Treffen Sie Nameshield vom 10. bis 12. Oktober in Nürnberg bei einer neuen Ausgabe der it-sa, dem unumgänglichen Treffen der IT-Sicherheitsbranche!
Als „Home of IT Security“ steht die it-sa sowohl für ein umfassendes Informationsangebot als auch für Networking und Wissensaustausch zu den Themen Datenschutz und IT-Sicherheit.
Auf dem dreitägigen Programm stehen Vorträge, Workshops, Diskussionsrunden, One-to-One-Termine und Möglichkeiten zum Networking…
Treffen Sie uns vor Ort: Halle 7, Stand 7-214, in Kooperation mit eco, dem Verband für Internetwirtschaft.
Tauschen Sie sich mit unserem Team aus und finden Sie heraus, inwieweit unsere globalen Lösungen Ihre Anforderungen an die DNS-Sicherheit erfüllen. Entdecken Sie unser Produkt für eine Hochverfügbarkeit Ihrer strategischen Domains: „DNS Bastion„.
Das Internet ist aus der heutigen Welt nicht mehr wegzudenken und ist die Basis vielfältigster Anwendungen: Webseitenauftritte, E-Mail-Kommunikation, Messengerdienste, Take-Away-Food-Bestellungen und Home-Office sind da noch die offensichtlichsten, da der Anwender direkt mit ihnen zu tun hat.
Heutzutage kommunizieren aber auch Autos, Handys und IoT-Geräte über das Internet, sei es um Softwareupdates zu laden, Sensordaten zu melden oder auch automatisiert Ersatzteile nachzuordern.
Aus diesem Grund hat so gut wie jede Firma strategisch wichtige Domains, die von Kunden, Mitarbeitern oder Geräten zu gewissen Zwecken aufgerufen werden kann.
Da Domainnamen (z.B. „nameshield.de“) leichter zu merken sind als IP-Adressen (z.B. in diesem Fall „81.92.80.55“) wurde 1983 das Domain Name System (DNS) entworfen und kam ab 1984 zum Einsatz. Es ist vergleichbar mit einem verteilten Telefonbuch und übersetzt zwischen Domainnamen und IP-Adressen. Diesen Vorgang bezeichnet man als „Auflösung“, die IP-Adresse wird dann von einem befugten DNS-Server geliefert.
Im Jahr der Einführung waren aber lediglich 1.000 Rechner an das Netzwerk angeschlossen, die häufig mit wissenschaftlicher Motivation betrieben wurden. Entsprechend ging man beim Entwurf des DNS und des Internets von freundlich-gesonnenen Netzwerkteilnehmern aus. Das hat sich ein wenig geändert: Derzeit schätzt man eine Anzahl von mehr als 5 Milliarden „menschlichen“ Internetnutzern weltweit, zusätzlich kommen unzählige Geräte hinzu. Durch dieses Wachstum wurde die virtuelle Welt auch attraktiver für Betrüger, Aktivisten und Erpresser und die Anforderungen an das Internet und das dahinterliegende DNS haben sich geändert.
Neben Basisfunktionen sind von funktionaler Seite vor allem folgende Punkte wichtig:
1. Verfügbarkeit: Eine hohe Verfügbarkeit ist notwendig, damit Website, E-Mails, Apps, VPN, SSO und andere Schlüsselservices reibungslos erreichbar sind und funktionieren. Ein Ausfall des DNS-Servers mit seiner Übersetzungsfunktion führt zu Datenverlust, finanziellem Schaden, Kundenabgang, Handlungsunfähigkeit von Remote-Arbeitern und Imageverlust.
