Im Jahr 2020 erhielt ein Mitarbeiter aus dem Finanzbereich eines mittelgroßen Unternehmens eine E-Mail vom CEO mit der Aufforderung zu einer dringenden Überweisung. Die E-Mail kam von der exakten E-Mail-Adresse des CEO. Der Schreibstil passte. Die Anfrage war zwar ungewöhnlich, aber nicht unmöglich—Notfallüberweisungen hatten sie schon zuvor durchgeführt. Der Mitarbeiter überwies $200,000 auf ein Konto, das sich als Konto von Kriminellen in Osteuropa herausstellte.
Der CEO hatte diese E-Mail nie gesendet. Jemand hatte sie gespooft.
E-Mail-Spoofing ist eine dieser Angriffsmethoden, die 2024 eigentlich nicht mehr funktionieren sollte. Sicherlich haben wir doch herausgefunden, wie man den Absender einer E-Mail verifiziert? Aber die unbequeme Realität ist, dass E-Mail in einer Ära des impliziten Vertrauens entworfen wurde, und dieses Design verfolgt uns bis heute. Ohne explizite Gegenmaßnahmen kann jeder eine E-Mail senden und behaupten, von irgendjemandem zu stammen.
Warum Spoofing so einfach ist
Um zu verstehen, warum Spoofing funktioniert, müssen Sie verstehen, wie E-Mail tatsächlich funktioniert—und wie sehr es sich von dem unterscheidet, was die meisten Menschen annehmen.
Wenn Sie einen physischen Brief senden, ist die Absenderadresse nur etwas, das Sie auf den Umschlag schreiben. Der Postdienst überprüft sie nicht. Sie könnten das Weiße Haus als Ihren Absender schreiben, und der Brief würde ohne Nachfrage zugestellt werden. E-Mail funktioniert genauso.
Die 'From'-Adresse, die Sie in Ihrem Posteingang sehen, ist nur ein Header in der E-Mail-Nachricht. Der sendende Server setzt ihn auf das, was er möchte. Es gibt keine eingebaute Überprüfung, dass der Server berechtigt ist, für diese Domain zu senden oder dass die sendende Person diese Adresse tatsächlich kontrolliert.
Das war kein Versehen—es war eine Designentscheidung. Frühe E-Mail-Netzwerke waren kleine, vertrauenswürdige Gemeinschaften. Jeder kannte jeden. Die Vorstellung, dass jemand über seine Identität lügen würde, war kein großes Anliegen. Als das Internet groß genug wurde, damit dies ein Problem darstellt, war das Protokoll bereits zu sehr etabliert, um es zu ändern.
Das Ergebnis ist, dass das Spoofen einer E-Mail keine speziellen Werkzeuge oder Fähigkeiten erfordert. Man kann es mit ein paar Zeilen Code tun, mit frei verfügbarer Software oder sogar über die erweiterten Einstellungen mancher E-Mail-Clients. Die Einstiegshürde ist praktisch null.
Die Anatomie einer gespooften E-Mail
Eine gespoofte E-Mail sieht genau aus wie eine legitime E-Mail, denn strukturell ist sie eine legitime E-Mail—nur mit falschen Informationen in den Headern.
Der Angreifer setzt den 'From'-Header auf die Adresse, die er imitieren möchte. Er kann auch den 'Reply-To'-Header auf seine eigene Adresse setzen, damit Antworten an ihn statt an den imitierten Absender gehen. Das 'envelope from' (für Bounce-Nachrichten) kann wiederum abweichen.
Fortgeschrittene Angreifer gehen weiter. Sie studieren den Schreibstil des Ziels und imitieren ihn. Sie recherchieren zur Organisation, um Anfragen plausibel wirken zu lassen. Sie timen ihre Angriffe auf Zeiten, in denen die imitierte Person reist oder anderweitig nicht verfügbar ist, damit sie eine schnelle Dementierung des Versands nicht liefern kann.
