Einfachste Sicherheitsmechanismen fehlen: 3 von 5 deutschen Unternehmen im DAX30 sind dem Risiko von E-Mail-Betrug ausgesetzt

December 18, 2018
Werner Thalmeier

Cyberangriffe werden als das größte Risiko für Unternehmen in Europa eingestuft – so das Fazit der aktuellen Studie „Regional Risks for Doing Business“ des Weltwirtschaftsforums, die auf Befragungen von weltweit mehr als 12.000 Geschäftsleuten in mehr als 140 Ländern basiert. Aufgrund dieses klaren Statements ist davon auszugehen, dass Unternehmen – aber nicht nur diese, sondern alle Organisationen, einschließlich Behörden, Stiftungen, Gewerkschaften und andere – der Cybersicherheit besondere Aufmerksamkeit schenken und besonders aktiv geeignete Sicherheitslösungen zum Schutz ihres Unternehmens einsetzen.

Ganz speziell gilt das für den E-Mail-Kanal, der diversen Studienergebnissen zufolge nach wie vor die bevorzugte Waffe für Cyberkriminelle darstellt, einfach weil er so effektiv ist. Die Absicherung des Kommunikationskanals „E-Mail“ sollte für alle Unternehmen daher höchste Priorität haben. Längst gibt es technische Lösungen, die, wenn sie implementiert werden, eine ganze Reihe von E-Mail-Betrugsangriffen abwehren können.

DMARC erhöht die Sicherheit signifikant

Seit Jahren verhindern einige der weltweit fortschrittlichsten Unternehmen E-Mail-Betrug durch den Einsatz von DMARC (Domain-based Message Authentication, Reporting and Conformance), einem E-Mail-Verifikationssystem.

DMARC ist eine Art Passkontrolle in der Kommunikation via E-Mail. Es verifiziert die Identität des Absenders, indem es diesen anhand der etablierten Standards DKIM (DomainKeys Identified Mail) und SPF (Sender Policy Framework) ordnungsgemäß authentifiziert. Diese Kontrollfunktion schützt Mitarbeiter, Kunden und Partner vor Cyberkriminellen, die eine vertrauenswürdige Marke imitieren und damit den Nutzer zu unbedachten Klicks auf Links oder Dokumente animieren wollen.

DMARC-Einführung in der Industrie und bei Regierungsstellen

Um zu beurteilen, wie weit der DMARC-Standard in Deutschland mittlerweile implementiert ist und genutzt wird, haben wir – Proofpoint – im vierten Quartal 2018 eine detaillierte DMARC-Analyse aller im DAX30 notierten Unternehmen sowie diverser Regierungsstellen durchgeführt. Wir wollten eine bessere Vorstellung davon bekommen, wie viele Unternehmen bereits diesen Schritt in Richtung erweiterter E-Mail-Sicherheit gegangen sind, indem sie dieses effektive E-Mail-Authentifizierungsprotokoll eingeführt haben. Nachfolgend finden Sie unsere Ergebnisse:

  • Nur ein Drittel, 33 Prozent, haben DMARC eingeführt, um ihre Mitarbeiter, Kunden und Partner vor E-Mail-Betrug zu schützen. Von diesen zehn DAX30-Unternehmen blockieren jedoch nur zwei proaktiv betrügerische E-Mails, die ihre Domain missbrauchen (und sind damit vollständig DMARC-konform).
  • Zwei Drittel der DAX30-Unternehmen (66 Prozent) sind daher besonders dem Risiko von E-Mail-Betrug und Domain-Spoofing ausgesetzt.
  • Positive Ausnahmen: Im Bereich Banken und Finanzdienstleistungen haben alle Unternehmen DMARC implementiert.
  • Im Hintertreffen befinden sich noch die Pharma- und Gesundheitsunternehmen – mit einer Implementierungsrate von nur 25 Prozent, obwohl sie eine der am stärksten betroffenen Branchen sind.

Darüber hinaus haben wir auch die DMARC-Einführung in den deutschen Bundesministerien untersucht. Und unsere Ergebnisse hier sind wirklich alarmierend:

  • Keines der deutschen Bundesländer hat einen DMARC-Eintrag (0 Prozent) veröffentlicht.
  • Keines der deutschen Ministerien hat einen DMARC-Eintrag (0 Prozent) veröffentlicht.

Das zeigt, dass der öffentliche Sektor sich durch diese nicht-Authentifizierung in Gänze dem Risiko von E-Mail-Betrug durch Cyberkriminelle aussetzt.

Im weltweiten Vergleich steht Deutschland hier nicht wirklich gut da: Einige Länder zeigen tatsächlich eine ähnliche Akzeptanzrate zwischen dem privaten und dem öffentlichen Sektor, wie Australien, wo bereits 40 Prozent der Ministerien DMARC eingeführt haben.

Vergleich der deutschsprachigen Länder

In der DACH-Region war die Schweiz mit einer DMARC-Implementierungsrate von 60 Prozent der Unternehmen im SMI30 (Swiss Market Index) führend, während in Österreich nur 25 Prozent der Unternehmen im ATX20 auf den Schutz des E-Mail Kanals via DMARC bauen.

Die DMARC-Einführungsraten in der Privatwirtschaft reichen von 25 Prozent (am niedrigsten) in Österreich bis zu 60 Prozent in der Schweiz, wobei Deutschland hinter Schweden (43 Prozent), Großbritannien (42 Prozent) und Frankreich (38 Prozent) liegt.

Handlungsbedarf vor dem Hintergrund eines erhöhten Risikos

Da 66 Prozent der deutschen Unternehmen davon ausgehen, in den nächsten 12 Monaten Opfer von E-Mail-Betrug zu werden, und dennoch nur 34 Prozent – mit Hilfe von DMARC – über eine zusätzliche Sicherheitsebene im Bereich der E-Mail-Bedrohungen verfügen, ist es für deutsche Unternehmen und staatliche Institutionen dringend an der Zeit, hier aktiv zu werden.

Gegen immer ausgefeiltere Angriffe und ein erhöhtes Cyber-Risiko sollten Unternehmen die E-Mail-Sicherheit als Teil ihrer IT-Sicherheitsinvestitionen in den Vordergrund stellen, und die Implementierung von DMARC ist hier eine Kernkomponente.

Grundsätzlich gibt es jedoch kein Patentrezept bei Cyberangriffen.  Cyberkriminelle nehmen immer mehr den Menschen als erfolgversprechendsten Faktor bei einer Cyberattacke ins Visier. Darum konzentrieren sich verantwortlich agierende Organisationen inzwischen auch darauf, das Bewusstsein der eigenen Mitarbeiter um die Gefahren von Online-Bedrohungen durch effektive Cybersicherheits-Trainings zu erweitern. Denn die Mitarbeiter werden immer das schwächste Glied sein, und nur wenn die Angestellten für die möglichen Bedrohungen sensibilisiert sind, können technische Lösungen ihr volles Potenzial entfalten.