2. Latenzzeit: Egal von welchem Ort man auf eine Domain zugreift und eine Domainauflösung initiiert, soll dies heutzutage zügig geschehen. Hohe Latenzen führen zu starken Einschränkungen oder auch Fehlern in Anwendungen. Beispielsweise ist ein Telefonat mit deutlichen Verzögerung in der Leitung nicht mehr sinnvoll durchführbar. Ein anderes Beispiel ist das rund 6.000 Kilometer lange, auf dem Meeresboden verlegte, Kabel, das die Finanzplätze London und New York 5 Millisekunden schneller als sein Vorgänger kommunizieren lässt und somit zu erheblichen Vorteilen beim Börsenhandel führen.
Aus dem Blickwinkel der IT-Sicherheit ergeben sich zudem weitere Anforderungen:
3. Schutz gegenüber administrativen Risiken: Sollte ein unbefugter Zugriff auf die Konfiguration des DNS-Servers stattfinden, können relevante Daten wie IP-Adressen oder MX-Records geändert werden. Dadurch kann ein Angreifer beispielsweise legitime Domainanfragen auf eine von ihm kontrollierte IP-Adresse umleiten und so Internetnutzer auf Betrugsseiten schicken.
4. Schutz gegenüber technischen Risiken:
DDoS-Attacken: Mithilfe von Botnetzen können „Distributed Denial of Service“-Attacken (kurz DDoS) ausgeführt werden. Hierbei schicken zeitgleich hunderte bis zehntausende Bots geschickt formulierte Anfragen, die den DNS-Server überlasten, der dann wiederum keine Antworten mehr an legitim anfragende Clients geben kann. Über eine geschickte „reflection attack“ kann sogar noch eine weitere Partei mit hineingezogen werden.
DNS cache poisoning: Auf dem Weg zum DNS-Server sind Resolver vorgeschaltet. Diese werden vom Endclient kontaktiert, um eine URL aufzulösen. Der Resolver besitzt einen temporären Speicher (cache), um Domaindaten zwischenzuspeichern und muss deshalb nicht unbedingt bei jeder Anfrage des Endclients eine Verbindung zum DNS-Server herstellen. Dies reduziert die benötigte Bandbreite, gerade wenn man bedenkt, wie häufig Domains wie beispielsweise „google.de“ aufgerufen werden. Beim DNS cache poisoning wird versucht, diesen temporären Speicher mit falschen DNS-Daten zu füllen, sodass bis zur nächsten Anfrage am DNS-Server (sobald der temporäre Speicher gelöscht ist) gefälschte Informationen hinterlegt werden. Dadurch können Clients wieder auf Betrugsseiten umgeleitet werden.
DNS-Spoofing: Das DNS-Protokoll sieht erstmal keine Verschlüsselung und keinen Integritätsschutz von Anfragen und Antworten vor. Das heißt, dass Dritte die Kommunikation mithören können. In einem weiteren Schritt können sie sich dann als DNS-Server ausgeben und gefälschte Antworten mit falschen Informationen senden, die dann wiederum auf eine Betrugsseite führen können.
DNS-tunneling: DNS-requests werden normalerweise ständig und in hoher Anzahl aus dem Firmennetzwerk verschickt. Dabei werden sie sehr selten durch eine Firewall blockiert. Hacker nutzen dies aus, um Daten aus dem Firmennetzwerk zu extrahieren, ohne zu viel Aufmerksamkeit auf sich zu ziehen. Dazu registrieren sie eine Domain (bspw. „hacker.com“) und lassen den infizierten Firmenrechner DNS-Abfragen an diese Domain schicken. Dabei werden in jeder DNS-Abfrage zu extrahierende Daten mitgeschickt. Sobald alle Daten per DNS-Request übermittelt wurden, müssen die Angreifer diese dann nur noch aus den verschiedenen Abfragen zusammensetzen.
Um diese Funktionen und Sicherheitsanforderungen zu gewährleisten, sollte ein DNS-System durchdacht aufgesetzt werden. Beispielsweise gibt der IT-Grundschutz vor, dass DNS-Server redundant ausgelegt werden müssen und laufend überwacht werden müssen, um die Leistungskapazität der Hardware rechtzeitig anpassen zu können.
