Falsche Konfiguration: Onlineshops gefährden fahrlässig Kunden

Mehr als die Hälfte der 20 größten deutschen Onlineshops nutzt laut Proofpoint eine zu lasche DMARC-Konfiguration zum Schutz ihrer Domains. Dadurch riskieren sie, dass in ihrem Namen betrügerische E-Mails an Verbraucher geschickt werden.

(Foto: Proofpoint)

Die Zahl der betrügerischen E-Mails nimmt seit Jahren beständig zu, vor allem zum Jahresende überschwemmen sie viele Postfächer und nutzen dabei gerne vermeintliche Shopping-Angebote, um Opfer in die Falle zu locken. Dabei machen es ihnen die Onlineshops nach Ansicht von Proofpoint oft unnötig leicht. "In Hochphasen wie zum Black Friday, Cyber Monday oder dem Weihnachtsgeschäft steigt das E-Mail-Volumen enorm an. Genau das nutzen Cyberkriminelle, um betrügerische Nachrichten unauffällig unter echte Angebote zu mischen", erklärt Thomas Mierschke, Area Vice President DACH bei Proofpoint. Der Sicherheitsanbieter hat sich deshalb die laut dem EHI Retail Institute nach Umsatz 20 größten deutschen B2C-Onlineshops von Amazon über Mediamarkt und Cyberport bis Notebooksbilliger zur Brust genommen und analysiert, wie gut sie ihre E-Mail-Domains vor solchem Betrug und Missbrauch schützen.

Dabei kam heraus, dass zwar immerhin alle 20 Kandidaten den international anerkannten Authentifizierungsstandard Domain-based Message Authentication, Reporting & Conformance, kurz "DMARC", nutzen, der vor der Zustellung die Legitimität des angegebenen Absenders überprüft. Allerdings hat nur die Hälfte der untersuchten deutschen Shops darin auch die empfohlene strengste Sicherheitseinstellung "reject" aktiviert, mit der alle potenziell gefälschten Nachrichten konsequent abgewiesen und somit nicht zugestellt werden.

"Es ist vergleichsweise einfach, DMARC korrekt umzusetzen – umso unverständlicher ist es, dass noch immer viele Unternehmen diesen entscheidenden Schritt nicht gehen." Thomas Mierschke, Area Vice President DACH, Proofpoint (Foto: Proofpoint)

Die anderen 10 Shops nutzen lediglich die schwächeren Einstellungen "Monitoring" oder "Quarantine", mit denen die E-Mails zwar als potenzieller Spam gekennzeichnet, aber dennoch ausgeliefert werden. Somit bleibt bei ihnen die Gefahr bestehen, dass betrügerische E-Mails unter dem Deckmantel ihres Namens und ihrer Marke Opfer in die Falle locken.

"Ohne vollständigen DMARC-Schutz riskieren Unternehmen, dass ihre Marke für Betrugsversuche missbraucht wird", warnt Mierschke. Insofern bleibt es letztlich oft den Verbrauchern selbst überlassen, sich zu schützen. Für sie gilt es selbst dann skeptisch zu bleiben, wenn E-Mails scheinbar von einem großen Shop oder einer bekannten Marke kommen. Besonders misstrauisch gilt es gegenüber Links zu sein. Webadressen für Sonderangebote sollten zur Überprüfung der richtigen Domain manuell im Browser eingegeben werden, im Zweifel sollten niemals persönliche Daten eingegeben werden.

CRN-Newsletter beziehen und Archiv nutzen - kostenlos: Jetzt bei der CRN Community anmelden