Als Reaktion auf die explosionsartige Zunahme von weltweit gemeldeten Phishing-Angriffen wird die nächste Version der Standards für die Kreditkartenindustrie (PCI DSS v4.0) die Implementierung des DMARC-Protokolls vorschreiben, um den E-Mail-Verkehr sicherer zu machen.
Hier finden Sie alles, was Sie darüber wissen sollten.
Was ist PCI DSS und wer ist davon betroffen?
Dieses Akronym steht für eine Reihe von Sicherheitsstandards, die entwickelt wurden, um den Schutz von Informationen im Zusammenhang mit Kreditkarten zu gewährleisten. Diese Standards wurden vom Payment Card Industry Security Standards Council (PCI SSC) geschaffen. Die Organisation vereint die wichtigsten Unternehmen der Kreditkartenbranche wie Visa, MasterCard, American Express, Discover und JCB.
Das Hauptziel des PCI DSS ist es, die Sicherheit von Transaktionen mit Kreditkarten zu gewährleisten und die sensiblen Daten der Karteninhaber, wie Kartennummern, Ablaufdaten und Geheimzahl, zu schützen.
Die Einhaltung des PCI DSS ist für alle Organisationen erforderlich, die Kreditkarteninformationen verarbeiten, speichern oder weitergeben.
In seiner aktuellen Version basiert der Standard auf den folgenden Kriterien:
Einrichtung und Verwaltung eines sicheren Netzwerks und Systems
Schutz der Daten des Karteninhabers
Aufrechterhaltung eines Programms zum Schwachstellenmanagement
Umsetzung strenger Maßnahmen zur Zugangskontrolle
Regelmäßige Überwachung und Tests der Netzwerke
Aufrechterhaltung einer Richtlinie zur Informationssicherheit
E-Mails nicht betroffen von den Maßnahmen – bis März 2025
Wie Sie bemerkt haben, werden E-Mails in den Kriterien, die der PCI DSS-Standard in seiner aktuellen Version definiert, nicht eindeutig erwähnt. Da E-Mails jedoch der Hauptvektor für Online-Betrügereien sind, war es höchste Zeit, sie vollständig in den Mittelpunkt zu stellen und einen starken Aktionsplan zum Schutz von Händlern und ihren Kunden zu definieren.
In diesem Zusammenhang wird sich der PCI DSS-Standard bald weiterentwickeln und den Einsatz einer strengen DMARC-Richtlinie („p=reject“ oder „p=quarantine“) vorschreiben, damit Anti-Spam-Software E-Mails, die von Ihrem Domainnamen aus ohne Ihre Genehmigung verschickt werden, effektiver herausfiltern kann.
Ab März 2025 werden PCI DSS-Prüfer die korrekte Konfiguration der Protokolle SPF, DKIM und DMARC bei ihren Audits berücksichtigen.
Die Experten von Nameshield stehen Ihnen gerne zur Verfügung, um Sie bei der Einführung dieses Protokolls zu unterstützen.
Google und Yahoo haben kürzlich bedeutende Änderungen an ihren Anforderungen für die Authentifizierung von E-Mails angekündigt. Diese Anpassungen zielen darauf ab, die Sicherheit der Online-Kommunikation zu erhöhen, was in der heutigen Zeit der Cyberkriminalität eine große Herausforderung darstellt.
Die beiden Branchenriesen legen den Schwerpunkt auf die Einführung fortschrittlicher Authentifizierungsprotokolle, insbesondere DMARC(Domain-based Message Authentication, Reporting and Conformance). DMARC baut auf den bestehenden Standards SPF und DKIM auf und bietet eine robuste Methode, um die Authentizität von E-Mails zu überprüfen und das Risiko von Identitätsdiebstahl und Phishing zu verringern.
Um diese neuen Anforderungen umzusetzen, werden Google und Yahoo ihre Algorithmen anpassen, um E-Mails von Domains zu priorisieren, die DMARC korrekt implementiert haben. Dadurch soll die Zustellbarkeit authentifizierter E-Mails verbessert werden, wodurch das Vertrauen der Nutzer in die Sicherheit ihrer Posteingänge gestärkt wird.
Die neuen Richtlinien gelten ab dem 1. Februar 2024 für alle Absender, die mehr als 5.000 E-Mails pro Tag versenden. Sie unterstreichen das Engagement von Google und Yahoo im Kampf gegen Online-Bedrohungen, insbesondere gegen Phishing, eine gängige Methode von Cyberkriminellen, um Nutzer zu täuschen und an ihre sensiblen Informationen zu gelangen. Durch die Einführung strengerer Anforderungen an die E-Mail-Authentifizierung erhöhen diese Unternehmen den Schutz der Nutzer vor bösartigen Angriffen.
