BSI gibt Anleitung im Kampf gegen E-Mail-Betrug: Authentifizierung als Schutz vor Phishing und Spoofing
Das Simple Mail Transfer Protocol (SMTP) ist der größte Teil des E-Mail-Versands. Als es in den 1980er Jahren entwickelt wurde, lag der Fokus noch nicht auf der Überprüfung der Authentizität einer Nachricht. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat jetzt in einer Technischen Richtlinie zur E-Mail-Authentifizierung darauf hingewiesen, dass Betrüger diese Schwachstelle ausnutzen können, um sich als vertrauenswürdige Personen auszugeben und potenzielle Opfer zu täuschen.
Das BSI möchte den E-Mail-Providern eine Anleitung im Kampf gegen Phishing und Spoofing bieten, bei dem der Absendernamen gefälscht wird, um Menschen zu betrügen. Die Authentizität einer E-Mail, also die Möglichkeit, die Herkunft einer Nachricht von einem bestimmten Absender nachvollziehen zu können, ist laut BSI von entscheidender Bedeutung für das Vertrauen. Wenn diese Authentizität jedoch fälschlicherweise erlangt wird, besteht die Gefahr, dass personenbezogene Daten weitergegeben oder Zahlungen im Namen einer vertrauenswürdigen Person veranlasst werden.
In den letzten Jahren wurden verschiedene Verfahren entwickelt, um dem Missbrauch von Identitäten vorzubeugen. Diese Verfahren werden als E-Mail-Authentifizierung bezeichnet. Die Technische Richtlinie des BSI fasst diese Anforderungen zusammen und legt fest, welche Voraussetzungen erfüllt sein müssen, um Empfänger effektiv vor Identitätsmissbrauch zu schützen.
Das BSI bezieht sich in der Richtlinie auf drei Internetstandards, die gängige Authentifizierungsmaßnahmen darstellen. Das Sender Policy Framework (SPF) überprüft, ob eine bestimmte Domain grundsätzlich berechtigt ist, E-Mails im Namen dieser Domain zu versenden. Der geforderte Standard DKIM (Domain Key Identified Mail) sorgt dafür, dass jede versendete E-Mail kryptographisch an die entsprechende Domain gebunden ist. Die dritte Spezifikation trägt den Namen DMARC (Domain-based Message Authentication, Reporting and Conformance) und befasst sich mit Richtlinien zum Umgang mit Verstößen gegen die Legitimität und Überprüfung. Es wird festgelegt, wohin Berichte über solche Verstöße gesendet werden sollen.
Durch die E-Mail-Authentifizierung wird laut der Technischen Richtlinie die Legitimität der Message Handling Services (MHS) bestätigt, die befugt sind, Nachrichten im Namen einer sendenden Domäne zu übertragen. Der empfangende Teil kann überprüfen, ob die IP-Adresse des sendenden Servers gemäß der SPF-Richtlinie autorisiert ist und ob die digitale DKIM-Signatur, die vom sendenden Server an die ausgehende Nachricht angehängt wurde, unversehrt ist. Es wird auch überprüft, ob das sendende System die erforderlichen Berechtigungen hat, um die Nachricht im Namen der Domain zu versenden und ob sie während des Transports unverändert geblieben ist. Durch diese Maßnahmen können Mail-Anbieter ihre Kunden vor unberechtigtem Mitlesen und Manipulation (Man-in-the-Middle-Angriffen) schützen.
Die Umsetzung dieser Maßnahmen stellt zumindest eine Erschwernis für neu entdeckte Angriffsmethoden wie SMTP-Smuggling dar. Unter bestimmten Bedingungen besteht jedoch die Möglichkeit, SPF, DKIM und DMARC zu umgehen. Das BSI berichtet, dass große E-Mail-Anbieter bereits angekündigt haben, dass sie in Zukunft Mechanismen zur Authentifizierung für den massenhaften Versand von E-Mails verlangen werden. Einige haben bereits Maßnahmen ergriffen, um auf die Schmuggelattacke zu reagieren. Es wird zunehmend schwieriger, offene SMTP-Relay-Server zu verwenden.
Die Präsidentin des BSI, Claudia Plattner, betont die Notwendigkeit, Cybersicherheit im Sinne des digitalen Verbraucherschutzes pragmatisch zu gestalten. Es ist wichtig, dass E-Mail-Provider und Nutzer gleichermaßen Maßnahmen ergreifen, um die Sicherheit von E-Mails zu gewährleisten und Betrugsversuche zu verhindern. Die Umsetzung der Technischen Richtlinie des BSI zur E-Mail-Authentifizierung ist ein wichtiger Schritt in diese Richtung.
Schlagwörter: BSI + SPF + DKIM
Wie bewerten Sie den Schreibstil des Artikels?