Die Mail-Security-Experten von NoSpamProxy warnen vor einer akuten Bedrohung durch gefälschte Mails im Look der Sparkasse, die von Laien kaum als solche zu erkennen sind. Abhilfe schafft nur eine konsequente Nutzung von Standards zur Absenderreputation.

1. Seite 1
SECURITY ALERT / PRESSEMITTEILUNG
Erneut Malware-Welle im Sparkassen-Look
Die Mail-Security-Experten von NoSpamProxy warnen vor einer akuten Bedrohung durch
gefälschte Mails im Look der Sparkasse, die von Laien kaum als solche zu erkennen sind.
Paderborn, 20. April 2017 – Das Research-Team von Net at Work GmbH, dem Hersteller der modularen
Secure-Mail-Gateway-Lösung NoSpamProxy, habt eine besonders perfide Form eines Phishing- bzw. Malware-
Angriffs entdeckt. Aktuell finden viele Nutzer eine täuschend echt wirkende Mail in ihrem Postfach, die vorgibt,
vom Sparkassen-Finanzportal zu stammen und augenscheinlich von der Domain sparkasse.de versendet wurde.
Die Mail ist professionell gemacht und nennt sowohl Vor- und Nachnamen in der Anrede (Abbildung 1). Einzig
eine ungewöhnliche Firmenbezeichnung („Sparkasse AG“) und der über den Google-URL-Shortener gekürzte
Link können beim geübten Nutzer Verdacht aufkommen lassen. Um diesen jedoch zu bestätigen, muss man tief
in den Mail-Header eintauchen – ein Detailwissen, über das nur Experten verfügen dürften. In den
Headerinformationen der Mail erkennt der Fachmann eine Warnung auf den SPF-Softfail, der moniert, dass die
Mail in Wirklichkeit nicht von der Domain sparkasse.de versendet wurde (Abbildung 2).
Leider wird diese Warnung in vielen Fällen von der Mail-Security-Infrastruktur nicht erkannt oder
ernstgenommen. So wird die Mail beispielsweise von Microsoft-Office 365 mit Hosting in der deutschen Cloud
klaglos zugestellt. Für einen normalen Nutzer ist dieser Betrugsversuch nicht oder nur sehr schwer zu
erkennen. Klickt er auf den Link, der auf eine erst am Tag des Versands registrierte .us-Domain führt, kann der
Rechner mit Schadcode, wie z.B. einem Keylogger oder einem Verschlüsselungs-Trojaner infiziert werden. Zum
Zeitpunkt der Untersuchung, rund 10 Stunden nach Registrierung der Domain und 3 Stunden nach Empfang der
Mail war noch kein Schadcode hinterlegt, aber dies kann jederzeit erfolgen. Hier liegt auch ein Schwachpunkt in
der Abwehr: keiner der bekannten Scanner hätte die E-Mail zum Zeitpunkt des Versands beanstandet, weil sie
zu diesem Zeitpunkt noch nicht mit Schadsoftware versehen war. Die Prüfung der Absenderreputation greift
dagegen grundsätzlich sofort, da er nicht von Samples und Analysezeiten abhängig ist.
Dieses Problem wäre durch Nutzung der Absenderreputation einfach vermeidbar
Nach Ansicht der Mail-Security-Experten aus Paderborn ist besonders ärgerlich, dass es wirksame Mittel zur
Unterbindung derartiger Attacken bereits gibt, die aber unzureichend genutzt werden. Mit den aktuellen
Standards zur Absenderreputation kann diese Angriffsform sicher erkannt und abgewehrt werden. Dazu sind
jedoch zwei wesentliche Voraussetzungen erforderlich: Erstens sollten alle Unternehmen und Organisationen
die verfügbaren Standards zur Absenderreputation nutzen. So hat die Sparkassen-Organisation für die Domain
sparkasse.de keinen DMARC Record konfiguriert. Wäre dies geschehen, hätte sie zumindest frühzeitig Reports
über den Missbrauch ihrer Domain erhalten und proaktiv informieren können. Zweitens sollten alle Mail-
Security-Lösungen die Daten zur Absenderreputation konsequent auswerten und Mails mit Auffälligkeiten in
diesem Bereich blocken oder zumindest deutlich als gefährlich kennzeichnen.
Das diese funktioniert, können die Experten von Net at Work am eigenen Unternehmen deutlich machen. Auch
Mitarbeiter in der Buchhaltung von Net at Work sollten diese Mail erhalten. Die neuste Version von
NoSpamProxy hat die Auffälligkeit über das Senderreputationssystem sicher erkannt und die Mail abgelehnt
(Abbildung 3).
„Dieser aktuelle Fall zeigt wieder, dass die Angreifer immer bessere Methoden entwickeln, ihre Angriffe zu
verschleiern“, sagt Stefan Cink, E-Mail-Sicherheitsexperte bei Net at Work. „Diese Form des Angriffs lässt sich
mit einer konsequenten Nutzung der Absenderreputationsstandards abwehren. Jetzt sind alle Unternehmen und

