Eine Analyse des Cybersicherheitsunternehmens Red Sift besagt, dass Deutschlands größtes Unternehmen und die weltweit bekannteste Automobilmarke nach wie vor per E-Mail manipuliert werden kann. Insgesamt verfügen fast 40 % der großen deutschen Unternehmen über keinerlei aktive E-Mail-Sicherheitsmaßnahmen. Das schafft eine breite Angriffsfläche in einer der wirtschaftlich wichtigsten Lieferketten des Landes.
Das Cybersecurity‑Unternehmens Red Sift sieht wachsende Schwachstellen bei der E‑Mail‑Sicherheit (DMARC) der größten deutschen Arbeitgeber. Demnach ist weiterhin rund jedes dritte große Unternehmen in Deutschland effektiv ungeschützt gegen E‑Mail‑Spoofing und Identitätsmissbrauch. Im Fall staatlich unterstützter Cyberkampagnen gegen deutsche Marken wären diese Unternehmen einem besonders hohen Risiko ausgesetzt.
Bezüglich der DMARC‑Richtlinien in Deutschland (Top 250 Arbeitgeber) ergibt sich folgendes Bild:
- Reject (vollständige Durchsetzung): 112 Organisationen (44,8 %)
- Quarantine (teilweise Durchsetzung): 58 (23,2 %)
- None (reines Monitoring): 58 (23,2 %)
- Kein DMARC‑Eintrag: 22 (8,8 %)
- Effektiv ungeschützt (None + kein DMARC): 80 von 250 Unternehmen (32 %)
Für die Studie analysierte Red Sift die 250 größten Arbeitgeber in Deutschland. Selbst dort, wo technische Schutzmaßnahmen vorhanden sind, zeigt sich jedoch ein deutliches Defizit bei sichtbaren Vertrauenssignalen: Die Nutzung verifizierter Markenkennzeichnungen bleibt stark begrenzt, wodurch es legitimen Nachrichten im Krisenfall schwerfällt, sich von betrügerischen E‑Mails abzuheben – insbesondere dann, wenn Verbraucher, Geschäftspartner und Mitarbeitende gezielt angegriffen werden.
Im Bereich BIMI (Brand Indicators for Message Identification) bestehen nur 4,4 % der untersuchten Unternehmen die Anforderungen. Visuelle Markenauthentifizierung ist damit bei Deutschlands größten Unternehmen weiterhin die Ausnahme, was die Vertrauensbildung im Posteingang zusätzlich erschwert.
Automobilbereich am stärksten gefährdet
Zu den am stärksten gefährdeten Sektoren zählen Automobilhersteller, Automobilzulieferer sowie die Schwer‑ und Industrieproduktion, in denen die DMARC‑Durchsetzung uneinheitlich ist:
- Mehrere hochrangige Marken betreiben DMARC lediglich im Modus "none" oder verfügen über keinerlei DMARC‑Konfiguration
- Eine führende Automobilmarke weist DMARC = "none" und keinen SPF‑Eintrag auf – ein besonders hohes Risiko für weltweiten Markenmissbrauch
- Schwache Durchsetzung entlang der Lieferkette erhöht das Risiko von Rechnungsbetrug und Beschaffungs‑Spoofing bei Händlern und Zulieferern
Trotz ähnlicher Adoptionsraten liegt Deutschland bei der tatsächlichen Durchsetzung sogar hinter dem Vereinigten Königreich:
- Reject‑Policy: Deutschland 44,8 % vs. UK 60,8 %
- Ungeschützt (None + kein DMARC): Deutschland 32,0 % vs. UK 26,0 %
Die Analyse zeigt zudem erhebliche Lücken bei der Reporting‑Transparenz sowie eine weiterhin weit verbreitete fehlende Absicherung von Subdomains, selbst wenn Hauptdomains geschützt sind.