Die E-Mail reist über den Mailserver des Angreifers zum Mailserver des Empfängers. Ohne Authentifizierungsprüfungen hat der Server des Empfängers keine Möglichkeit zu erkennen, dass die E-Mail betrügerisch ist. Er stellt sie wie jede andere E-Mail in den Posteingang zu.
Aus Sicht des Empfängers wirkt die E-Mail völlig legitim. Die 'From'-Adresse ist korrekt. Es gibt kein offensichtliches Zeichen für Fälschung. Die einzigen Hinweise könnten subtil sein—ein leicht anderer Ton, eine ungewöhnliche Bitte, eine Reply-To-Adresse, die nicht zur From-Adresse passt. Das übersieht man leicht, besonders wenn man beschäftigt ist.
Die geschäftlichen Auswirkungen
Spoofing ermöglicht mehrere Kategorien von Angriffen, jeweils mit unterschiedlichen Zielen und Auswirkungen.
Business Email Compromise (BEC) zielt auf Mitarbeitende mit Zugriff auf Geld oder sensible Daten. Der Angreifer imitiert einen Geschäftsführer oder einen vertrauenswürdigen Partner und fordert Überweisungen, W-2-Formulare oder vertrauliche Informationen an. Das FBI schätzt, dass BEC allein 2022 Verluste von $2.7 Milliarden verursacht hat—mehr als jede andere Art von Cybercrime.
Phishing-Kampagnen nutzen gespoofte E-Mails, um in großem Maßstab Zugangsdaten zu stehlen. Eine E-Mail, die scheinbar von der IT kommt, fordert Mitarbeitende auf, ihre Passwörter zu 'verifizieren'. Eine E-Mail von 'HR' verlinkt auf ein gefälschtes Benefits-Portal. Die gespoofte Absenderdomain macht diese Angriffe wesentlich überzeugender als offensichtlichen Spam.
Reputationsangriffe verwenden Ihre Domain, um Spam oder Malware zu versenden. Selbst wenn Empfänger nicht auf den Angriff hereinfallen, bringen sie die bösartige E-Mail mit Ihrer Marke in Verbindung. Ihre Domain landet auf Blacklists. Die Zustellbarkeit Ihrer legitimen E-Mails leidet. Die Bereinigung des Schadens dauert Monate.
Supply-Chain-Angriffe zielen auf Ihre Kunden oder Partner. Angreifer senden Rechnungen von Ihrer gespooften Domain mit geänderten Zahlungsdetails. Oder sie senden Malware, getarnt als Dokumente, die Ihr Unternehmen plausibel teilen würde. Ihre Beziehungen leiden, obwohl Sie nichts falsch gemacht haben.
Spoofing mit Authentifizierung stoppen
Die gute Nachricht ist, dass E-Mail-Spoofing—technisch betrachtet—ein gelöstes Problem ist. Die Lösung ist die Authentifizierungs-Trifecta: SPF, DKIM und DMARC.
SPF ermöglicht es Ihnen, eine Liste von Servern zu veröffentlichen, die berechtigt sind, E-Mails für Ihre Domain zu senden. Wenn eine E-Mail ankommt, die vorgibt, von Ihrer Domain zu stammen, kann der empfangende Server prüfen, ob der sendende Server auf Ihrer Liste steht. Wenn nicht, ist die E-Mail verdächtig.
DKIM fügt Ihren E-Mails eine kryptografische Signatur hinzu. Die Signatur beweist, dass die E-Mail von jemandem mit Ihrem privaten Schlüssel stammt und unterwegs nicht verändert wurde. Angreifer können diese Signatur ohne Zugriff auf Ihren Schlüssel nicht fälschen.
DMARC verbindet das Ganze, indem es empfangenden Servern mitteilt, was zu tun ist, wenn SPF oder DKIM fehlschlagen, und verlangt, dass die authentifizierte Domain mit der sichtbaren 'From'-Adresse übereinstimmt. Mit DMARC auf 'reject' werden gespoofte E-Mails blockiert, bevor sie den Posteingang erreichen.
