Der DMARC Intelligence Report
Transcrição
Der DMARC Intelligence Report
Der DMARC Intelligence Report 2015 DMARC bzw. Domain-based Message Authentication, Reporting and Conformance wurde im Januar 2012 von einigen der weltweit größten Internetunternehmen als die bislang stärkste Waffe im Kampf gegen Phishing und Spoofing vorgestellt. Innerhalb von weniger als drei Jahren stellte der DMARC-Standard bis dato als unabänderlich angesehene Fakten rund um E-Mail Betrug auf den Kopf, machte bewährte Phishing-Strategien nutzlos und zwang Cyberkriminelle, ihre bislang bevorzugten Ziele aufzugeben. Bis heute ist DMARC das beste Mittel im Kampf gegen Phishing und Spoofing. Je mehr sich die Implementierung des DMARC-Standards ausbreitet, umso wahrscheinlicher ist es, dass es dem Standard innerhalb der nächsten Jahre gelingen wird, eine ganze Betrugskategorie zum Erliegen zu bringen. Für den vorliegenden DMARC Intelligence Report untersuchten wir – gestaffelt nach Region und Branche – die DMARC-Nutzung bei mehr als 1.000 der weltweit größten Unternehmen sowie den Stand ihrer DMARC-Implementierung. Unter Verwendung des Trusted Cooperative Networks von Return Path ermittelten wir zudem die DMARC-Nutzung weltweiter und regionaler ISPs, da deren Umsetzung der DMARC-Richtlinien für den umfassenden Erfolg des Standards unabdingbar ist. Als Gründungsmitglied von DMARC unterstützen wir bei Return Path auch weiterhin die weltweite Verbreitung dieses Standards. Diese ist seit ihrer Einführung zwar schon weit fortgeschritten, doch das endgültige Ziel – der Sieg im Kampf gegen E-Mail-Betrug und Markenmissbrauch – ist noch lange nicht erreicht. Wir werden auch weiterhin an der Fortentwicklung modernster Technologien gegen E-Mail-Betrug arbeiten und Unternehmen dabei unterstützen, sich selbst, ihre Mitarbeiter und Kunden systematisch zu schützen. Robert Holmes General Manager, Email Fraud Protection DMARC Intelligence Report Februar 2015 Seite 2 | Teilen: DMARC-Nutzung bei E-MailVersendern nimmt weltweit zu Return Path analysierte mehr als 1.000 Unternehmen in 31 Ländern hinsichtlich der Frage, ob diese im Rahmen ihres legitimen E-Mail Marketings einen DMARC Record implementiert haben. Dabei stellten wir fest, dass durchschnittlich 22 Prozent dieser Unternehmen einen DMARC-Datensatz veröffentlichen und damit einen ersten Schritt hin zu einem besserem Schutz vor E-Mail-Betrug gegangen sind. Trotz dieser grundsätzlich positiven Tendenz zeigen sich jedoch erhebliche regionale Unterschiede: Während die weltweit bekanntesten Marken in Nordamerika DMARC bereits relativ stark nutzen (33 Prozent), folgen andere Regionen deutlich abgeschlagen mit 12 bis 15 Prozent. 76 395 81 497 1.049 Australien und Neuseeland 88 % 12 % EMEA 88 % 12 % 85 % Lateinamerika USA und Kanada 67 % Anzahl erfasster Unternehmen 33 % 78 % Durchschnitt Kein DMARC Record 15 % 22 % DMARC-Richtlinie implementiert Der DMARC Intelligence Report, 2015 Seite 3 | Teilen: 35 % 50 % 200 % der Nachrichten, die von großen ISPs empfangen werden, stammen von zusätzliche E-Mail VersandDomains veröffentlichten im mehr E-Mail Nachrichten wurden im Jahr 2014 Laufe des Jahres 2014 einen DMARC Record. durch eine DMARC-RejectRichtlinie geschützt. Domains, die bereits von DMARC geschützt werden. 