Auch Nameshield betreibt für seine Kunden DNS-Server, dabei geht das Produkt „DNS Bastion“ noch einen Schritt weiter, um die oben genannten Herausforderungen zu meistern. DNS Bastion ist vorgesehen für strategisch wichtige Domains und besteht aus fünf Säulen:
Integrität, Verfügbarkeit, Monitoring, Analyse und Alert
Eine kleine Beschreibung soll zeigen, was damit jeweils gemeint ist und wie damit die Anforderung abgedeckt werden können.
1. Integrität: Die Integrität soll vor allem gegenüber administrativen Risiken schützen. Beispielsweise beinhaltet DNS Bastion die Funktion „Registry Lock“, um unauthorisierte, ungewollte und unbeabsichtigte Änderungen der Domain zu verhindern. Weitere Funktionen beinhalten unter anderem Multifaktor-Authentifizierung und IP-Filterung, um nur mit valider Berechtigung und von einem bestimmten IP-Bereich Änderungen vornehmen zu können.
2. Verfügbarkeit: Durch ein Dual Anycast Netzwerk mit 80 Standorten und einem zweifachen DDoS-Schutz kann eine hohe Verfügbarkeit (99,999%), eine geringe Latenzzeit und ein Schutz vor DDoS-Attacken gewährleistet werden. Zusätzliche Funktionen wie DNSSEC und TSIG sind ein wirksames Mittel gegen DNS Spoofing und DNS Cache Poisoning. Mit DNSSEC kann die anfragende Partei verifizieren, dass die übermittelten DNS-Informationen identisch sind mit denen, die vom Ersteller der Zone autorisiert wurden. Dazu werden die DNS-Records digital signiert und damit Authentizität und Integrität der DNS-Antwort sichergestellt.
3. Monitoring: Kontinuierliches internes und externes Monitoring des Domainnamens sowie detaillierte Traffic-Statistiken ermöglichen eine umfangreiche Überwachung der Domain und des DNS. Zeitgleich steht ein Supportteam 24/365 bereit.
4. Analyse: Im monatlichen Intervall wird ein Bericht verschickt, in dem wichtige Daten und Parameter des DNS untersucht werden. Neben einer tiefgründigen DNS-Traffic-Analyse wird die Zonenkonfiguration bewertet. Zusätzlich werden die RFC-Compliance und ANSSI-Empfehlungen berücksichtigt. All diese Informationen unterstützen bei einer konformen Einrichtung und Betrieb von DNS und Domain.
5. Alert: Durch die vorher genannten Sicherheitsfunktionen kann die Attraktivität als Angriffsziel reduziert werden. Dennoch können Angreifer eine Attacke versuchen. Um dies schnellstmöglich festzustellen und handeln zu können, erkennt DNS Bastion Anomalien in DNS-Traffic sowie bei Zugriffsversuchen auf die Nameshield Schnittstelle. In diesem Fall wird automatisch ein Alert sowie ein Vorfallsbericht verschickt. Die zügige Erkennungs- und Warnfunktion hilft dabei handlungsfähig zu bleiben.
Gerne helfen wir bei der Identifikation der strategischen Domains und ihrem anschließenden Schutz.
Phishing-Attacken werden immer zahlreicher und aggressiver – erfahren Sie bei uns wie Sie verhindern können, dass E-Mail-Adressen Ihrer Firma Ausgangspunkt solcher Attacken werden.
Am 22.03. beim ICEBREAKER werden wir über das folgende Thema diskutieren: Domains und DMARC – Aktuelle Trends und Herausforderungen im Bereich der IT-Security
Die Rethink! IT Security ist der führende IT Security Summit für CISOs und IT Security Entscheider aus dem deutschsprachigen Raum. Lernen Sie aktuelle Herausforderungen, Technologien, Trends und Best Practice im Bereich der IT und Cybersecurity kennen!
