15.01.2019

Konstruktiver Dialog statt neuer Gesetze

Datenskandal in Deutschland: Internet-Experten fordern Kooperation für mehr Sicherheit

Der Diebstahl hochsensibler Daten wie Kontodaten sowie die Veröffentlichung privater Chatverläufe in 50 bis 60 besonders schweren Fällen und der Kontaktdaten von rund 1.000 Politikern, Journalisten, Künstlern und Mandatsträgern haben die Öffentlichkeit aufgeschreckt. Pünktlich zu den Feiertagen erlebten viele Personen des öffentlichen Lebens in Deutschland ihre ganz persönliche böse Bescherung.

Ein solcher Hackerangriff kann nicht nur für die direkt Betroffenen negative Folgen haben. Nämlich dann, wenn die veröffentlichten Daten mit Hilfe von Phishing gestohlen wurden. Phishing ist eine gängige Methode, um mit scheinbar von seriösen Versendern wie beispielsweise Banken stammenden Mails an persönliche Daten oder Zugangsdaten der Adressaten zu gelangen. Geschädigt werden dabei häufig nicht nur die Adressaten, die ihre persönlichen Daten leichtsinnig preisgeben, sondern auch die vermeintlichen Versender. Ihnen entsteht gegebenenfalls unabhängig von einem möglichen Image-Schaden auch ein konkreter Vermögensschaden, wenn aus Phishing-Mails Rückfragen resultieren und Personal für die Kommunikation mit dem verunsicherten oder geschädigten Kunden eingesetzt werden muss. „Phishing ist sehr häufig der erste Einstieg in einen Hack“, bestätigt Julia Janßen-Holldiek, Director der Certified Senders Alliance (CSA).  Auch im Fall des jüngsten Datenskandals wird zumindest vermutet, dass der Täter einen Teil der Daten mittels Phishing erbeutet hat.

Beide Seiten, sowohl die Empfänger als auch die Versender von Mails, können sich vor Phishing wirksam schützen. Die Versender können ohne großen Mehraufwand geeignete Authentifizierungsverfahren wie beispielswiese DMARC (Domain-based Message Authentification, Reporting and Conformance) einsetzen. Einen weiteren Vorteil beim Einsatz von DMARC bietet BIMI (Brand Indicators for Message Identification). Mails von geprüften Versendern können damit im Posteingang des Empfängers mit dem Markenlogo des Versenders gekennzeichnet werden. „Markeninhaber werden durch die Logo-Kennzeichnung zusätzlich motiviert, DMARC einzusetzen. Dies wiederum schützt Nutzer durch eine bessere Spamfilterung und weniger Phishing-Mails in der Inbox“, so Marcel Becker, Director Product bei Verizon Media. Dort läuft derzeit ein erster BIMI-Test mit verschiedenen Markeninhabern erfolgreich an.

Auf Empfängerseite ist eine gesunde Skepsis gegenüber Mails vermeintlich seriöser Versender und Vorsicht bei der Preisgabe von persönlichen Daten und Zugangsdaten der beste Weg, sich vor Phishing-Attacken zu schützen. Strengere Regeln für die Betreiber von Internet-Plattformen, wie im Zuge des Datenskandals von Bundesjustizministerin Katarina Barley gefordert, sind da nach Ansicht vieler Internet-Experten hingegen wenig hilfreich.

Oliver Süme, Vorstandsvorsitzender des eco – Verband der Internetwirtschaft e.V., warnt jetzt vor einer überzogenen Reaktion auf den jüngsten Skandal: „Es ist richtig, dass Internetwirtschaft und Politik nun die Hintergründe dieses Vorfalls klären müssen, um auf dieser Basis dann gemeinsam entsprechende Sicherheitsvorgaben zu entwickeln. Ich warne allerdings davor, diesen Vorfall nun erneut als Aufhänger für überzogene und im Endergebnis kontraproduktive Regulierungsideen zu nutzen. Mit weiteren Schnellschüssen wie beispielsweise dem von uns nach wie vor kritisch gesehenen NetzDG ist niemandem geholfen. Ich plädiere für einen konstruktiven Dialog über die Verantwortlichkeiten von Staat, Anwendungsunternehmen und Nutzern für eine verbesserte IT-Sicherheit, in dem sich eco gerne mit einbringt.“

Detaillierte Informationen zum erwähnten Authentifizierungsverfahren DMARC finden sich auch auf der Homepage der Certified Senders Alliance. Die Certified Senders Alliance (CSA) ist ein Projekt des eco – Verband der Internetwirtschaft e.V. in Kooperation mit dem Deutschen Dialogmarketing Verband (DDV). Die CSA bildet eine neutrale Schnittstelle zwischen Mailboxprovidern und Versendern kommerzieller E-Mails. Insbesondere BIMI ist auch Thema beim CSA Summit vom 10. bis 12. April 2019 in Köln.

Konstruktiver Dialog statt neuer Gesetze