DMARC und die EU-DSGVO

Phishing-Schutz DMARC und der Datenschutz

| Autor / Redakteur: Alexander Zeh / Peter Schmitz

Domain-based Message Authentication, Reporting and Conformance (DMARC) kann Versender zuverlässig davor schützen, für Phishing-Attacken missbraucht zu werden und so ihren guten Ruf zu verlieren.
Domain-based Message Authentication, Reporting and Conformance (DMARC) kann Versender zuverlässig davor schützen, für Phishing-Attacken missbraucht zu werden und so ihren guten Ruf zu verlieren. (Bild: Pixabay / CC0)

Täuschend echte E-Mails von Banken, großen Versandhändlern oder Logistikunternehmen, die unter irgend einem Vorwand persönliche Daten abfragen wollen, kennt heute fast jeder. Solche Phishing-Attacken schaden der Reputation und damit auch der Mail-Zustellbarkeit der kopierten Marke. Dabei kann man sich mit DMARC wirksam gegen den Missbrauch der eigenen Marke schützen. Aber darf man das überhaupt?

Im Jahr 2017 wurde auf den Computern der Kaspersky Lab Nutzer im Anti-Phishing System 246.231.645 Mal Alarm ausgelöst, eine Steigerung von nahezu 60 Prozent gegenüber dem Vorjahr. Dabei gibt es mit DMARC eine Technologie, mit der Unternehmen sich wirksam gegen den Missbrauch ihrer Absenderadresse und damit auch der eigenen Marke in den Griff bekommen können. DMARC (Domain-based Message Authentication, Reporting and Conformance) ergänzt als Spezifikation zwei schon länger etablierte Technologien: Sender Policy Framework (SPF) und DomainKeys Identified Mail (DKIM) und schließt damit eine Lücke auf dem Weg vom Absender zum Empfänger. SPF regelt, wer eine E-Mail versenden darf; DKIM weist nach, dass die Mail auf dem Weg zum Empfänger nicht verändert wurde und auch wirklich vom angegebenen Absender stammt; und DMARC legt nun zusätzlich fest, was beim Empfänger mit E-Mails passieren soll, die nicht den Spezifikationen von SPF oder DKIM entsprechen.

DMARC richtet sich an alle, die E-Mails versenden und empfangen. Auf Versenderseite ist es zum einen der Domaininhaber, der DMARC als Policy im DNS veröffentlichen sollte. Zum anderen sollte der technische Versender, zum Beispiel der E-Mail Service Provider, den technischen Standard DomainKeys Identified Mail (DKIM) implementiert haben. Auf der Empfängerseite ist es der Internet Service Provider (ISP), der die DMARC Policy auswerten soll und somit, je nach Vorgaben, eine Zustellung einfach unterlässt. So legt der Versender fest welche IP-Adressen und welche Signaturen legitime E-Mails versenden bzw. darstellen.

DMARC ist keine ganz neue Technologie. Bereits seit 2012 können Unternehmen mit den DMARC-Spezifikationen arbeiten. Dennoch ist die Verbreitung noch lange nicht flächendeckend. Dafür gibt es vor allen Dingen einen Grund: Schon bei Entwicklung der neuen Spezifikation war nicht klar, in welchem Umfang bei der Verwendung von DMARC personenbezogene Daten im Spiel waren, die – in Deutschland – unter die aktuelle Datenschutzgesetzgebung fielen. Und auch mit Inkrafttreten der neuen Datenschutzgrundverordnung (DSGVO) im Mai diesen Jahres ist diese Unsicherheit bei vielen Beteiligten immer noch da. Verarbeite ich also gesetzeswidrig personenbezogene Daten, wenn ich DMARC verwende?

Rechtliche Bedenken bei Phishing-Schutz

DMARC und Datenschutz

Rechtliche Bedenken bei Phishing-Schutz

19.08.15 - Zur Vermeidung von Phishing-Mails hat sich der Authentifizierungsstandard DMARC (Domain-based Message Authentication, Reporting and Conformance) etabliert. Der internationale Standard lässt sich aber nicht ohne Zusatzaufwand mit deutschem Recht vereinbaren. Um zu vermeiden, dass personenbezogene Daten des Empfängers einer betrügerischen Mail mit einem Failure Report an den Domaininhaber weitergegeben werden, empfehlen Experten der eco Kompetenzgruppe E-Mail in einem Gutachten das Redacting. lesen

