Wenn Online-Händler Technologien einsetzen, die die E-Mail-Übertragung absichern, dann handeln sie im Sinne der Datenschutzgrundverordnung (EU-DSGVO). Mit DANE (DNS-based Authentication of Named Entities) ist eine ausgereifte Technologie verfügbar, mit der E-Mails garantiert beim Empfänger ankommen.
(Quelle: Tiko Aramyan_Shutterstock)
Immer wieder versuchen Cyberkriminelle, sich in den Mail-Verkehr zwischen Kunden und Lieferanten einzuhacken. Das kann sich lohnen. Bei einem erfolgreichen Angriff können beispielsweise Zahlungen umgeleitet werden. Oder es fallen sensible Kunden-Daten wie Adresse, Bankverbindung und Einkaufsgewohnheiten in unberechtigte Hände. Bei Versicherungen, Krankenkassen, Kreditinstituten oder auch Dating-Plattformen wiegt das besonders schwer, denn hier sind hochsensible Kundendaten unterwegs.
Mail-Verkehr: mit DNSSEC und DANE die DSGVO erfüllen
Verhindern lässt sich das mit DANE (DNS-based Authentication of Named Entities), einem Prüfverfahren, das den Aufbau einer verschlüsselten Verbindung zwischen einem Client und einem Server absichert. Über einen Zertifikatsabgleich (TLSA Record) schließen DANE nutzende Kommunikationspartner die konzeptionelle Schwäche von SSL/TLS, bei der ein Dritter sich als „der richtige Server“ ausgeben könnte und den Client dazu bringen könnte, seine Daten an den „falschen Richtigen“ zu übertragen. Voraussetzung für den Einsatz von DANE ist DNSSEC (Domain Name System Security Extensions), ein Verfahren, das sicherstellt, dass die per DNS übermittelten Prüfmerkmale verifizierbar sind. Denn auch hier könnten Angreifer falsche Angaben ins DNS einschleusen und den Client zum Falschen leiten.
Mail-Verkehr: Verletzung personenbezogener Daten
Passiert das, ist nicht nur die eigene Reputation in Gefahr, es drohen auch finanzielle Konsequenzen. Sofern dem Verantwortlichen oder dem gegebenenfalls beauftragten Auftrags-Verarbeiter (in diesem Fall der E-Mail Service Provider) die Verantwortung für die Datenschutzverletzung zugeschrieben werden kann, werden die Aufsichtsbehörden tätig. Im Falle einer Verletzung personenbezogener Daten gemäß Artikel 58 DSGVO machen diese möglicherweise Untersuchungs-, Abhilfe- und Sanktionsbefugnisse gegenüber dem oder den Verantwortlichen geltend. Im schlimmsten Fall kann dies sogar ein endgültiges Verbot der Verarbeitung solcher Daten zur Folge haben, was konkret ein Verbot der Geschäftstätigkeit bedeutet.
Darüber hinaus können Zwangsgelder verhängt werden. Daneben oder alternativ drohen nach Artikel 83 DSGVO erhebliche Geldbußen bis zu 20 Millionen Euro oder 4 Prozent des Gesamtjahresumsatzes. Jüngstes Beispiel: Die britische Datenschutzbehörde (ICO) hat gegen British Airways ein Bußgeld in Höhe von umgerechnet 205 Millionen Euro verhängt, nachdem sich Unbekannte Zugriffe auf die Kundendaten der Fluggesellschaft erschlichen hatten.
Absicherung der Kundendaten mit DNSSEC und DANE
Es reicht nicht aus, den eigenen Server bestmöglich abzusichern. Denn ein Man-in-the-Middle-Angriff nutzt die Schwachstelle des Transports einer E-Mail von A nach B. Um den Anforderungen von Artikel 5 Absatz 1 f. DSGVO zu genügen, die angemessene Sicherheit personenbezogener Daten zu gewährleisten, sollten sensible Kundendaten mittels DNSSEC und DANE geschützt werden.
Wie sieht ein typischer Mail-Transport mit DANE aus? Gesetzt den Fall, Sie als Online-Händler senden eine Mail an einen Kunden mit einem Mail-Konto bei example.de, sieht es wie folgt aus:
Ihr Mailserver bestimmt den für die Empfänger-Domain zuständigen Mailserver. Dabei prüft er auch, ob der DNS-Server der Empfängerdomain DNSSEC anbietet.
