de-DEen-GB
rss

Granikos Technology Blog

NRW-Soforthilfe 2020 und E-Mail-Kommunikation - Die Geschichte eines angekündigten Betruges

IllustrationÜber das Desaster der Antragstellung für die NRW Soforthilfe 2020 wurde schon viel geschrieben und konnte den Eindruck gewinnen, dass Maßnahmen zum Schutz der Kommunikation und gegen weitere Betrugsversuche unternommen werden. Augenscheinlich hatte man nur die Antragstellung über das Online-Formular im Blick. Die dazugehörige E-Mail-Kommunikation der Bezirksregierung Köln war und ist aktuell nicht Bestandteil grundlegender Schutzmaßnahmen.

Das folgende Beispiel einer empfangenen E-Mail der Bezirksregierung Köln mit dem Absender Corona-Soforthilfe@bezreg-koeln.nrw.de habe ich zum Anlass genommen, mir die Konfiguration der Absenderdomäne einmal genauer anzuschauen. Die Ergebnisse sind beängstigend.

Ausgangspunkt der Recherche ist die empfange E-Mail-Nachricht. In dieser sind alle benötigten Informationen enthalten.

 

E-Mail Kopfinformationen

Eine E-Mail-Nachricht besteht, wie ein klassicher Brief, aus zwei Teilen. Zum einen gibt es den Umschlag, der alle Zustellinformationen, enthält, und als Zweites den Inhalt, der die lesbaren Informationen und vielleicht auch Dateianhänge für dem Empfänger bereithält.

Für eine genauere Betrachtung der E-Mail-Zustellung sind die Informationen des Umschlages, die sog. Kopfinformationen, von großem Interesse. Ich habe diese Informationen mit Hilfe des Message Header Analyzers von Microsoft in ein besser lesbares Format gebracht. Der nachfolgende Screen zeigt die wichtigsten Kopfinformationen der E-Mail:

  • Betreff
  • Absender
  • Empfänger
  • Alle an der E-Mail-Zustellung beteiligten Serversysteme
Hinweis
Aus Gründen der Vertraulichkeit sind in diesem Screenshot ausgewählte Informationen unkenntlich gemacht.

 

Screenshot - Message Header bezreg-koeln.nrw.de

Besonders interessant sind die rot umrandeten Zeilen 1 - 10. Diese Zeilen geben uns Aufschluss über alle beteiligten internen Systeme der IT.NRW, die als zentraler IT-Dienstleister für die Bezierksregierung Köln tätig ist. Die unkenntlich gemachten Textstellen beinhalten Informatioen über:

  • Computername des Applikationssystems, das für die Erstellung dieser E-Mail zuständig war
  • Computernamen und -adressen der internen E-Mail-Systeme
  • Produktnamen der intern verwendeten E-Mail-Software
  • Produktnamen der intern verwendeten Antivirus-Lösungen
  • Verbindungskette der internen E-Mail-Computersysteme inklusive lokaler Schleifen

Als eine der einfachsten Schutzfunktionen für E-Mail-Nachrichten, die an externe Empfänger gesendet werden, werden die Informationen interner Systeme aus dem Kopfinformationen der E-Mail entfernt. Hierdurch wird sichergestellt, dass keine Informationen über interne Computeradressen oder -name nach aussen gelangen. Diese Informationen lassen u.U. Rückschlüsse zu, die eine möglichen Hackerangriff begünstigen können. Moderne E-Mail-Systeme entfernen solche Informationen mit Hilfe einer Header-Firewall aus einer E-Mail.

Idealerweise hätten die Kopfinformationen mit dem grünumrandeten Eintrag aus Zeile 11 begonnen. Das dort als Submitting Host eingetragene System ist das für die externe Zustellung verantwortliche System.

Die Informationen der Zeilen 1 -10 gehören nicht in eine externe E-Mail.

Nach einem Blick auf die Kopfinformationen der E-Mail geht es mit einer Prüfung der technischen Einstellungen für die E-Mail-Kommunikation der Absenderdomäne bezreg-koeln.nrw.de weiter. 

