:quality(80)/p7i.vogel.de/wcms/ca/46/ca4696a7c03410216f4560804dd149cb/0115630548.jpeg "(Bild: insta_photos – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/37/5e/375ed5500364ef618912dcd7d2ad23d7/0115622593.jpeg "(Bild: studio v-zwoelf – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2e/a4/2ea4c0154481c7d38b08001f52b00974/0115630528.jpeg "(Bild: Skórzewiak – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c6/73/c6739076e1a2983a43435712e9a21e4d/0115622513.jpeg "Das Saarland möchte ausländische Fachkräfte im Healthcare-Sector anwerben. In einem ersten Schritt können nun Ärztinnen und Äzte ihre Abschlüsse anerkennen lassen. Weitere medizinische Fachberufe sollen iterativ folgen. (© Evgeny - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/85/14/851428ea80048cf8d22ed2ebb3bfda3b/0115377499.jpeg "Die Delos Cloud GmbH wurde erst im vergangenen Jahr gegründet. Sie soll eine souveräne Cloud-Plattform für den öffentlichen Dienst entwickeln – basierend auf Azure von Microsoft. (Bild: frei lizenziert, Coernl / Pixabay)")
:quality(80)/p7i.vogel.de/wcms/20/99/209999bc4350534d12974dc2494224b7/0115581836.jpeg "(Bild: midjourney | J.Rath)")
:quality(80)/p7i.vogel.de/wcms/8b/73/8b73e44fdd359c636877508a30254037/0115568158.jpeg "Dr. Volker Wissing, Bundesminister für Digitales und Verkehr: „Jeder Wirtschaftsteilnehmer muss KI nutzen, um wettbewerbsfähig zu bleiben.“ (Bild: Presse- und Informationsamt der Bundesregierung)")
:quality(80)/p7i.vogel.de/wcms/11/c9/11c9d0ad82fa4ce40fe83dab29c38a9d/0115516090.jpeg "Zum Thema E-Voting hat das TAB eine Studie durchgeführt. (© Aliaksandr Marko - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/8d/3a8dc0d5db2d5692cde621b45ac867c5/0115513449.jpeg "Prof. Dr. iur. Christoph Schmidt (© C. Schmidt)")
:quality(80)/p7i.vogel.de/wcms/69/1e/691eabb715598fb098f8a9aa348f5e04/0115502826.jpeg "(Bild: Mediaparts – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2a/9e/2a9e11599a73caa57fcabec81f6da8e4/0115441909.jpeg "(Bild: Coloures-Pic – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/7c/78/7c786254d9ceb3ce1819fed318fb6745/0115439133.jpeg "Beim FIT-Kongress 2023 wurden herausragende Frauen aus der IT – und erstmalig auch aus dem Public Sector sowie dem Healthcare-Bereich mit den WIN-Awards 2023 ausgezeichnet. (Bild: www.hamann.photo)")
:quality(80)/p7i.vogel.de/wcms/09/08/090892ed70064b4cba6489cec1f83f07/0115441274.jpeg "Das NEGZ vernetzt Expert:innen aus Verwaltung, Wirtschaft und Wissenschaft, um die Digitalisierung der deutschen Verwaltung zur unterstützen und anzutreiben. (© NEGZ)")
:quality(80)/p7i.vogel.de/wcms/59/0d/590dbc49700836dafcd0bb211a5aed0d/0115385334.jpeg "Unter dem Motto „Endgegner Bürokratisierung weichkochen!“ stellten sich (v. l.) Marko Haas (Leiter des Bereiches Digitalstrategie und Digitale Transformation in der Deutschen Rentenversicherung Bund), Marie-Dominique Enjalbert (Projektleitung eWA, OZG-Umsetzungsprojekt für die elektronische Wohnsitzanmeldung, Amt für IT und Digitalisierung Hamburg), Michael Mätzig (Geschäftsführender Direktor Städtetag Rheinland-Pfalz), Ann Cathrin Riedel (Geschäftsführerin NExT e.V., Vorsitzende LOAD e.V., Digitalrätin des BMDV zur Umsetzung der Digitalstrategie des Bundes, Digitalrätin Sachsen-Anhalt) den Fragen von Basanta Thapa (Geschäftsführer des NEGZ). (© MACH AG / Jakob Börner)")
:quality(80)/p7i.vogel.de/wcms/35/cb/35cb811222a30e525d3829054deecdc1/0115287745.jpeg "„Zukünftig können digitale Anträge deutschlandweit über das zentrale Bürgerkonto, die BundID, oder mit dem Online-Ausweis gestellt werden“, sagte Bundesinnenministerin Nancy Faeser auf der SCCON 2023 (© Messe Berlin GmbH)")
