IT-Sicherheit 19.11.2020

BIMI – IT-Sicherheit und Schutz der Marke gehen Hand in Hand.

Phishing-E-Mails stellen ein großes Problem für die Sicherheit eines Unternehmens dar. Über 90 Prozent aller Angriffe auf die IT-Infrastruktur einer Firma beginnen mit einer einfachen Phishing-E-Mail. Darum sollte es Kriminellen so schwer wie möglich gemacht werden, mit dieser Technik erfolgreich zu sein. Das gilt für das eigene Unternehmen, aber auch für den Schutz Ihrer Reputation. BIMI ist eine noch junge Maßnahme, mit der Sie Ihre Marke schützen können. Ihren Kunden geben Sie die Gewissheit, dass Ihre E-Mails nur von Ihnen stammen können. Dazu wird Ihr Logo direkt neben Ihre E-Mails im Posteingang des Kunden platziert. Was das bringt und wie BIMI funktioniert, zeigen wir Ihnen im Blogbeitrag.

Artikel teilen

Jens Käsbauer
Content Manager

Doch zunächst sehen wir uns einen Angriff durch eine betrügerische Phishing-E-Mail etwas genauer an: In Ihrer Inbox finden Sie eine harmlos aussehende E-Mail, die sich auf einen Ihnen bekannten Geschäftsvorgang bezieht. Vielleicht stammt diese E-Mail aber auch von einem Ihnen bekannten Lieferanten oder einem Kunden. Auf den ersten Blick sieht die Nachricht legitim aus. Sie öffnen die E-Mail, lesen den Inhalt und auch an dieser Stelle sieht alles noch sehr echt aus. Cyberkriminelle betreiben häufig einen hohen Aufwand, um an die Daten eines Opfers zu kommen. So wundert es auch nicht, dass Anrede und Inhalt inzwischen sehr gut zu tatsächlichen Geschäftsbeziehungen passen oder sehr erfolgreich suggerieren, eine solche anbahnen zu wollen. Was alle Phishing-E-Mails gemeinsam haben, ist die sofortige Aufforderung, eine bestimmte Handlung auszuführen. Die gewünschte Aktion kann das Öffnen eines angehängten Dokumentes oder der Klick auf einen Link sein. In beiden Fällen nimmt das Unheil an dieser Stelle seinen Lauf.

Die Bereitschaft des Empfängers, einer solchen Aufforderung dennoch zu folgen, erreichen Kriminelle in der Regel durch die Suggestion der Dringlichkeit und unmittelbaren Notwendigkeit der gewünschten Handlung. Häufig kommen dann Sprachtechniken zum Einsatz, um Angst auszulösen. Dies beginnt bereits im Betreff: „Achtung! Ihre Kontodaten sind gehackt worden. Es besteht Handlungsbedarf!“. Damit ist die Manipulation aber noch nicht beendet. In der Regel sind solche E-Mails komplett daraufhin optimiert, dass sie das Ziel erreichen: Der Empfänger führt den Download aus oder klickt auf einen Link zu einer präparierten Seite.

Behalten Sie Ihre Identität im Blick – Hacker tun es schließlich auch.

Der Erfolg einer solchen Attacke hängt von der Glaubwürdigkeit der Phishing-E-Mail ab. Je realistischer Absender und Inhalt wirken, desto eher erzielen diese E-Mails die gewünschte Wirkung. So ist es auch nicht verwunderlich, dass Phisher viel Zeit und Aufwand investieren, um E-Mails, Rechnungen, Signaturen und sogar Domains so echt wie möglich wirken zu lassen. Der Erfolg gibt Ihnen Recht: www.beispiel.de und www.beispieI.de sehen fast identisch aus, führen jedoch zu komplett unterschiedlichen Domains und damit zu potentiell gefährlichem Inhalt. Können Sie sich vorstellen, welchen Schaden entsprechende E-Mails, ausgesendet in Ihrem Namen, für Ihr Unternehmen bedeuten können? Das BSI geht allein in Deutschland von einem volkswirtschaftlichen Schaden im zweistelligen Millionenbereich aus. Mit dem reinen finanziellen Schaden geht aber immer auch ein Reputationsverlust einher, dessen Auswirkungen noch viele Jahre später noch zu spüren sein können. Verlorenes Vertrauen auf Seiten Ihrer Kunden, Lieferanten und in der Öffentlichkeit zurückzugewinnen ist eine Mammutaufgabe, die viele Organisationen letztendlich zur Aufgabe zwingt. Die Reputation Ihres Unternehmens zu schützen und zu stärken wird also zum zentralen Element, um auch Ihre Kunden davor zu bewahren, auf arglistige Betrüger hereinzufallen.

