Bundesfinanzhof : mangelnde Absicherung der E-Mail-Server
Es scheint ein gewaltiges Problem im Bundesfinanzhof (BFH) zu geben. Auf der eigenen Internetpräsenz warnt der Oberste Gerichtshof für Steuern und Zölle seit Anfang Juni 2019 eindringlich vor gefälschten Mails. Laut Bundesfinanzhof wird die E-Mail-Domain der Behörde von Unbekannten verwendet, um massiv Mails mit Schadsoftware im Anhang zu versenden.
Der Blogbeitrag mit dieser wichtigen Warnung dürfte – trotz Teilen in den sozialen Medien – nur eine geringe Reichweite haben und kommt eindeutig zu spät. IT-Sicherheitsexperten sind entsetzt, wie wenig die Behörde auf weitreichende Kommunikation und gängige Sicherheitsmaßnahmen setzt. Dabei könnte dieses Problem durch den Einsatz gängiger und einfacher Technik zeitnah gelöst werden oder bei vorausschauendem Einsatz gar nicht relevant sein.
DMARC Technik für mehr Sicherheit
Der DMARC (Domain-based Message Authentication, Reporting, and Conformance, 2015) Eintrag bietet allen E-Mail Servern ausreichend Schutz vor falschen Mails. Der Eintrag erläutert E-Mail Servern weltweit, wie das Handling der geschützten Domain sein soll. Zudem werden die Server festgelegt, die für diese Domain E-Mails verschicken dürfen. Der Empfänger kann so gefälschte Mails sicher identifizieren, da der Absender automatisch geprüft wird.
Leider scheuen viele Domaininhaber den anfänglichen Aufwand zur Registrierung. Doch die Sicherheit und Transparenz, die sich danach ergeben, sind diesen Aufwand sicher wert. In England wurden die positive Aspekte der DMARC Technik genau beleuchtet und man kam zu dem Entschluss,alle Bundesbehörden zur Einführung dieser Technik zu verpflichten.
DMARC wird bereits weltweit genutzt und immer mehr Online Services schließen sich an. Besonders in sensiblen Segmenten, wie Sicherheit oder Geld haben die Betreiber von Services die Notwendigkeit zum Schutz der E-Mail-Server erkannt. Ein besonders positives Beispiel ist Paypal.
DMARC wird vom Bundesamt für Sicherheit in der Informationstechnik (BSI) als „ wichtiges Verfahren“ bei der E-Mail Authentifizierung empfohlen. Weshalb also werden diese Verfahren nicht zum allgemeinen Sicherheitsstandard bei deutschen Behörden und auch Unternehmen? Wie dem Bundesfinanzhof, der mit der aktuellen Angriffswelle kämpft, kann es auch anderen Behörden ergehen, sodass ein Umdenken und mehr Investition in den Schutz von Domainstrukturen schnell erfolgen sollte.