Für unsere Kunden haben wir eine begrenzte Anzahl kostenfreier Tickets. Sprechen Sie uns unter salesgermany@nameshield.net an.
Wir freuen uns, Sie auf unserem Stand zu begrüßen und haben dort eine kleine Überraschung für Sie vorbereitet, um ihre Nerven im Falle eines Vorfalls beruhigen zu können.
Phishing–as–a-Service (PhaaS) ist ein schnell wachsendes Phänomen in der Welt der Cyberbedrohungen, das Angreifer mit immer wirkungsvolleren Tools bewaffnet und den Markt für Online-Betrug für die breite Masse geöffnet hat. Phishing-Versuche in hoher Qualität sind so zu einer täglichen Plage geworden.
Erfahren Sie in diesem neuen Infoblatt „…in 5 Minuten erklärt“, wie Phishing mittlerweile als fertiges Kit verkauft wird und wie Sie sich davor schützen können.
Nameshield erneuert seine ISO 27001-Zertifizierung für sein gesamtes Registrar-Geschäft.
Nameshield ist seit 2017 für seine Aktivitäten im Bereich der Verwaltung von Domainnamen-Portfolios, DNS und TLS/SSL-Zertifikaten nach ISO 27001 zertifiziert. Wir sind stolz darauf, die Erneuerung unserer ISO 27001-Zertifizierung im Februar 2023 bekannt geben zu können.
ISO 27001-Zertifizierung, was ist das?
ISO 27001 ist eine internationale Norm, welche die Anforderungen für die Einrichtung eines Informationssicherheits-Managementsystems (ISMS) beschreibt, das die Sicherheitsmaßnahmen definiert, die zum Schutz der sensiblen Güter eines Unternehmens in einem definierten Bereich eingesetzt werden sollen.
Im Fall von Nameshield deckt dieses den gesamten Bereich seiner Registrar-Aktivitäten ab. Auf höherer Ebene verlangt die Norm ISO 27001, dass sich die Unternehmensleitung an der Cyberverteidigung beteiligt. Parallel dazu überwacht ein Lenkungsausschuss die Umsetzung der neuen Bestimmungen der Norm.
Warum die Zertifizierung nach 27001?
Eine Zertifizierung nach ISO 27001 bedeutet, dass wir unseren Kunden und Partnern eine Sicherheit der Informationssysteme bieten können, die vollständig in jede der von Nameshield angebotenen Dienstleistungen integriert ist. Wir investieren in Ihre und unsere Sicherheit und verpflichten uns zu einem kontinuierlichen Verbesserungsprozess.
Die Zertifizierung nach ISO 27001 bestätigt auch die Kompetenz der Mitarbeiter von Nameshield und ihr Fachwissen in Bezug auf den Schutz kritischer Informationen.
Was die ISO 27001-Zertifizierung garantiert
Die ISO 27001-Zertifizierung beinhaltet:
Etablierung einer Firmenkultur, bei der Mitarbeiter hinsichtlich aller Aspekte der Informationssicherheit sensibilisiert sind
Die Widerstands- und Leistungsfähigkeit unseres Systems
Die systematische Auswertung von Feedback, um unsere und Ihre Sicherheit kontinuierlich zu verbessern
Jährliche systematische Analyse von Risiken und Bearbeitung anhand anerkannter Methoden
Verfügbarkeitsrate (Interface für die Verwaltung von Domainnamen und DNS Premium)
BIMI (Brand Indicators for Message Identification) ermöglicht es Ihnen, eigene E-Mails zu authentifizieren und das Vertrauen Ihrer Kunden zu stärken, indem Sie Ihr Logo in deren Posteingang anzeigen. VMC (Verified Mark Certificate) ist ein mit BIMI verbundenes Zertifikat, das die Echtheit des angezeigten Markenlogos gewährleistet.
Was ist BIMI?