Bietet der DNS-Server DNSSEC an, prüft Ihr Mailserver, ob ein TLSA (TLS-Authentifizierung)-Record für die Empfängerdomain vorliegt.
Dann baut Ihr Mailserver eine Verbindung zum Mailserver der Empfängerdomain auf. Bietet dieser kein STARTTLS für eine Verschlüsselung der Verbindung an, bricht Ihr Mailserver sofort ab, denn der Verdacht einer Downgrade-Attacke steht im Raum.
Bietet der Zielserver STARTTLS an, beginnt Ihr Mailserver eine TLS-verschlüsselte Verbindung. Dabei vergleicht er die Prüfsumme des Zertifikats des Zielservers mit der TLSA-Information, die er per DNSSEC erhalten hatte.
Stimmen die Summen überein, gilt der Zielserver als verifiziert. Passen die Summen nicht zusammen, bricht ein DANE-aktivierter Client sofort ab, denn es besteht der Verdacht einer „Man-in-the-Middle“-Attacke. Herkömmliche Clients senden jetzt ahnungslos weiter und senden Daten an ein nicht vertrauenswürdiges Ziel.
Mail-Verkehr: „DNSSEC ist ein ausgereiftes und seit Jahren stabiles Verfahren!“
So weit, so sicher. Damit DANE mit DNSSEC funktioniert, müssen sowohl DANE als auch DNSSEC auf dem Mailserver des Online-Händlers eingerichtet sein. Sofern ein E-Mail-Service-Provider für den Versand genutzt wird, muss die Mailplattform so erweitert werden, dass DNS-Abfragen auch auf DNSSEC-Funktionalität prüfen und dessen Fähigkeiten zur Verifikation nutzen.
Stand: 16.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die WIN-Verlag GmbH & Co. KG, Chiemgaustraße 148, 81549 München einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von redaktionellen Newslettern nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://kontakt.vogel.de/de/win abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung, Abschnitt Redaktionelle Newsletter.
Die Grundlagen dafür sind längst gegeben. „DNSSEC ist ein ausgereiftes und seit Jahren stabiles Verfahren. Praktische Erfahrung auf großen ISP-Plattformen und Messungen zeigen, die Bedenken mancher Administratoren sind fachlich nicht haltbar“, erklärt Patrick Koetter, Kompetenzgruppenleiter der Gruppen „Anti-Abuse“ und „E-Mail“ beim eco – Verband der Internetwirtschaft e.V.
Bedenkt man die finanziellen Konsequenzen und den Reputationsverlust, den eine Downgrade-Attacke und/oder „Man-in-the-Middle“-Attacke nach sich ziehen können, lohnt sich der einmalige Aufwand für die Aktivierung von DANE und DNSSEC. Sie stellen die einzige automatisierte und kostengünstige Möglichkeit für eine wirklich sichere Datenübertragung zwischen E-Mailservern dar. Mehr über die Absicherung des Mail-Verkehr erfahren Sie auch beim nächsten CSA Summit 2020.
Über die Autoren: Julia Janßen-Holldiek ist Director bei CSA und Florian Mielke ist Manager Business Development bei CSA.
