Der DMARC Intelligence Report

Der DMARC Intelligence Report
2015
DMARC bzw. Domain-based Message Authentication, Reporting and Conformance wurde
im Januar 2012 von einigen der weltweit größten Internetunternehmen als die bislang stärkste
Waffe im Kampf gegen Phishing und Spoofing vorgestellt.
Innerhalb von weniger als drei Jahren stellte der DMARC-Standard bis dato als unabänderlich
angesehene Fakten rund um E-Mail Betrug auf den Kopf, machte bewährte Phishing-Strategien
nutzlos und zwang Cyberkriminelle, ihre bislang bevorzugten Ziele aufzugeben. Bis heute ist DMARC
das beste Mittel im Kampf gegen Phishing und Spoofing. Je mehr sich die Implementierung des
DMARC-Standards ausbreitet, umso wahrscheinlicher ist es, dass es dem Standard innerhalb der
nächsten Jahre gelingen wird, eine ganze Betrugskategorie zum Erliegen zu bringen.
Für den vorliegenden DMARC Intelligence Report untersuchten wir – gestaffelt nach Region und
Branche – die DMARC-Nutzung bei mehr als 1.000 der weltweit größten Unternehmen sowie den
Stand ihrer DMARC-Implementierung. Unter Verwendung des Trusted Cooperative Networks von
Return Path ermittelten wir zudem die DMARC-Nutzung weltweiter und regionaler ISPs, da deren
Umsetzung der DMARC-Richtlinien für den umfassenden Erfolg des Standards unabdingbar ist.
Als Gründungsmitglied von DMARC unterstützen wir bei Return Path auch weiterhin die weltweite
Verbreitung dieses Standards. Diese ist seit ihrer Einführung zwar schon weit fortgeschritten,
doch das endgültige Ziel – der Sieg im Kampf gegen E-Mail-Betrug und Markenmissbrauch –
ist noch lange nicht erreicht. Wir werden auch weiterhin an der Fortentwicklung modernster
Technologien gegen E-Mail-Betrug arbeiten und Unternehmen dabei unterstützen, sich selbst,
ihre Mitarbeiter und Kunden systematisch zu schützen.
Robert Holmes
General Manager, Email Fraud Protection
DMARC Intelligence Report Februar 2015 Seite 2 | Teilen:
DMARC-Nutzung bei E-MailVersendern nimmt weltweit zu
Return Path analysierte mehr als 1.000 Unternehmen in 31 Ländern hinsichtlich der Frage, ob diese im Rahmen ihres legitimen
E-Mail Marketings einen DMARC Record implementiert haben. Dabei stellten wir fest, dass durchschnittlich 22 Prozent
dieser Unternehmen einen DMARC-Datensatz veröffentlichen und damit einen ersten Schritt hin zu einem besserem Schutz
vor E-Mail-Betrug gegangen sind. Trotz dieser grundsätzlich positiven Tendenz zeigen sich jedoch erhebliche regionale
Unterschiede: Während die weltweit bekanntesten Marken in Nordamerika DMARC bereits relativ stark nutzen (33 Prozent),
folgen andere Regionen deutlich abgeschlagen mit 12 bis 15 Prozent.
76
395
81
497
1.049
Australien und Neuseeland
88 %
12 %
EMEA
88 %
12 %
85 %
Lateinamerika
USA und Kanada
67 %
Anzahl erfasster
Unternehmen
33 %
78 %
Durchschnitt
Kein DMARC Record
15 %
22 %
DMARC-Richtlinie implementiert
Der DMARC Intelligence Report, 2015 Seite 3 | Teilen:
35 %
50 %
200 %
der Nachrichten, die von
großen ISPs empfangen
werden, stammen von
zusätzliche E-Mail VersandDomains veröffentlichten im
mehr E-Mail Nachrichten
wurden im Jahr 2014
Laufe des Jahres 2014 einen
DMARC Record.
durch eine DMARC-RejectRichtlinie geschützt.