BIMI ist eine Brancheninitiative mit dem Ziel, die Verwendung und Anzeige von Markenlogos in E-Mail-Clients zu standardisieren. Ein Marken- oder Firmenlogo – direkt im Posteingang neben dem E-Mail Kopf – schafft ein Gefühl der Legitimität und des Vertrauens. Die Implementierung wirkt sich deutlich auf die Öffnungsraten aus und erhöht den Schutz der Verbraucher vor betrügerischen E-Mails.
Technisch gesehen ist BIMI eine neue Sicherheitstechnologie, die zusammen mit den Protokollen DKIM, SPF und DMARC arbeitet, um Ihren Domainnamen davor zu schützen, von böswilligen Akteuren für den Versand betrügerischer E-Mails verwendet zu werden.
Vor BIMI waren der Prozess zur Anzeige eines Markenlogos neben einer E-Mail für jeden E-Mail-Dienst unterschiedlich; der Implementierungsprozess war teilweise vollständig manuell oder hing von anderen Anwendungen ab.
Die AuthIndicators-Gruppe, der E-Mail-Dienstleister wie Google, Verizon Media, IONOS by 1&1 und Fastmail angehören, arbeitet an der Implementierung von BIMI in die gängigsten E-Mail-Clients. Viele Anbieter haben BIMI bereits übernommen, andere sind dabei, und es wird erwartet, dass die Positionen von Microsoft und Apple die endgültige Übernahme des Standards vorantreiben werden.
Warum ist BIMI wichtig?
Vervollständigung des Schutzes einer Marke im Internet, insbesondere gegen Hijacking-Versuche durch betrügerische Spoofing-E-Mails, deren Ziel es ist, den Benutzer zu täuschen und ihn auf Phishing-Seiten zu führen.
Erhöhung der Attraktivität von E-Mails, insbesondere bei Marketingkampagnen. Die Einführung von BIMI und in größerem Umfang von Sicherheitsprotokollen und -zertifikaten für den mit einer Marke verbundenen Domainnamen ist heute unerlässlich und hat einen großen Einfluss auf den Online-Ruf.
Weil es sich zu einem Marktstandard entwickelt, der leicht zu implementieren ist, im Gegensatz zu den zahlreichen bereits existenten E-Mail-Betrugsbekämpfungslösungen, die oft schwer zu testen und zu implementieren sind.
Wie funktioniert BIMI?
BIMI validiert E-Mails in mehreren Schritten, um sicherzustellen, dass sie tatsächlich mit der Domain des Absenders verbunden sind. Die Absender müssen einen für BIMI bestimmten TXT-DNS-Eintrag hinzufügen.
Damit BIMI funktionieren kann, müssen die Domainnamen auch mehrere andere Schutzmechanismen gegen Betrug aufweisen, z. B:
SPF (Sender Policy Framework): Authentifizierung von E-Mails durch Identifizierung von Mailservern, die zum Versand vom jeweiligen Domainnamen aus berechtigt sind
DKIM (DomainKeys Identified Mail): Fügt jeder E-Mail eine digitale Signatur hinzu, um zu überprüfen, ob sie von einem autorisierten Domainnamen gesendet wurde
DMARC(Domain-Based Message Authentication, Reporting and Conformance): bestätigt SPF- und DKIM-Einträge und legt fest, wie nicht konforme E-Mails behandelt werden sollen
Wenn E-Mails mit BIMI versendet werden, führt der empfangende E-Mail-Server zunächst die standardmäßige DMARC/DKIM-Authentifizierung und SPF-Validierung durch. Wenn die E-Mail diese Prüfungen besteht, überprüft der Mailserver, ob sie einen gültigen BIMI-Eintrag hat, und zeigt das Markenlogo an.
Wie interagiert BIMI mit DMARC, DKIM und SPF?
