print logo

E-Mail: Beim Datenschutz mit DANE auf der sicheren Seite

Mit DANE kommen E-Mails mit Sicherheit beim Richtigen an. Das Netzwerkprotokoll erweitert die Verschlüsselung SSL/TLS. Auch DSGVO-relevant.
Julia Janssen-Holldiek | 05.08.2019
© Pixabay / Gadini
 
Autoren: Julia Janssen-Holldiek und Florian Mielke


Wer seine Mails an Kunden mittels DANE schützt, der ist in Sachen Datenschutz auf der sicheren Seite. Das Netzwerkprotokoll erweitert die verbreitete Transportwegverschlüsselung SSL/TLS und sorgt so dafür, dass niemand Kundendaten auslesen kann.

Ein beliebtes Ziel von Cyberkriminellen ist es nach wie vor, sich in den E-Mail-Verkehr zwischen Kunden und Lieferanten einzuhacken. Das kann sich lohnen: Bei einem erfolgreichen Angriff können beispielsweise Zahlungen umgeleitet oder Kunden-Daten wie Adresse, Bankverbindung oder Einkaufsgewohnheiten in unberechtigte Hände fallen. Das gilt es unbedingt zu verhindern, zumal wenn die Kundendaten hochsensibel sind wie etwa bei Versicherungen, Krankenkassen, Kreditinstituten oder auch Dating-Plattformen.

Eine für die Cyberkriminellen praktisch kaum zu nehmende Hürde schafft hier DANE (DNS-based Authentication of Named Entities), ein Prüfverfahren, das den Aufbau einer verschlüsselten Verbindung zwischen einem Client und einem Server absichert. Über einen Zertifikatsabgleich (TLSA Record) schließt DANE die konzeptionelle Schwäche von SSL/TLS, bei der ein Dritter sich als „der richtige Server“ ausgeben könnte und den Client dazu bringen könnte, seine Daten an den „falschen Richtigen“ zu übertragen. Voraussetzung für den Einsatz von DANE ist DNSSEC (Domain Name System Security Extensions). Das macht die per DNS übermittelten Prüfmerkmale verifizierbar, damit sich auch hier keine Angreifer mit gefälschten Angaben ins DNS einschleusen und den Client zum Falschen leiten können.

Netzwerkprotokoll verhindert Man-in-the-Middle-Angriffe


Passiert das, ist nicht nur die eigene Reputation in Gefahr, es drohen auch finanzielle Konsequenzen. Im Falle einer Verletzung personenbezogener Daten gemäß Artikel 58 DSGVO machen die Aufsichtsbehörden möglicherweise Untersuchungs-, Abhilfe- und Sanktionsbefugnisse gegenüber dem oder den Verantwortlichen geltend. Im schlimmsten Fall kann dies sogar ein endgültiges Verbot der Verarbeitung solcher Daten zur Folge haben, was konkret ein Verbot der Geschäftstätigkeit bedeutet. Darüber hinaus können Zwangsgelder verhängt werden. Daneben oder alternativ drohen nach Artikel 83 DSGVO erhebliche Geldbußen bis zu 20 Millionen Euro oder 4 Prozent des Gesamtjahresumsatzes. Jüngstes Beispiel: Die britische Datenschutzbehörde (ICO) hat gegen British Airways ein Bußgeld in Höhe von umgerechnet 205 Millionen Euro verhängt, nachdem sich Unbekannte Zugriffe auf die Kundendaten der Fluggesellschaft erschlichen hatten.

Fakt ist: Es reicht nicht aus, den eigenen Server bestmöglich abzusichern. Denn ein Man-in-the-Middle-Angriff nutzt die Schwachstelle des Transports einer E-Mail von A nach B. Um den Anforderungen von Artikel 5 Absatz 1 f. DSGVO zu genügen, die angemessene Sicherheit personenbezogener Daten zu gewährleisten, sollten sensible Kundendaten mittels DNSSEC und DANE geschützt werden.

Das Zusammenspiel von DNSSEC und SSL/TLS sichern


Wie sieht nun ein typischer Mailtransport mit DANE aus? Gesetzt den Fall, Sie als Online-Händler senden eine Mail an einen Kunden mit einem Mailkonto bei example.de. Dann sieht das wie folgt aus:

• Ihr Mailserver bestimmt den für die Empfängerdomain zuständigen Mailserver. Dabei prüft er auch, ob der DNS-Server der Empfängerdomain DNSSEC anbietet.

• Bietet der DNS-Server DNSSEC an, prüft Ihr Mailserver, ob ein TLSA (TLS-Authentifizierung)-Record für die Empfängerdomain vorliegt.

• Dann baut Ihr Mailserver eine Verbindung zum Mailserver der Empfängerdomain auf. Bietet dieser kein STARTTLS für eine Verschlüsselung der Verbindung an, bricht Ihr Mailserver sofort ab, denn der Verdacht einer Downgrade-Attacke steht im Raum.

• Bietet der Zielserver STARTTLS an, beginnt Ihr Mailserver eine TLS-verschlüsselte Verbindung. Dabei vergleicht er die Prüfsumme des Zertifikats des Zielservers mit der TLSA-Information, die er per DNSSEC erhalten hatte.

• Stimmen die Summen überein, gilt der Zielserver als verifiziert. Passen die Summen nicht zusammen, bricht ein DANE-aktivierter Client sofort ab, denn es besteht der Verdacht einer „Man-in-the-Middle“-Attacke. Herkömmliche Clients senden jetzt ahnungslos weiter Daten an ein nicht vertrauenswürdiges Ziel.

Damit DANE mit DNSSEC funktioniert, müssen sowohl DANE als auch DNSSEC auf dem Mailserver des Online-Händlers eingerichtet sein. Sofern ein E-Mail-Service-Provider für den Versand genutzt wird, muss die Mailplattform so erweitert werden, dass DNS-Abfragen auch auf DNSSEC-Funktionalität prüfen und dessen Fähigkeiten zur Verifikation nutzen.

Die Grundlagen dafür sind längst gegeben. „DNSSEC ist ein ausgereiftes und seit Jahren stabiles Verfahren“, sagt Patrick Koetter, Kompetenzgruppenleiter der Gruppen „Anti-Abuse“ und „E-Mail“ des eco – Verband der Internetwirtschaft e.V. „Praktische Erfahrung auf großen ISP-Plattformen und Messungen zeigen, die Bedenken mancher Administratoren sind fachlich nicht haltbar.“

Bedenkt man die finanziellen Konsequenzen und den Reputationsverlust, den eine Downgrade-Attacke und/oder „Man-in-the-Middle“-Attacke nach sich ziehen können, lohnt sich der einmalige Aufwand für die Aktivierung von DANE und DNSSEC. Sie stellen die einzige automatisierte und kostengünstige Möglichkeit für eine wirklich sichere Datenübertragung zwischen E-Mailservern dar.


Lesen Sie mehr über verwandte Technologien und tauchen Sie während eines Workshops auf dem CSA Summit 2020 noch tiefer in das Thema ein.


Florian Mielke
Ko-Autor Florian Mielke ist Manager
Business Development bei der CSA.