30.03.2023

KG E-Mail -Treffen März 2023

Anfang März traf sich die KG Email zu einem informativen Treffen bei welchem Nachberichte über die M3AAWG und Diskussion über die Arbeit der KG in 2023 im Vordergrund standen. Es wurden die Themen, die auf der M3AAWG 57 in San Francisco behandelt wurden vorgestellt und besprochen.

  • Markenschutz: wie kann man Technologien wie DMARC verwenden, um sicherzustellen, dass E-Mails von einer vertrauenswürdigen Quelle stammen und damit die Marke des Absenders geschützt ist.
  • Datenschutz in E-Mails , zum Beispiel Technologien wie S/MIME und PGP, um E-Mails zu verschlüsseln und sicherzustellen, dass sie nur von den beabsichtigten Empfängern gelesen werden können.
  • DKIM-Replay Angriffe – den Versuch, DKIM-Signaturen zu wiederholen, um E-Mails zu fälschen und den Empfänger dazu zu bringen, vertrauliche Informationen preiszugeben.
  • Wie schütze ich mit Hilfe von DMARC eine Domain – Mithilfe von DMARC wird sichergestellt, dass E-Mails von einer vertrauenswürdigen Quelle stammen und dass die Marke des Absenders geschützt ist.
  • Google kündigt die Einführung von clientside encryption für ihre Mailprodukte GMAIL und für Google Kalender an.

Auch wurde die Entwicklung der NIS2 direktive auf der M3AAWG diskutiert. NIS2 ersetzt die NIS-Richtlinie der Europäischen Union aus dem Jahr 2016 und legt neue europäische Mindeststandards für die Cybersicherheit kritischer Infrastrukturen (KRITIS) fest. NIS2 steht für Network and Information Security 2 und stellt die neue Cybersicherheitsrichtlinie der EU dar.

Zusammenfassung der M3AAWG Stellungnahme zu NIST2

Die Erweiterung des NIST-Rahmens könnte den gegenteiligen Effekt haben und die Cyber-Sicherheits-Risikomanagementprogramme für kritische Infrastrukturen schwächen. Das NIST CSF (Cyber Security Framework) hat sich auf die Risiken, Bedürfnisse und Anliegen kritischer Infrastrukturen konzentriert, was es einzigartig macht.

Wenn das CSF 2.0 versucht, alles für alle zu sein, könnte es zu einem weiteren allgemeinen Sicherheitsrahmen werden, der sich an ein breites Publikum richtet, was seine Bedeutung schmälern würde.

Gerüchteweise könnte dies vielleicht die letzte M3AAWG in San Francisco gewesen sein – der Stadt werden die verursachten Kosten zu hoch.

 

Im Rahmen der Reihe E-Mail Authentication wurde die Abhandlung „Authentifizierung für E-Mail Sender“ von Florian Vierke, Sebastiaan de Voss und Michael Kliewe vorgestellt, welches das bereits Mitte 2022 vorgestellte „Email Authentication für Empfänger“ um die Sicht der sendenden Systeme erweitert.

Des weiteren führte die Kompetenzgruppe eine Diskussion, welche Argumente man gegenüber unternehmen aufführt, um eine E-Mail Authentifikation flächendeckend voran zu treiben und Unternehmen dafür zu begeistern. Die gemeinsamen Überlegungen dienen als Grundlage eines Dokumentes, welches beschreibt wie man E-Mail-Authentifikation als Unternehmen richtig einführen und erfolgreich nutzen kann.

Der zweite Teil des Treffens drehte sich um interne, vertrauliche Entwicklungen bei den Mitgliedern der Kompetenzgruppe.

So wurden Überlegungen zu DMARC Reporting vorgestellt und welche rechtlichen und organisatorischen Abläufe zu klären, bevor ein DMARC-Reporting in den Produktivbetrieb gehen kann. In der Diskussion wurde die These aufgestellt, dass Domains, die eine DMARC Policy implementiert haben, weniger angegriffen oder missbraucht werden als Domains ohne DMARC Policy. Dies konnte von Seiten der Teilnehmer auch mit Erfahrungen aus dem Produktivbetrieb untermauert werden.

DKIM Reply Attacken waren ein weiteres Thema um das sich die Diskussion drehte. Hier nutzen Angreifer die Art und Weise aus, wie einige Mailbox-Anbieter DomainKeys Identified Mail (DKIM) verwenden, um die Domain-Reputation aufzubauen.
Die DKIM-Signatur garantiert jedoch nur, dass die E-Mail einmal vom Server des Domaininhabers gesendet wurde. Dieselbe E-Mail kann von einer beliebigen Quelle aus mehrfach versendet werden, und die Signatur ist immer noch gültig.
Dies nutzen Angreifer aus, um eine bereits zugestellte DKIM-signierte Spam-Mail erneut über seine eigene Infrastruktur an eine Vielzahl von Empfängern zu versenden, in der Hoffnung, dass der gute Ruf der ursprünglichen Absender-Domain dazu führt, dass diese Nachrichten nicht als Spam erkannt werden.

Einen Ausklang fand die Diskussion in der Frage, wie Mailboxprovider und Telekom Unternehmen haben seit jeher mit kompromittierten oder gänzlich erfundenen Kundenaccounts zu tun. Sind Regelmäßigkeiten in der Erstellung solcher fake Accounts zu finden und wenn ja, gibt es Möglichkeiten bereits die Erstellung von Fake Accounts verhindern?