 

MX Resource Records

Die einfachste Prüfung einer Absenderdomäne ist die Überprüfung auf E-Mail-Systeme für den Empfang von E-Mail-Nachrichten. In den meisten Fällen sind die diese Systeme auch für den Versand von Nachrichten zuständig. Wenn eine Domäne auch E-Mail-Nachrichten empfängt, muss sie über mindestens einen speziellen DNS-Eintrag verfügen. Mit Hilfe eines DNS-Eintrages vom Typ MX wird festgelegt, welche Systeme E-Mail-Nachrichten von anderen Absendern empfangen. 

Für die Überprüfung dieser Einstellungen nutze ich die Webseite mxtoolbox.com. Sie ist ein unerlässliches Werkzeug für jeden E-Mail-Administrator.

Der folgende Screenshot zeigt das Ergebnis der Überprüfung der MX-Einträge vom 6. Mai 2020.

Screenshot - MX Resource Records bezreg-koeln.nrw.de

Für die Domäne bezreg-koeln.nrw.de werden zwei Systeme mit unterschiedlicher Präferenz (Pref-Spalte) aufgeführt. Das System mit Präferenz 60 hat gegenüber dem zweiten System die höhere Priorität und wird daher bevorzugt von zustellenden Systemen angesprochen. Sollte das System nicht antworten, erfolgt ein Zustellversuch an das zweite System mit Präferenz 80.

Ein besonderes Augenmerk gilt den IP-Adressen der Systeme. In den Kopfinformationen der E-Mail hatte das sendende System die Adresse 93.184.128.152. Diese Adresse gehört zu keinem beiden aufgeführten Systeme. Damit ist klar, dass es noch weitere E-Mail-Systeme gibt, die augenscheinlich nur für den Versand verwendet werden. Aber dazu im nächsten Abschnitt mehr.

Eine weitere wichtige Information wird uns von MXToolbox ebenfalls mitgeteilt. Die Domäne verfügt über keinen DMARC-Eintrag. Was das ist und warum es gut ist, solch einen Eintrag vorzuhalten, erkläre ich weiter unten.

MX-Einträge sind für die E-Mail-Kommunikation existenziell. Neben diesem Eintragstyp gibt es noch weitere, die eine E-Mail-Kommunikation sicherer machen können. Kommen wir daher zur IP-Adresse des sendenden Systems zurück.

 

SPF Resource Records

Ein System, das E-Mail-Nachrichten empfängt, verfügt über keinerlei Informationen, welche Systeme für den Versand einer Domäne berechtigt sind. Als Eigentümer einer Domäne kann ich mit Hilfe eines SPF-Eintrages definieren, welchen Systemen es  explizit erlaubt ist, für meine Domäne E-Mail-Nachrichten zu versenden. 

Der folgende Screenshot zeigt das Ergebnis der SPF-Prüfung für die Domäne bezreg-koeln.nrw.de vom 6. Mai 2020.

Screenshot - SPF

Es ist kein SPF-Eintrag vorhanden. Empfangende E-Mail-Systeme haben keine Möglichkeit zur Überprüfung des sendenden Systems. MIt dem Fehlen dieses Eintrages wird der Versand von betrügerischen E-Mail-Nachrichten begünstigt, wenn nicht sogar wissentlich in Kauf genommen.

Das Vorhandensein eines SPF-Eintrages stellt keinen vollständigen Schutz dar. Dazu bedarf es noch weiterer Maßnahmen. Jedoch ist die Nutzung eines SPF-Eintrages seit Jahren Stand der Technik.

Moderne E-Mail-Systeme und Anti-Spam-/Anti-Mailware-Lösungen bewerten das Nichtvorhandensein eines SPF-Eintrages immerhin mit einer Erhöhung der Spam-Wahrscheinlichkeit. Dies kann u.U. dazu führen dass Nachrichten der Bezirksregierung Köln nicht im Posteingang, sondern im Junk-E-Ordner landen.

Es gibt auch Positives zu berichten.

 

PTR Resource Record

Der Name eines E-Mail-Systems ist nicht das einzige Merkmal, auf das ein empfangendes System achtet. Im Normalfall wird ein Computername zu einer numerischen Conmputeradresse aufgelöst. Es gibt aber auch das genaue Gegenteil, die sog. Rückwärtsauflösung. Das empfangende System versucht hierbei die numerische Computeradresse zu einem Namen aufzulösen. Dies erfolgt mit Hilfe eines sog. PTR-Eintrages, der im DNS des Internet-Leitungsanbieters erfolgt. Ist diese Auflösung erfolgreich und der gefundende Name entspricht dem Computernamen der Verbindung, gilt die Identität des Systems als einfach bestätigt. 

