Blog

 

Hat E-Mail ein Vertrauensproblem?

Tom Sather
31. Juli 2012 - Tom Sather,
Sr. Director, Research

Der aktuelle Report “Global Phishing Survey 2H2011: Trends and Domain Name Use” der Anti Phishing Working Group (APWG), der Arbeitsgemeinschaft gegen Phishing, hat mich zum Nachdenken gebracht. Die E-Mail Branche hat im Kampf gegen Phishing schon viel erreicht; doch ein Ende dieses Kampfes ist noch lange nicht in Sicht. Leider ist das Thema Phishing in der Regel lediglich in den IT-Abteilungen präsent; viele E-Marketer, die in ihren Unternehmen Marketing, Online Marketing oder E-Mail Marketing verantworten, wissen wenig darüber, wie sie sich gegen Phishing-Attacken zur Wehr setzen können. Doch zum Schutz der Marke ist es für Marketing-Experten unserer Zeit unabdingbar geworden, sich mit dem Themenkreis Phishing auseinanderzusetzen, nicht zuletzt um negative Auswirkungen auf die Response-Raten der E-Mail Marketing Kampagnen zu vermeiden. Lassen Sie uns die Problematik etwas genauer beleuchten.

Laut der APWG stieg die Anzahl der Phishing Attacken im zweiten Halbjahr 2011 um 23 Prozent im Vergleich zum ersten Halbjahr an, mit einem bisherigen Höchststand im Dezember 2011 mit 362 registrierten Angriffen. Auch weiterhin steht eine Branche im klaren Fokus der Phisher: die Banken und Finanzdienstleister. Aber auch der Einzelhandel hat mit immer mehr Angriffen zu kämpfen und Attacken auf Unternehmen dieses Industriezweigs überstiegen laut des aktuellen Reports im zweiten Halbjahr 2011 erstmals die Zahl der Angriffe auf Unternehmen von Zahlungsdiensten – ehemals die liebsten „Opfer“ der Phisher.

Wenn man Zahlen aus dem Kapersky Lap Spam Report (Mai 2012) auswertet sind es Soziale Netzwerke sowie Banken und Finanzdienstleister, auf die annähernd 50 Prozent aller Phishing-Angriffe entfallen, wobei Finanzinstitute (noch?) um knappe 0,08 Prozent vor den sozialen Netzen rangieren.

Sind also die zunehmenden Angriffe auf soziale Netze und Einzelhändler ein Anzeichen dafür, dass die Attacken auf Banken und Finanzdienstleister an Effektivität einbüßen?

Um dieser Frage auf den Grund zu gehen habe ich die E-Mail Engagement Daten von zwei Marken untersucht, einer Bank sowie einem Sozialen Netzwerk, die beide vielen Phishing Angriffen ausgesetzt waren. Ich habe analysiert, wie viele Abonnenten die empfangenen E-Mails geöffnet, weitergeleitet oder als Spam eingestuft haben und auch wie oft Phishing-Nachrichten als „kein Spam“ markiert wurden. Die Ergebnisse sind nicht ebenso überraschend wie besorgniserregend.

Auf der positiven Seite sind die Leseraten der legitim versendeten E-Mails zu nennen (lesen Sie diesen Beitrag von Julia Peavy auf unserem Blog, um eine genaue Definition dieser neuen Kennzahl zu erhalten). So verzeichneten die echten E-Mails der untersuchten Bank durchschnittliche Leseraten von 24 Prozent; auf der anderen Seite hatten auch Phishing E-Mails (zu) hohe Leseraten von durchschnittlich 7 Prozent. Zudem markierten 3 Prozent der Konsumenten echte Phishing E-Mails als „diese E-Mail ist kein Spam“; zum Vergleich lag die Spam-Rate, also der Anteil der Adressaten, die eine Phishing E-Mail als „diese E-Mail ist Spam“ markierten bei nur einem Prozent. Außerdem wurden Phishing-Nachrichten im Durchschnitt von annähernd einem Prozent der Empfänger weitergeleitet und/oder beantwortet.