Für Domaininhaber und Akteure der digitalen Welt ist es nun entscheidend, diese neuen Richtlinien einzuhalten, um zur Schaffung eines sichereren und geschützteren Internets für alle beizutragen.
Die Experten von Nameshield stehen Ihnen gerne zur Verfügung, um Sie bei der Einführung dieses Protokolls zu unterstützen.
In der Welt der Websites und Domainnamen kommt es häufig vor, dass man die Verwendung eines Domainnamens – etwa in der Adresszeile des Webbrowsers – auf einen anderen umleiten möchte, um auf eine Website zuzugreifen. Ein Beispiel:
a-great-website.com auf www.a-great-website.com weiterleiten.
www.to-be-redirected.com auf www.a-great-website.com weiterleiten.
Es ist jedoch nicht immer ganz einfach zu verstehen, wie das alles funktioniert und wie man beim Einrichten dieser Weiterleitungen vorgehen muss. Muss ich die Weiterleitung auf der Ebene der DNS-Zone einrichten? Auf der Ebene meines Webservers? Auf beiden? Wahlweise das eine oder das andere?
Dieser Artikel soll die Unterscheidung zwischen DNS- und HTTP-Weiterleitung näher erläutern und aufzeigen, wie diese beiden Protokolle zusammenarbeiten.
Anmerkung: Im Folgenden wird nicht zwischen HTTP und HTTPS (durch ein Zertifikat gesichertes HTTP-Protokoll) unterschieden. Für das Thema, das uns hier interessiert, macht dies keinen Unterschied.
Den Unterschied zwischen DNS und HTTP richtig verstehen
DNS und HTTP sind zwei Protokolle, die beide für das reibungslose Funktionieren des Internets unerlässlich sind, aber nicht die gleiche Rolle spielen.
Nehmen wir als Beispiel einen Benutzer, der auf die Website blog.nameshield.com zugreifen möchte. Er gibt daher blog.nameshield.com in die Adresszeile seines bevorzugten Browsers ein.
Bevor der Browser eine Anfrage senden kann, um den Inhalt der Homepage der Website zu erhalten, muss er wissen, an welche IP-Adresse er diese Anfrage senden soll. Hier kommt das DNS ins Spiel. Der Browser sendet also eine DNS-Anfrage (unter Verwendung des DNS-Protokolls) an einen Resolver: „Gib mir die IP-Adresse, die mit blog.nameshield.com verknüpft ist“. Im Gegenzug erhält er eine IP-Adresse (81.92.84.102), die bei einem autoritären DNS-Server konfiguriert wurde. Man spricht von der Auflösung der Domain blog.nameshield.com.
Der Browser kann dann die HTTP-Request (unter Verwendung des HTTP-Protokolls) an den HTTP-Server (oder Webserver) senden, dessen IP-Adresse er soeben erhalten hat: „Gib mir den Inhalt der Webseite blog.nameshield.com„. Im Gegenzug erhält er den Inhalt der Seite, die er anzeigen soll.
Das DNS-Protokoll bietet Datensatztypen, die es ermöglichen, eine Domain auf eine andere „umzuleiten“: insbesondere den Typ CNAME. Auch wenn man leicht von DNS-„Umleitung“ spricht, ist der Begriff „Alias“ angemessener. Dieses leitet nicht im eigentlichen Sinne um, sondern zeigt an, dass die Domain, die man auflöst, ein Alias einer anderen Domain ist. Man muss dann diese andere Domain auflösen, um die gesuchte IP-Adresse zu erhalten.
Nehmen wir ein Beispiel: Man möchte eine Weiterleitung von www.to-be-redirected.com auf die Website www.a-great-website.com einrichten. Wenn wir die DNS-Zone von to-be-redirected.com mit einem CNAME-Eintrag wie diesem konfigurieren: www.to-be-redirected.com CNAME www.a-great-website.com, läuft das darauf hinaus, dass wir sagen: „Sie möchten die IP-Adresse wissen, die mit www.to-be-redirected.com verbunden ist ? Nun, suchen Sie die IP-Adresse, die mit www.a-great-website.com verbunden ist und Sie werden Ihre Antwort erhalten.“ Eine zweite DNS-Anfrage wird gesendet, um www.a-great-website.com aufzulösen und die IP-Adresse zu erhalten. Der Browser wird zwar über die IP-Adresse des HTTP-Servers verfügen, der uns interessiert (der Server, der die Webseite www.a-great-website.com hostet), aber das ändert nichts am Inhalt der vom Browser gesendeten HTTP-Anfrage: „Gib mir den Inhalt der Webseite www.to-be-redirected.com„.
