Cyberkriminelle missbrauchen heutzutage Markennamen vieler Branchen: Zunächst standen Banken, elektronische Zahlungssysteme und Onlineshops im Fokus, inzwischen wird jedoch auch die Identität von beispielsweise Logistikfirmen missbraucht. Grundsätzlich ist jede Marke ein potenzielles Ziel, die sich einen guten Ruf durch Verbrauchervertrauen erarbeitet hat.

Das auf Sicherheitssoftware spezialisierte Unternehmen Kaspersky-Lab veröffentlicht regelmäßig Statistiken zu den einschlägigen Gefahren im Internet. Die mit Kaspersky-Software gesicherten Rechner schlugen allein im ersten Quartal 2015 50 Millionen Mal auf Phishingversuche an. Das sind 50 Millionen Fälle, in denen Kriminelle sich als Vertreter von Unternehmen ausgeben, die einen guten Ruf zu verlieren haben.

Die rechtmäßigen Inhaber der missbrauchten Marken und Domänen wissen zwar in der Regel, dass es Spoofing gibt – doch von konkreten Fällen, in denen sie selbst betroffen sind, erfahren sie oft erst, wenn es zu spät ist, und selbst das eher zufällig.

Dabei gibt es inzwischen auch gegen das Problem Spoofing ein wirksames Mittel: Domain-based Message Authentication, Reporting and Conformance, kurz DMARC. DMARC ist eine Spezifikation, mit der Unternehmen den Missbrauch ihrer Absenderadresse gut in den Griff bekommen. Die Spezifikation ergänzt zwei schon länger etablierte Technologien: Sender Policy Framework (SPF) und DomainKeys Identified Mail (DKIM) und damit eine Lücke auf dem Weg vom Absender zum Empfänger.

Vereinfacht ausgedrückt: SPF regelt, wer eine E-Mail versenden darf; DKIM weist nach, dass die Mail auf dem Weg zum Empfänger nicht verändert wurde und auch wirklich vom angegebenen Absender stammt; und DMARC legt nun zusätzlich fest, was beim Empfänger mit E-Mails passieren soll, die nicht den Spezifikationen von SPF oder DKIM entsprechen.

DMARC richtet sich an alle, die E-Mails versenden und empfangen. Auf Versenderseite ist es zum einen der Domaininhaber, der DMARC als Policy im DNS veröffentlichen sollte. Zum anderen sollte der technische Versender, zum Beispiel der E-Mail Service Provider, den technischen Standard DomainKeys Identified Mail (DKIM) implementiert haben. Auf der Empfängerseite ist es der ISP, der die DMARC Policy auswerten sollte und somit, je nach Vorgaben, eine Zustellung einfach unterlassen.

DMARC ist keine ganz neue Technologie. Bereits seit 2012 können Unternehmen mit den DMARC-Spezifikationen arbeiten. Dennoch ist die Verbreitung noch lange nicht flächendeckend. Dafür gibt es Gründe. Einer davon war eine gewisse Rechtsunsicherheit, die es erst zu beseitigen galt. So war bei Entwicklung der neuen Spezifikation nicht klar, in welchem Umfang bei der Verwendung von DMARC personenbezogene Daten im Spiel waren, die – in Deutschland – unter die aktuelle Datenschutzgesetzgebung fallen (was zum Teil an den vom Gesetzgeber verwendeten Definitionen lag). Außerdem galt es auch zu prüfen, welche rechtlichen Konsequenzen False Positives nach sich zogen: Wer steht dafür gerade, wenn rechtmäßige E-Mails als unrechtmäßig eingestuft werden?

Diese Fragen klärte eco in seiner „Kompetenzgruppe E-Mail“ und kam zu dem Ergebnis: Die Reports sind datenschutzrechtlich grundsätzlich zulässig und gerechtfertigt. Zu beachten ist jedoch stets der Verhältnismäßigkeitsgrundsatz. Damit war der Weg frei für DMARC. Das Gutachten ist online frei verfügbar.

Unterstützt wird die Spezifikation auch von Branchengrößen wie AOL, Google und Microsoft. „Durch die Anwendung von DMARC mit entsprechender Policy und Reporting kann die Anzahl gefälschter E-Mails auf nahezu null reduziert werden“, erklärt Marcel Becker, Director Product Mail bei AOL. „DMARC sorgt außerdem dafür, dass die Reputation des Versenders nicht durch gefälschte E-Mails zu leiden hat”, ergänzt Sri Somanchi, Product Manager bei Google. „Mit der steigenden Anzahl von E-Mail-Bedrohungen und Spearphishing sollte jedes Unternehmen eine E-Mail-Authentifizierung, insbesondere DMARC, mit hoher Priorität umsetzen, um seine Kunden, Mitarbeiter und seine Brand zu schützen“, betont Conor Morrison, Principal Program Manager Information Protection bei Microsoft.

Es ist also keineswegs so, dass Unternehmen dem Missbrauch ihrer Marke wehrlos ausgeliefert werden. Im Gegenteil: In der IT-Branche steht dieses Wissen längst nicht mehr nur exklusiv den Technologieführern zur Verfügung und auch jenseits der IT-Abteilungen setzt sich die Erkenntnis durch. Mittelfristig wird das auch der durchschnittlich affine Endanwender merken. Mit dem Ergebnis, dass das allgemeine Vertrauen in die Authentizität eines Absenders wieder steigen dürfte. Spätestens dann geraten Unternehmen, die noch immer darauf verzichten, kriminellen Machenschaften einen Riegel vorzuschieben, in Erklärungsnot.

DMARC, SPF und DKIM – der Dreisprung für mehr Vertrauen in die Authentizität von E-Mails gelingt dank Technologien, vor deren Implementierung manch Unternehmen aus Respekt vor ihrer Komplexität zurückschreckt. Doch auch hier ist ein Großteil der Sorgen unbegründet, denn mit der Certified Senders Alliance (CSA), dem gemeinsam von eco (Verband der deutschen Internetwirtschaft) und dem DDV (Deutscher Dialogmarketing Verband) ins Leben gerufenen Projekt zur Erhöhung der Qualität von E-Mails, gibt es einen versierten Partner. Die CSA bietet hierzu entsprechende Hilfestellung wie beispielsweise Diskussionen mit internationalen Experten und Anwendern und technische Workshops.

Fazit: 50 Millionen Phishingversuche in einem Quartal klingen nach einer nicht zu bändigen Flut. Doch DMARC ist ein ausgereiftes und praktikables Mittel gegen diese Art des Betrugs. Unternehmen, die ihre Marke auf diese Weise schützen, reduzieren die in ihrem Namen verschickten E-Mails auf ein Minimum. Alle anderen müssen sich fragen lassen, warum sie den Missbrauch noch immer dulden.