Autor: Christophe Gérard

CPO - Nameshield Group

Abhängigkeit von Zertifizierungsstellen: ein unterschätztes Risiko?

Eine Zertifizierungsstelle (Certificate Authority, CA) ist eine Einrichtung, die digitale Zertifikate ausstellt, um die Identität von Websites, Servern oder Benutzern zu authentifizieren und die Integrität der Daten zu gewährleisten, die bei der Online-Kommunikation ausgetauscht werden.

Wenn eine Website kein Zertifikat hat, kann sie keine sichere Verbindung über HTTPS herstellen, wodurch ihre Daten dem Risiko des Abfangens, der Veränderung und des Missbrauchs ausgesetzt sind. Aus diesem Grund legen die Internetbrowser der GAFAM (Google, Apple, Facebook, Amazon, Microsoft) diesen Zertifizierungsstellen strenge Compliance- und Sicherheitskriterien auf, um ihren Nutzern ein sicheres Surfen zu ermöglichen. Die GAFAM sind allerdings auch echte Imperien, die in der Lage sind, ihre eigenen Regeln in der digitalen Welt quasi willkürlich oder zumindest einseitig zu gestalten und zu definieren.

Die Zertifizierungsstellen sind demnach in gewisser Weise von den Standards der GAFAM abhängig, was Unternehmen dazu veranlassen sollte, sich nicht von einer einzigen Zertifizierungsstelle abhängig zu machen. Dies gilt umso mehr, als dass Zertifizierungsstellen mit Sicherheitslücken, Angriffen oder Vorfällen konfrontiert werden können, wie es bei der niederländischen Zertifizierungsstelle DigiNotar der Fall war, die nach einem massiven Hackerangriff im Jahr 2011 gezwungen war, ihre Tätigkeit einzustellen.

Die jüngste Zertifizierungsstelle, die mit Sicherheitsproblemen zu kämpfen hatte, ist Entrust. Google Chrome hat angekündigt, das Vertrauen in seine TLS-(SSL-)Zertifikate zum 31. Oktober 2024 zu beenden und erklärt, dass diese Entscheidung aufgrund einer gründlichen Bewertung der Sicherheitspraktiken der Zertifizierungsstelle folgt. Bedenken gab es beispielweise in Bezug auf die Einhaltung der geforderten strengen Standards: zu lange Widerrufsfristen, wiederholte Schwachstellen und Risiken für die Nutzer… Die Chrome-Versionen 127 und höher werden voraussichtlich im Oktober die automatische Genehmigung der von Entrust ausgestellten TLS/SSL-Zertifikate deaktivieren. Auf Unternehmenswebsites, die deren Zertifikate verwenden, werden vermutlich Sicherheitswarnungen in Google Chrome angezeigt, die darauf hinweisen, dass die Website nicht sicher ist, oder die Erreichbarkeit der Seite wird eingeschränkt.

Entrust ist natürlich kein Einzelfall. Symantec geriet 2015 wegen der Ausstellung ungültiger TLS-Zertifikate mit Google in Schwierigkeiten. Die Zertifizierungsstelle war damals für 30% der Zertifikate im Web verantwortlich und verzeichnete Einnahmen von 400 Millionen US-Dollar, wie das Medium silicon.fr berichtete. Google hat die Symantec-Zertifikate jedoch nach und nach aus Chrome und Android verbannt. Die Entität wurde schließlich 2021 an Digicert weiterverkauft.

Zertifizierungsstellen arbeiten eng mit dem CAB Forum und den GAFAM zusammen, um die Standards für Cybersicherheit zu erhöhen und ihre Sicherheitspraktiken und -protokolle zu verbessern. Es ist unbestreitbar, dass in diesem Bereich enorme Fortschritte bei der Erhöhung der Sicherheitsstandards gemacht wurden. Der jüngste Vorfall mit Entrust zeigt jedoch die Risiken auf, die angesichts der Souveränität und des beispiellosen Einflusses der GAFAM bestehen bleiben: Niemand ist vor potenziell willkürlichen Entscheidungen dieser Technologieriesen sicher.

Angesichts dieser Schwachstellen raten wir Unternehmen zu einem Ansatz mit mehreren Zertifizierungsstellen, die bei einem spezialisierten Anbieter verwaltet werden. Durch die Diversifizierung der Zertifizierungsstellen können Unternehmen das Risiko der Abhängigkeit von einem Ausfall oder einem massiven Widerruf von Zertifikaten verringern und so ihren Fortbestand sicherstellen. Die zentrale Verwaltung von Zertifikaten bei einem vertrauenswürdigen Spezialisten wie Nameshield ermöglicht es zudem, Verfahren zu standardisieren, die Verwaltung von Verlängerungen oder die Umstellung von Zertifikaten von einer Zertifizierungsstelle auf eine andere zu vereinfachen und so mehr Flexibilität zu bieten. Die Verwaltung der Zertifikate durch eine spezialisierte Stelle ist eine Möglichkeit, die Kontinuität der Online-Dienste zu gewährleisten, Risiken zu reduzieren und die Ausgaben für Cybersicherheit angesichts einer sich ständig ändernden Bedrohungslage zu optimieren.

