E-Mail-Sicherheit

    Die DMARC-Einführung könnte sich wieder beschleunigen

    Der Standard für E-Mail-Sicherheit und Markenschutz wird durch Trends wie Zero-Trust-Sicherheitsarchitekturen und verwaltete DMARC-Dienste neu bestimmt.

    by Kiri Addison
    96BLOG_1.jpg

    Wichtige Punkte

    • Die Umsetzung des globalen DMARC-Standards (Domain-based Message Authentication, Reporting, and Conformance) ist in den letzten Jahren in eine schwierige Phase geraten.
    • Die Komplexität hat den Fortschritt vieler Sicherheitsteams behindert.
    • Es wird erwartet, dass neue Treiber und Lösungen DMARC weiter vorantreiben werden.

    Der globale E-Mail-Authentifizierungsstandard DMARC (Domain-based Message Authentication, Reporting, and Conformance) wurde erstmals 2015 von der Internet Engineering Task Force veröffentlicht. Es ermöglicht E-Mail-Absendern und -Empfängern den Austausch von Informationen über die Rechtmäßigkeit von E-Mails sowie von Anweisungen zum Umgang mit E-Mails, die von gefälschten Domänen stammen, die von Cyberangreifern betrieben werden. Mimecast hat eine Anleitung zur Verfügung gestellt, wie das funktioniert.

    Die Einführung von DMARC ist in den letzten Jahren ins Stocken geraten, was zum großen Teil auf den Zeit- und Arbeitsaufwand zurückzuführen ist, der für die Einführung und Verwaltung des Konzepts erforderlich ist. Aber das Zusammentreffen mehrerer Faktoren könnte der Anwendung dieser Technik zur Stärkung der E-Mail-Sicherheit und des Markenschutzes neuen Schwung verleihen. Zu den Katalysatoren gehören:

    • Business Email Kompromittierung (BEC) und Markenspoofing halten unvermindert an. 
    • Behörden und Industrie entwickeln sich in Richtung Zero-Trust-Architekturen, und DMARC unterstützt Zero-Trust für E-Mails[1].
    • Managed Services und Selbstbedienungsplattformen werden immer häufiger eingesetzt, um die Implementierung zu erleichtern.

    Update zu DMARC: Komplexität als Hemmschuh

    Nach seiner Einführung vor acht Jahren nahm die Nutzung von DMARC zunächst erheblich zu. Der Bericht State of Email Security 2023 (SOES 2023) von Mimecast zeigt jedoch, dass die Verbreitung in den letzten Jahren bei unter 30 % der befragten Unternehmen stagniert. Und ein von Mimecast gesponserter Bericht der Enterprise Research Group (ESG) kommt zu dem Schluss, dass DMARC auch in anderer Hinsicht nicht sein volles Potenzial ausschöpft: Es wird hauptsächlich zur Überwachung und Meldung unerlaubter E-Mails verwendet, nicht aber zur Festlegung und Durchsetzung von Richtlinien für deren Behandlung (z. B. zur automatischen Zurückweisung).

    Dem ESG-Bericht zufolge hat die Komplexität die Einführung des Standards behindert. Große Unternehmen verfügen möglicherweise über viele aktive und inaktive Domänen und nutzen außerdem zahlreiche Drittanbieter, die in ihrem Namen Marketing- und andere Arten von E-Mails versenden. Kleinere Unternehmen verfügten einfach nicht über genügend Bandbreite, um die erforderliche Einrichtung und Überwachung von DMARC durchzuführen.

    Das Problem ist, dass "DMARC-Berichte eine überwältigende Menge an Berichten generieren können und viel Zeit für die Überprüfung der Daten erfordern, um festzustellen, welche Domains gültig und welche ungültig oder gefälscht sind", so der ESG-Bericht. "Viele Unternehmen schrecken aufgrund des hohen Zeit- und Arbeitsaufwands vor diesem Prozess zurück. 

    Gründe für die Beibehaltung des Standards

    Dennoch wird der Anstoß zur Einführung von DMARC immer stärker. Bei näherer Betrachtung einiger Katalysatoren für die Einführung der Norm wird Folgendes deutlich:

