Schlagwort: DMARC

Das Vertrauen der Nutzer im Mittelpunkt – Highlights des CSA E-Mail Summits 2024 in Köln

In Köln fand vom 22. bis 24. April der Certified Senders Alliance Summit zum Thema „Trust fuels the future » statt. Und es gab Grund zum Feiern: bereits seit 20 Jahren hat sich die Initiative das Thema sichere E-Mail auf die Fahnen geschrieben

Die Unternehmenskommunikation hat sich in den letzten 20 Jahren mit dem Aufstieg der sozialen Netzwerke stark verändert: Instagram hat heute monatlich insgesamt mehr als 2 Milliarden Nutzer, YouTube mehr als 2,5 Milliarden und Facebook mehr als 3 Milliarden. Obwohl diese Plattformen weitgehend in die Kommunikationsstrukturen der Unternehmen integriert sind, ist die Nutzung von E-Mails zur Kundenkommunikation nach wie vor von hoher Relevanz – unter anderem aufgrund der Vielfältigkeit ihrer Einsatzgebiete wie z.B. Versand von Mailings, Newslettern, Rechnungen oder auch Auftragsbestätigungen . Daten von Statista zeigen einen Anstieg des Gesamtvolumens an E-Mails um 4,3 % im Jahr 2023 im Vergleich zum Vorjahr mit fast 347,3 Milliarden E-Mails, die täglich weltweit verschickt werden. Ein weiterer Fakt ist, dass eine Person im Durchschnitt etwa 121 E-Mails pro Tag erhält; eines scheint sicher: Die E-Mail wird nicht so schnell verschwinden.

Gartner weist jedoch darauf hin, dass die Sorge um die Sicherheit von E-Mails zunimmt, da kaum ein Unternehmen von Sicherheitsvorfällen verschont bleibt. Phishing-Attacken durch bösartige Links oder Anhänge werden immer ausgefeilter und verursachen Daten- und Umsatzverluste. Ausgehend von dieser Feststellung bringt die CSA jedes Jahr Experten des E-Mail-Ökosystems zusammen, um sich über bewährte Verfahren und Lösungen auszutauschen, welche die Qualität des Kanals verbessern und so das Vertrauen auf Kundenseite in die E-Mail verbessern. Die Veranstaltung ist um eine Reihe von Workshops, Sessions, Konferenzen und Masterclasses herum organisiert.

Nameshield war als Gold-Sponsor auf der Jubiläumsausgabe des CSA Email Summits dabei. Im Rahmen ihres Workshops im DNS TRACK stellten unsere Experten Joëlle Samaké und Arnaud Witterheim heraus, dass es keine E-Mail-Sicherheit ohne sichere Domainnamen und eine robuste und leistungsfähige DNS-Infrastruktur gibt. Die Sicherheit von E-Mails hängt daher von der Wahl des Domainnamenanbieters und den Cybersicherheitslösungen ab, die er seinen Kunden anbieten kann. Dazu zählt der Einsatz des DMARC-Protokolls, das die Nutzer vor betrügerischen E-Mails schützt. Die personalisierten Marken-Top Level Domains, die sogenannten Dot Brands, sind ein weiterer Hebel, um im Hinblick auf die nächste Runde neuer generischer Domainendungen, die für April 2026 geplant ist, Vertrauen in die eigene Marke zu schaffen.

Für weitere Informationen zu unseren Lösungen wenden Sie sich bitte an Ihren Nameshield-Berater.

Nameshield auf dem CSA Summit in Köln – Feiern Sie mit uns das 20-jährige Jubiläum und seien Sie Teil der Diskussion rund um die Zukunft der kommerziellen E-Mail

Seit 20 Jahren hat sich die CSA (Certified Senders Alliance) die Stärkung des Vertrauens in den Kommunikationskanal E-Mail auf die Fahnen geschrieben. Brücken bauen zwischen E-Mail Versendern und E-Mail Anbietern war von Anfang an das zentrale Ziel der CSA – der Jubiläums-Summit dieses Jahr wird die Erfolgsfaktoren der Zukunft unter dem Motto ‚Trust Fuels the Future‘ untersuchen.

