,0)/p7i.vogel.de/companies/64/37/6437ab67aaef3/ftapi-icon--1c9045.png "ftapi-icon--1c9045 (FTAPI Software GmbH)"){kind=icon}
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/135400/135488/65.jpg "Insider Research Cover-1400x1400px.jpg ()")
Im Jahr 2017 wurde auf den Computern der Kaspersky Lab Nutzer im Anti-Phishing System 246.231.645 Mal Alarm ausgelöst, eine Steigerung von nahezu 60 Prozent gegenüber dem Vorjahr. Dabei gibt es mit DMARC eine Technologie, mit der Unternehmen sich wirksam gegen den Missbrauch ihrer Absenderadresse und damit auch der eigenen Marke in den Griff bekommen können. DMARC (Domain-based Message Authentication, Reporting and Conformance) ergänzt als Spezifikation zwei schon länger etablierte Technologien: Sender Policy Framework (SPF) und DomainKeys Identified Mail (DKIM) und schließt damit eine Lücke auf dem Weg vom Absender zum Empfänger. SPF regelt, wer eine E-Mail versenden darf; DKIM weist nach, dass die Mail auf dem Weg zum Empfänger nicht verändert wurde und auch wirklich vom angegebenen Absender stammt; und DMARC legt nun zusätzlich fest, was beim Empfänger mit E-Mails passieren soll, die nicht den Spezifikationen von SPF oder DKIM entsprechen.
DMARC richtet sich an alle, die E-Mails versenden und empfangen. Auf Versenderseite ist es zum einen der Domaininhaber, der DMARC als Policy im DNS veröffentlichen sollte. Zum anderen sollte der technische Versender, zum Beispiel der E-Mail Service Provider, den technischen Standard DomainKeys Identified Mail (DKIM) implementiert haben. Auf der Empfängerseite ist es der Internet Service Provider (ISP), der die DMARC Policy auswerten soll und somit, je nach Vorgaben, eine Zustellung einfach unterlässt. So legt der Versender fest welche IP-Adressen und welche Signaturen legitime E-Mails versenden bzw. darstellen.
DMARC ist keine ganz neue Technologie. Bereits seit 2012 können Unternehmen mit den DMARC-Spezifikationen arbeiten. Dennoch ist die Verbreitung noch lange nicht flächendeckend. Dafür gibt es vor allen Dingen einen Grund: Schon bei Entwicklung der neuen Spezifikation war nicht klar, in welchem Umfang bei der Verwendung von DMARC personenbezogene Daten im Spiel waren, die – in Deutschland – unter die aktuelle Datenschutzgesetzgebung fielen. Und auch mit Inkrafttreten der neuen Datenschutzgrundverordnung (DSGVO) im Mai diesen Jahres ist diese Unsicherheit bei vielen Beteiligten immer noch da. Verarbeite ich also gesetzeswidrig personenbezogene Daten, wenn ich DMARC verwende?
