10:30 Uhr – Registrierung

Intro:
- Aktuelle internationale Entwicklungen bei MAAWG, etc.

Erster Teil: Update zu X-ARF, MARF und Reporting
- Einführung & Überblick
- Status Quo X-ARF in der Praxis
- Erweiterungsmöglichkeiten
- Passende Tools
- Wichtige Eckdaten
- Einsatzgebiete

Zweiter Teil: Feedback Loops in der Praxis
- Zweck und Nutzen
- ISP Benefits
- ESP Benefits
- Zusammenarbeit ESPs & ISPs
- Pros & Cons?
- Rechtliche Fragestellungen: Was ist möglich?

Ziele:
- Zusammenarbeit aller Beteiligten
- Was will jede Seite (ESP/ISP) künftig erreichen?
- Was kann jede Seite hierzu beitragen?
- Welcher Informationsaustausch ist (rechtlich) möglich und sinnvoll?

Anmeldung nur möglich für Mitglieder der Kompetenzgruppe und eco ISP Mitglieder.

• Statusbericht und Ausblick im Abusix/Global-Reporting-Projekt
• Update Shared Brain
• Update DKIM & dkim-reputation.org
• Update Certified Senders Alliance: Technische Kriterien-Anpassung
• Durchführung der Sender-Auth-Umfrage
• ARF-Parsertool
• Austausch über das MAAWG-Meeting
• Ideensammlung zum exklusiven ISP Tech-Workshop des Anti-Spam-Kongress im Herbst
• AK-Organisatorisches
• De-Mail: Vortrag durch das BMI und Diskussion

Eine Teilnahme ist nur möglich für ISPs, die E-Mail Services anbieten und eco Mitglied oder CSA ISP Teilnehmer sind. Kontaktieren Sie bei Interesse bitte Florian Sager und Dean Ceulic,
ak-email@eco.de.

Deutsche Banken nutzen vermehrt Extended Validation Zertifikate (EV SSL) zur Sicherung ihrer Internet-Präsenzen. Die Verbreitung dieses Zertifikates, das an wesentlich strengere Ausgabekriterien gebunden ist als andere SSL-Zertifikate, stieg bei den deutschen Banken rasant von 24 Prozent vor einem Jahr auf jetzt mehr als 80 Prozent. Dies zeigt eine Studie der Online Trust Alliance (OTA) und des eco – Verband der deutschen Internetwirtschaft e. V., die am heutigen Dienstag anlässlich des 7. Deutschen Anti Spam Kongresses auf Schloss Biebrich in Wiesbaden veröffentlicht wird.

„Die Ergebnisse unserer Studie zeigen, dass der deutsche Bankensektor im Bereich der Absicherung von Internetpräsenzen hervorragend aufgestellt ist“, sagt Sven Karge, Leiter des Fachbereichs Content bei eco und Organisator des jährlichen Anti Spam Kongresses.
Die Studie zu Maßnahmen deutscher Unternehmen und Banken zur Verbesserung der Sicherheit für Kunden im Bereich des Datenschutzes im Internet ergab, dass insgesamt 996 EV SSL-Zertifikate auf 509 deutsche Unternehmen ausgestellt wurden. Durch die Verschärfung der Erteilungskriterien tragen EV SSL-Zertifikate zur erleichterten Authentifizierung bei. EV SSLs kommunizieren ihre Präsenz durch ein grünes Kennzeichen in der Browser-Adressleiste und werden von nahezu jedem Browser unterstützt.

Die Verwendung von EV SSL-Zertifikaten ist einer der zwölf OTA Online-Grundsätze zum Schutz der Verbraucher und nachhaltig sicherem E-Commerce.

Die Grundsätze sehen vor, dass Internetpräsenzen von Banken und Onlineshops nach Ablauf des bestehenden Secure Sockets Layer (SSL)-Zertifikates ein Upgrade auf EV SSL vornehmen. Sie richten sich an Unternehmen, die über das Internet Kundendaten erheben und tragen der Angst von Verbrauchern vor Identitätsdiebstahl, Phishing und fragwürdigen Datenhandelspraktiken Rechnung.

„Mit dem starken Anstieg von irreführenden E-Mails und Online-Kriminalität ist es unerlässlich für alle Geschäftsprozesse, sich an diese Grundsätze zu halten, nicht nur, um Verbraucher zu schützen, sondern auch die daran beteiligten Unternehmen”, sagt Craig Spiezle, geschäftsführender Direktor des OTA. „Wenn wir nichts tun, laufen wir Gefahr, das Vertrauen der Verbraucher gänzlich zu verlieren. Unternehmen, die dies erkannt und umgesetzt haben, sichern sich einen klaren Wettbewerbsvorteil. ”

Schwerpunkt des 7. Deutschen Anti Spam Kongresses vom 14. bis 16. September ist das Thema Botnetze. Die Verwendung von EV SSL Zertifikaten beugt der Manipulation von Internet-Präsenzen vor, verhindert auf diese Weise Drive-By-Infektionen von Nutzern und dämmt so die Verbreitung von Botnetzen ein.