Abbildung: Auf präparierten Websites kann sich potentiell gefährlicher Inhalt befinden.

 

BIMI bringt Ihr Logo in den Posteingang.

BIMI ist ein Akronym und bedeutet „Brand Indicators for Message Identifikation“, zu Deutsch: Markenzeichen zur Identifikation von Nachrichten. Es handelt sich um einen offenen Standard, der von der BIMI-Initiative entwickelt wird, zu der auch große Namen wie Microsoft, Google, Oath, Comcast, PayPal, LinkedIn und einige weitere gehören. Die Initiative verfolgt das Ziel, dass E-Mail-Clients dem Nutzer authentifizierte Nachrichten nach der Überprüfung mit dem jeweiligen Markenlogo des Absenders versehen und anzeigen. Für den Empfänger lässt sich so bereits vor dem Öffnen die Echtheit der Nachricht erkennen.

Sollten Sie in den Fokus von Cyberkriminellen geraten, die mit Ihrer Marke auf betrügerische Weise Informationen Ihrer Kunden beschaffen wollen, können sie leicht erkennen, welche Nachrichten von Ihnen kommen. Gründe, warum Cyberkriminelle versuchen, Ihre Kunden entsprechend anzusprechen gibt es viele – Ihre Reputation ist sicherlich einer davon. Ihre Tätigkeit oder Ihre Produkte können ein weiterer Grund sein.

Was steckt dahinter?

Um diese Authentifizierung auch sicher zu ermöglichen, setzt BIMI auf etablierte und sichere Standards und erweitert sie mit eigenen Einträgen im Domain Name System (DNS). Die Basis für die Verwendung von BIMI stellt das Domain-based Message Authentication, Reporting and Conformance, kurz DMARC, sowie das Sender Policy Framework (SPF) und DomainKeys Identified Mail (DKIM) dar. Dabei handelt es sich um bereits etablierte Standards, die dazu dienen, den Missbrauch von E-Mails durch Spammer und Kriminelle einzudämmen. Kurz gesagt: DMARC sorgt dafür, dass auf dem „Briefumschlag“ Ihrer E-Mail, im Kopf und in der Signatur derselbe Absender steht.

Dazu werden mittels der sogenannten DMARC Policies die Empfänger vom Absender darüber informiert, dass die Nachrichten mittels SPF und DKIM geschützt werden. Zugleich erhalten die Empfänger aber auch Regeln, wie mit nicht authentifizierten Nachrichten umzugehen ist. Empfänger können die betreffenden E-Mails entsprechend den Vorgaben behandeln und sie zurückweisen, unter Quarantäne stellen, dem Absender berichten oder die Nachrichten direkt löschen. Am Ende landen die nicht verifizierten E-Mails im Idealfall gar nicht mehr beim Empfänger in der Inbox, sondern werden bereits vorher von den Mailservern herausgefiltert.

Damit die Server dies bei Ihnen und Ihren Kunden auch entsprechend tun können, nutzt DMARC, genau wie SPF und DKIM, die TXT-Einträge des DNS. Weitere Ressource Records (deutsch: RR-Einträge) geben Informationen zum jeweils verwendeten Verfahren mit. So enthält ein RR-Eintrag z. B. die oben genannten Anweisungen, wie mit nicht authentifizierten E-Mails umzugehen ist, an welche Mail-Adresse die Reports zu senden sind und wie viel Prozent der E-Mails von diesem Sender bereits gefiltert wurden.

BIMI setzt dann auf DMARC auf und nutzt dessen Unterbau. Das System ist demnach auch Grundvoraussetzung zur Verwendung von BIMI in Ihrem Unternehmen. Weitere Voraussetzungen sind:

  • Die DMARC Policy zur Verwendung nicht authentifizierbarer Nachrichten muss auf „Zurückweisen (reject)“ oder „unter Quarantäne stellen (quarantine)“ eingestellt sein.
  • Ihr Logo muss als quadratische SVG-Datei ohne Text vorliegen und auf einer offen aus dem Internet erreichbaren Quelle abgelegt werden.
  • Zuletzt muss noch ein DNS TXT Record für Ihre Absenderadresse erstellt werden.

