Das Fälschen von E-Mails gibt es schon seit den Anfängen des Internets, doch neue Sicherheitsmängel erschweren die Sache erheblich. [...]
Was ist E-Mail-Spoofing?
E-Mail-Spoofing ist das Fälschen von E-Mails, damit es so aussieht, als kämen sie von jemandem, von dem sie nicht stammen. Ich habe das Spoofing von E-Mails im Herbst 1993 während meines zweiten Studienjahres an der Northwestern gelernt. Ein Oberstufenschüler in meinem Wohnheim zeigte mir, wie es funktioniert. Damals lasen wir unsere E-Mails, indem wir in den Hauptrechner des Campus telnetteten und dann elm, den Vorläufer von Mutt, benutzten.
„Schau“, sagte er, „Du änderst einfach die Kopfzeile „Von“ in was immer du willst. Mach das nie im Ernst, sonst kriegen wir beide Ärger.“ Also habe ich es nie getan.
Über mehrere Jahrzehnte hinweg war E-Mail-Spoofing so einfach, und erst in den letzten Jahren wurden die Sicherheitsmaßnahmen für dieses Problem als späte nachträgliche Maßnahme in Angriff genommen. Kludges wie SPF, DKIM und DMARC machen das E-Mail-Spoofing schwieriger als früher, aber diese Hilfsmittel werden nicht universell angewendet, und es gibt immer noch Umgehungslösungen für Betrüger und Spammer und Phisher zum Spoofing.
Schlimmer noch, der Versuch, das Thema Datensicherheit auf E-Mails zu übertragen, stellt einige der klügsten Sicherheitsexperten unserer Generation vor Probleme, von denen die meisten es vorziehen würden, die E-Mail verschwinden zu lassen und wieder ganz von vorne anzufangen. E-Mail ist von Natur aus unsicher, da alle E-Mail-Nutzer in den frühen 1970er Jahren entweder akademische Forscher oder Militärangehörige waren und daher von vornherein als vertrauenswürdig galten. Weil E-Mail in unserem Leben so tief verwurzelt ist, ist der Versuch, sie auszumerzen und durch etwas konstruktiv Sicheres zu ersetzen, ein mühsames Unterfangen.
Fälschungen sind in der Internet-Domain so viel einfacher. Handgeschriebene Unterschriften zu fälschen ist schwierig. Geschickte Kriminelle boten (und bieten immer noch) diesen Dienst an, aber die Eintrittsbarriere ist hoch, ebenso wie das Risiko, erwischt zu werden. Ein handgeschriebener Brief oder sogar ein maschinengeschriebener Brief mit einer Unterschrift, die Sie erkennen, ist ein deutliches Zeichen dafür, dass die Nachricht authentisch ist.
Dieses Maß an Vertrauen lässt sich eigentlich nicht in den digitalen Bereich übertragen, doch erzählen sie das unseren Köpfen. Eine E-Mail von einer vertrauenswürdigen E-Mail-Adresse erhält von unserem Gehirn dasselbe Maß an Vertrauen wie ein handgeschriebener Brief von einer geliebten Person – aber ohne dass dieses Vertrauen gerechtfertigt wäre.
Wer will Ihr Vertrauen missbrauchen? So viele Menschen.
Wer fälscht E-Mails?
„Ich, Ihr CEO, bitte Sie hiermit, die paltreysche Summe von 14 Millionen USD an unseren neuen Lieferanten von Dingsbummen, Dingsda und Dingens zu überweisen. Als feudale Geste des guten Willens habe ich einen Bluteid auf die Zahlung geleistet, bevor die himmlische Schlange die feurige Kugel dort drüben verschlingt. Bitte, mein guter Zahlenknecht, tu es so.“
Ich scherze, aber gefälschte E-Mails wie diese hier liegen auf dem Friedhof wohlmeinender Unternehmenskarrieristen, die versuchen, ihrem Chef zu gefallen. Eine glaubwürdige E-Mail von Ihrem CEO, in der Sie aufgefordert werden, Geld international zu überweisen: Für viele Kreditorenbuchhaltungen ist dies nicht nur ein tägliches, sondern vielleicht sogar stündliches Ereignis.
Wie um alles in der Welt soll sich die Geschäftswelt weiter drehen, wenn man sich auf nichts in Ihrem Posteingang verlassen kann? Nun, wir arbeiten daran.