Und obwohl dies für diese Bank alarmierend sein dürfte stellt sich die Situation für das Soziale Netz noch weitaus schlimmer dar. Für das untersuchte Soziale Netz lag die Leserate der legitimen E-Mails bei guten 25 Prozent – aber auch Phishing-E-Mails, die den Markennamen des Sozialen Netzes missbrauchten, wurden von annähernd jedem 5. Adressaten gelesen (19 % Leserate). Die Quoten für „das ist kein Spam“, E-Mail-Weiterleitung und –Beantwortung lagen bei weniger als einem Prozent für die Phishing E-Mails. Doch auch die legitimen E-Mails wiesen ganz ähnliche Werte auf, was belegt, dass Phishing-E-Mails von Adressaten ähnliche Reaktionen erhalten können, wie die legitim versendeten E-Mails.

Unterm Strich betrachtet ist die Aussage klar: Der durchschnittliche Konsument kann eine Phishing-Nachricht nicht zweifelsfrei von einer legitimen E-Mail unterscheiden und behandelt beide sehr ähnlich. Was auch belegt, warum Konsumenten zu leichten Opfern der Phisher werden – zum Nachteil der bekannten Marken, die dafür missbraucht werden.

Wenn man sich in diesem Zusammenhang auch nochmals die Ergebnisse einer kürzlich von Cloudmark veröffentlichten Studie vor Augen führt, die belegt, dass 44 Prozent der Konsumenten heute weniger Vertrauen in die Sicherheit von E-Mail haben als noch vor einem Jahr, muss die Schlussfolgerung für alle Markenunternehmen, die E-Mails zur Kommunikation einsetzen ganz klar heißen: Schützen Sie Ihre Marke durch den Schutz des E-Mail-Kommunikationskanals oder riskieren Sie, das Vertrauen Ihrer Kunden zu verlieren.

Die folgenden drei Tipps möchte ich allen Unternehmen mitgeben, um das Vertrauen ihrer Abonnenten zu bewahren und eine tatsächliche Vertrauenskrise zu vermeiden.

  1. Phishing ist ein Marketing-Problem. Welchen Marketing-Verantwortlichen ich auch frage, die Antwort ist fast ausnahmslos die gleiche: Phishing ist ein Problem, mit dem sich die IT-Abteilung befassen soll. Wenn sich E-Marketer aber die oben erwähnten Daten zum Engagement ihrer Adressaten mit Phishing Nachrichten vor Augen führen ist es ein Fehler, im Marketing die Gefahr von Phishing Angriffen zu lange zu ignorieren, denn die Auswirkungen auf die Marke und das E-Mail Marketing sind nicht zu gering einzuschätzen. E-Marketer sollten mit der IT-Sicherheit zusammenarbeiten, um den E-Mail-Kanal zu schützen.
  2. Authentifizierung für alle Domains. Der häufigste Fehler im Bereich der Authentifizierung ist, bestimmte Domains außen vor zu lassen, wie beispielsweise E-Mails, die über ein CRM System verschickt werden oder E-Mails des ausgelagerten Kundenservices. Legen Sie deshalb eine Liste aller Domains und IP-Adressen an, die im Namen Ihrer Marke legitime E-Mails versenden und aktualisieren Sie Ihre SPF und DKIM Authentifizierung entsprechend.
  3. Stoppen Sie Phishing mit DMARC. DMARC – eine gemeinsame Initiative von Microsoft, Google, Return Path und anderen Unternehmen – teilt ISPs vereinfacht gesagt mit, gespoofte E-Mails, die nicht korrekt authentifiziert sind, nicht an den Adressaten auszuliefern sondern direkt abzublocken. Starten Sie damit, den DMARC Eintrag zu prüfen („Monitor“), bis sichergestellt ist, dass sich all Ihre legitim versendeten E-Mails korrekt authentifizieren. Setzen Sie den Modus erst dann auf „Reject“ (abwiesen).

Nutzen Sie die Inbox Insider Gruppe auf XING, um über das Thema zu diskutieren.

Dieser Artikel erschien ursprünglich auf www.mediapost.com.

Comments are closed.