:quality(80)/p7i.vogel.de/wcms/81/53/8153c6a6dabe6937623317648729fee8/univention-summit-20connect-202026-743x418v1.jpeg "Peter Ganten, CEO der Univention GmbH, sagt in seiner Keynote: Digitale Souveränität muss jetzt beginnen! (Bild: Univention GmbH)")
:quality(80)/p7i.vogel.de/wcms/76/5d/765d66719563df9fd3d38e49a40f6fa1/telekom-ki-fabrik-bild2-1200x675v1.jpeg "Bringen die neue KI-Fabrik der Telekom in München ans Netz: Ferri Abolhassan, CEO von T-Systems, Dieter Reiter, OB von München, Markus Söder, Ministerpräsident Bayern, Lars Klingbeil, Bundesfinanzminister und Tim Höttges, CEO der Deutschen Telekom. (Bild: Deutsche Telekom AG/Cindy Albrecht, Robert Dieth)")
:quality(80)/p7i.vogel.de/wcms/c4/0f/c40fc27b3ba9f4cb8921429a81e9fe88/deutsche-20telekom-t-20cloud-20public-16-9-1308x735v1.jpeg "Die Deutsche Telekom baut die T Cloud Public zur souveränen Cloud-Alternative aus. (Bild: Deutsche Telekom)")
:quality(80)/p7i.vogel.de/wcms/26/7f/267fe7086a35a99a8746d5328bc34387/souver-c3-a4nit-c3-a4t-antto-ai-adobestock-935874090-mitki-1197x673v1.jpeg "(Bild: © Antto-AI/stock.adobe.com - generiert mit KI)")
:quality(80)/p7i.vogel.de/wcms/ed/a3/eda36bff4eab74b47f38ae9c2f5962f8/cloud-erp-mahat-adobestock-835645806-mitkiv1.jpeg "(Bild: © mahat/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fa/a3/faa35b3be508b1bafeae8e481dad808c/hr-ipopba-adobestock-451361135-neu-780x439v1.jpeg "(Bild: © ipopba/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/85/10/851074900a9e0eabf32944642cc2272f/adobestock-1270513612-vectorwin-colocation-996x560v1.jpeg "(Bild: © vectorwin/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4a/c3/4ac353ac9ecdfc9c07cb9cd559a578a0/genai-krot-studio-adobestock-1335835272-neu-1200x675v1.jpeg "(Bild: © Krot_Studio/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/af/35/af35b7a70474e8d447c57993e0146b38/kit-quantentechnologien-karlsruhe-1230x691v1.jpeg "Die optische Schnittstelle für einen Quantenspeicher wird ein wichtiger Bestandteil von künftigen Quantennetzwerken sein. Der erste Teil davon wurde Anfang 2025 am KIT gebaut. (Bild: Markus Breig/KIT)")
:quality(80)/p7i.vogel.de/wcms/aa/09/aa0954018ba5f37cfdfcfa30ad809da7/quantenc--20www-freund-foto-de-adobestock-652196310-mitki-1067x600v1.jpeg "(Bild: © www.freund-foto.de/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/7c/97/7c9771d964d17b3b15df85b23b81f41f/bundesdruckerei-pqc-personalausweis-16-9-1200x674v1.jpeg "Demonstrator des quantensicheren Personalausweises. (Bild: Bundesdruckerei GmbH)")
:quality(80)/p7i.vogel.de/wcms/8d/ec/8dec65346c49f21d4d8f3ca7a900470d/genai-krot-studio-adobestock-1335835272-neu-1200x675v1.jpeg "(Bild: © Krot_Studio/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e7/5c/e75c19a6fe17a3f6808c488cca304bd6/ki-security-igor-nazlo-adobestock-642102009-neu-997x561v1.jpeg "(Bild: © igor.nazlo/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3e/06/3e064c6104f3b0e5e74f8d5f06fbec86/kritis-leowolfert-adobestock-227539102-neu-878x494v1.jpeg "(Bild: © leowolfert/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/58/43/5843c738a7f9e1643d5b6a125a538e5e/akamai-nocc-pano-16-9-1200x674v1.jpeg "Akamai betreibt ein eigenes Network Operations Command Center. (Bild: Akamai)")
:quality(80)/p7i.vogel.de/wcms/83/a8/83a862276bac51b761c5f27fe0d9e86b/ifs-cadillac-formel-1-team-bild2v1.png "Die Software von IFS unterstützt die Prozesse beim neuen Cadillac Formula 1-Team. (Bild: IFS)")
:quality(80)/p7i.vogel.de/wcms/1d/6f/1d6fa6c8604a36abf5a0bf7679e44c1b/genua-genuline-bild-3390x1908v1.jpeg "Mit einer FPGA-Hardwarebeschleunigung verbindet das BSI-zugelassene VPN-Gateway genuline von genua Standorte mit quantensicherer Verschlüsselung. (Bild: genua GmbH)")