Domains, die bereits von
DMARC geschützt werden.
6 mal
mehr Quellen sendeten
im Laufe des Jahres 2014
DMARC‑Berichte.
Quelle: DMARC.org (Februar 2015)
7 von 10
der größten USamerikanischen FDIC-Banken
veröffentlichen einen DMARCDatensatz für ihre primäre
E-Mail Versand-Domain.
Der DMARC Intelligence Report, 2015 Seite 4 | Teilen:
DMARC-Nutzungsrate bei E-Mail-Versendern
nach Branche
Die größten und fortschrittlichsten Unternehmen in den
zu der Zeit am stärksten von E-Mail Betrug betroffenen
Branche
Erfasste
­DMARC-Nutzung
Unternehmen
Branchen hatten den neuen Standard als erste eingeführt.
In Folge dessen stieg die Nutzungsrate bei den E-MailVersendern im Durchschnitt auf 22 Prozent. Einige Branchen
lassen sich im Kampf gegen E-Mail-Betrug jedoch deutlich
mehr Zeit.
Banken
Trotz relativ hoher DMARC-Nutzungsraten bei großen
51 %
Soziale Medien
59
Logistik
22
Technologie
62
Reiseveranstalter
108
Bezahldienste
87
22 %
Einzelhandel/
Spielwaren/
eCommerce
269
21 %
Öffentlicher Sektor
16
19 %
Banken
273
19 %
ISP/
Telekommunikation
77
Gesundheitswesen
76
41 %
35 %
26 %
Banken – darunter fünf der weltweit zehn größten
Finanzinstitute – nutzen aktuell lediglich 19 Prozent der in
dieser Analyse untersuchten Banken den DMARC-Standard.
Angesichts der offensichtlichen Risiken ist eine mögliche
Erklärung für den zögerlichen Einsatz, dass die veralteten
IT-Systeme dieser Sparte deutlich komplexer sind als bei
Unternehmen neuerer Branchen wie beispielsweise im
Social-Media-Bereich. Zudem sind im Bankensektor auch
die E-Mail-Umgebungen häufig komplexer und müssen
einen großen Funktionsbereich (Transaktionen ebenso wie
Informationen) für verschiedene Marken und Regionen
abdecken. Ebenso sind Banken weniger als andere Branchen
geneigt, die Risiken durch systemweite Änderungen in Kauf
zu nehmen, was die DMARC-Einführung für ihre Sicherheits-
16 %
8 %
und IT-Teams erheblich erschwert.
Durchschnitt
1.049
22 %
Der DMARC Intelligence Report, 2015 Seite 5 | Teilen:
Gesundheitswesen
Das Gesundheitswesen ist eine Branche, die mit ähnlichen Heraus­
forderungen in Bezug auf komplexe und teils veraltete Systeme sowie den
Umgang mit sensiblen Daten kämpft. Von allen anderen Sparten ist die
DMARC-Nutzungsrate hier mit 8 Prozent am niedrigsten. Nachdem jedoch in
jüngster Zeit mehrere Krankenversicherer Datenverluste zu beklagen hatten,
rechnen wir damit, dass die Einführung von Schutzmaßnahmen vor E-MailBetrug für die jeweiligen Sicherheitsteams höhere Priorität erhalten wird.
