PresseKat - Phishing-Abwehr: datenschutzrechtliche Bedenken - Gutachten empfiehlt Redacting
eco - Vb. d. dt. Internetwirtschaft e.V.

Phishing-Abwehr: datenschutzrechtliche Bedenken - Gutachten empfiehlt Redacting

ID: 1244121

(ots) -

- Anti-Phishing Working Group verzeichnet für 2014 mit etwa
248.000 Phishing-Angriffen einen neuen Rekordwert

- Die eco Kompetenzgruppe E-Mail im eco - Verband der deutschen
Internetwirtschaft e. V. hat in einem Gutachten
herausgearbeitet, dass der Anti-Phishing Standard DMARC
grundsätzlich mit dem deutschen Datenschutz vereinbar ist

- eco Gutachten kann kostenfrei unter http://ots.de/7aXgW
heruntergeladen werden

Phishing ist weiter auf dem Vormarsch: Die global tätige
Anti-Phishing Working Group (APWG) hat für 2014 etwa 248.000
Phishing-Angriffe verzeichnet (http://bit.ly/1DO1tLw) - ein neuer
Rekordwert. Im Zeitraum von Oktober 2014 bis März 2015 wurden zudem
21 Milliarden E-Mails identifiziert, die nicht, wie vorgetäuscht, von
namhaften Firmen versendet wurden (http://bit.ly/1DamhSh). Als
Bollwerk gegen die Phishing-Flut hat sich der immer häufiger genutzte
internationale Authentifizierungsstandard DMARC (Domain-based Message
Authentication, Reporting and Conformance) etabliert
(http://bit.ly/1Iq0T7G). Die eco Kompetenzgruppe E-Mail im eco -
Verband der deutschen Internetwirtschaft e. V (www.eco.de) hat in
ihrem aktuellen Gutachten die rechtlichen Bedenken aufgezeigt und
gleichzeitig herausgearbeitet, wie der Anti-Phishing Standard unter
Beachtung bestimmter Implementierungsvorgaben mit deutschem Recht
vereinbar ist (http://bit.ly/1DamhSh). Da die sogenannten Failure
Reports eine Vielzahl personenbezogener Daten wie Kreditkartennummer,
Adresse oder Geburtsdatum enthalten können, spricht das Gutachten
hier von "erheblichen datenschutzrechtlichen Bedenken".

Wie DMARC mit deutschem Recht vereinbar ist

Das eco Gutachten zeigt laut André Görmer, einem der Leiter der
eco Kompetenzgruppe E-Mail (https://e-mail.eco.de/), auf, dass DMARC




mit deutschem Recht vereinbar ist. Hierzu gilt es jedoch, einige
Maßnahmen zu ergreifen. Um zu vermeiden, dass personenbezogene Daten
des Empfängers einer betrügerischen Mail mit einem Failure Report an
den Domaininhaber, wie beispielsweise Facebook, Paypal, oder den
Internet Service Provider (ISP) weitergegeben werden, empfiehlt
Görmer daher das sogenannte Redacting (http://bit.ly/1VMBeQV): "Durch
dieses 'Schwärzen' werden erfasste sensible Daten unkenntlich
gemacht." Die Failure Reports beziehen sich auf E-Mails, die die
DMARC-Prüfung nicht bestanden haben. Hierbei werden unter anderem die
IP-Adresse, der Betreff der E-Mail, der E-Mail-Body und sowohl die
Ausgangs- als auch die Empfänger-E-Mail-Adresse übermittelt. Neben
den Failure Reports sieht DMARC auch Aggregated Reports vor, welche
bei verifizierten E-Mails erstellt werden. "Die hier übermittelten
Versand-IPs sind zwar auch personenbezogene Daten, können aber zur
Erkennung und Eingrenzung von Spam und Phishing übermittelt werden.
Wo immer möglich und zumutbar sollte hier jedoch eine Anonymisierung
erfolgen", betont Sven Krohlas, ebenfalls Leiter der eco
Kompetenzgruppe E-Mail.

Ferner erinnern die E-Mail-Experten daran, auch ein
Authentifizierungs- und Verifizierungssystem zu implementieren, das
gewährleistet, dass der konkrete Reportempfänger tatsächlich befugt
und gewillt ist, die Daten zu erhalten - so wie dies im
DMARC-Standard vorgeschlagen wird. Ohne ein derartiges System kann
DMARC zu Angriffen missbraucht werden. Darüber hinaus sollte der
Empfänger in Kenntnis über die alternative Verfahrensweise von
E-Mails gesetzt werden. Dies kann in den Allgemeinen
Geschäftsbedingungen des ISPs oder in den DMARC-Richtlinien erfolgen.