Der eco Arbeitskreis E-Mail (vormals Senderauthentifizierung) informierte in seiner Sitzung am 16. Juni in Frankfurt über neueste Entwicklungen. Tobias Knecht von Knecht Media/Abusix erläuterte den aktuellen Status im Abusix/Global-Reporting-Projekt und gab einen Ausblick. Dean Ceulic vom eco berichtete über Neues rund um „SharedBrain“, in das ISPs Informationen etwa zu einer Botnetzattacke eingeben, auf die andere ISPs zugreifen können. SharedBrain ist geregelt im Joint Venture, das eco mit Bizanga eingegangen ist. Die Hardwarespezifikationen stehen nun fest, sodass der Betrieb beginnen kann.

AK-Leiter Florian Sager informierte in seinem Vortrag über den Status DKIM & dkim-reputation.org. Außerdem stellte er die Funktionsmerkmale von Google Wave vor, um zur Diskussion zu stellen, ob Webmail-Interfaces der ISPs in ähnlicher Weise fortentwickelt werden müssen, um im Wettbewerb zu bestehen.

Anschließend berichtete Ceulic über die Anpassung der CSA-Kriterien an neue, gesetzliche Auflagen. Armin Wappenschmidt von secunet erläuterte Details zu De-Mail – der elektronischen Variante zur Briefpost. Im Vergleich zur E-Mail werden höhere Sicherheitsansprüche gestellt wie Verschlüsselung, Senderidentifikation und Zuverlässigkeit der Zustellung. Der rechtliche Rahmen ist durch das Bürgerportal-Gesetz gegeben, nur akkreditierte Provider können teilnehmen.

Bei Interesse an den Vortragsfolien oder dem Protokoll wenden Sie sich bitte an Florian Sager.

PRESSEKONFERENZ

Am 28. Oktober berichten Microsoft, eleven, Cloudmark und IronPort über ihre Einschätzungen und Maßnahmen

Main Session

Shuttle bus boarding time (Hotel SAS Radisson): 8:10h

Moderation

Herbert Vitzthum, CEO, SPAMRobin GmbH

ISP Closed Workshop

ISP Closed Workshop

The eco Working Group on Sender Authentication invites all ISPs attending the German Anti Spam Summit and experts to discuss current authentication and reputation topics.  Further topics like “sharing reputation data” and “FBLs” will be discussed as well.
For participation please register at least for the second conference day(28th) and send an email to ak-senderauth@eco.de.

The workshop is chaired by Florian Sager.

Der eco Arbeitskreis Sender-Authentifizierung widmete sich bei seinem Treffen am 16. Juli in Köln der Erarbeitung von Empfehlungen für die Sender-Authentifizierung in Deutschland. Zwar setzen große Versender SPF schon seit einiger Zeit ein, und das vor einem Jahr seitens der IETF standardisierte DKIM-Verfahren wird nach und nach umgesetzt. Jedoch ist die Verbreitung, insbesondere unter kleineren Mailprovidern, bislang gering. Der AK möchte mit seiner Arbeit ein Bewusstsein für die Notwendigkeit der Sender-Authentifizierung schaffen: Vertrauenswürdige Sender sollten Authentisierungsinformationen für SPF und DKIM-Signaturen bereitstellen.

Zur Evaluierung des Lastverhaltens von DKIM in größeren Mailsystemen wurden im Frühjahr zwischen signierenden Versendern und verifizierenden Empfängern Lasttests vorgenommen, um insbesondere zu überprüfen, ob ISP-Empfangssysteme durch die Auswertung der Signaturen übermäßig belastet werden. Im Ergebnis war keine außergewöhnliche Belastung zu verzeichnen. Die Sender-Authentifizierung kann demzufolge neben Viren- und Spamfilter einfach mitlaufen.