Insgesamt ist die Abhängigkeit von den Zertifizierungsstellen ein Risiko, das sich sowohl finanziell als auch in Bezug auf den Ruf als kostspielig erweisen kann. Um die Sicherheit und Widerstandsfähigkeit der digitalen Infrastruktur zu gewährleisten, kann eine Multi-Zertifizierungsstellen-Strategie ein wichtiger Schutz vor unvorhergesehenen Cyberbedrohungen sein.

Bildquelle : Unsplash

BIMI und VMC: Logoanzeige in E-Mails

BIMI (Brand Indicators for Message Identification) ermöglicht es Ihnen, eigene E-Mails zu authentifizieren und das Vertrauen Ihrer Kunden zu stärken, indem Sie Ihr Logo in deren Posteingang anzeigen. VMC (Verified Mark Certificate) ist ein mit BIMI verbundenes Zertifikat, das die Echtheit des angezeigten Markenlogos gewährleistet.

Was ist BIMI?

BIMI ist eine Brancheninitiative mit dem Ziel, die Verwendung und Anzeige von Markenlogos in E-Mail-Clients zu standardisieren. Ein Marken- oder Firmenlogo – direkt im Posteingang neben dem E-Mail Kopf – schafft ein Gefühl der Legitimität und des Vertrauens. Die Implementierung wirkt sich deutlich auf die Öffnungsraten aus und erhöht den Schutz der Verbraucher vor betrügerischen E-Mails.

Technisch gesehen ist BIMI eine neue Sicherheitstechnologie, die zusammen mit den Protokollen DKIM, SPF und DMARC arbeitet, um Ihren Domainnamen davor zu schützen, von böswilligen Akteuren für den Versand betrügerischer E-Mails verwendet zu werden.

Vor BIMI waren der Prozess zur Anzeige eines Markenlogos neben einer E-Mail für jeden E-Mail-Dienst unterschiedlich; der Implementierungsprozess war teilweise vollständig manuell oder hing von anderen Anwendungen ab.

Die AuthIndicators-Gruppe, der E-Mail-Dienstleister wie Google, Verizon Media, IONOS by 1&1 und Fastmail angehören, arbeitet an der Implementierung von BIMI in die gängigsten E-Mail-Clients. Viele Anbieter haben BIMI bereits übernommen, andere sind dabei, und es wird erwartet, dass die Positionen von Microsoft und Apple die endgültige Übernahme des Standards vorantreiben werden.

Warum ist BIMI wichtig?

  • Vervollständigung des Schutzes einer Marke im Internet, insbesondere gegen Hijacking-Versuche durch betrügerische Spoofing-E-Mails, deren Ziel es ist, den Benutzer zu täuschen und ihn auf Phishing-Seiten zu führen.
  • Erhöhung der Attraktivität von E-Mails, insbesondere bei Marketingkampagnen. Die Einführung von BIMI und in größerem Umfang von Sicherheitsprotokollen und -zertifikaten für den mit einer Marke verbundenen Domainnamen ist heute unerlässlich und hat einen großen Einfluss auf den Online-Ruf.
  • Weil es sich zu einem Marktstandard entwickelt, der leicht zu implementieren ist, im Gegensatz zu den zahlreichen bereits existenten E-Mail-Betrugsbekämpfungslösungen, die oft schwer zu testen und zu implementieren sind.

Wie funktioniert BIMI?

BIMI validiert E-Mails in mehreren Schritten, um sicherzustellen, dass sie tatsächlich mit der Domain des Absenders verbunden sind. Die Absender müssen einen für BIMI bestimmten TXT-DNS-Eintrag hinzufügen.

Damit BIMI funktionieren kann, müssen die Domainnamen auch mehrere andere Schutzmechanismen gegen Betrug aufweisen, z. B:

  • SPF (Sender Policy Framework): Authentifizierung von E-Mails durch Identifizierung von Mailservern, die zum Versand vom jeweiligen Domainnamen aus berechtigt sind
  • DKIM (DomainKeys Identified Mail): Fügt jeder E-Mail eine digitale Signatur hinzu, um zu überprüfen, ob sie von einem autorisierten Domainnamen gesendet wurde
  • DMARC (Domain-Based Message Authentication, Reporting and Conformance): bestätigt SPF- und DKIM-Einträge und legt fest, wie nicht konforme E-Mails behandelt werden sollen

Wenn E-Mails mit BIMI versendet werden, führt der empfangende E-Mail-Server zunächst die standardmäßige DMARC/DKIM-Authentifizierung und SPF-Validierung durch. Wenn die E-Mail diese Prüfungen besteht, überprüft der Mailserver, ob sie einen gültigen BIMI-Eintrag hat, und zeigt das Markenlogo an.