Es ist wichtig zu beachten, dass die vom Browser gesendete HTTP-Anfrage den Namen der Website (oder Host – hier www.to-be-redirected.com) enthält, auf die man zugreifen möchte. Ein und derselbe Server (und damit eine IP-Adresse) kann nämlich Dutzende verschiedener Websites beherbergen. Er wird nur auf HTTP-Anfragen positiv reagieren, die einen Host enthalten, für den er konfiguriert ist. Es reicht also nicht aus, die IP-Adresse des Webservers zu kennen, Sie müssen ihm auch eine HTTP-Anfrage senden, auf die er antworten kann. Eine Anfrage http://www.to-be-redirected.com an einen Server zu senden, der nur für die Beantwortung von http://www.a-great-website.com konfiguriert ist, wird nicht funktionieren!
Auch das HTTP-Protokoll bietet ein System von Weiterleitungen (hier ist in der Tat von Weiterleitungen die Rede). Ein HTTP-Server kann so konfiguriert werden, dass er einen Host an einen anderen weiterleitet. Wenn er beispielsweise HTTP-Anfragen „Gib mir den Inhalt der Webseite www.to-be-redirected.com“ erhält, antwortet er „Diese Ressource wird an http://www.a-great-website.com weitergeleitet“. Dann nimmt der Browser die verschiedenen Schritte wieder auf:
DNS-Auflösung von www.a-great-website.com
Senden einer Anfrage http://www.a-great-website.com an die erhaltene IP-Adresse
Anzeige der erhaltenen Webseite
Wie können DNS und HTTP-Weiterleitungen gut zusammenarbeiten ?
Fassen wir noch einmal zusammen:
Das DNS dient dazu, einen Domainnamen aufzulösen, um eine IP-Adresse zu erhalten.
HTTP-Anfragen werden an eine IP-Adresse gesendet und enthalten den Host der Website, auf die man zugreifen möchte.
HTTP-Server können je nach Host in der Anfrage unterschiedliche Inhalte zurückliefern: eine von ihnen gehostete Webseite, eine Weiterleitung, für die sie konfiguriert wurden, oder einen Fehler, wenn ihnen der Host unbekannt ist.
Um eine Umleitung (immer noch mit unserem Beispiel) korrekt zu betreiben, benötigen Sie also:
Einen DNS-Eintrag in der Zone to-be-redirected.com, um den Host www mit der IP-Adresse eines Webservers zu verknüpfen und
Einen Webserver, auf dem eine Weiterleitung von http://www.to-be-redirected.com nach http://www.a-great-website.com eingerichtet werden muss.
Wie Nameshield Sie unterstützen kann ?
Nameshield bietet einen Dienst für HTTP- (und HTTPS-) Weiterleitungen an, der die Einrichtung dieser Weiterleitungen vereinfacht und den Sie nutzen können, sobald sich Ihre ursprüngliche Domain in der technischen Verwaltung von Nameshield befindet. Gehen Sie einfach zur Schnittstelle für die technische Konfiguration Ihres Domainnamens und dann zur Registerkarte „HTTP-Weiterleitungen“. Dort können Sie eine neue Umleitung auf den Host Ihrer Wahl erstellen, indem Sie verschiedene Parameter angeben (z. B. die Weitergabe von Verzeichnissen und oder von Parametern der Anfrage). Unser System übernimmt dann automatisch die folgenden Aufgaben:
Die DNS-Zone zu ändern, um Datensätze (A/JJJJ oder CNAME, je nachdem, was zutrifft) hinzuzufügen, die auf die IP-Adresse des Nameshield-HTTP-Weiterleitungsservers verweisen. In der Konfigurationsoberfläche der Zone gibt es ein eigenes Symbol, mit dem diese automatisch hinzugefügten Datensätze leicht unterschieden werden können.
Richten Sie eine neue Weiterleitung auf unserem HTTP-Weiterleitungsserver (der über eine Anycast-Architektur verfügt, wenn Sie ein Premium-Angebot nutzen) gemäß den geforderten Parametern ein.
Danach ist Ihre Weiterleitung funktionsfähig und Sie müssen nichts weiter tun. Bei Ihrem Webhoster sind keine Änderungen erforderlich.
Wenn Sie das Ziel einer bestehenden HTTP-Weiterleitung ändern möchten, müssen Sie nur von derselben Schnittstelle aus die bestehende Weiterleitung ändern (Sie müssen sie nicht löschen, um eine neue Weiterleitung zu erstellen). Am DNS müssen keine Änderungen vorgenommen werden, da der Host bereits auf unseren HTTP-Weiterleitungsserver weiterleitet. Unser System wird sich darum kümmern, die Konfiguration des HTTP-Servers zu ändern und Ihre neue Weiterleitung wird innerhalb weniger Minuten wirksam.
Wenn Sie Fragen zu diesem Artikel haben, wenden Sie sich bitte an Ihre/n Kundenbetreuer/in.
Nameshield führt als Experte der Themen Domainsicherheit und Online Brand Protection regelmäßig Studien zur aktuellen Lage in diesen Bereichen durch, so auch bei unserer aktuellen DMARC-Studie.