Der Haken ist, dass alle drei korrekt konfiguriert sein müssen und DMARC auf Durchsetzungsebene (quarantine oder reject) stehen muss. Viele Organisationen haben SPF und DKIM, lassen DMARC aber auf 'none'—was zwar Monitoring ermöglicht, aber keinen Schutz bietet. Das ist, als hätte man eine Überwachungskamera, aber keine Schlösser.
Der andere Haken ist, dass Authentifizierung nur Ihre Domain schützt. Sie hindert Angreifer nicht daran, Lookalike-Domains zu registrieren (yourcompany-secure.com) oder Display Name Spoofing zu verwenden ('Your Company CEO <[email protected]>'). Defense in depth erfordert Anwenderschulung neben technischen Kontrollen.
Was tun, wenn Sie gespooft werden
Wenn Sie feststellen, dass Ihre Domain gespooft wird, hängt die Reaktion davon ab, ob Sie Authentifizierung eingerichtet haben.
Wenn Sie DMARC mit Durchsetzung haben, werden die gespooften E-Mails bereits von den meisten großen E-Mail-Anbietern blockiert. Ihre DMARC-Berichte zeigen den Angriff—Sie sehen fehlgeschlagene Authentifizierungen von IPs, die Sie nicht erkennen. Überwachen Sie die Berichte, aber die unmittelbare Bedrohung ist eingedämmt.
Wenn Sie keine DMARC-Durchsetzung haben, sind Sie im Modus Schadensbegrenzung. Implementieren Sie Authentifizierung so schnell wie möglich, erkennen Sie jedoch, dass der Wechsel zur Durchsetzung Zeit braucht, wenn Sie legitime E-Mails nicht blockieren wollen. Kommunizieren Sie in der Zwischenzeit mit Ihren Kunden und Partnern über den Angriff. Geben Sie ihnen konkrete Hinweise, wie sie legitime E-Mails von Ihnen erkennen.
In jedem Fall sollten Sie den Angriff melden. Handelt es sich um einen BEC-Versuch, melden Sie ihn an das IC3 des FBI. Handelt es sich um eine Phishing-Kampagne, melden Sie sie an die Anti-Phishing Working Group. Wenn die gespooften E-Mails über einen bestimmten Anbieter verschickt werden, melden Sie sie an dessen Abuse-Team. Nichts davon wird den unmittelbaren Angriff stoppen, aber es trägt zu breiteren Bemühungen gegen diese Bedrohungen bei.
Nutzen Sie den Vorfall schließlich, um Investitionen in E-Mail-Sicherheit zu begründen. Spoofing-Angriffe sind greifbar und leicht zu verstehen. Sie liefern ein überzeugendes Argument für die Ressourcen, die zur Umsetzung ordnungsgemäßer Authentifizierung erforderlich sind.
Frequently asked questions
Kann Spoofing vollständig verhindert werden?
Domain-Spoofing (exakte Imitation Ihrer Domain) kann mit korrekt konfiguriertem SPF, DKIM und DMARC verhindert werden. Lookalike-Domains und Display Name Spoofing erfordern zusätzliche Maßnahmen wie Domain-Monitoring und Anwenderschulung.
Warum kommen manche gespoofte E-Mails trotzdem durch?
Entweder hat die Ziel-Domain keine DMARC-Durchsetzung, oder der empfangende Server prüft DMARC nicht. Große Anbieter wie Gmail und Outlook setzen DMARC durch, kleinere Anbieter möglicherweise nicht.
Woran erkenne ich, dass meine Domain gespooft wird?
DMARC-Berichte zeigen alle E-Mails, die behaupten, von Ihrer Domain zu stammen, einschließlich gespoofter Nachrichten. Ohne DMARC erfahren Sie es möglicherweise erst, wenn Empfänger sich beschweren oder wenn Sie auf Blacklists landen.
Ist Spoofing illegal?
Spoofing selbst bewegt sich in einer rechtlichen Grauzone, aber die dadurch ermöglichten Angriffe—Betrug, Phishing, Identitätsanmaßung—sind in den meisten Rechtsordnungen illegal. Strafverfolgung ist schwierig, wenn die Angreifer im Ausland sitzen.