Deutschland liegt bei der DMARC‑Einführung auf einem ähnlichen Niveau wie andere europäische Länder, bleibt jedoch bei Durchsetzung und markenbezogenem Schutz zurück. Besonders die Automobil‑ und Industriesektoren – Heimat einiger der wertvollsten und am häufigsten imitierten Marken Europas – stellen weiterhin ein zentrales Sicherheitsrisiko dar.
MVP: 2013 – 2016
Die Überschrift klingt so, als würden die Unternehmen Angriffe begrüßen…
Komisch, genau der Gedanke kam mir auch als erstes in den Sinn :D
Damit seid ihr definitiv nicht alleine ;) Und angesichts der im Artikel dargestellten Sachlage erscheint mir diese Interpretation dann doch gar nicht so abwegig…
Hm, ich kann jetzt nicht bei dem Automobilhersteller bzgl. gelebter Praxis reinschauen, aber als Partner kann man Mails dort nur einkippen, wenn eine spezifische Verschlüsselung mit bekannten Organisationsvalidierten Zertifikaten stattfindet. Ansonsten kein Mail-Austausch.
Ob das mit den verkürzten Laufzeiten für Zertifikate zukünftig noch so gehandhabt werden kann, ist allerdings zweifelhaft.
Außerdem hat man mehr und mehr das Problem, das schädliche Mails von gültigen Gateways kommen (spf.protection.outlook.com muss grundsätzlich erlaubt werden).
@Stefan schreibt: "Außerdem hat man mehr und mehr das Problem, das schädliche Mails von gültigen Gateways kommen (spf.protection.outlook.com muss grundsätzlich erlaubt werden)."
Richtig, SPF-Check ist bei Google oder Exchange-Online oder sendgrid kein Selektionskriterium mehr.
Und wenn der Spoofer sich noch eine Vertipper-Domain kauft und mit DKIM-Signatur versieht, bringt auch DMARC nichts.
IMHO ist zwar SPF/DKIM/DMARC nicht sinnlos, wird aber in der Abwehr-Praxis von Angriffen überbewertet.
Hier ist das bei einem bestimmten Automobilhersteller bei einigen Emailadresse so, das man dahin so einfach mal keine Mails schicken kann, denn diese Emailadressen arbeiten mit Whitelisting.
Man muß einen Antrag stellen, das man auf die Whitelist kommt und im Antrag auch genau die Mailadressen nennen, mit denen man Mails senden will.
In großen Organisationen ist es aber auch nicht einfach, um auf p=reject zu kommen.
HR, Marketing, Technik haben sich über die Jahre dutzende Cloud-Systeme "angelacht", die "selbstverständlich" mit der Domäne firma.de Emails versenden müssen. An SPF und DKIM-Signatur hat da keiner gedacht.
In unserer Organisation hat es über ein Jahr gedauert, bis wir alle Systeme, die legitimerweise unsere Domains "spoofen", eingefangen hatten. Das waren Arbeitszeugnis-Generatoren, länderspezifische Webshops, Alert- und Monitoring-Systeme, Branchenticker und Web-Crawler, Successfactors, Salesforce, SAP etc.
Zum Beispiel ist die Trennung in legitime und illegitime Systeme gar nicht so einfach, wenn man ein japanisch formuliertes Email mit firma.de-Header-From-Adresse vor sich hat ;-)
Ich bin seit eh und je der Meinung, das so ein Newsletter Quatsch ausschließlich über eigene Systeme stattzufinden hat und das pro Unternehmen ausschließlich eine Domäne vorhanden sein darf. Den ganze Rest – Hallo Microsoft – kann man über Subdomänen machen. Wofür gibt es die schließlich? Das ganz Phising wäre viel einfacher zu handeln, wenn alle Menschen wüssten: JEDE Microsoft Webseite MUSS auf microsoft.com enden. Usw. usf.