Einzelhandel
Der Einzelhandel ist bei der Einführung von DMARC eine der zögerlichsten
Branchen. Trotz der Warnung der Anti-Phishing Working Group (APWG),
dass Einzelhändler immer häufiger Opfer von Phishing-Angriffen werden
(6,5 Prozent aller Phishing-Angriffe im Jahr 2012 verglichen mit 16,5 Prozent
im Jahr 20141), beträgt die Einführungsquote von DMARC bei Einzelhändlern
und Online-Shops lediglich 21 Prozent. Heute setzen viele der bekanntesten
Branchengrößen den Standard zur Bekämpfung von E-Mail-Betrug ein. Doch
selbst die in jüngster Vergangenheit publik gewordenen Vorfälle hinsichtlich
der nicht gegebenen Datensicherheit bei verschiedenen bekannten
Einzelhändlern sowie gesetzliche Initiativen haben noch nicht dazu geführt,
dass mehr Unternehmen dieses Marktsegments aktiv gegen Phishing
und andere Formen des E-Mail Missbrauchs vorgehen. Ähnlich wie bei
Banken könnte die Komplexität der E-Mail-Programme von Einzelhändlern
und Online-Shops die Einführung von DMARC verzögern. So werden ihre
E-Mails werden häufig über unterschiedliche Versand-Infrastrukturen
gesendet, beispielsweise über Systeme von Drittanbietern. Auch agieren
Tochterunternehmen sowie verschiedene Marken und Abteilungen unter
dem Dach des Unternehmens oftmals, was die E-Mail-Kommunikation
angeht, absolut separat. Die Koordinierung der Geschäftsabläufe sowie
die Komplexität bei der Einführung von DMARC kann den Zeit- und
Soziale Medien
Im Gegensatz zu den übrigen Branchen liegt die DMARC-Nutzungsrate
bei sozialen Netzwerken bei weltweit 51 Prozent. Das ist keine
Überraschung, da ihre Netzwerke umfangreich, die Technologie neu
und die Anforderungen an die Informationssicherheit hoch sind. Soziale
Netzwerke müssen große Mengen persönlicher Informationen schützen,
und ihr Geschäftsmodell beinhaltet den Versand umfangreicher
E-Mail-Kommunikation mit ihren Mitgliedern. Zudem ist das Vertrauen ein
wichtiger Faktor bei sozialen Medien: Wenn die Daten der Benutzer über
die Social-Media-Plattform entwendet oder Benutzerkonten kompromittiert
werden, kann das enorme Auswirkungen auf die Benutzer insgesamt haben
und das Vertrauen in das soziale Netz in Windeseile zerstören.
Logistik
Logistikanbieter wie beispielsweise weltweite Versandunternehmen
gehören mit einer DMARC-Nutzungsrate von 41 Prozent zu den führenden
Branchen beim Schutz vor E-Mail-Betrug. Auch diese Sparte hat ein
großes Sicherheitsbedürfnis, sodass die schnelle Einführung von DMARC
nicht überrascht. Diese Branche muss große Mengen an TransaktionsE‑Mails versenden, und ihr Kerngeschäft ist die Bereitstellung zeitkritischer
Informationen für ihre Kunden.
Arbeitsaufwand erhöhen.
1
APWG: Phishing Activity Trends Report (Bericht zu den Trends bei Phishing-Aktivitäten),
2. Quartal 2014
Der DMARC Intelligence Report, 2015 Seite 6 | Teilen:
Implementierung von DMARC-Richtlinien
nach Branche
25 %
4 %
32 %
33 %
44 %
20 %
14 %
11 %
12 %
40 %
9 %
4 %
7 %
17 %
7 %
9 %
11 %
17 %
7 %
Reject
Quarantine
Verschiedene*
Monitor
7 %
37 %
Erfasste Unternehmen
mit DMARC-Richtlinie
Erfasste Unternehmen
100 %
58 %
56 %
16 %
67 %
70 %
47 %
77 %
82 %
63 %
51
6
12
9
19
3
56
30
22
28
236
273
76
77
22
87
16
269
59
62
108 1.049
Logistik
Bezahldienste
Öffentlicher Sektor
Einzelhandel/Spielwaren/
eCommerce
Soziale Medien
Technologie
Reiseveranstalter
* Verschiedene
Versand­domänen in
unterschiedlichen Stadien
der DMARC-Richtlinien­
implementierung
Insgesamt
63 %
ISP/Telekommunikation
16 %
Gesundheitswesen
Unsere Analyse kam dann auch zu dem Ergebnis,
dass ein Großteil der Versender eine Über­
wachungsrichtlinie implementiert und damit den
DMARC-Standard offiziell eingeführt hat, ohne die
Zustellung von E-Mails, die Authentifizierungsfehler
aufweisen, direkt durch den Mailbox Provider
blockieren zu lassen. Mit einer DMARCÜberwachungsrichtlinie ist es noch nicht möglich,
Kunden vor dem Empfang böswilliger E-Mails
zu schützen, die im Namen eines legitimen
Brands verschickt werden. Drei Branchen haben
die umfangreichste DMARC-Implementierung
vorgenommen, bei der Mailbox Provider
angewiesen werden, vermutlich betrügerische
E-Mails zu blockieren: Logistikunternehmen
(44 Prozent), soziale Medien (40 Prozent) sowie
Bezahldienste (32 Prozent).