DMARC - eine internationale Erfolgsgeschichte

Die DMARC Allianz, die 2012 von 15 führenden Internetkonzernen wie
Google, Microsoft und Facebook geschmiedet wurde, hat sich zu einer
Erfolgsgeschichte entwickelt (http://bit.ly/1Kxsjzc). Laut aktuellem
DMARC Report 2015 (http://bit.ly/1Kxstqd) waren im Dezember 2014
schon 142 ISPs angebunden und damit 2,43 Milliarden Postfächer
weltweit geschützt. Mittlerweile werden bereits 35 Prozent der
Nachrichten weltweit, die von großen ISPs empfangen werden, mittels
DMARC geschützt. Mehrere hundert Millionen Nachrichten wurden dabei
nicht versendet, weil sie die DMARC-Authentifizierungsprüfung nicht
bestehen. "DMARC wurde eingeführt, um den Missbrauch von E-Mails zu
reduzieren und dadurch die Spam- und Phishing-Flut einzudämmen. Laut
Expertenmeinung ist dieses Verfahren zur Domain-basierten
Authentifizierung von Absender-Adressen in puncto E-Mail der
effektivste Schutz gegen cyberkriminelle Aktivitäten", fügt Krohlas
hinzu.

Anhand der genutzten Domain einer Adresse wird überprüft, ob der
Versender legitimiert ist oder nicht. Dabei wurde laut Krohlas das
Rad nicht neu erfunden: "DMARC setzt auf zwei etablierte
Technologien: SPF (Sender Policy Framework) und DKIM (Domain Keys
Identified Mail). Gegenüber diesen hat DMARC jedoch wesentliche
Vorteile: Der Versender erfährt mit Hilfe einer integrierten
Feedback-Funktion in Form der Failure Reports vom Missbrauch seiner
Domain und kann entscheiden, wie mit verdächtigen Mails umgegangen
wird." E-Mail Empfänger können so vor schadhaften E-Mails bewahrt
werden, während die Versender von legitimen Marketing-Mailings ihre
Marke besser schützen. Mit Hilfe der Reports dokumentiert das
Verfahren die Quellen und Absender einer Nachricht. Gefälschte
Adressen lassen sich so identifizieren und abblocken.

eco (www.eco.de) ist mit mehr als 800 Mitgliedsunternehmen der
größte Verband der Internetwirtschaft in Europa. Seit 1995 gestaltet
der eco Verband maßgeblich die Entwicklung des Internets in
Deutschland, fördert neue Technologien, Infrastrukturen und Märkte,
formt Rahmenbedingungen und vertritt die Interessen der Mitglieder
gegenüber der Politik und in internationalen Gremien. In den eco
Kompetenzgruppen sind alle wichtigen Experten und Entscheidungsträger
der Internetwirtschaft vertreten und treiben aktuelle und zukünftige
Internetthemen voran.



Weitere Informationen:
eco - Verband der deutschen Internetwirtschaft e. V.,
Lichtstr. 43h, 50825 Köln, Tel.: 0221 / 70 00 48 - 0,
E-Mail: info(at)eco.de, Web: www.eco.de

Pressekontakt: Thomas Müller,
Tel.: 0221 / 700048-260, E-Mail: Thomas.Mueller(at)eco.de

PR-Agentur: euromarcom public relations GmbH,
Tel. 0611 / 973150, E-Mail: team(at)euromarcom.de,
Web: www.euromarcom.de


Themen in dieser Pressemitteilung:

internet

verbraucher

e

commerce

computerkriminalit-t



Unternehmensinformation / Kurzprofil:
drucken  als PDF  an Freund senden  Das Internet Systemhaus ODN eröffnet sein fünftes Rechenzentrum, zertifiziert nach TÜV Cat. 3, in Fürth. IT-Budget: Hardware-Hunger wächst weiter
Bereitgestellt von Benutzer: ots
Datum: 29.07.2015 - 11:17 Uhr
Sprache: Deutsch
News-ID 1244121
Anzahl Zeichen: 7095

Kontakt-Informationen:
Stadt:

Köln



Kategorie:

Internet



Diese Pressemitteilung wurde bisher 0 mal aufgerufen.

Juristisches zu dieser Pressemitteilung

Die Pressemitteilung mit dem Titel:
"Phishing-Abwehr: datenschutzrechtliche Bedenken - Gutachten empfiehlt Redacting"
steht unter der journalistisch-redaktionellen Verantwortung von

eco - Vb. d. dt. Internetwirtschaft e.V. (Nachricht senden)

Beachten Sie bitte die weiteren Informationen zum Haftungsauschluß (gemäß TMG - TeleMedianGesetz) und dem Datenschutz (gemäß der DSGVO).

PresseMitteliung löschen Pressemitteilung ändern PresseMitteliung beanstanden
Weitere Pressemitteilungen von eco - Vb. d. dt. Internetwirtschaft e.V.

Alle Meldungen von eco - Vb. d. dt. Internetwirtschaft e.V.