:quality(80)/images.vogel.de/vogelonline/bdb/904600/904608/original.jpg "DMARC hat große Vorteile für die Inhaber von für Phishing mißbrauchten E-Mail-Adressen. Dennoch hat die eco Kompetenzgruppe E-Mail rechtliche Bedenken, die sich durch \"redacting\" beseitigen lassen. (Bild: Archiv)")
DMARC und Datenschutz
Rechtliche Bedenken bei Phishing-Schutz
Im Prinzip funktioniert DMARC folgendermaßen: Der Sender oder Domaininhaber legt zunächst SPF Datensätze und den öffentlichen Schlüssel zu DKIM für alle zu berücksichtigenden Versand-Domains fest. Der Internet Service Provider (ISP) prüft bei eingehenden Mails, ob die IP-Adresse des Senders mit einer im SPF-Datensatz für diese Domain eingetragenen IP-Adresse übereinstimmt. DKIM überprüft, ob die kryptografische Signatur der empfangenen Mail mit dem öffentlichen Schlüssel zusammenpasst. Mit DMARC kann der Domaininhaber nun festlegen, wie mit Mails verfahren werden soll, die die Überprüfung mittels SPF und DKIM nicht oder nur teilweise „bestanden“ haben. Außerdem hinterlegt der Domaininhaber auf dem DNS (Domain Name System), an welche Feedback-E-Mail-Adresse die an DMARC teilnehmenden Empfänger Informationen über die DMARC Policy-Domains und die E-Mail-Authentifizierungs-Ergebnisse senden sollen. Dies geschieht über sogenannte Reports. Dabei unterscheidet man zwischen „Aggregated Reports“ und „Failure Reports“. Und diese Reports übermitteln, je nach Art des Reports, unter anderem
- die IP-Adressen, die Mails für die DMARC-Policy Domain versendet haben
- die Ausgangs-E-Mail Adresse
- die Empfänger-E-Mail Adresse
- den Betreff der Mail
- den Mail-Body
Und hier wird es aus datenschutzrechtlicher Sicht bedenklich. Denn nach Art. 4 Nr. 1 DSGVO sind personenbezogene Daten, „alle Informationen, die sich auf eine identifizierte oder identifizierbare Person beziehen.“ Dies ist sowohl für statische und dynamische IP-Adressen und auch für Domains relevant. Weiterhin besagt die DSGVO, dass die Verarbeitung personenbezogener Daten nur dann zulässig ist, wenn sie durch Gesetz oder andere Rechtsvorschriften erlaubt ist, und/oder der Betroffene einwilligt.
Lässt man einmal weitergehende rechtliche Hürden wie beispielsweise das Telekommunikationsgesetz (TKG) außen vor, so findet sich in der DSGVO unter Art. 6 Abs. 1 S.1 ein Passus, der das Erheben und Verwenden personenbezogener Daten rechtfertigt. Demnach ist die Übermittlung oder Nutzung zulässig, soweit es zur Wahrung berechtigter Interessen der verantwortlichen Stelle erforderlich ist und sofern die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, nicht überwiegen.
In einem Gutachten zur Vereinbarkeit von DMARC und EU-DSGVO kommt die Kompetenzgruppe E-Mail des Verbandes der Internetwirtschaft eco e.V. deshalb auch zu dem Ergebnis, dass die DMARC-Reports grundsätzlich zulässig und gerechtfertigt sind, allerdings nur unter Berücksichtigung des Verhältnismäßigkeits-Grundsatzes. Die Implementierung von DMARC ist nach Meinung der Mailexperten deshalb mit Einschränkungen durchaus mit der EU-DSGVO vereinbar. Personenbezogene Daten sollten aber sowohl in den Aggregated als auch in den Failure Reports so weit als möglich anonymisiert bzw. entfernt werden.
Fazit
DMARC kann Versender zuverlässig davor schützen, für Phishing-Attacken missbraucht zu werden und so ihren guten Ruf zu verlieren. Insbesondere im Hinblick auf die neue EU-Datenschutzgrundverordnung gilt es aber, bei der Implementierung einige Aspekte zu berücksichtigen. Mit der Certified Senders Alliance (CSA), dem gemeinsam von eco (Verband der Internetwirtschaft) und dem DDV (Deutscher Dialogmarketing Verband) ins Leben gerufenen Projekt zur Erhöhung der Qualität von E-Mails, gibt es allerdings einen versierten Partner, der sich mit der komplexen Materie bestens auskennt. Die CSA bietet zu DMARC und EU-DSGVO entsprechende Hilfestellung wie beispielsweise Diskussionen mit internationalen Experten und Anwendern und technische Workshops.
Über den Autor: Alexander Zeh ist Engineering Manager bei der Certified Senders Alliance (CSA).
(ID:45643160)
:quality(80)/p7i.vogel.de/wcms/ac/e6/ace600a66b6df728ffb1be3a9bf8be64/0107990544.jpeg "Mithilfe von Shadow Domains können Cyberkriminelle lange Zeit unauffällig operieren. (Bild: © – BillionPhotos.com – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fd/68/fd68b6910bf33318b2c1fe445ca829df/0103728786.jpeg "Der Security-Insider Deep Dive ist ein technisch tiefgehender Blick auf eine Security-Lösung; von Technikern für Techniker! (Bild: Vogel IT-Medien / Proofpoint)")