Wie interagiert BIMI mit DMARC, DKIM und SPF?

Der erste Schritt zur Verwendung von BIMI zur Anzeige eines Logos ist die Implementierung von DMARC. Dies wird als DNS-Eintrag vom Typ TXT auf dem Domainnamen gespeichert. Damit DMARC mit BIMI funktioniert, muss die Ablehnungsrichtlinie in diesem Eintrag für alle von Ihrer Domain gesendeten E-Mails p=quarantine oder p=reject lauten.

BIMI erfordert DMARC… und DMARC erfordert, dass Ihr Domainname DKIM-Einträge hat, um zu funktionieren. Während DMARC nur SPF- oder DKIM-Einträge erfordert, um zu funktionieren, ist es trotzdem besser, SPF-Einträge für mehr Sicherheit bei der Verwendung von BIMI einzuschließen. Diese beiden Sicherheitstools werden auch als TXT-DNS-Einträge in der Domainnamenzone gespeichert.

VMC, das letzte Glied in der Kette

Ein Prüfzeichen-Zertifikat ist ein digitales Zertifikat, das den Besitz eines Logos bestätigt und die Verwendung von BIMI in E-Mail-Clients wie Gmail vervollständigt.

Das VMC-Zertifikat garantiert die Echtheit des angezeigten Logos, das notwendigerweise dem Inhaber des Domainnamens gehört, der die E-Mail versendet. Es ist das letzte Glied in der Kette, um die Authentizität der empfangenen E-Mail zu garantieren.

Wenn Sie eine E-Mail an einen Kontakt senden, übernimmt der empfangende Mailserver, der den Posteingang verwaltet, die URL des Tags, der angibt, wo das Logo angezeigt werden soll. Er überprüft dann das VMC-Zertifikat, um sicherzustellen, dass das richtige Logo verwendet wird. Sobald das Logo vom VMC verifiziert wurde, wird BIMI es neben der E-Mail im Posteingang anzeigen.

Um ein VMC-Zertifikat zu erhalten, ist die Implementierung von DMARC auf dem Domainnamen Voraussetzung. Es folgt ein Authentifizierungsprozess mit einer Zertifizierungsstelle, die die Identität der Organisation validiert, die Registrierung des Logos bei einer zertifizierten Stelle und die Ausstellung des Zertifikats nach einem persönlichen Treffen mit einem Notar.

Je nach Land können die Ämter für geistiges Eigentum für die Eintragung von Logos unterschiedlich sein, ebenso wie die Regeln für die Zulassung zur Ausstellung des Zertifikats.

Zugelassene Marken können sein:

  • Bild-Marken: bestehen ausschließlich aus einem Logo
  • Verbale Marken: Sie bestehen aus Wörtern, Buchstaben und/oder Zahlen, ohne besondere Schriftart, Größe, Farbe oder Stil
  • Kombinationsmarken: beinhalten eine Kombination von Wörtern mit einem Muster, stilisierten Buchstaben oder Zahlen

Obwohl dies derzeit keine Voraussetzung für die Implementierung von BIMI in Ihrem Domainnamen ist, sollte VMC in Zukunft Teil des Standards sein.

Entrust Datacard und DigiCert sind die ersten beiden Unternehmen, die VMC-Zertifikate für den BIMI-Standard ausstellen. Nameshield ist Partner beider Unternehmen und unterstützt Sie bei der Beschaffung von VMC-Zertifikaten. Sie können sich bei allen Fragen zu diesem Thema direkt an unsere Zertifikatsabteilung wenden.

BIMI + VMC = Garantie der Authentizität

BIMI, VMC… und Nameshield

Nameshield unterstützt seine Kunden bei der Implementierung von DMARC, SPF, DKIM sowie von BIMI-Protokollen und der Erlangung der zugehörigen VMC-Zertifikate. Der Domain-Name ist der Kern der Implementierung dieser verschiedenen Protokolle. Unser  Geschäft als Registrar und Verwalter von DNS-Zonen erlaubt es uns heute, unsere Kunden bei diesen wichtigen Themen des Kampfes gegen Online-Betrug und der Steigerung der Erwünschtheit von E-Mails zu unterstützen.