Der folgende Screenshot zeigt die Ergebnis für die IP-Adressen der beiden MX-Einträge.

Screenshot - PTR Resource Record

Beide System verfügen über einen zum Computernamen passenden PTR-Eintrag.

 

SMTP Test

Als Abschluss der aktiven Tests erfolgte eine Prüfung der E-Mail-Verbindung zu einem der beiden Systeme mit MX-Eintrag. HIer gibt es wenig Auffälliges zu berichten.

Die Nutzung von HTML-Tags (<br />) in einem Server-Banner ist unüblich und eher hinderlich. E-Mail-Server erwarten eine klare Kennung des Status und des Computernamens. In diesem Fall wird der Status 220 und der Name relay1v.it.nrw.de gleich zweimal in einer Textzeile zurückgegeben. Es wird sicherlich Systeme geben, die dies als nicht protkollkonformes Format bewerten.

Der folgende Screenshot zeigt das Ergebnis des SMTP-Tests.

Screenshot - SMTP Test

Der E-Mail-Server unterstützt verschlüsselte Verbindungen und lässt, wie die Liste der unterstützten Befehle zeigt, weitere E-Mail-Befehle erst nach dem Aufbau einer verschlüsselten Verbindung zu. Ob die Unterstützung des ETRN Befehls zeitgemäß ist, kann man diskutieren. Es wird sicherlich technische Anforderungen auf Seiten der IT.NRW geben, die dies erfordern.

Es fehlen allerdings zwei wichtige Komponenten, um E-Mail-Nachrichten der Domäne bezreg-koeln.nrw.de sicherer zu machen. DMARC und DKIM.

 

DMARC

Die zu Anfang besproche Prüfung der MX-Einträge hat gezeigt, dass kein DMARC-Eintrag vorhanden ist. Ein DMARC-Eintrag legt für eine Domäne, in diesem Fall wäre es für bezreg-koeln.nrw.de, fest, ob und wenn ja welche Informationen ein empfangender E-Mail-Server über E-Mails dieser Domäne sammeln soll. Hierdurch ist es möglich, Fehlerberichte zu erhalten und so festzustellen, welche unberechigten Systeme im Internet E-Mail-Nachrichten im Namen der Bezirksregierung Köln versenden. Solch ein Eintrag fehlt vollständig.

DMARC ist aber nur im Zusammenspiel mit SPF- und DKIM-Einträgen sinnvoll. Die Funktion und die Wichtigkeit eines SPF-Eintrages habe ich schon besprochen. Kommen wir zu DKIM.

 

DKIM

Die Aufgabe von DKIM ist Sicherstellung einer vertrauensvollen E-Mail-Zustellung. Diese Sicherstellung bezieht sich auf den E-Mail-Umschlag. Das empfangende System erkennt, dass der E-Mail-Umschlag mit Hilfe einer DKIM-Signierung gesichert wurde. Hierzu hat das Absendersystem Umschlagsinformationen mit einem Schlüssel, der nur auf dem Absendersystem exisitert, signiert. Das Empfangssystem findet den öffentlichen Schlüssel wiederum als besonderen DNS-Eintrag. Mit diesem Schlüssel können nun die Signaturinformation aufgelöst und anschließend überprüft werden. Hierdurch wird die Integrität des Absendersystems für die Domäne sichergestellt. 

DKIM selbst ist kein neuer Standard für die Sicherung von E-Mail-Nachrichten. Alle großen E-Mail-Anbieter prüfen eingehenden E-Mail-Nachrichten auf DKIM-Signaturen.

Dies ist kein Ersatz für eine mögliche und auch notwendige Verschlüsselung des E-Mail-Inhaltes. Der im Übrigen ebenfalls nicht stattfindet. 

Kommen wir zum Abschluss noch zur Verbindungsverschlüsselung.

 

SSL/TLS Test

Der folgende Screenshot zeigt das Ergebnis der Verschlüsselungsfunktionen im Hinblick auf gängige Industriestandards. 

Screenshot - SSL/TLS Test

Das Ergegbis ist in amerikanischer Notenstufe (A-F) dargestellt, wobei ein A einer Schulnote 1 entspricht. Mehr muss nicht gesagt werden.