7 %
14 %
Banken
Betrachten wir nun die Nutzung der einzelnen
DMARC-Richtlinien – Monitor (Überwachung),
Quarantine (Quarantäne) sowie Reject (Ablehnung).
Eine Überwachungsrichtlinie wird bei der ersten
Implementierung von DMARC eingerichtet.
Dadurch können Versender Versanddomänen
erkennen, deren Authentifizierung fehlschlägt.
Bei implementierter Reject-Richtlinie würde
dies dazu führen, dass diese Domänen von ISPs
blockiert werden. Die Quarantäne-Richtlinie weist
die Mailbox Provider an, E-Mails zu isolieren,
deren Authentifizierung fehlschlägt. Wenn die
Authentifizierung von E-Mails fehlschlägt, die über
eine Quarantäne-Richtlinie verfügen, führt das
meist dazu, dass diese E-Mails im Spam- oder JunkOrdner platziert werden. Die Ablehnungsrichtlinie
weist Mailbox Provider an, E-Mails zu blockieren,
deren Authentifizierung fehlschlägt.
Der DMARC Intelligence Report, 2015 Seite 7 | Teilen:
DMARC in Aktion:
Vorteile der Early Adopter
Wenn wir DMARC anhand einer Analogie
beschreiben wollten, so entspricht die
Implementierung von DMARC einem
Eigenheimbesitzer, der auf seinem Rasen
ein Schild aufstellt, dass sein Grundstück
alarmgesichert ist. Dadurch werden
potenzielle Diebe angehalten, sich ein
leichteres Ziel auszusuchen.
Wie die Grafik (rechts) eines USamerikanischen Finanzdienstleisters zeigt,
fiel die Zahl domänenbasierter Angriffe kurz
nach der Implementierung von DMARC auf
Null. Der neue Standard verhinderte, dass
gefälschte sowie Phishing-E-Mails die Kunden
erreichten. Aufgrund der geringen Ausbeute
aus diesen Angriffen sehen Cyberkriminelle
wenig Veranlassung, überhaupt erst einen
Missbrauch der DMARC-geschützten Marke
zu versuchen.
Im Fall der britischen Steuerbehörde HM
Revenue & Customs (HMRC) war DMARC für
die erzielten Verbesserungen von erheblicher
Bedeutung. Die Behörde konnte nun den
E-Mail-Verkehr über ihre aktiven sowie
die vorsorglich zum Schutz registrierten
Domänen präzise überwachen. Dadurch
wurde die Zahl böswilliger und scheinbar
von der Behörde stammender E-Mails an
britische Steuerzahler erheblich reduziert.