Der erste Schritt zur Verwendung von BIMI zur Anzeige eines Logos ist die Implementierung von DMARC. Dies wird als DNS-Eintrag vom Typ TXT auf dem Domainnamen gespeichert. Damit DMARC mit BIMI funktioniert, muss die Ablehnungsrichtlinie in diesem Eintrag für alle von Ihrer Domain gesendeten E-Mails p=quarantine oder p=reject lauten.
BIMI erfordert DMARC… und DMARC erfordert, dass Ihr Domainname DKIM-Einträge hat, um zu funktionieren. Während DMARC nur SPF- oder DKIM-Einträge erfordert, um zu funktionieren, ist es trotzdem besser, SPF-Einträge für mehr Sicherheit bei der Verwendung von BIMI einzuschließen. Diese beiden Sicherheitstools werden auch als TXT-DNS-Einträge in der Domainnamenzone gespeichert.
VMC, das letzte Glied in der Kette
Ein Prüfzeichen-Zertifikat ist ein digitales Zertifikat, das den Besitz eines Logos bestätigt und die Verwendung von BIMI in E-Mail-Clients wie Gmail vervollständigt.
Das VMC-Zertifikat garantiert die Echtheit des angezeigten Logos, das notwendigerweise dem Inhaber des Domainnamens gehört, der die E-Mail versendet. Es ist das letzte Glied in der Kette, um die Authentizität der empfangenen E-Mail zu garantieren.
Wenn Sie eine E-Mail an einen Kontakt senden, übernimmt der empfangende Mailserver, der den Posteingang verwaltet, die URL des Tags, der angibt, wo das Logo angezeigt werden soll. Er überprüft dann das VMC-Zertifikat, um sicherzustellen, dass das richtige Logo verwendet wird. Sobald das Logo vom VMC verifiziert wurde, wird BIMI es neben der E-Mail im Posteingang anzeigen.
Um ein VMC-Zertifikat zu erhalten, ist die Implementierung von DMARC auf dem Domainnamen Voraussetzung. Es folgt ein Authentifizierungsprozess mit einer Zertifizierungsstelle, die die Identität der Organisation validiert, die Registrierung des Logos bei einer zertifizierten Stelle und die Ausstellung des Zertifikats nach einem persönlichen Treffen mit einem Notar.
Je nach Land können die Ämter für geistiges Eigentum für die Eintragung von Logos unterschiedlich sein, ebenso wie die Regeln für die Zulassung zur Ausstellung des Zertifikats.
Zugelassene Marken können sein:
Bild-Marken: bestehen ausschließlich aus einem Logo
Verbale Marken: Sie bestehen aus Wörtern, Buchstaben und/oder Zahlen, ohne besondere Schriftart, Größe, Farbe oder Stil
Kombinationsmarken: beinhalten eine Kombination von Wörtern mit einem Muster, stilisierten Buchstaben oder Zahlen
Obwohl dies derzeit keine Voraussetzung für die Implementierung von BIMI in Ihrem Domainnamen ist, sollte VMC in Zukunft Teil des Standards sein.
Entrust Datacard und DigiCert sind die ersten beiden Unternehmen, die VMC-Zertifikate für den BIMI-Standard ausstellen. Nameshield ist Partner beider Unternehmen und unterstützt Sie bei der Beschaffung von VMC-Zertifikaten. Sie können sich bei allen Fragen zu diesem Thema direkt an unsere Zertifikatsabteilung wenden.
BIMI + VMC = Garantie der Authentizität
BIMI, VMC… und Nameshield
Nameshield unterstützt seine Kunden bei der Implementierung von DMARC, SPF, DKIM sowie von BIMI-Protokollen und der Erlangung der zugehörigen VMC-Zertifikate. Der Domain-Name ist der Kern der Implementierung dieser verschiedenen Protokolle. Unser Geschäft als Registrar und Verwalter von DNS-Zonen erlaubt es uns heute, unsere Kunden bei diesen wichtigen Themen des Kampfes gegen Online-Betrug und der Steigerung der Erwünschtheit von E-Mails zu unterstützen.