Da Finanzinstitute und deren Kunden ein attraktives Ziel für Angreifer sind und mit dem DMARC-Standard ein zuverlässiger Schutz vor Phishing E-Mails möglich ist, haben wir uns in der aktuellen Studie gefragt, wie weit deutsche Banken bei der Umsetzung bereits fortgeschritten sind. Um eine Vergleichsbasis zu haben, wurde das europäische Bankenumfeld in die Analyse miteinbezogen.
Basierend auf unserer über 30-jährigen Erfahrung auf dem Gebiet der Domain- und E-Mail-Sicherheit kann Nameshield in dem Report auch erste Handlungsempfehlungen geben. Der vollständige Report steht hier für Sie zum Downloadbereit. Fragen Sie auch gerne eine personalisierte Auswertung und Beratung bei uns an.
Treffen Sie Nameshield vom 10. bis 12. Oktober in Nürnberg bei einer neuen Ausgabe der it-sa, dem unumgänglichen Treffen der IT-Sicherheitsbranche!
Als „Home of IT Security“ steht die it-sa sowohl für ein umfassendes Informationsangebot als auch für Networking und Wissensaustausch zu den Themen Datenschutz und IT-Sicherheit.
Auf dem dreitägigen Programm stehen Vorträge, Workshops, Diskussionsrunden, One-to-One-Termine und Möglichkeiten zum Networking…
Treffen Sie uns vor Ort: Halle 7, Stand 7-214, in Kooperation mit eco, dem Verband für Internetwirtschaft.
Tauschen Sie sich mit unserem Team aus und finden Sie heraus, inwieweit unsere globalen Lösungen Ihre Anforderungen an die DNS-Sicherheit erfüllen. Entdecken Sie unser Produkt für eine Hochverfügbarkeit Ihrer strategischen Domains: „DNS Bastion„.
Das Internet ist aus der heutigen Welt nicht mehr wegzudenken und ist die Basis vielfältigster Anwendungen: Webseitenauftritte, E-Mail-Kommunikation, Messengerdienste, Take-Away-Food-Bestellungen und Home-Office sind da noch die offensichtlichsten, da der Anwender direkt mit ihnen zu tun hat.
Heutzutage kommunizieren aber auch Autos, Handys und IoT-Geräte über das Internet, sei es um Softwareupdates zu laden, Sensordaten zu melden oder auch automatisiert Ersatzteile nachzuordern.
Aus diesem Grund hat so gut wie jede Firma strategisch wichtige Domains, die von Kunden, Mitarbeitern oder Geräten zu gewissen Zwecken aufgerufen werden kann.
Da Domainnamen (z.B. „nameshield.de“) leichter zu merken sind als IP-Adressen (z.B. in diesem Fall „81.92.80.55“) wurde 1983 das Domain Name System (DNS) entworfen und kam ab 1984 zum Einsatz. Es ist vergleichbar mit einem verteilten Telefonbuch und übersetzt zwischen Domainnamen und IP-Adressen. Diesen Vorgang bezeichnet man als „Auflösung“, die IP-Adresse wird dann von einem befugten DNS-Server geliefert.
Im Jahr der Einführung waren aber lediglich 1.000 Rechner an das Netzwerk angeschlossen, die häufig mit wissenschaftlicher Motivation betrieben wurden. Entsprechend ging man beim Entwurf des DNS und des Internets von freundlich-gesonnenen Netzwerkteilnehmern aus. Das hat sich ein wenig geändert: Derzeit schätzt man eine Anzahl von mehr als 5 Milliarden „menschlichen“ Internetnutzern weltweit, zusätzlich kommen unzählige Geräte hinzu. Durch dieses Wachstum wurde die virtuelle Welt auch attraktiver für Betrüger, Aktivisten und Erpresser und die Anforderungen an das Internet und das dahinterliegende DNS haben sich geändert.
Neben Basisfunktionen sind von funktionaler Seite vor allem folgende Punkte wichtig:
1. Verfügbarkeit: Eine hohe Verfügbarkeit ist notwendig, damit Website, E-Mails, Apps, VPN, SSO und andere Schlüsselservices reibungslos erreichbar sind und funktionieren. Ein Ausfall des DNS-Servers mit seiner Übersetzungsfunktion führt zu Datenverlust, finanziellem Schaden, Kundenabgang, Handlungsunfähigkeit von Remote-Arbeitern und Imageverlust.
2. Latenzzeit: Egal von welchem Ort man auf eine Domain zugreift und eine Domainauflösung initiiert, soll dies heutzutage zügig geschehen. Hohe Latenzen führen zu starken Einschränkungen oder auch Fehlern in Anwendungen. Beispielsweise ist ein Telefonat mit deutlichen Verzögerung in der Leitung nicht mehr sinnvoll durchführbar. Ein anderes Beispiel ist das rund 6.000 Kilometer lange, auf dem Meeresboden verlegte, Kabel, das die Finanzplätze London und New York 5 Millisekunden schneller als sein Vorgänger kommunizieren lässt und somit zu erheblichen Vorteilen beim Börsenhandel führen.