Die AK-Teilnehmer stellten fest, dass in der Öffentlichkeit immer noch große Unsicherheit besteht, wie die Sender-Authentifizierung richtig angewendet werden soll, und was das Ganze eigentlich bringt. Der AK hat in seiner Sitzung deshalb Empfehlungen für SPF und DKIM erarbeitet, um deren Verbreitung zu fördern. Die beiden vom AK empfohlenen Verfahren ermöglichen Qualitätssteigerungen bei der Zustellung von E-Mails. Beispielsweise können bei der Verwendung von Sender-Authentifizierung „gute Mails“ schneller und zuverlässiger zugestellt werden, gleichzeitig ermöglicht die Authentifizierung ein zusätzliches Spam-Filterkriterium über die Auswertung der gesicherten Sender-Adressen. Zudem gewährleisten DKIM-Signaturen für die signierten Mail-Bestandteile unverfälschte Inhalte ab dem Zeitpunkt der Einbringung der Signatur. Alles in allem kann dadurch eine höhere Zuverlässigkeit und gesteigerte Vertrauenswürdigkeit des Mediums E-Mail erreicht werden.

Derzeit berät der AK noch über die Empfehlungen. Eine Veröffentlichung ist erst dann sinnvoll, wenn sowohl SPF- als auch DKIM-Reputationsdaten allgemein nutzbar vorliegen, damit Empfänger Sender aufgrund ihres historischen Senderverhaltens bewerten können. Denn der Anteil an Spam innerhalb der Gruppe der authentifizierten E-Mails liegt bei mindestens 50 Prozent. Für SPF existiert bislang noch keine Reputationsdatenbank, jedoch steht das deutsche DKIM-Reputationsprojekt (www.dkim-reputation.org) kurz vor der Veröffentlichung allgemein verfügbarer DNS-Einträge. Für ISPs soll die Sender-Authentifizierung die Chance bieten, Spam nicht wie bei Blacklists auf Basis von IP-Adressen, sondern auf Benutzerebene zu blockieren. So würden dank verschiedener Heuristiken nicht gesamte ISP-Mailserver, sondern nur einzelne Benutzer gesperrt. Die Liste positiver und negativer Absender könnte zudem über einen längeren Zeitraum verwendet werden.

Die Einsatzmöglichkeiten der Sender-Authentifizierung sind momentan auch noch beschränkt, weil nur wenige Benutzer authentifizierte Mails verschicken. Hier sieht AK-Leiter Florian Sager ein Henne-Ei-Problem: „Die Provider fragen sich, warum sie filtern sollen, wenn keiner die Signatur einsetzt. Die Nutzer hingegen fragen sich, warum sie diese einsetzen sollen, wenn sie derzeit noch keine Vorteile davon haben. Der eco AK will das Thema voran bringen und sagt deshalb ausdrücklich: Vertrauenswürdige Anbieter sollten die Sender-Authentifizierung jetzt unterstützen und in ihre Zukunft investieren.“

Wer den derzeitigen Bearbeitungsstand der Empfehlungen mitdiskutieren möchte, kann sich an ak-senderauth@eco.de wenden.

• Begrüßung durch den eco-Verband
• Vorstellungsrunde der Mitglieder: Tätigkeitsfeld
• Sender-Authentifizierung: Stand der eigenen Umsetzung
• Umfrage bei ISPs zum Stand der Umsetzungen
• Resumé zu DKIM- und SPF-Tests
• DKIM-Reputation-Project
• Vorstellung der überarbeiteten CSA Aufnahmekriterien
• Diskussionsrunde
• Organisatorisches & Weiteres Vorgehen

Eine Teilnahme ist nur möglich für ISPs, die E-Mail Services anbieten und eco Mitglied oder CSA ISP Teilnehmer sind. Kontaktieren Sie bei Interesse bitte Florian Sager und Dean Ceulic,
ak-senderauth@eco.de.

Damit die Mail im Internet so einfach sicher, vertraulich und verbindlich wird wie heute die Papierpost, sind abgestimmte Maßnahmen zur Verbesserung von Kommunikationssicherheit, Daten- und Verbraucherschutz erforderlich. Bürgerportale, bzw. die sog. D-Mail sollen mit sicheren elektronischen Versanddiensten Endanwender und Unternehmen in die papierlose und dennoch rechtsverbindliche Kommunikation führen.

Ob Banken oder Versicherungen, andere Wirtschaftsunternehmen, die Verwaltung oder der Endanwender zu Hause – sie alle erstellen Dokumente, Briefe und andere Anschreiben zumeist elektronisch. Erst bei Zustellung an Dritte wird in der Regel ausgedruckt und per Papier versendet. Das ist für alle Seiten teuer, zeitaufwendig und unbequem.