Der Hauptgrund für die schlechte Note liegt darin, dass die E-Mail-Systeme alte und unsichere Verbindungsprotokolle und Verschlüsselungstechnologien unterstützen. Diese unsicheren Protokolle und Verschlüsselungen sollten im Jahr 2020 nicht mehr aktiv sein. 

 

Fazit

Die aktuelle Konfiguration der E-Mail-Umgebung der Bezirksregierung Köln und anderer Behörden, die diese IT-Plattform nutzen, kann durch Betrüger ausgenutzt werden. Einfachste Konfigurationen für sichere E-Mail-Kommunikation, die seit Jahren Stand der Technik sind, finden keine Anwendung. Hier wird, meiner Einschätzung nach, grobfahrlässig gehandelt. Betrügerische E-Mail-Nachrichten können ohne Probleme im Namen der Bezirksregierung Köln versendet werden. 

In der Pflicht ist nicht nur die Bezirksregierung Köln, sondern vielmehr der Landesbetrieb IT.NRW, der als zentraler IT-Dienstleister für zahlreiche Behörden und Dienststellen auftritt. Hier muss etwas passieren, um Bürger für betrügerischen E-Mail-Nachrichten, nicht nur im Zusammenhang der NRW Soforthilfe, zu schützen. Alle Behörden und Dienststellen in NRW, die auf eine sichere E-Mail-Kommunikation mit Bürgern und Unternehmen vertrauen und hierzu die Dienstleistungen der IT.NRW in Anspruch nehmen, sollten die für sie gültigen Einstellungen dringend überprüfen lassen.

E-Mail-Nachrichten der NRW Soforthilfe 2020 werden als Klartext versendet, obwohl sie persönliche Informationen enthalten und somit einem besonderen Schutzbedürfnis unterliegen. Der Einsatz einer sog. Gateway-basierten E-Mail-Verschlüsselung kann hier schnell und einfach Abhilfe schaffen. Ebenso ist die Implementierung von SPF, DKIM und DMARC Pflicht.

Ich wünsche mir, dass IT.NRW die Absicherung der E-Mail-Kommunikation ernster nimmt und ihrer Verantwortung, auch als Vorbildfunktion, nachkommt. In der heutigen Zeit vertrauen Bürger auf die IT-Sicherheit, die propagiert wird. Im Rahmen der NRW-Soforthilfe hat dieses Vertrauen sehr gelitten.

Ohne eine Verbessung der E-Mail-Sicherheit, ist dem Betrug weiterhin Tür und Tor geöffnet.

 

Links

 

 

 

Weiterlesen »

Bild von Benedikt Geyer auf PixabayDie Herausforderungen der COVID-19 Krise sind gerade für Schulen eine besondere Herausforderung. Die meisten Schulen sind auf die aktuelle Situation nicht vorbereitet und können keinen Fernunterricht für die Lernenden professionell und sicher anbieten. Als spontane Reaktion auf hieraus werden kurzfristige Lösungen, wie z.B. Zoom, Jitsi und andere Plattformen aktiviert und genutzt. In der Vergangenheit haben sich für die direkte Lehrer-Schüler-Kommunikation Dienste wie WhatsApp oder direkte E-Mail-Kommunikation etabliert. Diese werden ohne ein Hinterfragen verwendet. 

Mit der Notwendigkeit Fernunterricht zum Alltag werden zu lassen und diese Option als als zusätzliches Unterrichtsmedium mit aufzunehmen kommen Schulverantwortliche an ihre Grenzen. Nach einer Idee der Kultusministerkonferenz aus dem Jahr 2016 sollten sich die Schulen auf den Weg in die Digitalisierung machen. Diese Weg haben nur einige Schulen begonnen.

Schulen können heute aus einem breitgefächerten Portfolio an unterschiedlich guten Lösung für den Unterricht und die Schulorganisation wählen. Sie tun dies im besten Wissen und auf Basis des technischen Fachwissens. Eine passende Lösung wird durch klassisches Ausprobieren gefunden, da für eine langwierige Vergleichsphase keine Zeit ist. Hat sich eine Schule für eine Lösung entschieden und ist von der Qualität des gewählten Produktes überzeugt, werden die Bemühungen zunichte gemacht. Die DSGVO spaziert herein.