Aus dem Blickwinkel der IT-Sicherheit ergeben sich zudem weitere Anforderungen:
3. Schutz gegenüber administrativen Risiken: Sollte ein unbefugter Zugriff auf die Konfiguration des DNS-Servers stattfinden, können relevante Daten wie IP-Adressen oder MX-Records geändert werden. Dadurch kann ein Angreifer beispielsweise legitime Domainanfragen auf eine von ihm kontrollierte IP-Adresse umleiten und so Internetnutzer auf Betrugsseiten schicken.
4. Schutz gegenüber technischen Risiken:
DDoS-Attacken: Mithilfe von Botnetzen können „Distributed Denial of Service“-Attacken (kurz DDoS) ausgeführt werden. Hierbei schicken zeitgleich hunderte bis zehntausende Bots geschickt formulierte Anfragen, die den DNS-Server überlasten, der dann wiederum keine Antworten mehr an legitim anfragende Clients geben kann. Über eine geschickte „reflection attack“ kann sogar noch eine weitere Partei mit hineingezogen werden.
DNS cache poisoning: Auf dem Weg zum DNS-Server sind Resolver vorgeschaltet. Diese werden vom Endclient kontaktiert, um eine URL aufzulösen. Der Resolver besitzt einen temporären Speicher (cache), um Domaindaten zwischenzuspeichern und muss deshalb nicht unbedingt bei jeder Anfrage des Endclients eine Verbindung zum DNS-Server herstellen. Dies reduziert die benötigte Bandbreite, gerade wenn man bedenkt, wie häufig Domains wie beispielsweise „google.de“ aufgerufen werden. Beim DNS cache poisoning wird versucht, diesen temporären Speicher mit falschen DNS-Daten zu füllen, sodass bis zur nächsten Anfrage am DNS-Server (sobald der temporäre Speicher gelöscht ist) gefälschte Informationen hinterlegt werden. Dadurch können Clients wieder auf Betrugsseiten umgeleitet werden.
DNS-Spoofing: Das DNS-Protokoll sieht erstmal keine Verschlüsselung und keinen Integritätsschutz von Anfragen und Antworten vor. Das heißt, dass Dritte die Kommunikation mithören können. In einem weiteren Schritt können sie sich dann als DNS-Server ausgeben und gefälschte Antworten mit falschen Informationen senden, die dann wiederum auf eine Betrugsseite führen können.
DNS-tunneling: DNS-requests werden normalerweise ständig und in hoher Anzahl aus dem Firmennetzwerk verschickt. Dabei werden sie sehr selten durch eine Firewall blockiert. Hacker nutzen dies aus, um Daten aus dem Firmennetzwerk zu extrahieren, ohne zu viel Aufmerksamkeit auf sich zu ziehen. Dazu registrieren sie eine Domain (bspw. „hacker.com“) und lassen den infizierten Firmenrechner DNS-Abfragen an diese Domain schicken. Dabei werden in jeder DNS-Abfrage zu extrahierende Daten mitgeschickt. Sobald alle Daten per DNS-Request übermittelt wurden, müssen die Angreifer diese dann nur noch aus den verschiedenen Abfragen zusammensetzen.
Um diese Funktionen und Sicherheitsanforderungen zu gewährleisten, sollte ein DNS-System durchdacht aufgesetzt werden. Beispielsweise gibt der IT-Grundschutz vor, dass DNS-Server redundant ausgelegt werden müssen und laufend überwacht werden müssen, um die Leistungskapazität der Hardware rechtzeitig anpassen zu können.
Auch Nameshield betreibt für seine Kunden DNS-Server, dabei geht das Produkt „DNS Bastion“ noch einen Schritt weiter, um die oben genannten Herausforderungen zu meistern. DNS Bastion ist vorgesehen für strategisch wichtige Domains und besteht aus fünf Säulen:
Integrität, Verfügbarkeit, Monitoring, Analyse und Alert
Eine kleine Beschreibung soll zeigen, was damit jeweils gemeint ist und wie damit die Anforderung abgedeckt werden können.
1. Integrität: Die Integrität soll vor allem gegenüber administrativen Risiken schützen. Beispielsweise beinhaltet DNS Bastion die Funktion „Registry Lock“, um unauthorisierte, ungewollte und unbeabsichtigte Änderungen der Domain zu verhindern. Weitere Funktionen beinhalten unter anderem Multifaktor-Authentifizierung und IP-Filterung, um nur mit valider Berechtigung und von einem bestimmten IP-Bereich Änderungen vornehmen zu können.