Verdächtige E-Mails
Quelle: Return Path-Kunde
(US-amerikanischer Finanzdienstleister)
1.250.000
1.000.000
Implementierte DMARC-Blockierung
750.000
500.000
250.000
0
Jan
Feb
Mrz
Apr
Mai
Jun
Jul
Aug
Sep
Okt
Nov
2014
Kurz gesagt: DMARC funktioniert einfach. In einem
kombinierten Ansatz zur Bekämpfung von E-Mail-Betrug stellt
DMARC die tragende Säule der technischen Kontrollen dar,
die kommerzielle Versender heute implementieren können,
um das Vertrauen wiederaufzubauen und das Medium E-Mail
wieder für legitime Marken und Kunden nutzbar zu machen.
Edward Tucker, Leiter IT-Sicherheit für HMRC (Her Majesty‘s Revenue & Customs)
Der DMARC Intelligence Report, 2015 Seite 8 | Teilen:
Weltweite DMARC-Nutzungsrate
bei E-Mail-Empfängern
Während sich die DMARC-Nutzungsrate bei Unternehmen
abhängig von Branche und Region erheblich
unterscheidet, ist die Nutzung bei den Empfängern
Anzahl der weltweiten Empfänger mit DMARC
der E-Mails (den ISPs) in den letzten zwei Jahren rasant
160
gestiegen. Im Januar 2013 hatten gerade einmal sechs
140
Mailbox Provider – zu denen immerhin die weltweit
größten Anbieter gehörten – den Standard eingeführt.
Bis Dezember 2014 stieg diese Zahl auf 142, sodass zu
diesem Zeitpunkt weltweit 2,43 Milliarden Postfächer
durch DMARC geschützt wurden.
Quelle: Trusted Cooperative Network von Return Path (Februar 2015)
120
100
80
60
40
Seit der Einführung von DMARC bei Yahoo!, Google,
Microsoft, AOL und Comcast schlossen sich zahlreiche
Organisationen aus dem privaten und öffentlichen Sektor
20
0
1. Q. 13
2. Q. 13
3. Q. 13
4. Q. 13
1. Q. 14
2. Q. 14
3. Q. 14
an. Diese Empfänger nehmen Phishing und E-Mail-Betrug
ernst und helfen damit uns allen als E-Mail Nutzern, dieser
Bedrohung Herr zu werden.
Der DMARC Intelligence Report, 2015 Seite 9 | Teilen:
4. Q. 14
Nutzung nach Region
Während eine Einführung von DMARC bei allen
ISPs weltweit wünschenswert wäre und auch der
Trend durchaus positiv ist, entspricht der Anteil
der durch DMARC geschützten Postfächer von
Privatnutzern nicht unbedingt den Vorhersagen.
90 %
90 %
Hongkong
85 %
Russland
USA
Hongkong und Russland sind beim DMARCPostfachschutz mit 90 Prozent weltweit führend,
gefolgt von den USA mit 85 Prozent und der
Türkei mit 79 Prozent.
Deutschland weist heute (Stand: Februar 2015)
mit 30 Prozent den niedrigsten Anteil an
79 %
75 %
75 %
Türkei
Großbritannien
75 %
75 %
Brasilien
geschützten Postfächern auf, während Spanien
und Frankreich mit 50 Prozent nur wenig besser
dastehen. Einige große regionale ISPs haben die
DMARC-Implementierung jedoch bereits gestartet,
sodass wir in den nächsten zwei Quartalen gerade
in einigen der genannten Länder eine Zunahme
der Nutzungsrate erwarten.
Singapur
65 %
Italien
Australien
30 %
50 %
Frankreich
50 %
Spanien
Deutschland
Quelle: Trusted Cooperative Network von Return Path (Februar 2015)
Der DMARC Intelligence Report, 2015 Seite 10 | Teilen:
Zusammen­fassung
In den letzten drei Jahren hat die DMARC-Nutzung sowohl auf Versender-
Ein weiterer Anreiz zeigt sich bereits: Einige Mailbox Provider haben
als auch auf Empfängerseite große Fortschritte gemacht. In den meisten
vorgeschlagen, dass die DMARC-Authentifizierung in Zukunft einen
Branchen haben die Early Adopter – darunter viele der Branchengrößen –
entscheidenden Einfluss auf die Platzierung im Posteingang haben sollte.