6 mal mehr Quellen sendeten im Laufe des Jahres 2014 DMARC‑Berichte. Quelle: DMARC.org (Februar 2015) 7 von 10 der größten USamerikanischen FDIC-Banken veröffentlichen einen DMARCDatensatz für ihre primäre E-Mail Versand-Domain. Der DMARC Intelligence Report, 2015 Seite 4 | Teilen: DMARC-Nutzungsrate bei E-Mail-Versendern nach Branche Die größten und fortschrittlichsten Unternehmen in den zu der Zeit am stärksten von E-Mail Betrug betroffenen Branche Erfasste DMARC-Nutzung Unternehmen Branchen hatten den neuen Standard als erste eingeführt. In Folge dessen stieg die Nutzungsrate bei den E-MailVersendern im Durchschnitt auf 22 Prozent. Einige Branchen lassen sich im Kampf gegen E-Mail-Betrug jedoch deutlich mehr Zeit. Banken Trotz relativ hoher DMARC-Nutzungsraten bei großen 51 % Soziale Medien 59 Logistik 22 Technologie 62 Reiseveranstalter 108 Bezahldienste 87 22 % Einzelhandel/ Spielwaren/ eCommerce 269 21 % Öffentlicher Sektor 16 19 % Banken 273 19 % ISP/ Telekommunikation 77 Gesundheitswesen 76 41 % 35 % 26 % Banken – darunter fünf der weltweit zehn größten Finanzinstitute – nutzen aktuell lediglich 19 Prozent der in dieser Analyse untersuchten Banken den DMARC-Standard. Angesichts der offensichtlichen Risiken ist eine mögliche Erklärung für den zögerlichen Einsatz, dass die veralteten IT-Systeme dieser Sparte deutlich komplexer sind als bei Unternehmen neuerer Branchen wie beispielsweise im Social-Media-Bereich. Zudem sind im Bankensektor auch die E-Mail-Umgebungen häufig komplexer und müssen einen großen Funktionsbereich (Transaktionen ebenso wie Informationen) für verschiedene Marken und Regionen abdecken. Ebenso sind Banken weniger als andere Branchen geneigt, die Risiken durch systemweite Änderungen in Kauf zu nehmen, was die DMARC-Einführung für ihre Sicherheits- 16 % 8 % und IT-Teams erheblich erschwert. Durchschnitt 1.049 22 % Der DMARC Intelligence Report, 2015 Seite 5 | Teilen: Gesundheitswesen Das Gesundheitswesen ist eine Branche, die mit ähnlichen Heraus forderungen in Bezug auf komplexe und teils veraltete Systeme sowie den Umgang mit sensiblen Daten kämpft. Von allen anderen Sparten ist die DMARC-Nutzungsrate hier mit 8 Prozent am niedrigsten. Nachdem jedoch in jüngster Zeit mehrere Krankenversicherer Datenverluste zu beklagen hatten, rechnen wir damit, dass die Einführung von Schutzmaßnahmen vor E-MailBetrug für die jeweiligen Sicherheitsteams höhere Priorität erhalten wird. Einzelhandel Der Einzelhandel ist bei der Einführung von DMARC eine der zögerlichsten Branchen. Trotz der Warnung der Anti-Phishing Working Group (APWG), dass Einzelhändler immer häufiger Opfer von Phishing-Angriffen werden (6,5 Prozent aller Phishing-Angriffe im Jahr 2012 verglichen mit 16,5 Prozent im Jahr 20141), beträgt die Einführungsquote von DMARC bei Einzelhändlern und Online-Shops lediglich 21 Prozent. Heute setzen viele der bekanntesten Branchengrößen den Standard zur Bekämpfung von E-Mail-Betrug ein. Doch selbst die in jüngster Vergangenheit publik gewordenen Vorfälle hinsichtlich der nicht gegebenen Datensicherheit bei verschiedenen bekannten Einzelhändlern sowie gesetzliche Initiativen haben noch nicht dazu geführt, dass mehr Unternehmen dieses Marktsegments aktiv gegen Phishing und andere Formen des E-Mail Missbrauchs vorgehen. Ähnlich wie bei Banken könnte die Komplexität der E-Mail-Programme von Einzelhändlern und Online-Shops die Einführung von DMARC verzögern. So werden ihre E-Mails werden häufig über unterschiedliche Versand-Infrastrukturen gesendet, beispielsweise über Systeme von Drittanbietern. Auch agieren Tochterunternehmen sowie verschiedene Marken und Abteilungen unter dem Dach des Unternehmens oftmals, was die E-Mail-Kommunikation angeht, absolut separat. Die Koordinierung der Geschäftsabläufe sowie die Komplexität bei der Einführung von DMARC kann den Zeit- und Soziale Medien Im Gegensatz zu den übrigen Branchen liegt die DMARC-Nutzungsrate bei sozialen Netzwerken bei weltweit 51 Prozent. Das ist keine Überraschung, da ihre Netzwerke umfangreich, die Technologie neu und die Anforderungen an die