2. Verfügbarkeit: Durch ein Dual Anycast Netzwerk mit 80 Standorten und einem zweifachen DDoS-Schutz kann eine hohe Verfügbarkeit (99,999%), eine geringe Latenzzeit und ein Schutz vor DDoS-Attacken gewährleistet werden. Zusätzliche Funktionen wie DNSSEC und TSIG sind ein wirksames Mittel gegen DNS Spoofing und DNS Cache Poisoning. Mit DNSSEC kann die anfragende Partei verifizieren, dass die übermittelten DNS-Informationen identisch sind mit denen, die vom Ersteller der Zone autorisiert wurden. Dazu werden die DNS-Records digital signiert und damit Authentizität und Integrität der DNS-Antwort sichergestellt.
3. Monitoring: Kontinuierliches internes und externes Monitoring des Domainnamens sowie detaillierte Traffic-Statistiken ermöglichen eine umfangreiche Überwachung der Domain und des DNS. Zeitgleich steht ein Supportteam 24/365 bereit.
4. Analyse: Im monatlichen Intervall wird ein Bericht verschickt, in dem wichtige Daten und Parameter des DNS untersucht werden. Neben einer tiefgründigen DNS-Traffic-Analyse wird die Zonenkonfiguration bewertet. Zusätzlich werden die RFC-Compliance und ANSSI-Empfehlungen berücksichtigt. All diese Informationen unterstützen bei einer konformen Einrichtung und Betrieb von DNS und Domain.
5. Alert: Durch die vorher genannten Sicherheitsfunktionen kann die Attraktivität als Angriffsziel reduziert werden. Dennoch können Angreifer eine Attacke versuchen. Um dies schnellstmöglich festzustellen und handeln zu können, erkennt DNS Bastion Anomalien in DNS-Traffic sowie bei Zugriffsversuchen auf die Nameshield Schnittstelle. In diesem Fall wird automatisch ein Alert sowie ein Vorfallsbericht verschickt. Die zügige Erkennungs- und Warnfunktion hilft dabei handlungsfähig zu bleiben.
Gerne helfen wir bei der Identifikation der strategischen Domains und ihrem anschließenden Schutz.
Phishing-Attacken werden immer zahlreicher und aggressiver – erfahren Sie bei uns wie Sie verhindern können, dass E-Mail-Adressen Ihrer Firma Ausgangspunkt solcher Attacken werden.
Am 22.03. beim ICEBREAKER werden wir über das folgende Thema diskutieren: Domains und DMARC – Aktuelle Trends und Herausforderungen im Bereich der IT-Security
Die Rethink! IT Security ist der führende IT Security Summit für CISOs und IT Security Entscheider aus dem deutschsprachigen Raum. Lernen Sie aktuelle Herausforderungen, Technologien, Trends und Best Practice im Bereich der IT und Cybersecurity kennen!
Für unsere Kunden haben wir eine begrenzte Anzahl kostenfreier Tickets. Sprechen Sie uns unter salesgermany@nameshield.net an.
Wir freuen uns, Sie auf unserem Stand zu begrüßen und haben dort eine kleine Überraschung für Sie vorbereitet, um ihre Nerven im Falle eines Vorfalls beruhigen zu können.
Phishing–as–a-Service (PhaaS) ist ein schnell wachsendes Phänomen in der Welt der Cyberbedrohungen, das Angreifer mit immer wirkungsvolleren Tools bewaffnet und den Markt für Online-Betrug für die breite Masse geöffnet hat. Phishing-Versuche in hoher Qualität sind so zu einer täglichen Plage geworden.
Erfahren Sie in diesem neuen Infoblatt „…in 5 Minuten erklärt“, wie Phishing mittlerweile als fertiges Kit verkauft wird und wie Sie sich davor schützen können.
Nameshield erneuert seine ISO 27001-Zertifizierung für sein gesamtes Registrar-Geschäft.
Nameshield ist seit 2017 für seine Aktivitäten im Bereich der Verwaltung von Domainnamen-Portfolios, DNS und TLS/SSL-Zertifikaten nach ISO 27001 zertifiziert. Wir sind stolz darauf, die Erneuerung unserer ISO 27001-Zertifizierung im Februar 2023 bekannt geben zu können.
ISO 27001-Zertifizierung, was ist das?
ISO 27001 ist eine internationale Norm, welche die Anforderungen für die Einrichtung eines Informationssicherheits-Managementsystems (ISMS) beschreibt, das die Sicherheitsmaßnahmen definiert, die zum Schutz der sensiblen Güter eines Unternehmens in einem definierten Bereich eingesetzt werden sollen.
Im Fall von Nameshield deckt dieses den gesamten Bereich seiner Registrar-Aktivitäten ab. Auf höherer Ebene verlangt die Norm ISO 27001, dass sich die Unternehmensleitung an der Cyberverteidigung beteiligt. Parallel dazu überwacht ein Lenkungsausschuss die Umsetzung der neuen Bestimmungen der Norm.
