Swico lanciert Branchenempfehlung zur Bekämpfung von E-Mail-Phishing

Phishing-E-Mails sind ein grosses Einfallstor für die zunehmenden Cyber-Attacken, denen Unternehmen und Privatpersonen in der Schweiz ausgesetzt sind. Entsprechende Meldungen an das Nationale Zentrum für Cybersicherheit (NCSC) stellten 2021 nach Betrugsversuchen die zweithäufigste Kategorie dar. E-Mail-Dienst-Anbieterinnen sind die erste Anlaufstelle für die Kundinnen und Kunden im Zusammenhang mit Phishing-E-Mails. Phishing-Attacken verursachen daher einen wachsenden Aufwand bei den Dienste-Anbieterinnen. Ausserdem können sie bei ihren Kundinnen und Kunden enorme Schäden anrichten. Dennoch ist es in der Praxis kaum möglich, Angreifer zu identifizieren und sie rechtlich zu belangen.

Damit die Anbieterinnen ihre Kunden besser vor Phishing-E-Mails schützen und die zuständigen Behörden bei der Identifizierung und Verfolgung von Angreifern Hand bieten können, hat Swico konkrete und standardisierte Massnahmen definiert, die auch vom NCSC, von asut, von der SISA und von SWITCH unterstützt werden. Diese orientieren sich nach den geltenden Regelungen des Schweizer Rechts zur Filterung und Unterdrückung von unerlaubten Spam-E-Mails und zur Herausgabe von Informationen an Behörden und Gerichte.

Die Branchenempfehlung soll Anbieterinnen als Orientierungshilfe dienen zur Beurteilung der möglichen und angemessenen Massnahmen gegen Cyber-Attacken über Phishing E-Mails. Ausserdem nutzen die Massnahmen rechtliche Spielräume für konkrete Verhaltensempfehlungen zur Erkennung und Prävention von Phishing-Versuchen sowie zur Information von Kunden über die ergriffenen oder möglichen Massnahmen.

Ziel der Massnahmen der Swico Branchenempfehlung

Kundinnen und Kunden sollen möglichst wenig in Kontakt kommen mit Phishing-E-Mails, um Schäden bei sich selbst und hohen Support-Aufwand bei der Anbieterin zu vermeiden. Sie sollen transparent über die Schutzmassnahmen der Anbieter gegen Phishing-E-Mails informiert werden, insbesondere auch in den Verträgen bzw. AGB. Die Anbieterinnen fördern durch die Informationen ihrer Kundinnen und Kunden deren Sensibilisierung für den Umgang mit (verdächtigen) E-Mails.

Der Informationsaustausch zwischen Anbieterinnen und involvierten Behörden (insbesondere den Strafverfolgungsbehörden und dem NCSC) soll verbessert werden. Damit wollen die Anbieterinnen die Behörden bei der Identifizierung und Verfolgung von Cyber Angreifern unterstützen und zur Verbesserung der Datengrundlage für Filter beitragen.

Giancarlo Palmisani, Leiter Verbandsdienstleistungen bei Swico, lobt das eigenverantwortliche Handeln der Branche: «Wir alle wissen, wie lästig die riesige Menge an Phishing-E-Mails ist – und wie schnell selbst gut informierte User in der Hektik des Alltags mögliche Gefahren übersehen.» Und er ergänzt:

Zahlen und Fakten zu Phishing

• Phishing-Attacken stehen beim NCSC an zweiter Stelle der Schadensmeldungen: In KW2/2022 gab es beispielsweise 558 Meldungen wegen Betrug und 167 wegen Phishing.
• 96 % der Phishing-Attacken erfolgten 2020 via Mail, 3 % via Websites und 1 % via Telefon
• Eine Analyse von über 88 Millionen E-Mails zeigte auf, dass 1 von 99 E-Mails ein Phishing-Versuch ist.
• 95 % aller Netzwerk-Attacken sind die Folge eines gezielten Phishings
• Ein Test unter 410’000 Teilnehmenden zeigte auf, dass über 50 % eine Phishing-E-Mail öffneten und über 32 % auf den verseuchten Link bzw. Anhang klickten.

Quellen:

• Swiss Cyber Institute
• Tessian
• NCSC

Die vorliegende Branchenempfehlung von Swico zeigt die konkreten und standardisierten Massnahmen der Schweizer Anbieterinnen von E-Mail-Diensten gegen Phishing-E-Mails auf. Sie wird unterstützt vom Schweizerischen Verband der Telekommunikation (Association Suisse des Télécommunications asut), dem Nationalen Zent- rum für Cybersicherheit (National Cyber Security Centre NCSC), der Swiss Internet Security Alliance (SISA) und der SWITCH.

Für Pascal Lamia, Leiter der Operativen Cybersicherheit im NCSC und Stv. Delegierter des Bundes für Cybersicherheit steht insbesondere das gemeinsame Vorgehen im Vordergrund:
«Die Branchenempfehlung stärkt die Zusammenarbeit und den Informationsaustausch zwischen den verschiedenen Akteuren. Dies ermöglicht uns, gemeinsam gegen die steigende Bedrohung durch Phishing im Cyberraum anzukämpfen und damit einen wichtigen Beitrag für die Cybersicherheit in der Schweiz zu leisten.

In die gleiche Kerbe schlägt Daniel Nussbaumer, Präsident der Swiss Internet Security Alliance (SISA):
«Die Initiative ermöglicht eine noch engere Zusammenarbeit zwischen Wirtschaft und Behörden und erschwert es Cyberkriminellen, Unternehmen und Privatpersonen zu hacken. Die Initiative ist ein weiterer Schritt, um die Schweiz zum sichersten Internet-Land der Welt zu machen.»

Einen weiteren Aspekt betont Michael Hausding, Sicherheitsexperte für DNS- und Domain-Missbrauch im Team SWITCH-CERT:
«Auf technischer Ebene können E-Mail-Anbieterinnen bereits heute sehr viel erreichen. Es freut mich deshalb sehr, dass Swico der Branche den etablierten Sicherheitsstandard DMARC empfiehlt: Mit DMARC können legitime Domain-Namen nicht mehr für Phishing missbraucht werden, was die Sicherheit von E-Mails wesentlich erhöht.»

Bei asut, dem Schweizerischen Verband der Telekommunikation, begrüsst der Geschäftsführer Christian Grasser das freiwillige Vorgehen im Rahmen der Branchenempfehlung:
«Die technische Entwicklung schreitet rasch voran und es braucht daher das Knowhow der Expertinnen und Experten, um praxistaugliche Lösungen zu entwickeln. Es braucht aber auch die Sensibilisierung der Kundschaft, denn Technik allein kann nicht alle Probleme lösen.»

Die vier Institutionen freuen sich, dass Swico hier in Eigenverantwortung die Initiative ergriffen und mit der IG Hosting und ausgewiesenen Rechtskräften praktikable Massnahmen entwickelt hat.