2. Seite 2
andere Organisationen aufgefordert, diese endlich zu nutzen, um Kunden und Mitarbeiter vor dieser Gefahr zu
schützen. Hersteller von Mail-Security-Lösungen, die diese Funktionen in Ihren Produkten nicht oder
unzureichend umgesetzt haben, müssen sich zu recht vorwerfen lassen, leichtfertig die Sicherheit Ihrer Kunden
aufs Spiel zu setzen.“
Abbildung 1: Perfekt gemachte Betrugsmail im Look der Sparkasse
Abbildung 2: Nur wer tief in die Headerinformationen einsteigt, kann eine Warnung entdecken

3. Seite 3
Abbildung 3: Senderreputationssystem von NoSpamProxy erkennt den Betrugsversuch sicher
Weitere Informationen über die integrierte Mail-Security-Suite NoSpamProxy erhalten Sie hier:
https://www.nospamproxy.de
Interessenten können NoSpamProxy mit telefonischer Unterstützung kostenlos testen:
https://www.nospamproxy.de/de/produkt/testversion
Zusammenfassung
Die Mail-Security-Experten von NoSpamProxy warnen vor einer akuten Bedrohung durch gefälschte Mails im Look der
Sparkasse, die von Laien kaum als solche zu erkennen sind. Abhilfe schafft nur eine konsequente Nutzung von Standards zur
Absenderreputation.
Keywords
Malware, Sparkasse, Absenderreputation, DMARC, Secure E-Mail, Gateway, Anti-Virus, Anti-Spam, Anti-Malware
Über Net at Work und NoSpamProxy
Die 1995 gegründete Net at Work GmbH ist Softwarehaus und Systemintegrator mit Sitz in Paderborn. Gründer und
Gesellschafter des Unternehmens sind Geschäftsführer Uwe Ulbrich und Frank Carius, der mit www.msxfaq.de eine der
renommiertesten Websites zu den Themen Exchange und Skype for Business betreibt.
Als Softwarehaus entwickelt und vermarktet Net at Work mit NoSpamProxy eine integrierte Gateway-Lösung für Secure E-
Mail. NoSpamProxy bietet sichere Anti-Malware-/Anti-Spam-Funktionen, eine automatisierte E-Mail-Verschlüsselung sowie
einen praxistauglichen Large File Transfer auf einer technischen Plattform. So garantiert der modulare Ansatz von
NoSpamProxy eine vertrauliche und rechtssichere E-Mail-Kommunikation. Die Experton Group sieht NoSpamProxy als
Product Challenger für E-Mail- und Web-Kollaboration. Zu den mehr als 1.800 Unternehmen, die die Sicherheit ihrer Mail-
Kommunikation NoSpamProxy anvertrauen, gehören u. a. DaimlerBKK, Deutscher Ärzte-Verlag, Hochland, Komatsu Mining,
das Kommunale RZ Minden-Ravensberg/Lippe und SwissLife. Weitere Informationen zur E-Mail Security Suite NoSpamProxy
finden Sie unter www.nospamproxy.de.
Im Servicegeschäft bietet Net at Work ein breites Lösungsportfolio rund um die IT-gestützte Kommunikation und die
Zusammenarbeit im Unternehmen mit einem besonderen Schwerpunkt auf dem Portfolio von Microsoft. Als Microsoft Gold
Partner für Messaging, Communications, Collaboration and Content, Cloud Productivity und Application Development
gehört Net at Work zu den wichtigsten Systemintegratoren für Microsoft Exchange, SharePoint und Skype for Business. Das

4. Seite 4
erfahrene Team von langjährigen IT-Experten verfügt über umfassendes Know-how bei der Umsetzung individueller
Kundenanforderungen und berücksichtigt bei Projekten neben der Skalierbarkeit, Flexibilität und Sicherheit der Lösung
auch die Einhaltung der definierten Zeit- und Budgetziele. Kunden finden somit bei allen Fragen kompetente
Ansprechpartner, die ihnen helfen, modernste Technologien effizient und nahtlos in bewährte Geschäftsprozesse zu
integrieren. Zu den Kunden im Servicegeschäft gehören u. a. Goldbeck, Miele, die Spiegel Gruppe, die Universität Duisburg-
Essen sowie Wincor Nixdorf.
Weitere Informationen zum Unternehmen Net at Work und dem Serviceangebot finden Sie unter www.netatwork.de.
Unternehmenskontakt
Frau Aysel Nixdorf, Marketing & PR, T +49 5251 304627, aysel.nixdorf(at)netatwork.de
Net at Work GmbH, Am Hoppenhof 32 A, D-33104 Paderborn, www.netatwork.de
Pressekontakt
Herr Bernd Hoeck, Managing Partner, T +49 7721 9461 220, bernd.hoeck(at)bloodsugarmagic.com
bloodsugarmagic GmbH & Co. KG, Gerberstr. 63, D-78050 Villingen-Schwenningen, www.bloodsugarmagic.com