:quality(80)/p7i.vogel.de/wcms/9e/88/9e884cac1f5ea1b21159ac7c3bf73b76/flexera-it-management-2026-freepik-7360x4142v1.jpeg "(Bild: Freepik)")
:quality(80)/p7i.vogel.de/wcms/26/45/264533841ff5d181c8770be1de0b3e7b/bastell-digitale-20zwillingsfabrik-16-9-1280x719v1.jpeg "(Bild: Baosteel)")
:quality(80)/p7i.vogel.de/wcms/6f/26/6f263aded473634af06b685ab52d310b/adobestock-1863853573-fakhra-death-of-prompting-ki-agenten-999x562v1.jpeg "(Bild: © Fakhra/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f0/f0/f0f0feec71fb8ec1d2f3d343e327f829/ki-2rogan-adobestock-717342439-mitki-932x524v1.jpeg "(Bild: © 2rogan/stock.adobe.com - generiert mit KI)")
:quality(80)/p7i.vogel.de/wcms/77/d4/77d4aa1f8a50822209edc6b443190333/telekonnekt-bild3-4128x2321v1.jpeg "Das Service-Team der Telekonnekt unterstützt Arztpraxen und Apotheken bei der Umstellung auf die neue Telematikinfrastruktur. (Bild: Stefan Prager)")
:quality(80)/p7i.vogel.de/wcms/62/1a/621a89cd2d07f631880e43cda889118b/adobestock-1644426553-karina-digital-health-969x545v1.jpeg "(Bild: © KARINA/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/30/cd/30cd86fcb5d329cc823b8a6114db8189/dmea-20berlin-202025-16-9-2000x1124v1.jpeg "Die diesjährige DMEA findet vom 21. bis 23. April 2026 in der Messe Berlin statt. (Bild: © Messe Berlin GmbH)")
:quality(80)/p7i.vogel.de/wcms/64/f5/64f5013e4eedfa4f98b795e30cac7adc/it-sa-expo-26congress-eingang-3-2-1400x788v1.jpeg "(Bild: NürnbergMesse GmbH)")
:quality(80)/p7i.vogel.de/wcms/e6/db/e6dbf6cd77bbb7d46954d17450354c62/ot-oulaphone-adobestock-1069683089-5798x3264v1.jpeg "(Bild: © Oulaphone/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a2/b7/a2b78c24a10a843fe4456112371dff7d/cybersecurity-looker-studio-adobestock-563886800-neu-875x492v1.jpeg "(Bild: © Looker_Studios/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b4/07/b407aec50a1c555341b71483c58d954a/resilienz-srite-20khatun-adobestock-821261728-neu-880x495v1.jpeg "(Bild: © Srite Khatun/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0c/37/0c3795d561b32378f5a1728f3efcedaa/esker-scott-20mcdermott-16-9-1200x674v1.jpeg "Scott McDermott ist neuer Chief Financial Officer von Esker. (Bild: Esker)")
:quality(80)/p7i.vogel.de/wcms/46/b2/46b26d5ed883ada5b43309c2b4c76011/arbeitsplatz-exnoi-adobestock-808744861-mitki-996x560v1.jpeg "(Bild: © Exnoi/stock.adobe.com - generiert mit KI)")
:quality(80)/p7i.vogel.de/wcms/e7/c2/e7c24ae49b93587a03e144ce71866eaf/digitalisierung-wrightstudio-adobestock-235419903-neu-1500x843v1.jpeg "(Bild: © WrightStudio/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8e/b6/8eb6d3ea6cb30a574a210867044222ac/ki-sutthiphong-adobestock-657414716-neu-841x473v1.jpeg "KI Strategie AI Agents (Bild: © Sutthiphong/stock.adobe.com)")
:fill(fff,0)/p7i.vogel.de/companies/67/e4/67e4fb08c8409/cadfem-logo-152x152-1.jpeg "cadfem-logo-152x152-1 (CADFEM Germany GmbH)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/66/27/66276a182029e/dvelop-logo-grey.jpeg "dvelop-logo-grey (d.velop AG)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/65/b9/65b9165fa3dff/logo-kendox.jpeg "logo-kendox (Kendox AG)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/fb/26/fb26aeee8b15259bacd4f6697160fca6/sophos-20firewall-16-9-1200x674v1.jpeg "sophos-20firewall-16-9-1200x674v1 (Bild: Sophos)")
:quality(80)/p7i.vogel.de/wcms/67/00/6700a9796c34efd59f320f3bc322e327/consultix-datensicherheit-16-9-1195x672v1.jpeg "consultix-datensicherheit-16-9-1195x672v1 (Bild: Consultix)")