Informationssicherheit hoch sind. Soziale Netzwerke müssen große Mengen persönlicher Informationen schützen, und ihr Geschäftsmodell beinhaltet den Versand umfangreicher E-Mail-Kommunikation mit ihren Mitgliedern. Zudem ist das Vertrauen ein wichtiger Faktor bei sozialen Medien: Wenn die Daten der Benutzer über die Social-Media-Plattform entwendet oder Benutzerkonten kompromittiert werden, kann das enorme Auswirkungen auf die Benutzer insgesamt haben und das Vertrauen in das soziale Netz in Windeseile zerstören. Logistik Logistikanbieter wie beispielsweise weltweite Versandunternehmen gehören mit einer DMARC-Nutzungsrate von 41 Prozent zu den führenden Branchen beim Schutz vor E-Mail-Betrug. Auch diese Sparte hat ein großes Sicherheitsbedürfnis, sodass die schnelle Einführung von DMARC nicht überrascht. Diese Branche muss große Mengen an TransaktionsE‑Mails versenden, und ihr Kerngeschäft ist die Bereitstellung zeitkritischer Informationen für ihre Kunden. Arbeitsaufwand erhöhen. 1 APWG: Phishing Activity Trends Report (Bericht zu den Trends bei Phishing-Aktivitäten), 2. Quartal 2014 Der DMARC Intelligence Report, 2015 Seite 6 | Teilen: Implementierung von DMARC-Richtlinien nach Branche 25 % 4 % 32 % 33 % 44 % 20 % 14 % 11 % 12 % 40 % 9 % 4 % 7 % 17 % 7 % 9 % 11 % 17 % 7 % Reject Quarantine Verschiedene* Monitor 7 % 37 % Erfasste Unternehmen mit DMARC-Richtlinie Erfasste Unternehmen 100 % 58 % 56 % 16 % 67 % 70 % 47 % 77 % 82 % 63 % 51 6 12 9 19 3 56 30 22 28 236 273 76 77 22 87 16 269 59 62 108 1.049 Logistik Bezahldienste Öffentlicher Sektor Einzelhandel/Spielwaren/ eCommerce Soziale Medien Technologie Reiseveranstalter * Verschiedene Versanddomänen in unterschiedlichen Stadien der DMARC-Richtlinien implementierung Insgesamt 63 % ISP/Telekommunikation 16 % Gesundheitswesen Unsere Analyse kam dann auch zu dem Ergebnis, dass ein Großteil der Versender eine Über wachungsrichtlinie implementiert und damit den DMARC-Standard offiziell eingeführt hat, ohne die Zustellung von E-Mails, die Authentifizierungsfehler aufweisen, direkt durch den Mailbox Provider blockieren zu lassen. Mit einer DMARCÜberwachungsrichtlinie ist es noch nicht möglich, Kunden vor dem Empfang böswilliger E-Mails zu schützen, die im Namen eines legitimen Brands verschickt werden. Drei Branchen haben die umfangreichste DMARC-Implementierung vorgenommen, bei der Mailbox Provider angewiesen werden, vermutlich betrügerische E-Mails zu blockieren: Logistikunternehmen (44 Prozent), soziale Medien (40 Prozent) sowie Bezahldienste (32 Prozent). 7 % 14 % Banken Betrachten wir nun die Nutzung der einzelnen DMARC-Richtlinien – Monitor (Überwachung), Quarantine (Quarantäne) sowie Reject (Ablehnung). Eine Überwachungsrichtlinie wird bei der ersten Implementierung von DMARC eingerichtet. Dadurch können Versender Versanddomänen erkennen, deren Authentifizierung fehlschlägt. Bei implementierter Reject-Richtlinie würde dies dazu führen, dass diese Domänen von ISPs blockiert werden. Die Quarantäne-Richtlinie weist die Mailbox Provider an, E-Mails zu isolieren, deren Authentifizierung fehlschlägt. Wenn die Authentifizierung von E-Mails fehlschlägt, die über eine Quarantäne-Richtlinie verfügen, führt das meist dazu, dass diese E-Mails im Spam- oder JunkOrdner platziert werden. Die Ablehnungsrichtlinie weist Mailbox Provider an, E-Mails zu blockieren, deren Authentifizierung fehlschlägt. Der DMARC Intelligence Report, 2015 Seite 7 | Teilen: DMARC in Aktion: Vorteile der Early Adopter Wenn wir DMARC anhand einer Analogie beschreiben wollten, so entspricht die Implementierung von DMARC einem Eigenheimbesitzer, der auf seinem Rasen ein Schild aufstellt, dass sein Grundstück