Ein neuer Bericht von Valimail hat ergeben, dass 50 % der Unternehmen keinen wirksamen Schutz gegen E-Mail-Spoofing haben.
Vor allem haben viele Unternehmen nachsichtige DMARC-Richtlinien, die Spoofing nicht wirklich verhindern. DMARC (Domain-based Message Authentication, Reporting and Conformance) ist ein E-Mail-Authentifizierungsprotokoll, das Angreifer daran hindert, Organisationen, die das Protokoll einsetzen, zu fälschen.
„In vielen Branchen hat eine beträchtliche Anzahl von Unternehmen die Richtlinie p=none eingeführt, wahrscheinlich als Reaktion auf die Anforderungen von Microsoft, Yahoo und Google an E-Mail-Absender (Yahoo/Google kündigten dies für 2023 an, Microsoft für 2025), ohne sich darüber im Klaren zu sein, dass dies zwar das Kästchen für die Zustellung von E-Mails an Mailbox-Anbieter abhakt, aber nichts zum tatsächlichen Schutz von E-Mail-Domains vor böswilliger, falscher Nutzung beiträgt“, heißt es in dem Bericht. „Auch wenn die DMARC-Akzeptanzrate hoch erscheint, ist ein erheblicher Prozentsatz der verfolgten Domains in jedem Segment ungeschützt
Alexander García-Tobar, CEO von Valimail, erklärt: „Besonders besorgniserregend ist, dass viele Unternehmen zwar erste Schritte zur Sicherung ihrer E-Mail-Domänen unternommen haben, aber ein erheblicher Prozentsatz von ihnen übermäßig freizügige oder nicht schützende Richtlinien eingeführt hat. Dadurch entsteht ein falsches Gefühl von Sicherheit, während diese Organisationen anfällig für Imitationsangriffe sind, die den Ruf schädigen, das Vertrauen der Kunden untergraben und sensible Informationen gefährden können.“
Der Bericht stellt fest, dass viele Unternehmen DMARC nicht effektiv einsetzen, weil sie nicht verstehen, wie das Protokoll überzeugendes E-Mail-Spoofing vereiteln kann.
„Ein großer Teil des Problems besteht darin, dass viele Unternehmen nicht wissen, was DMARC ist und warum es wichtig ist“, schreiben die Forscher. „Es herrscht der Glaube vor, dass andere Sicherheitsmaßnahmen wie Firewalls oder Antivirensoftware ausreichen, um Phishing zu vermeiden. Leider stimmt das einfach nicht. Die E-Mail ist eines der schwächsten Glieder in der Sicherheit der meisten Unternehmen
Es ist erwähnenswert, dass DMARC zwar die Arbeit von Angreifern erschweren kann, dass aber Bedrohungsakteure immer noch Wege finden können, Imitationsangriffe zu starten. Cyber Security Awareness Trainings kann Ihrem Unternehmen eine wichtige Verteidigungsschicht gegen Social Engineering bieten. KnowBe4 befähigt Ihre Mitarbeiter, jeden Tag intelligentere Sicherheitsentscheidungen zu treffen. Über 70.000 Organisationen weltweit vertrauen der KnowBe4-Plattform, um ihre Sicherheitskultur und das menschliche Risiko zu verringern.
Valimail hat die Story.