:quality(80)/p7i.vogel.de/wcms/77/9d/779d8995085bc7a6f2aa9b0b47fd3405/0115335433.jpeg "Thomas Feld, Vice President Data Economy, Materna (© Materna)")
:quality(80)/p7i.vogel.de/wcms/fe/72/fe7211e1e92ddfcbf3943b3463b84a57/0115335396.jpeg "(©Fraunhofer)")
:quality(80)/p7i.vogel.de/wcms/59/b2/59b2dda70740cf2ab38cebbfd705a26b/0115335552.jpeg "(© CREALOGIX)")
:quality(80)/p7i.vogel.de/wcms/1a/37/1a375e7cd1fb301470b9e06a7b65e537/0115080189.jpeg "(©CREALOGIX)")
:quality(80)/p7i.vogel.de/wcms/e5/30/e5306226b8ed3c71f4b15dff96179e15/0112479295.jpeg "eGovernment Summit 2023: Gespannt verfolgten die Teilnehmenden die Paneldiskussion zum Thema „Beyond OZG“ (©Vogel IT-Akademie)")
:quality(80)/p7i.vogel.de/wcms/b6/f8/b6f88f91322d077cfa5cb7e1607c480f/0112111131.jpeg "Ziel des Summits ist die Erarbeitung gemeinsamer Ansätze und Handlungsmodelle zur Bewältigung der aktuellen politischen, gesellschaftlichen und administrativen Herausforderungen durch die IT – und mithilfe der IT (Bild: Vogel IT-Akademie)")
:quality(80)/p7i.vogel.de/wcms/02/6a/026a7a13bac9ae68217de6a37d0f7e71/0111234928.jpeg "Zum 16. Mal eGovernment Summit kommen erneut die Spitzen der Bundes-, Landes- und Kommunalverwaltung sowie Experten aus Wissenschaft, Industrie und Forschung zusammen. Diesmal auf dem Bonner Petersberg (Bild: Steigenberger Hotels & Resorts)")
:quality(80)/p7i.vogel.de/wcms/5a/28/5a28b92026cca328881c37e56e34d1ce/0114238949.jpeg "Die Gewinner des eGovernment Readers' Choice Award 2023 (©Offenblen.de)")
:quality(80)/p7i.vogel.de/wcms/c9/0f/c90fa0c017e5ecc20de70dd713ddf391/0112730736.jpeg "(© Salesforce)")
:quality(80)/p7i.vogel.de/wcms/85/c7/85c70044c9dfe47187b3222ff227fcfb/0105054611.jpeg "Verwaltung neu denken – für einen zukunftsfähigen und resilienten Staat (© Cassini/GettyImages)")
:quality(80)/p7i.vogel.de/wcms/42/3e/423efc6333d932ae833034e58d08783b/0115629512.jpeg "Low-Code erfordert geringen Programmieraufwand. (Bild: aga7ta – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/cf/a1/cfa10ef3cc6823e0c53e3c998d875313/0115629017.jpeg "Der CDO ist für die Verwaltung, den Schutz und die Nutzung von Daten verantwortlich. (Bild: aga7ta – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4d/3e/4d3e0b0bf7d1fbf78df6ae3ff6856326/0115628558.jpeg "Föderales Entwicklungsportal: Zentrale Ressource für Softwareentwickler (Bild: aga7ta – stock.adobe.com)")
Kommentar zu gefälschten eMails Bundesfinanzhof patzt bei der eMail-Sicherheit
Seit dem 7. Juni warnt der Bundesfinanzhof auf seiner Webseite vor gefälschten eMails. Bislang unbekannte Täter versenden laut der Warnung eMails mit schadhaften Anhängen und verwenden die eMail-Domain des Bundesfinanzhofs im Absender. eMail-Security-Experte Stefan Cink ist über die unzulängliche Absicherung der eMail-Server entsetzt.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/5e/3b/5e3bf6ecbcc11/form-solutions-zeichenfl--che-1.png "form-solutions_Zeichenfläche 1.png (Form-Solutions GmbH)")
:fill(fff,0)/p7i.vogel.de/companies/65/6d/656dc17967823/logo-jcc-software-300x168-weisser-hintergrund-zeichenfl--che-1.png "logo-jcc-software-300x168-weisser-hintergrund-zeichenfl--che-1 ((c) JCC Software GmbH)"){kind=logo}
Die Warnung des Bundesfinanzhof (BFH) wird aktuell zwar in den sozialen Medien geteilt, die tatsächliche Reichweite dürfte sich jedoch in Grenzen halten und der Großteil der Opfer wird, wenn überhaupt, viel zu spät informiert. Potenzielle Opfer mit einem Blogbeitrag rechtzeitig warnen zu wollen, ist sicherlich richtig, aber aufgrund der gerade aufgeführten Punkte lediglich ein kleiner Baustein in der Kommunikation.
