Mail-Verkehr: So sichern Online-Händler die Kommunikation zu Kunden ab

Immer wieder versuchen Cyberkriminelle, sich in den Mail-Verkehr zwischen Kunden und Lieferanten einzuhacken. Das kann sich lohnen. Bei einem erfolgreichen Angriff können beispielsweise Zahlungen umgeleitet werden. Oder es fallen sensible Kunden-Daten wie Adresse, Bankverbindung und Einkaufsgewohnheiten in unberechtigte Hände. Bei Versicherungen, Krankenkassen, Kreditinstituten oder auch Dating-Plattformen wiegt das besonders schwer, denn hier sind hochsensible Kundendaten unterwegs.

Mail-Verkehr: mit DNSSEC und DANE die DSGVO erfüllen

Verhindern lässt sich das mit DANE (DNS-based Authentication of Named Entities), einem Prüfverfahren, das den Aufbau einer verschlüsselten Verbindung zwischen einem Client und einem Server absichert. Über einen Zertifikatsabgleich (TLSA Record) schließen DANE nutzende Kommunikationspartner die konzeptionelle Schwäche von SSL/TLS, bei der ein Dritter sich als „der richtige Server“ ausgeben könnte und den Client dazu bringen könnte, seine Daten an den „falschen Richtigen“ zu übertragen. Voraussetzung für den Einsatz von DANE ist DNSSEC (Domain Name System Security Extensions), ein Verfahren, das sicherstellt, dass die per DNS übermittelten Prüfmerkmale verifizierbar sind. Denn auch hier könnten Angreifer falsche Angaben ins DNS einschleusen und den Client zum Falschen leiten.

Mail-Verkehr: Verletzung personenbezogener Daten

Passiert das, ist nicht nur die eigene Reputation in Gefahr, es drohen auch finanzielle Konsequenzen. Sofern dem Verantwortlichen oder dem gegebenenfalls beauftragten Auftrags-Verarbeiter (in diesem Fall der E-Mail Service Provider) die Verantwortung für die Datenschutzverletzung zugeschrieben werden kann, werden die Aufsichtsbehörden tätig. Im Falle einer Verletzung personenbezogener Daten gemäß Artikel 58 DSGVO machen diese möglicherweise Untersuchungs-, Abhilfe- und Sanktionsbefugnisse gegenüber dem oder den Verantwortlichen geltend. Im schlimmsten Fall kann dies sogar ein endgültiges Verbot der Verarbeitung solcher Daten zur Folge haben, was konkret ein Verbot der Geschäftstätigkeit bedeutet.

Darüber hinaus können Zwangsgelder verhängt werden. Daneben oder alternativ drohen nach Artikel 83 DSGVO erhebliche Geldbußen bis zu 20 Millionen Euro oder 4 Prozent des Gesamtjahresumsatzes. Jüngstes Beispiel: Die britische Datenschutzbehörde (ICO) hat gegen British Airways ein Bußgeld in Höhe von umgerechnet 205 Millionen Euro verhängt, nachdem sich Unbekannte Zugriffe auf die Kundendaten der Fluggesellschaft erschlichen hatten.

Absicherung der Kundendaten mit DNSSEC und DANE

Es reicht nicht aus, den eigenen Server bestmöglich abzusichern. Denn ein Man-in-the-Middle-Angriff nutzt die Schwachstelle des Transports einer E-Mail von A nach B. Um den Anforderungen von Artikel 5 Absatz 1 f. DSGVO zu genügen, die angemessene Sicherheit personenbezogener Daten zu gewährleisten, sollten sensible Kundendaten mittels DNSSEC und DANE geschützt werden.

Wie sieht ein typischer Mail-Transport mit DANE aus? Gesetzt den Fall, Sie als Online-Händler senden eine Mail an einen Kunden mit einem Mail-Konto bei example.de, sieht es wie folgt aus:

• Ihr Mailserver bestimmt den für die Empfänger-Domain zuständigen Mailserver. Dabei prüft er auch, ob der DNS-Server der Empfängerdomain DNSSEC anbietet.
• Bietet der DNS-Server DNSSEC an, prüft Ihr Mailserver, ob ein TLSA (TLS-Authentifizierung)-Record für die Empfängerdomain vorliegt.
• Dann baut Ihr Mailserver eine Verbindung zum Mailserver der Empfängerdomain auf. Bietet dieser kein STARTTLS für eine Verschlüsselung der Verbindung an, bricht Ihr Mailserver sofort ab, denn der Verdacht einer Downgrade-Attacke steht im Raum.
• Bietet der Zielserver STARTTLS an, beginnt Ihr Mailserver eine TLS-verschlüsselte Verbindung. Dabei vergleicht er die Prüfsumme des Zertifikats des Zielservers mit der TLSA-Information, die er per DNSSEC erhalten hatte.
• Stimmen die Summen überein, gilt der Zielserver als verifiziert. Passen die Summen nicht zusammen, bricht ein DANE-aktivierter Client sofort ab, denn es besteht der Verdacht einer „Man-in-the-Middle“-Attacke. Herkömmliche Clients senden jetzt ahnungslos weiter und senden Daten an ein nicht vertrauenswürdiges Ziel.

Mail-Verkehr: „DNSSEC ist ein ausgereiftes und seit Jahren stabiles Verfahren!“

So weit, so sicher. Damit DANE mit DNSSEC funktioniert, müssen sowohl DANE als auch DNSSEC auf dem Mailserver des Online-Händlers eingerichtet sein. Sofern ein E-Mail-Service-Provider für den Versand genutzt wird, muss die Mailplattform so erweitert werden, dass DNS-Abfragen auch auf DNSSEC-Funktionalität prüfen und dessen Fähigkeiten zur Verifikation nutzen.

Die Grundlagen dafür sind längst gegeben. „DNSSEC ist ein ausgereiftes und seit Jahren stabiles Verfahren. Praktische Erfahrung auf großen ISP-Plattformen und Messungen zeigen, die Bedenken mancher Administratoren sind fachlich nicht haltbar“, erklärt Patrick Koetter, Kompetenzgruppenleiter der Gruppen „Anti-Abuse“ und „E-Mail“ beim eco – Verband der Internetwirtschaft e.V.

Bedenkt man die finanziellen Konsequenzen und den Reputationsverlust, den eine Downgrade-Attacke und/oder „Man-in-the-Middle“-Attacke nach sich ziehen können, lohnt sich der einmalige Aufwand für die Aktivierung von DANE und DNSSEC. Sie stellen die einzige automatisierte und kostengünstige Möglichkeit für eine wirklich sichere Datenübertragung zwischen E-Mailservern dar. Mehr über die Absicherung des Mail-Verkehr erfahren Sie auch beim nächsten CSA Summit 2020.

Über die Autoren: Julia Janßen-Holldiek ist Director bei CSA und Florian Mielke ist Manager Business Development bei CSA.

Lesen Sie auch: Kundenkommunikation: Neues Chat-Messaging-Dashboard für die Steuerung der Kommunikation