Die Unwissenheit über die DSGVO, als europäische Verordnung, führt zu teils bizarren Situationen. Sie wird oftmals derart interpretiert, dass Informationen und Daten nur in Deutschland gespeichert werden dürfen oder, wie auch schon gehört, gar keine Daten erfasst werden dürfen. Privatschulen stecken hier in einem besonderen Dilemma, da sie als Unternehmen einen Datenschutzbeauftragen benennen müssen, an dessen "Expertise" sie sich ohne Nachfragen halten. Hierbei kommt es auch vor, dass vorauseilend agiert wird, da jede Nachfrage beim Datenschutzbeauftragten mit Kosten verbunden ist. In dieser Diskussion zeigt sich das erste Versagen bei der Umsetzung der Rolle des "Datenschutzbeauftragen", da es keine bundeseinheitliche Definition zur Eignung als Datenschutzbeauftragter gibt.

Mit Stand Anfang Mai 2020, nachdem sich der ersten Staub der COVID-19 Spontaneinführungen von Softwarelösungen gelegt hat, werden diese Lösungen durch Mitteilungen von unwissenden Datenschutzbeauftragen der Länder in Frage gestellt. Gerade im Fall des Landes Berlin muss man unterstellen, dass die Aussagen zum Thema „Berliner Datenschutzbeauftragte zur Durchführung von Videokonferenzen während der Kontaktbeschränkungen“ politisch getrieben sind. Diese Vermutung liegt leider nahe, da es in Kombination mit Schreiben der Schulbehörden direkte Empfehlungen für staatlich geförderte Projekte gibt. Hierbei wird nur Vergessen, dass es sich um zeitlich begrenzte Projekte handelt. Lösungen die heute an Schulen eingeführt werden, müssen aber über eine Laufzeit von mindestens zehn Jahren oder mehr zur Verfügung stehen, insbesondere dann, wenn es sich um eine Lösung zur Verwaltung handelt. Zu viele unterschiedliche Lösungen einzusetzen ist, im Sinne der IT-Administration, nicht sinnvoll.

Oftmals sind die Schulverwaltungen heillos überfordert. Hier ergreifen Lehrer die Initiative, finden Lösungen und probieren sie aus. Schließlich sind es die Lehrenden, die ihre und die Bedürfnisse ihrer Schüler kennen. Wer, wenn nicht sie, sollten in die Entscheidung über Softwarelösungen eingebunden sein.

Über all dem hängt das Damoklesschwert der DSGVO. Die verantwortlichen Gremien fürchten die Landesdatenschutzbeauftraten. In persönlichen Gesprächen wird das Wort "Angst" durchaus verwendet. Mit dieser Angst werden die Betroffenen alleingelassen und agieren auf Basis eines halbseidenen Wissens über die DSGVO. Mit dem Wunsch nach vermeintlicher Sicherheit entscheidet man ich gegen etablierte Lösungen, die auf eine mehr als fünfzehnjährige Erfahrung zurückblicken können, insbesondere auf eine Erfahrung im Schutz von Daten. Stattdessen wählt man kleine oder lokale Lösungen, die schon im Ansatz den Anforderungen der DSGVO hinsichtlich Zugriffskontrolle nicht gerecht werden. 

Die Angebote der großen Anbieter werden ohne eine ausführliche Betrachtung der Sicherheits- und Schutzfunktionen mit Hinweis auf die DSGVO ignoriert oder dort, wo schon eingeführt, wieder zurückgefahren. Hier zeigt sich das irrationale Verhalten der "Entscheider". Sie entscheiden auf der Basis von "Nichtwissen", getrieben durch Angst etwas falsch zu machen. Hierbei wird völlig außer Acht gelassen, dass fast jede Schule tagtäglich gegen die DSGVO verstösst. Hier seien genannt: klassen- und schulweite WhatsApp-Kanäle, Speicherung von E-Mail-Adressen der Schüler ohne Einwilligung, Versand von unverschlüsselten E-Mail-Nachrichten, die Speicherung und der anonyme Austausch von Werturteilen über DropBox usw.

Die DSGVO ist in ihrer föderalen Interpretation das entscheidende Hindernis für die Digitalisierung der Schulen in Deutschland. Es fehlt an Aufklärung, fachliche Unterstützung und Hilfestellung für Schulen. Schulen können dies nicht aus eigener Kraft leisten.

Schulen brauchen Hilfe bei der Digitalisierung.

 

 


Bild von Benedikt Geyer auf Pixabay

Weiterlesen »