Mein SPAM Gateway hat mal die Mails von der Allianz blockiert. Ursache genau das: Sendeserver von weiß der Teufel woher und fehlender Eintrag. Aussage von der Agentur: Wir sind die Allianz wir machen nix falsch. Antwort: Leiten sie mal diesen Logeintrag an ihre IT weiter – dann sehen wir wer hier was falsch macht…
Da es halt wichtige Mails waren die ankommen musste, setzt man halt für die eine Ausnahme im Filter. Weltkonzern halt…
@Olli schreibt: "Wir sind die Allianz wir machen nix falsch."
Genau das ist die Denke. Wir (= die Allianz-interne Marketing-Abteilung) mieten einen Newsletter-Versender, verschicken unter @allianz.de und wundern uns, warum die Emails nicht ankommen. Wenn die (interne) Marketing-Abteilung eine Sub-Domain wie @newsletter.allianz.de verwendet, hat man schon Glück gehabt.
Ja, sowas gibt es auch anderswo, sehr ähnliches Erlebnis bei einem grossen deutschen Sportartikelhersteller aus Franken. Die glauben einfach irgendwelche Marketingaussagen auf einer Webseite wo sie Tools kaufen und haben technisch keine Ahnung und wollen auch nichts dazu wissen. :sad:
Genau das ist das Problem. "Selbstverständlich" muss beispielsweise der Webserver Mails verschicken können, die "selbstverständlich" als Absender die Firmen-Domain haben. Könnte ja sonst die Empfänger verwirren. Deshalb wird dann "selbstverständlich" der komplette SPF des Providers mit ins DNS reingehängt. DKIM kann das Web-Serverchen selbstverständlich auch nicht (und ich werde den Teufel tun, den private Key dafür dort hochzuladen).
Ebenso "selbstverständlich" kann am Server nichts mehr geändert werden, wird ja "bald" durch eine neue Variante ersetzt. Ob die das dann besser kann?
Irgendwann muss ich mir DMARC für diese Szenarien nochmal vornehmen (und ob man die Mails des Webservers wenigstens anständig in Subdomains verlagern kann).
Das BIMI habe ich mir gerade angeschaut: wenn das immer noch so komplex wie auf frankysweb beschrieben ist (u.a. dass man das Logo von einem Drittanbieter zertifizieren lassen muss) wundert mich nicht mehr, warum man das so selten sieht… Zumal mir das auch nicht wirklich Zusatznutzen zu bringen scheint. Außer die Mailprogramme noch mehr zuzumüllen (und zu verlangen, dass sie vollständigen Zugriff "ins Internet" haben, um das Logo herunterladen und verifizieren zu können — oder macht das der Mailserver?)
@GPBurth: Erstmal 100% Zustimmung zu Deinen Feststellungen. Besser kann man es nicht beschreiben!
Du schreibst: "die Mails des Webservers wenigstens anständig in Subdomains verlagern"
Das ist eine der Lösungsmöglichkeiten. Dann kann man pro Subdomain eigene SPF- und DMARC-Records setzen. Und wenn die Subdomain – aus irgendwelchen Gründen – verbrannt ist, hat man keinen Stress mit der Hauptdomain, unter der die Mitarbeiter Emails versenden.
Die Domain .datenschutz-praemien.de ist selbst nicht geschützt. Hat nur einen Score von 0% wie peinlich. https://tools.sendmarc.com/score/datenschutz-praemien.de
so muss es sein: https://tools.sendmarc.com/score/beauftragter.it
Datenschutz Beauftragter
Das sind irgendwelche Domains irgendwelcher Firmen und letztere bindet ungefragt ohne Zustimmung externes Tracking einer Drittdomain fahr[dot]net/?dm=4f2fe162181d5b87c34b3ef8fb07696b&action=load&blogid=8&siteid=1&t=485897120&back=,,, ein ohne dass es in der Datenschutzerklärung steht. Soll das Schleichwerbung sein? Wenn ja, dann ging die schief.