Was kann BIMI leisten? Was kann es nicht leisten?

Da es sich um keine eigenständige Sicherheitslösung handelt, erspart BIMI Ihnen und Ihren Kunden nicht die Schulung Ihrer Mitarbeiter im Umgang mit bedrohlichen Nachrichten. Die Notwendigkeit der Sensibilisierung für Spam- und Phishing-Versuche via E-Mail bleibt ungebrochen. Es gibt Ihnen aber eine zusätzliche Möglichkeit, Ihren Kunden die Vertrauenswürdigkeit Ihrer Nachrichten und die Echtheit des Absenders zu bestätigen. Die Kunden haben somit, im Falle eines versuchten Missbrauchs Ihrer Reputation, die Möglichkeit, gefälschte und betrügerische Mails von denen zu unterscheiden, die legitim an sie versendet wurden. Sie erinnern sich noch an das Beispiel mit dem Briefumschlag weiter oben? Für den technisch nicht versierten Anwender ist es schwierig bis unmöglich, Umschlag, Briefkopf und Signatur zu prüfen. BIMI stellt diese Information direkt im Posteingang zur Verfügung – noch bevor die E-Mail geöffnet wurde.

Der im System integrierte Rückkanal unterstützt Ihre IT zudem bei der frühzeitigen Erkennung von Phishing-Versuchen: Zurückgewiesene E-Mails werden an Sie gemeldet. Da BIMI auf etablierten Sicherheitsstandards aufbaut, kann die Einführung von BIMI zusammen mit DMARC und SPF/DKIM für Ihren Nachrichtenversand natürlich auch insgesamt mehr Sicherheit bedeuten. Zusätzlich kommt ein nicht zu unterschätzender Effekt zu Gunsten Ihres Brandings zum Tragen, wenn Ihr Logo bei Kunden, Lieferanten und Dienstleistern im Posteingang erscheint – Sie bleiben als sicherer und verlässlicher Partner in Erinnerung.

Mitarbeiter müssen sensibilisiert werden.

Wie jedes technische System, können natürlich auch BIMI und DMARC nicht zu 100 % gewährleisten, dass keine E-Mail mit betrügerischem Inhalt mehr im Postfach landet. Deshalb ist es wichtig, dass Ihre Mitarbeiter wissen, worauf sie achten müssen. Jede Sicherheitsstrategie sollte deshalb auch Maßnahmen beinhalten, die Ihre Kolleginnen und Kollegen dabei Unterstützen, schadhafte Kommunikation zu erkennen:

So können Sie zum Beispiel Verhaltensregeln im Umgang mit der Kommunikation bereitstellen. Heutzutage sollten diese Regeln, oder auch Best Practices, mindestens die Nutzung von sozialen Netzen, Mobiltelefonen, E-Mail sowie das Browsen im Web beinhalten. Dazu gehören auch Vorgaben für die Kommunikation von Unternehmens- und Personendaten. Insbesondere letztere sollten dabei niemals das Unternehmen verlassen, egal über welchen Kanal die Anfrage eingeht. Ebenso wichtig ist die Klärung und Kommunikation von Verantwortlichkeiten. Ist in einer Nachricht zu einem Vorgang ohne weiteren Hinweis ein anderer Ansprechpartner genannt oder ist von einem Geldbetrag die Rede, sollten ihre Mitarbeitenden stutzig werden und nachfragen können

Bechtle bietet zur Schulung Ihrer Mitarbeiter eine kostengünstige und passgenaue Lösung an. Zugeschnitten auf die Bedürfnisse Ihres Unternehmens trainieren Sie mit dem E-Learning-Tool E-Sensecurity den sicheren Umgang mit sensiblen Unternehmensinformationen. Gleichzeitig werden Sie allen Anforderungen an Sensibilisierungs- und Nachweispflichten gerecht. Einen ersten Einblick und viele Informationen erhalten Sie in der Aufzeichnung unseres Webinars  "Be Secure" – IT-Sicherheit und Datenschutz. Sehen Sie es sich doch gleich an:

Wollen Sie mehr darüber erfahren, wie Sie Ihre Marke und damit auch Ihr Unternehmen zuverlässig schützen können? Wir haben den passenden Blogbeitrag parat:

Blog: Brand Protection