Das Versenden und Empfangen von Nachrichten und Dokumenten im Internet soll deshalb nach den Plänen der Regierung künftig so sicher und verbindlich gestaltet werden wie heute die Papierpost. Die dazu erforderliche neue Infrastruktur soll mit Hilfe staatlich zertifizierter, aber privat betriebener Portale aufgebaut werden. Diese sollen Privatnutzern und Unternehmen im Internet eine verbindliche elektronische Adresse – vergleichbar mit der Meldeadresse -, ein sicheres Postfach sowie einheitliche, einfach zu bedienende und verlässliche Versanddienste anbieten. Zudem soll das Angebot elektronische Dokumentensafes und die Möglichkeit umfassen, im Internet verlässliche Angaben zur eigenen Identität zu machen.

Seit Ende 2007 hat das Bundesinnenministerium hierzu eine Expertenrunde und Arbeitsgruppen eingesetzt, in der Staat und Wirtschaft (Banken, Versicherungen und ISPs) gemeinsam die Planung für einen solchen Dienst vornehmen. eco ist in dieser Expertenrunde selbstverständlich vertreten.

Der eco – Verband der Deutschen Internetwirtschaft e.V. sieht in einem solchen Service die logische Fortentwicklung des Dienstes E-Mail und mit den Geschäftsfeldern Postfach, Versanddienst, Authentisierungsdienst und Dokumentensafe ein kommerzielles Betätigungsfeld für ISPs. Aus diesem Grunde veranstaltet eco für seine Mitglieder am 16.07.2008 von 13:00 bis 17:00 Uhr in der Kölner Geschäftsstelle eine Informationsveranstaltung, zu der wir Sie herzlich einladen möchten.

Am 16. Januar traf sich der eco Arbeitskreis Sender-Authentifizierung zu seiner konstituierenden Sitzung. Ein exklusiver Kreis von Teilnehmern der größten deutschen ISPs, unter anderem 1&1, GMX, Web.de, Netcologne, Arcor, HostEurope und Pironet/NDH sowie weiteren eingeladenen Experten traf sich, um die aktuellen Entwicklungen bei den E-Mail Sender-Authentifizierungsmechanismen zu diskutieren. Diese Mechanismen werden seit geraumer Zeit thematisiert und inzwischen haben sich einige konkurrierende Verfahren herausgebildet, die eine gewisse Aussicht haben, sich als allgemeiner Standard zu etablieren. So wurden Vorträge zu den Themen DKIM/SSP, SPF/SenderID, S/MIME und PGP/GPG gehalten. Die anschließende Diskussion offenbarte die Stärken und Schwächen einzelner Verfahren.

Ziele des Arbeitskreises sind zum einen die allgemeine Bewertung der Verfahren bezüglich Implementierungsaufwand und damit verbundener Erfolgsaussichten, sowie die Entwicklung von Best Cases beim Einsatz der angesprochenen Verfahren, und schließlich die Schaffung eines gemeinsamen Standpunktes gegenüber Standardisierungsgremien. Als Projekte sind geplant, erstens DKIM-Lasttests in den Häusern der ISPs durchzuführen und zweitens ein Best-Practices-Dokument zu erstellen, das Empfehlungen zur Verarbeitung von SPF beziehungsweise SenderID-Einträgen beschreibt. Die Ergebnisse des Arbeitskreises Sender-Authentifizierung werden über ein Wiki, über das intern auch die Zusammenarbeit koordiniert wird, verfügbar gemacht. Teilnehmer des Arbeitskreises müssen eco Mitglied sein und als ISP E-Mail-Postfach-Dienste anbieten. Sofern Sie Interesse an der Mitarbeit haben, melden Sie sich bitte bei Dean Ceulic, ak-senderauth@eco.de. (Weitere Photos im eco Flickr Album)

• Begrüßung durch den eco-Verband
• Vorstellungsrunde der Mitglieder: Tätigkeitsfeld
• Sender-Authentifizierung: Stand der eigenen Umsetzung
• Erwartungen an den Arbeitskreis
• Zusammenfassung der Erwartungen / Zielsetzungen
• Status quo der technischen Standards: Schaffung eines einheitlichen Kenntnisstandes
• Kurzvortrag S/MIME und PGP
• Kurzvortrag SPF / Sender ID
• Kurzvortrag DomainKeys / DKIM / SSP
• Diskussionsrunde
• Organisatorisches & Weiteres Vorgehen
• Zusätzlicher Punkt: Statusmitteilung zum CSA Projekt & Feedback

Eine Teilnahme ist nur möglich für ISPs, die E-Mail Services anbieten und eco Mitglied oder CSA ISP Teilnehmer sind. Kontaktieren Sie bei Interesse bitte Dean Ceulic, dean.ceulic@eco.de, bis spätestens 11.01.2008.