Nameshield ist als Gold-Sponsor der Veranstaltung mit dabei – unser Team würde sich sehr freuen, Sie dort zu treffen. Sichern Sie sich marktführendes Know-How mit den Erkenntnissen von CSA und den sich entwickelnden Best Practices. Wir sind besonders gespannt auf die Diskussion rund um die Implementierung von DMARC, das sich gerade zu einem neuen Standard entwickelt. Nameshield stellt seinen Newsletter-Abonnenten drei Gutscheine im Wert von 100 € zur Verfügung. Bei Interesse wenden Sie sich bitte an Ihren Ansprechpartner bei Nameshield – first come, first served!

Treffen Sie ein internationales Netzwerk von Marken, Agenturen, E-Mail-Dienstleistern und Mailbox-Anbietern zum dynamischen Informationsaustausch im gut vernetzten E-Mail-Ökosystem! Der CSA Email Summit ist nicht nur eine Veranstaltung, sondern Ihr Weg, Ihr volles Potenzial in der sich ständig weiterentwickelnden Landschaft der kommerziellen E-Mail auszuschöpfen.

Der CSA Email Summit wird von verschiedenen Branchenverbänden unterstützt und bietet eine solide Plattform für Gespräche, welche wertvolle Einblicke in die Zukunft des E-Mail-Marketings erlauben. Lernen Sie von Branchenexperten in Workshops, Sessions, Kurzvorträgen und Masterclasses, um Ihre Fachkenntnisse zu erweitern.

Bitte kontaktieren Sie das Nameshield-Team für weitere Informationen und um einen Termin auf dem Summit zu vereinbaren!

PCI DSS – Implementierung von DMARC bald für Händler notwendig

Als Reaktion auf die explosionsartige Zunahme von weltweit gemeldeten Phishing-Angriffen wird die nächste Version der Standards für die Kreditkartenindustrie (PCI DSS v4.0) die Implementierung des DMARC-Protokolls vorschreiben, um den E-Mail-Verkehr sicherer zu machen.

Hier finden Sie alles, was Sie darüber wissen sollten.

Was ist PCI DSS und wer ist davon betroffen?

Dieses Akronym steht für eine Reihe von Sicherheitsstandards, die entwickelt wurden, um den Schutz von Informationen im Zusammenhang mit Kreditkarten zu gewährleisten. Diese Standards wurden vom Payment Card Industry Security Standards Council (PCI SSC) geschaffen. Die Organisation vereint die wichtigsten Unternehmen der Kreditkartenbranche wie Visa, MasterCard, American Express, Discover und JCB.

Das Hauptziel des PCI DSS ist es, die Sicherheit von Transaktionen mit Kreditkarten zu gewährleisten und die sensiblen Daten der Karteninhaber, wie  Kartennummern, Ablaufdaten und Geheimzahl, zu schützen.

Die Einhaltung des PCI DSS ist für alle Organisationen erforderlich, die Kreditkarteninformationen verarbeiten, speichern oder weitergeben.

In seiner aktuellen Version basiert der Standard auf den folgenden Kriterien:

  • Einrichtung und Verwaltung eines sicheren Netzwerks und Systems
  • Schutz der Daten des Karteninhabers
  • Aufrechterhaltung eines Programms zum Schwachstellenmanagement
  • Umsetzung strenger Maßnahmen zur Zugangskontrolle
  • Regelmäßige Überwachung und Tests der Netzwerke
  • Aufrechterhaltung einer Richtlinie zur Informationssicherheit

E-Mails nicht betroffen von den Maßnahmen – bis März 2025

Wie Sie bemerkt haben, werden E-Mails in den Kriterien, die der PCI DSS-Standard in seiner aktuellen Version definiert, nicht eindeutig erwähnt. Da E-Mails jedoch der Hauptvektor für Online-Betrügereien sind, war es höchste Zeit, sie vollständig in den Mittelpunkt zu stellen und einen starken Aktionsplan zum Schutz von Händlern und ihren Kunden zu definieren.