    • Domänen-Spoofing: DMARC reduziert das Spoofing, das bei BEC und auf gefälschten Websites auftritt. In der Umfrage von SOES 2023 geben 91 % der Unternehmen an, dass sie Opfer von Spoofing werden, und 44 % stellen eine Zunahme dieser Art von Betrug fest.
    • Null Vertrauen: DMARC gilt als Schlüsselelement in Zero-Trust-Architekturen, die weltweit auf dem Vormarsch sind. Die US-Regierung treibt die Verwendung von DMARC durch ihre Behörden und Auftragnehmer seit mehreren Jahren voran und schreibt nun für das kommende Jahr eine Zero-Trust-Architektur vor. Zero-Trust-Strategien sind laut Forrester auch in Europa auf dem Vormarsch[2].
    • Verwaltete Dienste und Selbstbedienungsplattformen: Lösungen wie der DMARC Analyzer von Mimecast beseitigen einen Teil der Komplexität bei der Implementierung des Standards und reduzieren den erforderlichen Zeitaufwand und die Investitionen. Dazu gehören unter anderem Assistenten für die Einrichtung von Datensätzen und benutzerfreundliche Berichte für die Analyse und die Durchsetzung von Richtlinien. Einige dieser Lösungen können auch in verschiedene Sicherheitstools integriert werden, um die Nutzung noch weiter zu vereinfachen[3].
    • Zustellbarkeit von E-Mails: DMARC könnte darüber entscheiden, ob Ihre ausgehenden E-Mails von E-Mail-Anbietern akzeptiert oder abgelehnt werden, die nicht standardisierte E-Mails zunehmend als verdächtig ansehen. DMARC könnte auch durch das Aufkommen eines verwandten Standards namens Brand Indicators for Message Identification (BIMI) beschleunigt werden, der es Unternehmen ermöglicht, ein verifiziertes Logo im Betreff oder in der Adresse einer E-Mail-Nachricht anzuzeigen (allerdings nur, wenn sie bereits DMARC implementiert haben)[4].

    DMARC in die Praxis umsetzen

    88 % der Teilnehmer an der SOES 2023-Umfrage gaben an, dass ihre Unternehmen in den nächsten 12 Monaten DMARC implementieren wollen, um E-Mail-Spoofing zu bekämpfen, und viele gaben an, dass sie bereits einen aktiven Plan haben. Mimecast bietet einen detaillierten Leitfaden zur Implementierung von DMARC in den drei im ESG-Bericht beschriebenen Bereichen:

    • Domain-Inventarisierung: Allein die Erstellung eines Inventars der unternehmenseigenen Domains kann bei größeren Unternehmen Monate dauern, einschließlich der Erfassung älterer, übersehener Projektdomains, die noch in Gebrauch sind, oder anderer, die bei Unternehmensfusionen übernommen wurden.
    • Anbieter-Inventarisierung: Ein weiterer Schritt besteht darin, alle Drittanbieter zu erfassen, die berechtigt sind, im Namen Ihres Unternehmens E-Mails für Funktionen wie das Kundenbeziehungsmanagement zu versenden.
    • DMARC-Durchsetzung: Laut dem ESG-Bericht haben Sicherheitsteams immer noch Schwierigkeiten, DMARC vollständig durchzusetzen. Wenn sie Zweifel an ihren Beständen haben, schrecken sie lieber vor der Durchsetzung zurück, als einen Teil ihres Geschäftsbetriebs aufgrund von DMARC-abgelehnten E-Mails zu unterbrechen.

    Da es sich bei der Implementierung von DMARC um eine bedeutende Veränderung in der Unternehmens-IT handelt, ist es auch erforderlich, die Zustimmung der Unternehmensleitung einzuholen und die Optionen für die Konzeption, Implementierung und laufende Verwaltung zu analysieren - von der vollständigen Selbstmontage über Selbstbedienungsplattformen bis hin zu verwalteten Diensten.

    Auch wenn die Durchsetzung von DMARC eine Herausforderung darstellt, empfiehlt der ESG-Bericht den Unternehmen, sich weiter darum zu bemühen und die auf dem Markt verfügbaren Lösungen zu prüfen.

    Die Quintessenz

    DMARC hat sich als Herausforderung für den Markenschutz und die E-Mail-Sicherheit erwiesen. Aber verschiedene Kräfte bündeln sich, um die Entwicklung in den kommenden Monaten und Jahren voranzutreiben, darunter die Einführung neuer Lösungen und der aktuelle Vorstoß für Zero-Trust-Sicherheitsarchitekturen. Sie können hier eine kostenlose Testversion des DMARC Analyzers von Mimecast herunterladen.


     

    [1 ] "Zero Trust zur Bekämpfung von E-Mail-Imitationsangriffen verwenden", TechRadar

    [2 ] "Zero Trust wird in Europa zum Mainstream", Forrester

    [3] "Die 7 besten DMARC-Lösungen für Unternehmen", Expert Insights

    [4 ] "E-Mail-Marketing-Ergebnisse mit BIMI steigern", PracticalEcommerce

    Abonnieren Sie Cyber Resilience Insights für weitere Artikel wie diesen

    Erhalten Sie die neuesten Nachrichten und Analysen aus der Cybersicherheitsbranche direkt in Ihren Posteingang

    Anmeldung erfolgreich

    Vielen Dank, dass Sie sich für den Erhalt von Updates aus unserem Blog angemeldet haben

    Wir bleiben in Kontakt!

    Zurück zum Anfang