Wie sich der Bund vor Spoofing schützt

Das BIT erhöht die Sicherheit im Umgang mit E-Mails. Es weitet den Schutz vor Spoofing für die eigene Maildomäne (*.admin.ch) auf die gesamte Bundesverwaltung aus. Der «Eisbrecher» hat zudem wertvolle Tipps im Umgang mit E-Mails zusammengestellt.  

Was drauf steht, soll auch drin sein: Genau so wie ein auf biologische Produkte bedachter Konsument davon ausgeht, dass sein Bio-­Salat auch aus biologischem Anbau kommt, so möchten E-Mail-Benutzer auch davon ausgehen können, dass E-Mails mit ihnen bekannten Absenderadressen vom angezeigten Absender kommen. Was in der Lebensmittelbranche als Etikettenschwindel gilt, ist in der E-Mail-Korrespondenz das Spoofing. Als Spoofing (englisch für Manipulation, Verschleierung) werden in der IT verschiedene Täuschungsmethoden bezeichnet, die der Verschleierung der eigenen Identität dienen. Über eine vorgetäuscht vertrauenswürdige Identität können sich Kriminelle im schlimmsten Fall Zugang zu personenbezogenen Daten mittels Phishing verschaffen.  

Bei Bio-Produkten kann sich der Konsument Sicherheit verschaffen, indem er sich auf bekannte und vertrauensvolle Labels stützt und auf die Qualitätssicherung dieses Labels und die Betriebskontrollen der Verkaufsstellen vertraut. Bei E-Mails ist dies aber ein wenig komplexer: Der technische Aufbau einer E-Mail besteht aus Envelope (englisch für Briefumschlag), Header (Briefkopf) und Body (Text und Anhang). Im Header sind unter anderem Absender- und Empfängeradresse, Datum, Zeit und Ort (IP-Adresse und/oder Server, von wo die E-Mail verschickt wurde). Absender können die E-Mail-Adresse für den Header im Mailprotokoll einfach abändern. So ist also über das Label *.admin.ch eben nicht sichergestellt, dass es sich auch um einen Absender aus der Bundesverwaltung handelt. Der Bereich «Betrieb Messaging Services (BBM)» im BIT ist der Dreh- und Angelpunkt, wenn es um die Erkennung und Blockierung von E-Mails geht. Wie Peter Ferri vom Bereich BBM erklärt, gibt es drei Fälle von E-Mail-Korrespondenz mit *.admin.ch-Adressen: Der Normalfall ist, wenn sich Mitarbeitende des Bundes gegenseitig E-Mails zusenden. Das System erkennt, dass E-Mails von den Servern des Bundes untereinander verschickt werden.

Im zweiten Fall trifft eine E-Mail mit der ­*.admin.ch-Endung aus dem Internet auf den Mail-Servern der Bundesverwaltung ein. Die Mail-Server bei BBM überprüfen nun anhand des Sender-Policy-Framework-Records (SPF), ob bei der E-Mail die Absenderadresse von einem Mailserver stammt, der berechtigt ist, diese Absenderadresse zu verwenden. Beispielsweise arbeiten das Eidgenössische Departement für auswärtige Angelegenheiten (EDA) oder die Direktion für Entwicklung und Zusammenarbeit DEZA mit Tools, die im Internet gehostet werden und über diese auch E-Mails mit ­*.admin.ch-Absendern verschickt werden. ­Fehlen für diese Fälle die SPF-Records, wendet das BIT das sogenannte Whitelist-Verfahren an. Ist das Tool oder die externe Firma auf der Whitelist, leitet der Bereich BBM die E-Mails weiter.

Im dritten Fall handelt es sich auch um eine E-Mail mit der *.admin.ch-Endung, die aus dem Internet stammt, für die jedoch weder entsprechende SPF-Records existieren, noch auf einer Whitelist geführt werden. Der Mailserver unterbindet in diesem Fall die Weiterleitung zum E-Mail-Konto des Benutzers.

Beim EDA und der DEZA existieren Sperrungen über Whitelists nun bereits seit über zehn Jahren. «Beim Bundesamt für Sozialversicherungen und der BK dürfen sogar gar keine E-Mails mit ihrer eigenen *.admin.ch-Adresse von aussen hereinkommen», erklärt Peter Ferri. Angesichts vermehrter Fälle von Spoofing in anderen Departementen und Ämtern und um die Sicherheit im E-Mail-Verkehr zu erhöhen, weitet das BIT die Sperrungen nun auf die ganze Bundesverwaltung aus. «Wir reden nicht von einer Vielzahl, aber wenige hunderte Fälle waren es in diesem Jahr schon», sagt Peter Ferri.