In diesem Zusammenhang wird sich der PCI DSS-Standard bald weiterentwickeln und den Einsatz einer strengen DMARC-Richtlinie („p=reject“ oder „p=quarantine“) vorschreiben, damit Anti-Spam-Software E-Mails, die von Ihrem Domainnamen aus ohne Ihre Genehmigung verschickt werden, effektiver herausfiltern kann.

Ab März 2025 werden PCI DSS-Prüfer die korrekte Konfiguration der Protokolle SPF, DKIM und DMARC bei ihren Audits berücksichtigen.

Die Experten von Nameshield stehen Ihnen gerne zur Verfügung, um Sie bei der Einführung dieses Protokolls zu unterstützen.

Bildnachweis: pixabay/storyset.com/nameshield

Neue Anforderungen an die E-Mail-Authentifizierung von Google und Yahoo

Google und Yahoo haben kürzlich bedeutende Änderungen an ihren Anforderungen für die Authentifizierung von E-Mails angekündigt. Diese Anpassungen zielen darauf ab, die Sicherheit der Online-Kommunikation zu erhöhen, was in der heutigen Zeit der Cyberkriminalität eine große Herausforderung darstellt.

Die beiden Branchenriesen legen den Schwerpunkt auf die Einführung fortschrittlicher Authentifizierungsprotokolle, insbesondere DMARC (Domain-based Message Authentication, Reporting and Conformance). DMARC baut auf den bestehenden Standards SPF und DKIM auf und bietet eine robuste Methode, um die Authentizität von E-Mails zu überprüfen und das Risiko von Identitätsdiebstahl und Phishing zu verringern.

Um diese neuen Anforderungen umzusetzen, werden Google und Yahoo ihre Algorithmen anpassen, um E-Mails von Domains zu priorisieren, die DMARC korrekt implementiert haben. Dadurch soll die Zustellbarkeit authentifizierter E-Mails verbessert werden, wodurch das Vertrauen der Nutzer in die Sicherheit ihrer Posteingänge gestärkt wird.

Die neuen Richtlinien gelten ab dem 1. Februar 2024 für alle Absender, die mehr als 5.000 E-Mails pro Tag versenden. Sie unterstreichen das Engagement von Google und Yahoo im Kampf gegen Online-Bedrohungen, insbesondere gegen Phishing, eine gängige Methode von Cyberkriminellen, um Nutzer zu täuschen und an ihre sensiblen Informationen zu gelangen. Durch die Einführung strengerer Anforderungen an die E-Mail-Authentifizierung erhöhen diese Unternehmen den Schutz der Nutzer vor bösartigen Angriffen.

Für Domaininhaber und Akteure der digitalen Welt ist es nun entscheidend, diese neuen Richtlinien einzuhalten, um zur Schaffung eines sichereren und geschützteren Internets für alle beizutragen.

Die Experten von Nameshield stehen Ihnen gerne zur Verfügung, um Sie bei der Einführung dieses Protokolls zu unterstützen.

Deutsche Banken mit Nachholbedarf? Neue Nameshield Studie zum Thema E-Mail Sicherheit bei Banken

Nameshield führt als Experte der Themen Domainsicherheit und Online Brand Protection regelmäßig Studien zur aktuellen Lage in diesen Bereichen durch, so auch bei unserer aktuellen DMARC-Studie.

Da Finanzinstitute und deren Kunden ein attraktives Ziel für Angreifer sind und mit dem DMARC-Standard ein zuverlässiger Schutz vor Phishing E-Mails möglich ist, haben wir uns in der aktuellen Studie gefragt, wie weit deutsche Banken bei der Umsetzung bereits fortgeschritten sind. Um eine Vergleichsbasis zu haben, wurde das europäische Bankenumfeld in die Analyse miteinbezogen.

Basierend auf unserer über 30-jährigen Erfahrung auf dem Gebiet der Domain- und E-Mail-Sicherheit kann Nameshield in dem Report auch erste Handlungsempfehlungen geben. Der vollständige Report steht hier für Sie zum Download bereit. Fragen Sie auch gerne eine personalisierte Auswertung und Beratung bei uns an.