Warum die Zertifizierung nach 27001?
Eine Zertifizierung nach ISO 27001 bedeutet, dass wir unseren Kunden und Partnern eine Sicherheit der Informationssysteme bieten können, die vollständig in jede der von Nameshield angebotenen Dienstleistungen integriert ist. Wir investieren in Ihre und unsere Sicherheit und verpflichten uns zu einem kontinuierlichen Verbesserungsprozess.
Die Zertifizierung nach ISO 27001 bestätigt auch die Kompetenz der Mitarbeiter von Nameshield und ihr Fachwissen in Bezug auf den Schutz kritischer Informationen.
Was die ISO 27001-Zertifizierung garantiert
Die ISO 27001-Zertifizierung beinhaltet:
Etablierung einer Firmenkultur, bei der Mitarbeiter hinsichtlich aller Aspekte der Informationssicherheit sensibilisiert sind
Die Widerstands- und Leistungsfähigkeit unseres Systems
Die systematische Auswertung von Feedback, um unsere und Ihre Sicherheit kontinuierlich zu verbessern
Jährliche systematische Analyse von Risiken und Bearbeitung anhand anerkannter Methoden
Verfügbarkeitsrate (Interface für die Verwaltung von Domainnamen und DNS Premium)
BIMI (Brand Indicators for Message Identification) ermöglicht es Ihnen, eigene E-Mails zu authentifizieren und das Vertrauen Ihrer Kunden zu stärken, indem Sie Ihr Logo in deren Posteingang anzeigen. VMC (Verified Mark Certificate) ist ein mit BIMI verbundenes Zertifikat, das die Echtheit des angezeigten Markenlogos gewährleistet.
Was ist BIMI?
BIMI ist eine Brancheninitiative mit dem Ziel, die Verwendung und Anzeige von Markenlogos in E-Mail-Clients zu standardisieren. Ein Marken- oder Firmenlogo – direkt im Posteingang neben dem E-Mail Kopf – schafft ein Gefühl der Legitimität und des Vertrauens. Die Implementierung wirkt sich deutlich auf die Öffnungsraten aus und erhöht den Schutz der Verbraucher vor betrügerischen E-Mails.
Technisch gesehen ist BIMI eine neue Sicherheitstechnologie, die zusammen mit den Protokollen DKIM, SPF und DMARC arbeitet, um Ihren Domainnamen davor zu schützen, von böswilligen Akteuren für den Versand betrügerischer E-Mails verwendet zu werden.
Vor BIMI waren der Prozess zur Anzeige eines Markenlogos neben einer E-Mail für jeden E-Mail-Dienst unterschiedlich; der Implementierungsprozess war teilweise vollständig manuell oder hing von anderen Anwendungen ab.
Die AuthIndicators-Gruppe, der E-Mail-Dienstleister wie Google, Verizon Media, IONOS by 1&1 und Fastmail angehören, arbeitet an der Implementierung von BIMI in die gängigsten E-Mail-Clients. Viele Anbieter haben BIMI bereits übernommen, andere sind dabei, und es wird erwartet, dass die Positionen von Microsoft und Apple die endgültige Übernahme des Standards vorantreiben werden.
Warum ist BIMI wichtig?
Vervollständigung des Schutzes einer Marke im Internet, insbesondere gegen Hijacking-Versuche durch betrügerische Spoofing-E-Mails, deren Ziel es ist, den Benutzer zu täuschen und ihn auf Phishing-Seiten zu führen.
Erhöhung der Attraktivität von E-Mails, insbesondere bei Marketingkampagnen. Die Einführung von BIMI und in größerem Umfang von Sicherheitsprotokollen und -zertifikaten für den mit einer Marke verbundenen Domainnamen ist heute unerlässlich und hat einen großen Einfluss auf den Online-Ruf.
Weil es sich zu einem Marktstandard entwickelt, der leicht zu implementieren ist, im Gegensatz zu den zahlreichen bereits existenten E-Mail-Betrugsbekämpfungslösungen, die oft schwer zu testen und zu implementieren sind.
Wie funktioniert BIMI?
BIMI validiert E-Mails in mehreren Schritten, um sicherzustellen, dass sie tatsächlich mit der Domain des Absenders verbunden sind. Die Absender müssen einen für BIMI bestimmten TXT-DNS-Eintrag hinzufügen.