alarmgesichert ist. Dadurch werden potenzielle Diebe angehalten, sich ein leichteres Ziel auszusuchen. Wie die Grafik (rechts) eines USamerikanischen Finanzdienstleisters zeigt, fiel die Zahl domänenbasierter Angriffe kurz nach der Implementierung von DMARC auf Null. Der neue Standard verhinderte, dass gefälschte sowie Phishing-E-Mails die Kunden erreichten. Aufgrund der geringen Ausbeute aus diesen Angriffen sehen Cyberkriminelle wenig Veranlassung, überhaupt erst einen Missbrauch der DMARC-geschützten Marke zu versuchen. Im Fall der britischen Steuerbehörde HM Revenue & Customs (HMRC) war DMARC für die erzielten Verbesserungen von erheblicher Bedeutung. Die Behörde konnte nun den E-Mail-Verkehr über ihre aktiven sowie die vorsorglich zum Schutz registrierten Domänen präzise überwachen. Dadurch wurde die Zahl böswilliger und scheinbar von der Behörde stammender E-Mails an britische Steuerzahler erheblich reduziert. Verdächtige E-Mails Quelle: Return Path-Kunde (US-amerikanischer Finanzdienstleister) 1.250.000 1.000.000 Implementierte DMARC-Blockierung 750.000 500.000 250.000 0 Jan Feb Mrz Apr Mai Jun Jul Aug Sep Okt Nov 2014 Kurz gesagt: DMARC funktioniert einfach. In einem kombinierten Ansatz zur Bekämpfung von E-Mail-Betrug stellt DMARC die tragende Säule der technischen Kontrollen dar, die kommerzielle Versender heute implementieren können, um das Vertrauen wiederaufzubauen und das Medium E-Mail wieder für legitime Marken und Kunden nutzbar zu machen. Edward Tucker, Leiter IT-Sicherheit für HMRC (Her Majesty‘s Revenue & Customs) Der DMARC Intelligence Report, 2015 Seite 8 | Teilen: Weltweite DMARC-Nutzungsrate bei E-Mail-Empfängern Während sich die DMARC-Nutzungsrate bei Unternehmen abhängig von Branche und Region erheblich unterscheidet, ist die Nutzung bei den Empfängern Anzahl der weltweiten Empfänger mit DMARC der E-Mails (den ISPs) in den letzten zwei Jahren rasant 160 gestiegen. Im Januar 2013 hatten gerade einmal sechs 140 Mailbox Provider – zu denen immerhin die weltweit größten Anbieter gehörten – den Standard eingeführt. Bis Dezember 2014 stieg diese Zahl auf 142, sodass zu diesem Zeitpunkt weltweit 2,43 Milliarden Postfächer durch DMARC geschützt wurden. Quelle: Trusted Cooperative Network von Return Path (Februar 2015) 120 100 80 60 40 Seit der Einführung von DMARC bei Yahoo!, Google, Microsoft, AOL und Comcast schlossen sich zahlreiche Organisationen aus dem privaten und öffentlichen Sektor 20 0 1. Q. 13 2. Q. 13 3. Q. 13 4. Q. 13 1. Q. 14 2. Q. 14 3. Q. 14 an. Diese Empfänger nehmen Phishing und E-Mail-Betrug ernst und helfen damit uns allen als E-Mail Nutzern, dieser Bedrohung Herr zu werden. Der DMARC Intelligence Report, 2015 Seite 9 | Teilen: 4. Q. 14 Nutzung nach Region Während eine Einführung von DMARC bei allen ISPs weltweit wünschenswert wäre und auch der Trend durchaus positiv ist, entspricht der Anteil der durch DMARC geschützten Postfächer von Privatnutzern nicht unbedingt den Vorhersagen. 90 % 90 % Hongkong 85 % Russland USA Hongkong und Russland sind beim DMARCPostfachschutz mit 90 Prozent weltweit führend, gefolgt von den USA mit 85 Prozent und der Türkei mit 79 Prozent. Deutschland weist heute (Stand: Februar 2015) mit 30 Prozent den niedrigsten Anteil an 79 % 75 % 75 % Türkei Großbritannien 75 % 75 % Brasilien geschützten Postfächern auf, während Spanien und Frankreich mit 50 Prozent nur wenig besser dastehen. Einige große regionale ISPs haben die DMARC-Implementierung jedoch bereits gestartet, sodass wir in den nächsten zwei Quartalen gerade in einigen der genannten Länder eine Zunahme der Nutzungsrate erwarten. Singapur 65 % Italien Australien 30 % 50 % Frankreich 50 % Spanien