ChatGPT, kannst du mir eine Phishing E-Mail schreiben?

ChatGPT - Phishing

„Können Maschinen denken?“, diese doch recht einfache Frage des Mathematikers Alan Turing aus dem Jahr 1950 löste den Beginn der Forschung und langwieriger Experimente rund um die künstliche Intelligenz aus. Heute haben die zahlreichen Forschungen und technologischen Fortschritte Früchte getragen und viele Erfindungen, bei denen künstliche Intelligenz zum Einsatz kommt, sind entstanden. 72 Jahre später, am 30. November 2022, kommt chatGPT auf den Markt. chatGPT wurde von OpenAI, einem Forschungsunternehmen für künstliche Intelligenz, entwickelt und hat sich schnell in der breiten Öffentlichkeit etabliert. Heute gibt es 186 Millionen Konten und 1,6 Milliarden Zugriffe allein im März 2023.

Was ist chatGPT und wie funktioniert es ?

ChatGPT ist ein Chatbot mit künstlicher Intelligenz und einem selbstgenerierenden System. Das bedeutet, dass die Maschine „konversationell interagiert“, indem sie eine natürliche Sprache verwendet (NLP „Natural Language Processing“ genannt). Die künstliche Intelligenz greift dabei auf Deep-Learning-Algorithmen zurück; sie ist in der Lage, die Fragen der Nutzer zu analysieren und passende Antworten zu generieren. Mit der Zeit lernt chatGPT nicht nur von den Fragen, sondern auch von den Antworten seiner Nutzer. Dadurch kann der Chatbot auf eine sehr breite Palette von Anfragen antworten, wie z. B. das Schreiben von Bewerbungen, Hausarbeiten oder auch  Codezeilen. Und wenn die Antwort nicht passt, kann man einfach einen Dialog mit ihm führen und eine überzeugendere Antwort wird vorgeschlagen. Aus diesem Grund hat diese Erfindung so schnell so viele Menschen begeistert.

ChatGPT bringt jedoch auch Risiken mit sich, unter anderem in Bezug auf die Cybersicherheit und, genauer gesagt, Phishing.

Große Macht – große Verantwortung: Der Umgang mit den Cyber-Risiken, die mit chatGPT verbunden sind, wird zu einer herausfordernden Aufgabe. Gemeinhin gehen Cyberkriminelle nicht zimperlich vor. In den letzten Jahren haben die weltweiten Straftaten und Cyberangriffe stark zugenommen (plus 38% im Jahr 2022.)

Was angesichts von chatGPT Sorgen bereitet, ist dessen Einsatz zur Vorbereitung von Phishing-Angriffen. Seine Fähigkeit, Texte aller Art fehlerfrei zu schreiben und dabei menschenähnliche Antworten zu generieren, ist ein großer Trumpf für Cyberkriminelle. Dies verschärft eine bereits vorhandene und weit verbreitete Bedrohung. Der IC3-Bericht des FBI für das Jahr 2022 zeigt, dass Phishing das Delikt ist, das am häufigsten gemeldet wurde. Mit 300.497 Anzeigen allein in den USA im Jahr 2022 wird Phishing nicht nur in den Vereinigten Staaten, sondern auch weltweit zur am weitesten verbreiteten Art von Cyberangriffen. Damit ist die Thematik nicht nur ein regional weit verbreitetes Problem, sondern sie betrifft auch alle Branchen.

Phishing wird von Cyberkriminellen eingesetzt, um an persönliche und sensible Informationen über ihre Opfer zu gelangen. Dazu geben sich die Kriminellen mithilfe von Nachrichten, die sie per SMS, Telefonanruf oder E-Mail versenden, als vertrauenswürdige Organisationen aus. In diesen Nachrichten fordern sie ihre Opfer auf, auf einen Link zu klicken, um ihre persönlichen Daten einzugeben. 