Die Arbeiten für die Sperrungen über White­lists laufen nun auf Hochtouren. «Wir sind daran, das Verfahren auf alle Departemente und Ämter auszubauen. Wir wissen grob, bei welchen Ämtern welche externen Firmen E-Mails mit admin.ch-Adressen verschicken», sagt Peter Ferri. «Als nächsten Schritt versuchen wir, diese Whitelists zu verfeinern. Für Rückmeldungen von Kundenseite sind wir sehr dankbar.» Ämter und Departemente können ihre Berechtigungsanfragen an die Mailbox postmaster@admin.ch schicken. Die Ausnahmen müssen jedoch beim Amt/Departement vom Informatiksicherheitsbeauftragten (ISBO / ISBD) genehmigt werden. Das BIT kann mit der Umstellung den Aufwand für die Sondierung bei Spoofing geringer halten. «Verbleiben wird die Aufgabe, die Listen aktuell zu halten», sagt Peter Ferri.

Die Bundesverwaltung wird von Spam- und Viren­attacken überhäuft. Im August 2017 hat sie auf ihrem Mailserver admin.ch über 15 Mio. Mails empfangen. Davon wurden rund 5 Mio. Mails durch den Einsatz von Blacklists als Spam geblockt. Zentral entsorgt wurden ungefähr 1.5 Mio. Meldungen. Im August wurden vom Virenscanner auf den Mailservern nur 988 Fälle erkannt. Dabei ist zu berücksichtigen, dass unter den Spammeldungen höchstwahrscheinlich eine grössere Anzahl von Malware versteckt war, die frühzeitig abgeblockt wurde, also gar nicht bis zum Virenscanner kam.

Damit Sie sich als Benutzer vor Spam und Malware schützen können und bei einem Befall wissen, wie Sie reagieren sollen, hier ein paar Tipps:

Öffnen Sie nie Attachments in E-Mails, wenn

• die E-Mail von jemandem stammt, den Sie nicht kennen.
• die E-Mail von jemandem stammt, den Sie zwar kennen, dessen Name aber nicht mit der E-Mail-Adresse übereinstimmt.
• die üblichen Tricks versucht werden, wie «Sie haben gewonnen!», «Ihr Computer ist infiziert, klicken Sie hier, um ihn zu reinigen!» etc.
• Sie das Attachment nicht erwartet oder bestellt haben. Im Zweifelsfall rufen Sie den Absender/die Absenderin am besten an und fragen nach dem Zweck des Attachments.
  

Wenn sich nach diesen Überprüfungen keine Verdachtsmomente ergeben haben, machen Sie noch folgende Überlegungen, bevor Sie das Attachment öffnen:

• Wie sicher bin ich, dass die E-Mail effektiv von diesem Absender stammt? Falls die E-Mail z. B. eine digitale Signatur der Bundesverwaltung enthält, ist die Authentizität des Absenders prinzipiell bewiesen.
• Handelt es sich beim Attachment effektiv um den in der E-Mail angegebenen Dateityp? Ein beliebter Trick ist es, den Dateinamen so zu verlängern, dass die effektive Endung nicht auffällt, z.B. rechnung.pdf____________.exe
• Sie können weder dem Dateinamen noch dem Datei-Icon vertrauen, beides ist manipulierbar.
• Öffnen Sie das Attachment nicht mit einem Doppelklick, sondern mit dem erwarteten Programm. Ein Beispiel: Wenn Sie ein Worddokument erhalten, speichern Sie das Attachment ab, starten Sie Word und öffnen Sie das Dokument danach über den normalen Menüpunkt Datei > Öffnen.
• Führen Sie keine Makros aus, die in Office­-Dokumenten enthalten sind (den Button Aktivieren im Warnhinweis bitte nicht drücken).
  

Klicken Sie nie auf Links, wenn

• die E-Mail von jemandem stammt, den Sie nicht kennen.
• die E-Mail von jemandem stammt, den Sie zwar kennen, dessen Name aber nicht mit der E-Mail-Adresse übereinstimmt.
• in der E-Mail von Ihnen persönliche Angaben verlangt werden, wie z. B. Username mit nachfolgendem Link.
• der Link «komisch» ausschaut, z. B. http://131.102.107.200/dfasdjk/login.html, aber vorgibt, von der Bundesverwaltung zu stammen.
• der Link irgendwo das @-Zeichen enthält – so führt z. B. https://www.admin.ch/123:345@www.hacker.com nicht auf www.admin.ch, sondern auf www.hacker.com.
• es eine E-Mail im HTML- oder Rich-Text-Format ist. Dort können der angezeigte Text und der effektiv vorhandene dahinterliegende Link vollkommen unterschiedlich sein.  

Autor: Rinaldo Tibolla