Deutschland Quelle: Trusted Cooperative Network von Return Path (Februar 2015) Der DMARC Intelligence Report, 2015 Seite 10 | Teilen: Zusammenfassung In den letzten drei Jahren hat die DMARC-Nutzung sowohl auf Versender- Ein weiterer Anreiz zeigt sich bereits: Einige Mailbox Provider haben als auch auf Empfängerseite große Fortschritte gemacht. In den meisten vorgeschlagen, dass die DMARC-Authentifizierung in Zukunft einen Branchen haben die Early Adopter – darunter viele der Branchengrößen – entscheidenden Einfluss auf die Platzierung im Posteingang haben sollte. erste wichtige Schritte unternommen. Einige von ihnen genießen mit E-Mails von Versendern, bei denen die DMARC-Authentifizierung der verbessertem Schutz vor E-Mail-Betrug und Markenmissbrauch bereits E-Mails fehlschlägt, könnten in diesem Fall einen größeren Anteil ihrer die Vorteile ihrer Entscheidung. Zahlreiche Unternehmen aus der zweiten E-Mails in den Spam-Ordnern ihrer Adressaten wiederfinden bzw. besteht Reihe haben die Implementierung jedoch noch nicht gestartet und die Gefahr, dass ISPs nicht korrekt authentifizierte E-Mails direkt abblocken. verfügen somit nicht über präventiven Schutz vor E-Mail-Bedrohungen. Doch selbst ohne diese Androhung liegt es an den Versendern, die E-MailNutzer davor schützen, Betrügern zum Opfer zu fallen, die ihre Marke Doch auch bei den DMARC-Nutzern wurde der letzte Schritt über missbrauchen. Quarantäne- hin zu Ablehnungsrichtlinien noch nicht getan. Dies ist ein Hinweis darauf, dass DMARC zwar als wichtig, seine praktische Aktuelle Schlagzeilen sind ein ständiger Hinweis darauf, welche Kosten Implementierung allerdings als schwierig angesehen wird. Versender Betrugs- und Phishing-Angriffe für Marken sowie ihre Kunden nach sich müssen ihre eigenen E-Mail-Abläufe genau kennen und die DMARC-Daten ziehen. Die Frage für alle seriösen Unternehmen sollte also nicht lauten der ISPs analysieren und verarbeiten können, um die Nutzungsrate weiter „Sollen wir DMARC implementieren?“, sondern „Können wir es uns leisten, zu steigern. dies nicht zu tun?“ Der DMARC Intelligence Report, 2015 Seite 11 | Teilen: Methodik Return Path führte diese Studie anhand einer repräsentativen Auswahl von mehr als 1.000 international tätigen Unternehmen in 31 Ländern durch, die in folgenden Indizes gelistet werden: Fortune 500, Inc. 5000 DJIA, NASDAQ, S&P, FTSE und Forbes 2014 „Top 100 Most Recognizable Brands“. Die Daten zur DMARC-Nutzung wurden im Februar 2015 erfasst. Aufgrund der Auf- und Abrundung entspricht die Summe der Prozentzahlen möglicherweise nicht 100. Information zu Return Path Die weltweit größten Marken vertrauen Return Path, wenn es um die Optimierung von Performance und Sicherheit der E-Mail Kommunikation mit ihren Kunden geht. Wir analysieren mehr E-Mail Daten als jedes andere Unternehmen der Welt, damit Marken im E-Mail Dialog Kunden bestmöglich erreichen, den Response maximieren und Markenmissbrauch verhindern können. Unsere Lösungen helfen außerdem Mailbox Providern weltweit, positive Kundenerfahrungen und anhaltendes Vertrauen bei E-Mail Nutzern sicher zu stellen, indem ausschließlich erwünschte Nachrichten den Posteingang erreichen, während Spam und betrügerische Nachrichten blockiert werden. Privatanwender setzen Return Path-Technologien ein, um E-Mail Postfächer besonders benutzerfreundlich verwalten zu können. Die 2011 gegründete Return Path Deutschland GmbH hat ihren Firmensitz in Hamburg. Kontakt Deutschland Australien Frankreich Kanada [email protected] [email protected] [email protected] [email protected] USA (Hauptsitz) Brasilien Großbritannien [email protected] [email protected] [email protected] returnpath.de