OpenAI verbietet ausdrücklich jede böswillige Nutzung von chatGPT. Wenn der Bot direkt aufgefordert wird, einen bösartigen Code zu schreiben oder eine Phishing-E-Mail zu verfassen, weigert er sich. Mit anhaltendem Nachdruck und einer geschickten Wendung kann die künstliche Intelligenz jedoch genügend Informationen liefern, um einem Cyberkriminellen die Arbeit zu erleichtern. Diese Manipulation kann mit der Standardversion von chatGPT durchgeführt werden, ohne dass ein „JailBreaking“ erforderlich ist.

Interview mit chatGPT

Was sagt der Hauptbetroffene dazu? Um der Sache auf den Grund zu gehen, haben wir uns daran gemacht, chatGPT einige Fragen zu stellen, um seine „Meinung“ zur Situation zu erfahren, aber auch um die Erstellung betrügerischer E-Mails zu testen.

Erstens, aus rechtlicher Sicht: Folgt chatGPT einem Verhaltenskodex und gibt es Vorgaben, die das ‚Verhalten‘ von künstlichen Intelligenzen regeln ?

Bisher gibt es in Europa noch keine wirklichen Gesetze, die den Einsatz von künstlichen Intelligenzen wie chatGPT regeln. Die Europäische Kommission hat jedoch bereits ein Projekt gestartet, um einen Rechtsrahmen zu schaffen, und es wurden bereits Vorschläge für Richtlinien erstellt. Daher gibt es in Europa noch keine offiziellen Regeln oder Verbote. Dennoch wird erwartet, dass sich die Situation in den nächsten Monaten oder Jahren ändern wird. ChatGPT unterliegt also keinen gesetzlichen Vorgaben, allerdings scheint das Tool einem moralischen Verhaltenskodex zu folgen.

ChatGPT - Phishing

Laut Eigenauskunft darf chatGPT folgendes nicht tun: sich an illegalen Aktivitäten beteiligen, geistige Eigentumsrechte verletzen, persönliche oder vertrauliche Informationen bereitstellen und schließlich die Identität einer Person oder einer Organisation vortäuschen.

Wir haben ihn auch um seine Meinung gebeten, ob er einer Person helfen würde, einen Phishing-Angriff zu starten. Er bestätigt uns, dass er dazu moralisch nicht berechtigt ist

ChatGPT - Phishing

Im Anschluss prüften wir, ob es möglich sei, frei verfügbare Informationen über das Vorhandensein eines DMARC-Eintrags in der Zonendatei eines Unternehmens zu erhalten. Domain-Based Message Authentification Reporting and Conformance (DMARC) ist eine Methode zur E-Mail-Authentifizierung, die es dem Domaininhaber ermöglicht, Anweisungen für die Verarbeitung von Nachrichten in seinem E-Mail-System zu definieren – ein wirksames vorbeugendes Mittel gegen Phishing. Cyberkriminelle können diese Informationsabfrage nutzen, um Unternehmen als Angriffsziel auszuwählen, welche DMARC noch nicht implementiert haben, da die Erfolgswahrscheinlichkeit eines Phishing-Angriffes hier höher ist.

ChatGPT - Phishing

ChatGPT war nicht in der Lage, direkt etwas über den DMARC-Eintrag des Unternehmens zu sagen, erklärte uns aber, wie man ihn mithilfe der Windows-Befehlszeile erhalten kann.

Anschließend baten wir chatGTP, eine Phishing-E-Mail für uns zu formulieren. Nach anfänglicher Skepsis konnten wir ihm schnell die richtigen Fragen stellen. Schließlich war er in der Lage, uns eine überzeugende E-Mail zu schreiben, die von einer Bank stammen könnte.

ChatGPT - Phishing

Eine nahezu perfekte Phishing-Falle, denn sie enthält alle Codes einer klassischen E-Mail einer Bank, in der der Empfänger aufgefordert wird, seine persönlichen Daten preiszugeben. Die Nachricht ist in gutem Deutsch und ohne Rechtschreibfehler verfasst und fordert den Empfänger auf, schnell  und ohne weiteres nachzudenken zu handeln. ChatGTP scheint eine willkommene Arbeitserleichterung für Cyberkriminelle zu sein, da sie die Hürde der weltweit weniger verbreiteten und relativ schwer perfekt zu erlernenden deutschen Sprache meistert – eine bedrohliche Entwicklung.

