IT-Verantwortliche/r, handeln Sie jetzt. Die Marketingabteilung und der IT-Sicherheitsbeauftragte werden bald gemeinsam auf Sie zukommen. 😉
Dies mag noch nicht ganz der Fall sein, aber hinter der reißerischen Überschrift verbirgt sich auch eine teilweise Wahrheit. BIMI (Brand Indicators for Message Identification) ist die neueste E-Mail-Schutzmaßnahme nach DMARC, DKIM und SPF. Es hat sich allmählich durchgesetzt, und die größten E-Mail-Anbieter wie Google, Yahoo und Apple unterstützen es bereits. Laut Microsoft muss man auf die Einführung möglicherweise noch eine Weile warten, aber wenn/sobald es verfügbar ist, könnten IT-Abteilungen unter Druck geraten, da Organisationen es schnell implementieren wollen.
Was ist BIMI überhaupt?
BIMI (Brand Indicators for Message Identification) ist eine E-Mail-Authentifizierungstechnologie, die Organisationen dabei unterstützt, die Authentizität von E-Mail-Nachrichten zu bestätigen. BIMI arbeitet mit DKIM, SPF und DMARC zusammen, um E-Mail-Domains vor böswilligen Akteuren zu schützen, die versuchen, gefälschte E-Mails in unserem Namen zu versenden.
Mithilfe von BIMI können Organisationen ihr Markenlogo neben E-Mail-Nachrichten im Posteingang des Empfängers hinzufügen. Dies hilft den Empfängern zu erkennen, dass die E-Mail von der jeweiligen Marke oder dem Unternehmen stammt. Dadurch wird das Vertrauen gestärkt und die Öffnungsraten von E-Mails verbessert, da die Empfänger leicht erkennen können, dass die Nachricht tatsächlich von dem Absender stammt, von dem sie vorgibt zu sein. Die folgende Beispielabbildung zeigt, wie BIMI in der Praxis aussieht. In einer von LinkedIn gesendeten Nachricht ist deren erkennbares Logo zu sehen. Zusätzlich zeigt Gmail ein blaues „verified“-Abzeichen an, mit dem der Empfänger den Ursprung der Nachricht überprüfen kann.
BIMI kann nicht so gefälscht werden, dass eine Partei es missbrauchen könnte, um schädliche Nachrichten im Namen und mit den Logos einer anderen Organisation zu versenden.
Einführung von BIMI
Eine der Voraussetzungen für die Einführung von BIMI ist, dass die DMARC-Einstellung entweder in den Quarantäne- oder den Ablehnungsmodus versetzt wurde. Wenn DMARC nicht verwendet wird oder sich im Berichtsmodus (p=none) befindet, funktioniert auch die BIMI-Authentifizierung nicht. Ein weiterer Grund also, DMARC vollständig zu implementieren. Ich habe letztes Jahr in dem Blogbeitrag „Kommunikationssicherheit Teil 1“ über DMARC geschrieben, und dieser ist hier zu lesen.
Eine weitere Voraussetzung für BIMI ist ein Zertifikat. Es gibt zwei verschiedene Arten von Zertifikaten. Das VMC (Verified Mark Certificate) ist stärker und erfordert eine eingetragene Marke, um es nutzen zu können. Das CMC (Common Mark Certificate) ist für alle Organisationen erhältlich, aber seine Authentifizierung ist nicht so stark wie die des VMC. Zertifikate können von Digicert und Entrust bezogen werden. Die Kosten liegen bei etwa 1.200 bis 1.600 Euro pro Jahr. VMC-Zertifikate sind etwas teurer als CMC-Zertifikate.
Zusammenfassung
Die Idee von BIMI, dem Empfänger die Herkunft einer Nachricht leicht erkennbar zu machen, ist meiner Meinung nach eine ausgezeichnete Sache. Auch aus Markensicht ist das Hinzufügen des Logos zu Nachrichten sicherlich eine willkommene Funktion für verschiedene Parteien, wie die Vertriebs- und Marketingabteilungen von Organisationen. Die Herausforderung von BIMI liegt jedoch in seinen Anforderungen bezüglich der Markenregistrierung. Mit CMC-Zertifikaten kann BIMI zwar funktionieren, aber verschiedene E-Mail-Dienste können deren Vertrauenswürdigkeit unterschiedlich behandeln. Ich bin jedoch gespannt, wie sich BIMI entwickeln und an Popularität gewinnen wird. Das Potenzial dafür ist vorhanden.
Auch wenn die Einführung von BIMI derzeit nicht unmittelbar relevant sein mag, sollte in Finnland der Zuverlässigkeit der Kommunikation durch die Implementierung von DMARC Aufmerksamkeit geschenkt werden. In Finnland haben nur etwa 50 % aller Organisationen DMARC eingeführt. Es gibt also noch viel zu tun, um unsere E-Mail-Domains vor Missbrauch zu schützen.
Sollten Sie Fragen zur Kommunikationszuverlässigkeit haben, kontaktieren Sie uns unten, um mehr zu erfahren.