Deutlich sinnvoller und effektiver ist die direkte Warnung aller beteiligten eMail-Firewalls. Hierfür ist kein Blogbeitrag nötig, sondern eine einfache, bereits bestens standardisierte und kostenfrei verfügbare Technik namens DMARC (IETF RFC 7489 – Domain-based Message Authentication, Reporting, and Conformance, 2015).
Mit einem DMARC-Eintrag erklären Domaininhaber öffentlich allen anderen eMail-Servern weltweit, wie sie mit eMails von der geschützten Domain umgehen sollen. Viel wichtiger ist jedoch: Jeder kann so wissen, welche Server im Netz überhaupt im Namen der angegebenen Domain eMails verschicken dürfen. Mit dieser Information können gefälschte Mails von der empfangenden Seite sicher und effizient erkannt werden.
Die Einrichtung eines DMARC-Eintrags bringt sicherlich am Anfang Aufwand mit sich. Der entstandene Aufwand ist aber im Verhältnis zur gewonnenen Transparenz schnell wieder ausgeglichen. Diese Tatsache und andere positive Nebeneffekte kann man im DMARC-Einführungsbericht des HMRC, des englischen Finanzministeriums nachlesen. In England sind Bundesbehörden sogar angehalten, DMARC verpflichtend einzuführen.
Viele Online-Dienste setzen auf DMARC
Moderne Secure-Mail-Gateways nutzen diese Möglichkeit zur Prüfung des Absenders bereits seit vielen Jahren. Es ist unverständlich, warum es noch immer einige Hersteller von eMail-Security gibt, die diese Prüfungsmöglichkeit nicht bieten.
Auch die meisten Online-Dienste haben die Notwendigkeit eines DMARC-Eintrags bereits seit langem erkannt. Vor allem dann, wenn es bei der angebotenen Dienstleistung um Geld geht. Paypal ist hier ein gutes Beispiel. Sämtliche im Verkehr befindlichen Paypal-Domains sind DMARC geschützt. Verwender einer eMail-Firewall, die diese Informationen konsequent auswertet, brauchen sich um gefälschte Paypal-Mails keine Sorgen machen. Sie werden sie nie zu Gesicht bekommen und müssen auch nicht ständig auf der Internetseite von Paypal nachsehen, ob es eine neue Warnung vor gefälschten eMails gibt.
Diese Möglichkeit der Absenderprüfung ist Empfängern einer eMail des Bundesfinanzhofs leider verwehrt, da die Behörde ihre Mail-Domains nicht mit DMARC abgesichert hat. So bleibt den Opfern der Fake-Mail nur die Hoffnung, dass die eingesetzte eMail-Sicherheitslösung ihren Dienst gut verrichtet und den Anhang als Virus erkennt. Gute eMail-Security-Lösungen bieten beispielsweise zusätzlich den proaktiven Schutz eines Content Disarm & Reconstruction Verfahrens (CDR), mit dem schadhafte Dokumente in sichere PDF-Dateien umgewandelt werden.
Sogar das Bundesamt für Sicherheit in der Informationstechnik (BSI) nennt DMARC in einem Ratgeber zur E-Mail-Sicherheit als ein wichtiges Verfahren bei der E-Mail Authentifizierung. Es ist also völlig unverständlich, warum Unternehmen und Behörden DMARC nicht eingerichtet haben und es Angreifern damit leicht machen, in ihrem Namen Schindluder zu treiben. Net at work unterstützt Unternehmen und Behörden bei der Einrichtung von DMARC mit einem kostenfreien Ratgeber.
Zusammenfassung
Der Bundesfinanzhof hat seine eMail-Infrastruktur nicht mit DMARC-Einträgen abgesichert. Das begünstigt die aktuell laufende Angriffswelle mit Schad-eMails, die in seinem Namen versendet werden.
Dieser Beitrag erschien zuerst in unserem Schwesterportal Security Insider.
Über den Autor: Stefan Cink ist Experte für eMail-Security bei Net at Work.
(ID:45982445)
:quality(80)/p7i.vogel.de/wcms/a9/c8/a9c89d5ad9781b967e38545a7197d978/0113850773.jpeg "E-Mail-Spoofing: Das Vortäuschen vertrauenswürdiger E-Mail-Absender (Bild: aga7ta – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/39/2339d88747e3f24499f2fece40d4624c/0111020503.jpeg "Während KI-Anwendungen Menschen den Alltag erleichtern können, spielen sie auch Cyberkriminellen in die Karten (© Just_Super – Getty Images via Canva.com)")