Was können wir von der Zukunft erwarten?

Wird es möglich sein, die Entwicklung der KI zu blockieren oder zu verlangsamen? Nach der Veröffentlichung von chatGPT haben einige einflussreiche Persönlichkeiten aus der Technologiebranche, wie Elon Musk oder Steve Wozniak, Mitbegründer von Apple, ihre Bedenken geäußert, indem sie Petitionen unterzeichnet und einen offenen Brief veröffentlicht haben, die darauf abzielen, die Forschung und die Veröffentlichung einer KI, die über chatGPT hinausgeht, auszusetzen. Dies spiegelt die Besorgnis der Europäischen Kommission und der Bürger über den technologischen Fortschritt wider.

Es ist jedoch schwer vorstellbar, dass künstliche Intelligenzen wie chatGPT in Zukunft völlig verboten werden – trotz der Risiken, die sie beispielsweise in Bezug auf die Cybersicherheit darstellen. Wie im Entwurf der Europäischen Kommission vorgeschlagen, wird die Nutzung von künstlichen Intelligenzen wie chatGPT reguliert werden. Es ist jedoch unwahrscheinlich, dass dies ausreicht, um Cyberkriminelle, die chatGPT als Phishing-Werkzeug einsetzen wollen, zu bremsen.

Besser scheint es, sich auf die Risiken, die mit künstlicher Intelligenz verbunden sind,  vorzubereiten und sein Unternehmen zu schützen.

DMARC-Richtlinie von Nameshield

Ein erster wichtiger Schritt sind Schutzmaßnahmen im Bereich E-Mail. Cyberkriminelle versuchen oft, über diesen Weg an Ihre Informationen und die Ihres Unternehmens zu gelangen.

Eine effektive Möglichkeit zum Gegenangriff besteht darin, eine DMARC-Richtlinie einzusetzen.

Die Einführung einer DMARC-Richtlinie in Ihrem Unternehmen hat viele Vorteile. Sie ermöglicht es Ihnen, Spoofing-Versuche und betrügerische E-Mails zu blockieren. Darüber hinaus wird die Authentifizierung Ihres Datenverkehrs verbessert und die Zustellbarkeit Ihrer E-Mails erhöht.

Nameshield unterstützt Sie bei der Einführung einer DMARC-Richtlinie. Mit unserem Fachwissen können wir dafür sorgen, dass die Implementierung unter den bestmöglichen Bedingungen erfolgt. 
Zögern Sie nicht, sich mit Ihrem Nameshield-Berater in Verbindung zu setzen und halten Sie sich über technologische Fortschritte wie chatGPT und deren sicherheitsbezogene Folgen auf dem Laufenden, indem Sie unseren Newsletter abonnieren.

Bildquelle : Unsplash

Nameshield ist Aussteller auf der Rethink! IT Security am 22.-24. März 2023 in Berlin!

Nameshield ist Aussteller auf der Rethink! IT Security am 22.-24. März 2023 in Berlin!

Phishing-Attacken werden immer zahlreicher und aggressiver – erfahren Sie bei uns wie Sie verhindern können, dass E-Mail-Adressen Ihrer Firma Ausgangspunkt solcher Attacken werden.

Am 22.03. beim ICEBREAKER werden wir über das folgende Thema diskutieren: Domains und DMARC – Aktuelle Trends und Herausforderungen im Bereich der IT-Security 

Die Rethink! IT Security ist der führende IT Security Summit für CISOs und IT Security Entscheider aus dem deutschsprachigen Raum. Lernen Sie aktuelle Herausforderungen, Technologien, Trends und Best Practice im Bereich der IT und Cybersecurity kennen!

https://www.rethink-it-security.de/

Für unsere Kunden haben wir eine begrenzte Anzahl kostenfreier Tickets. Sprechen Sie uns unter salesgermany@nameshield.net an.

Wir freuen uns, Sie auf unserem Stand zu begrüßen und haben dort eine kleine Überraschung für Sie vorbereitet, um ihre Nerven im Falle eines Vorfalls beruhigen zu können.