Im Prinzip funktioniert DMARC folgendermaßen: Der Sender oder Domaininhaber legt zunächst SPF Datensätze und den öffentlichen Schlüssel zu DKIM für alle zu berücksichtigenden Versand-Domains fest. Der Internet Service Provider (ISP) prüft bei eingehenden Mails, ob die IP-Adresse des Senders mit einer im SPF-Datensatz für diese Domain eingetragenen IP-Adresse übereinstimmt. DKIM überprüft, ob die kryptografische Signatur der empfangenen Mail mit dem öffentlichen Schlüssel zusammenpasst. Mit DMARC kann der Domaininhaber nun festlegen, wie mit Mails verfahren werden soll, die die Überprüfung mittels SPF und DKIM nicht oder nur teilweise „bestanden“ haben. Außerdem hinterlegt der Domaininhaber auf dem DNS (Domain Name System), an welche Feedback-E-Mail-Adresse die an DMARC teilnehmenden Empfänger Informationen über die DMARC Policy-Domains und die E-Mail-Authentifizierungs-Ergebnisse senden sollen. Dies geschieht über sogenannte Reports. Dabei unterscheidet man zwischen „Aggregated Reports“ und „Failure Reports“. Und diese Reports übermitteln, je nach Art des Reports, unter anderem

  • die IP-Adressen, die Mails für die DMARC-Policy Domain versendet haben
  • die Ausgangs-E-Mail Adresse
  • die Empfänger-E-Mail Adresse
  • den Betreff der Mail
  • den Mail-Body

Und hier wird es aus datenschutzrechtlicher Sicht bedenklich. Denn nach Art. 4 Nr. 1 DSGVO sind personenbezogene Daten, „alle Informationen, die sich auf eine identifizierte oder identifizierbare Person beziehen.“ Dies ist sowohl für statische und dynamische IP-Adressen und auch für Domains relevant. Weiterhin besagt die DSGVO, dass die Verarbeitung personenbezogener Daten nur dann zulässig ist, wenn sie durch Gesetz oder andere Rechtsvorschriften erlaubt ist, und/oder der Betroffene einwilligt.

Lässt man einmal weitergehende rechtliche Hürden wie beispielsweise das Telekommunikationsgesetz (TKG) außen vor, so findet sich in der DSGVO unter Art. 6 Abs. 1 S.1 ein Passus, der das Erheben und Verwenden personenbezogener Daten rechtfertigt. Demnach ist die Übermittlung oder Nutzung zulässig, soweit es zur Wahrung berechtigter Interessen der verantwortlichen Stelle erforderlich ist und sofern die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, nicht überwiegen.

In einem Gutachten zur Vereinbarkeit von DMARC und EU-DSGVO kommt die Kompetenzgruppe E-Mail des Verbandes der Internetwirtschaft eco e.V. deshalb auch zu dem Ergebnis, dass die DMARC-Reports grundsätzlich zulässig und gerechtfertigt sind, allerdings nur unter Berücksichtigung des Verhältnismäßigkeits-Grundsatzes. Die Implementierung von DMARC ist nach Meinung der Mailexperten deshalb mit Einschränkungen durchaus mit der EU-DSGVO vereinbar. Personenbezogene Daten sollten aber sowohl in den Aggregated als auch in den Failure Reports so weit als möglich anonymisiert bzw. entfernt werden.

Fazit

DMARC kann Versender zuverlässig davor schützen, für Phishing-Attacken missbraucht zu werden und so ihren guten Ruf zu verlieren. Insbesondere im Hinblick auf die neue EU-Datenschutzgrundverordnung gilt es aber, bei der Implementierung einige Aspekte zu berücksichtigen. Mit der Certified Senders Alliance (CSA), dem gemeinsam von eco (Verband der Internetwirtschaft) und dem DDV (Deutscher Dialogmarketing Verband) ins Leben gerufenen Projekt zur Erhöhung der Qualität von E-Mails, gibt es allerdings einen versierten Partner, der sich mit der komplexen Materie bestens auskennt. Die CSA bietet zu DMARC und EU-DSGVO entsprechende Hilfestellung wie beispielsweise Diskussionen mit internationalen Experten und Anwendern und technische Workshops.

Über den Autor: Alexander Zeh ist Engineering Manager bei der Certified Senders Alliance (CSA).

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 45643160 / Kommunikation)