Damit BIMI funktionieren kann, müssen die Domainnamen auch mehrere andere Schutzmechanismen gegen Betrug aufweisen, z. B:
SPF (Sender Policy Framework): Authentifizierung von E-Mails durch Identifizierung von Mailservern, die zum Versand vom jeweiligen Domainnamen aus berechtigt sind
DKIM (DomainKeys Identified Mail): Fügt jeder E-Mail eine digitale Signatur hinzu, um zu überprüfen, ob sie von einem autorisierten Domainnamen gesendet wurde
DMARC(Domain-Based Message Authentication, Reporting and Conformance): bestätigt SPF- und DKIM-Einträge und legt fest, wie nicht konforme E-Mails behandelt werden sollen
Wenn E-Mails mit BIMI versendet werden, führt der empfangende E-Mail-Server zunächst die standardmäßige DMARC/DKIM-Authentifizierung und SPF-Validierung durch. Wenn die E-Mail diese Prüfungen besteht, überprüft der Mailserver, ob sie einen gültigen BIMI-Eintrag hat, und zeigt das Markenlogo an.
Wie interagiert BIMI mit DMARC, DKIM und SPF?
Der erste Schritt zur Verwendung von BIMI zur Anzeige eines Logos ist die Implementierung von DMARC. Dies wird als DNS-Eintrag vom Typ TXT auf dem Domainnamen gespeichert. Damit DMARC mit BIMI funktioniert, muss die Ablehnungsrichtlinie in diesem Eintrag für alle von Ihrer Domain gesendeten E-Mails p=quarantine oder p=reject lauten.
BIMI erfordert DMARC… und DMARC erfordert, dass Ihr Domainname DKIM-Einträge hat, um zu funktionieren. Während DMARC nur SPF- oder DKIM-Einträge erfordert, um zu funktionieren, ist es trotzdem besser, SPF-Einträge für mehr Sicherheit bei der Verwendung von BIMI einzuschließen. Diese beiden Sicherheitstools werden auch als TXT-DNS-Einträge in der Domainnamenzone gespeichert.
VMC, das letzte Glied in der Kette
Ein Prüfzeichen-Zertifikat ist ein digitales Zertifikat, das den Besitz eines Logos bestätigt und die Verwendung von BIMI in E-Mail-Clients wie Gmail vervollständigt.
Das VMC-Zertifikat garantiert die Echtheit des angezeigten Logos, das notwendigerweise dem Inhaber des Domainnamens gehört, der die E-Mail versendet. Es ist das letzte Glied in der Kette, um die Authentizität der empfangenen E-Mail zu garantieren.
Wenn Sie eine E-Mail an einen Kontakt senden, übernimmt der empfangende Mailserver, der den Posteingang verwaltet, die URL des Tags, der angibt, wo das Logo angezeigt werden soll. Er überprüft dann das VMC-Zertifikat, um sicherzustellen, dass das richtige Logo verwendet wird. Sobald das Logo vom VMC verifiziert wurde, wird BIMI es neben der E-Mail im Posteingang anzeigen.
Um ein VMC-Zertifikat zu erhalten, ist die Implementierung von DMARC auf dem Domainnamen Voraussetzung. Es folgt ein Authentifizierungsprozess mit einer Zertifizierungsstelle, die die Identität der Organisation validiert, die Registrierung des Logos bei einer zertifizierten Stelle und die Ausstellung des Zertifikats nach einem persönlichen Treffen mit einem Notar.
Je nach Land können die Ämter für geistiges Eigentum für die Eintragung von Logos unterschiedlich sein, ebenso wie die Regeln für die Zulassung zur Ausstellung des Zertifikats.
Zugelassene Marken können sein:
Bild-Marken: bestehen ausschließlich aus einem Logo
Verbale Marken: Sie bestehen aus Wörtern, Buchstaben und/oder Zahlen, ohne besondere Schriftart, Größe, Farbe oder Stil
Kombinationsmarken: beinhalten eine Kombination von Wörtern mit einem Muster, stilisierten Buchstaben oder Zahlen
Obwohl dies derzeit keine Voraussetzung für die Implementierung von BIMI in Ihrem Domainnamen ist, sollte VMC in Zukunft Teil des Standards sein.
Entrust Datacard und DigiCert sind die ersten beiden Unternehmen, die VMC-Zertifikate für den BIMI-Standard ausstellen. Nameshield ist Partner beider Unternehmen und unterstützt Sie bei der Beschaffung von VMC-Zertifikaten. Sie können sich bei allen Fragen zu diesem Thema direkt an unsere Zertifikatsabteilung wenden.
BIMI + VMC = Garantie der Authentizität
BIMI, VMC… und Nameshield
Nameshield unterstützt seine Kunden bei der Implementierung von DMARC, SPF, DKIM sowie von BIMI-Protokollen und der Erlangung der zugehörigen VMC-Zertifikate. Der Domain-Name ist der Kern der Implementierung dieser verschiedenen Protokolle. Unser Geschäft als Registrar und Verwalter von DNS-Zonen erlaubt es uns heute, unsere Kunden bei diesen wichtigen Themen des Kampfes gegen Online-Betrug und der Steigerung der Erwünschtheit von E-Mails zu unterstützen.