Wie man dem E-Mail-Spoofing Einhalt gebieten kann: SPF, DKIM und DMARC
SPF (Sender Policy Framework) war der erste Versuch, eine klaffende Wunde mit dem kleinsten Pflaster, das sie finden können, abzudecken. Sie wissen schon, diese klitzekleinen Pflaster, die etwa einen Zentimeter lang und einen viertel Zoll breit sind? Das ist SPF.
Erstmals 2004 vorgelegt, wurde SPF erst 2014 zu einem Request for Comment (RFC). SPF funktioniert, indem ein Domänenadministrator offenlegt, welche IP-Adressen zum Senden von E-Mails für diese Domäne zugelassen sind, so dass ein empfangender E-Mail-Server das DNS überprüfen kann, bevor er eine bestimmte E-Mail annimmt oder ablehnt.
Dieses klitzekleine Pflaster erwies sich als nicht ausreichend, so dass ein etwas dickeres Stück Gaze aufgetragen werden musste: DKIM (DomainKeys Identified Mail), das ausgehende E-Mails auf dem Server kryptografisch signiert. Die Domänenbesitzer geben den öffentlichen Schlüssel in ihrem Domain Name Service (DNS) bekannt, so dass die empfangenden E-Mail-Server die DKIM-Signaturen einsehen und kryptografisch überprüfen können. DKIM wurde erst 2011 zu einem Standard.
Was passiert, wenn eine eingehende E-Mail entweder beim SPF- oder beim DKIM-Test oder auch bei beiden Tests fehlschlägt? Achselzucken Emoji hier. Hier kommt DMARC (Domain-based Message Authentication, Reporting, and Conformance) ins Spiel, ein hässlicher Klumpen von einem riesigen Pflaster, das die Arbeit zumeist erledigt, aber das Problem leider nicht vollständig aus der Welt räumt. DMARC bringt die Dinge nicht wirklich in Ordnung, aber es bringt die wandelnden verwundeten E-Mail-Krieger immerhin wieder auf die Beine.
DMARC lässt einen Domain-Besitzer in seinem DNS veröffentlichen, was mit gefälschten E-Mails geschehen soll. Außerdem erstellt DMARC einen Berichtsmechanismus für empfangende E-Mail-Server, um Domain-Besitzer zu informieren, wenn sie gefälschte E-Mails erhalten. Ein typischer Einsatz von DMARC beginnt mit der reinen Berichterstattung („p=none“), fordert dann, dass gefälschte E-Mails als Spam markiert werden („p=quarantine“) und kündigt schließlich an, dass gefälschte E-Mails direkt an den Absender zurückgesendet werden sollen („p=reject“).
Wie E-Mails gefälscht werden
Trotz all dieser gutgläubigen Arbeit zur Sicherung von E-Mails – und das hat, wie zu bemerken ist, die Zahl der E-Mail-Spoofings deutlich reduziert – haben kluge Angreifer immer noch viele technische Schlupflöcher, die sie auch weiterhin nutzen können.
Sie können keine E-Mails von CEO@AcmeCorp.com fälschen, weil AcmeCorp.com DMARC auf „p=reject“ gesetzt hat. Fälschen Sie stattdessen eine E-Mail von AcneCorp.com. Die Domain muss nicht zwangsläufig existieren. Wenn sie existiert, wird für diese geparkte Domain DMARC angewendet? Vielleicht nicht.
Oder, was soll’s, erstellen Sie einfach ein Wegwerf-Gmail-Konto, CEOAcmeCorp@gmail.com. Ein unvorsichtiger Leser oder jemand, der es eilig hat, denkt vielleicht nicht zweimal nach.
Dies setzt voraus, dass SPF, DKIM und DMARC allgemein übernommen und korrekt konfiguriert und eingesetzt werden, was weit von der Realität entfernt ist, in der wir heute leben.
E-Mail-Spoofing ist trivial einfach, und die technischen Fähigkeiten, die für diese Art von Angriffen erforderlich sind, sind äußerst gering und potenziell äußerst profitabel. Solange wir nicht herausfinden, wie wir den gesamten E-Mail-Bestand in den Müll werfen, in Brand stecken und durch etwas konstruktiv Sicheres ersetzen können, werden wir viel Zeit und Geld darauf verwenden müssen, unsere Unternehmen, unsere Regierungen und unsere Gesellschaft vor dieser frustrierenden Schwachstelle zu schützen.
*J.M. Porup schreibt unter anderem für CSO.com.
Be the first to comment