erste wichtige Schritte unternommen. Einige von ihnen genießen mit
E-Mails von Versendern, bei denen die DMARC-Authentifizierung der
verbessertem Schutz vor E-Mail-Betrug und Markenmissbrauch bereits
E-Mails fehlschlägt, könnten in diesem Fall einen größeren Anteil ihrer
die Vorteile ihrer Entscheidung. Zahlreiche Unternehmen aus der zweiten
E-Mails in den Spam-Ordnern ihrer Adressaten wiederfinden bzw. besteht
Reihe haben die Implementierung jedoch noch nicht gestartet und
die Gefahr, dass ISPs nicht korrekt authentifizierte E-Mails direkt abblocken.
verfügen somit nicht über präventiven Schutz vor E-Mail-Bedrohungen.
Doch selbst ohne diese Androhung liegt es an den Versendern, die E-MailNutzer davor schützen, Betrügern zum Opfer zu fallen, die ihre Marke
Doch auch bei den DMARC-Nutzern wurde der letzte Schritt über
missbrauchen.
Quarantäne- hin zu Ablehnungsrichtlinien noch nicht getan. Dies ist
ein Hinweis darauf, dass DMARC zwar als wichtig, seine praktische
Aktuelle Schlagzeilen sind ein ständiger Hinweis darauf, welche Kosten
Implementierung allerdings als schwierig angesehen wird. Versender
Betrugs- und Phishing-Angriffe für Marken sowie ihre Kunden nach sich
müssen ihre eigenen E-Mail-Abläufe genau kennen und die DMARC-Daten
ziehen. Die Frage für alle seriösen Unternehmen sollte also nicht lauten
der ISPs analysieren und verarbeiten können, um die Nutzungsrate weiter
„Sollen wir DMARC implementieren?“, sondern „Können wir es uns leisten,
zu steigern.
dies nicht zu tun?“
Der DMARC Intelligence Report, 2015 Seite 11 | Teilen:
Methodik
Return Path führte diese Studie anhand einer repräsentativen Auswahl von mehr als 1.000 international
tätigen Unternehmen in 31 Ländern durch, die in folgenden Indizes gelistet werden: Fortune 500, Inc.
5000 DJIA, NASDAQ, S&P, FTSE und Forbes 2014 „Top 100 Most Recognizable Brands“. Die Daten zur
DMARC-Nutzung wurden im Februar 2015 erfasst. Aufgrund der Auf- und Abrundung entspricht die
Summe der Prozentzahlen möglicherweise nicht 100.
Information zu Return Path
Die weltweit größten Marken vertrauen Return Path, wenn es um die Optimierung von Performance
und Sicherheit der E-Mail Kommunikation mit ihren Kunden geht. Wir analysieren mehr E-Mail Daten
als jedes andere Unternehmen der Welt, damit Marken im E-Mail Dialog Kunden bestmöglich erreichen,
den Response maximieren und Markenmissbrauch verhindern können. Unsere Lösungen helfen
außerdem Mailbox Providern weltweit, positive Kundenerfahrungen und anhaltendes Vertrauen bei
E-Mail Nutzern sicher zu stellen, indem ausschließlich erwünschte Nachrichten den Posteingang
erreichen, während Spam und betrügerische Nachrichten blockiert werden. Privatanwender setzen
Return Path-Technologien ein, um E-Mail Postfächer besonders benutzerfreundlich verwalten zu
können. Die 2011 gegründete Return Path Deutschland GmbH hat ihren Firmensitz in Hamburg.
Kontakt
Deutschland
Australien
Frankreich
Kanada
[email protected]
[email protected]
[email protected]
[email protected]
USA (Hauptsitz)
Brasilien
Großbritannien
[email protected]
[email protected]
[email protected]
returnpath.de