Beheer

IT beheer
Help

Internet en e-mail onnodig riskant

Internetaanbieders treuzelen bij het invoeren van beschikbare maatregelen om internet veiliger te maken. Consumenten lopen hierdoor onnodige risico's.

© Pixabay CC0 Public Domain,  TeroVesalainen
13 april 2017

Internetaanbieders treuzelen bij het invoeren van beschikbare maatregelen om internet veiliger te maken. Consumenten lopen hierdoor onnodige risico's.

Je zou verwachten dat internetaanbieders die actief zijn op de consumenten­markt, vooroplopen in beveiliging van internetten en e-mailen. Bij consumenten op internet mag je immers niet hetzelfde kennisniveau en dezelfde alertheid veronderstellen als bij organisaties die internet en e-mail zakelijk inzetten. Die verwachting wordt geen bewaarheid. Maar er is wel – schoorvoetend – verbetering op komst.

Bij internetten is de consument inmiddels gewend aan de extra beveiliging die encryptie van het verkeer biedt. Groene adresbalk en een gesloten slotje? Dan zit het goed. In principe is zo’n systeem ook op te zetten voor e-mail, zegt Gerben Klein Baltink van de Veilige E-Mail Coalitie. Groene balk? Vertrouwde afzender. Rode balk? Beter niet openen.

Dat vraagt wel maatregelen van alle betrokkenen in de keten, bij bedrijven, overheidsorganisaties en ook aanbieders van internetdiensten. De adoptie van technieken om dit mogelijk te maken verloopt traag. Slechts 22 procent van de internetserviceproviders past bijvoorbeeld DNSSEC toe, bleek eerder dit jaar uit een inventarisatie van SIDN. Terwijl DNSSEC toch een hoeksteen is voor betere beveiliging van internetten en e-mailen. Bij de internetaanbieders die zich richten op de consument is het niet beter gesteld, laat onderstaand overzicht zien.

 

 

Overzicht beveiligingsmaatregelen ISP's

Noten:

1) kpnplanet.nl scoort 40 procent.
2) telfortglasvezel.nl, tiscali.nl, 12move.nl, xmsnet.nl, xmsweb.nl, concepts.nl, lijbrandt.nl.
3) vodafonethuis.nl, dat eind dit jaar gediscontinueerd wordt, scoort 6 procent.
Toelichting:
De scores zijn gebaseerd op internet.nl, waar ze de volgende weging hebben:
5 procent als domein niet gehijacked is,
20 procent voor implementatie DNSSEC,
25 procent voor gebruik STARTTLS;
8,33 procent elk voor SPF, DKIM en DMARC
Internet.nl kent ook nog 25 punten toe voor gebruik van IPv6. Dat zegt wel iets over de robuustheid van de infrastructuur en de mate waarin internetaanbieders daarin investeren. Maar voor de beveiliging voegt het niets toe. De bovenvermelde scores zijn berekend met weglating van het IPv6-criterium. De maximale score in de benchmark van intetnet.nl is dan 75 %; voor de inzichtelijkheid zijn de behaalde scores hier omgerekend naar een 100-puntsschaal.
De benchmarkgegevens waarop bovenstaande tabel is gebaseerd, vind je in het artikel Internetproviders laten beveiligingstechniek onbenut. De score van T-Mobile is in bovenstaande tabel ten opzichte van die basisgegevens gecorrigeerd voor het invoeren van DNSSEC eind maart, na uitvoering van de test.

DNSSEC moeizaam van de grond

Met name DNSSEC is een probleem. DNSSEC was tijdens de test alleen bij Onsbrabantnet, XS4ALL en T-Mobile toegepast. XS4ALL doet dat overigens niet voor het domein @demon.nl dat het onder beheer heeft, en T-Mobile doet het alleen voor @t-mobilethuis.nl; het domein @vodafonethuis.nl komt eind dit jaar te vervallen. Zeelandnet wil DNSSEC nog dit kwartaal implementeren.

Een aantal andere aanbieders volgt op termijn. Caiway is van plan DNSSEC in de loop van 2018 in te voeren. DNSSEC staat ook de roadmap bij KPN (ook voor Telfort), Solcon en Tele2, maar die hebben er nog geen specifieke invoeringsdatum aan gehangen. Van andere aanbieders blijft onduidelijk of ze plannen hebben, en zo ja op welke termijn. Online.nl, Onsbrabantnet, Plinq en Ziggo hebben niet gereageerd op vragen van AG Connect. Voor klanten van Stipte en de verschillende maildomeinen die dat aanbiedt, lijkt er sowieso geen ontwikkeling meer plaats te vinden. Fiber, dat Stipte heeft overgenomen, laat het in een reactie bij de mededeling dat het de genoemde maildomeinen niet actief meer aanbiedt. 

E-mailbeveiliging kan strakker

Alleen Ziggo gebruikt – en dan alleen bij ziggo.nl – alle standaarden die de Veilige E-mail Coalitie adviseert - met uitzondering van DNSSEC, dan. Maar betere beveiliging van e-mail maakt wel opgang. KPN wil medio dit jaar SPF, DKIM en DMARC in al zijn domeinen hebben ingevoerd. De combinatie SPF en DKIM vind je bij Caiway, T-mobilethuis.com, Tele2.nl en Zeelandnet. Caiway wil dat in 2018 aanvullen met DMARC, T-Mobile doet dat voor het eind van dit jaar, en Tele2 en Zeelandnet hebben het nog in onderzoek.

XS4ALL heeft geen plannen met betrekking tot DKIM en DMARC. De eerste stelt klanten die hun eigen mailserver bij XS4ALL draaien voor onoverkomelijke moeilijkheden, stelt XS4ALL. DMARC vindt geen genade in de ogen van XS4ALL omdat het de privacy van zijn klanten zou kunnen schaden. Bij gebruik van DMARC zou XS4ALL namelijk dagelijks een rapportage krijgen van alle IP-adressen die klanten gebruiken om van te mailen. Of XS4ALL die opstelling handhaaft als mail daardoor in het bakje 'verdacht' belandt, wanneer de 'Veilige e-mailmaatregelen' gemeengoed beginnen te worden, staat natuurlijk nog te bezien.

Alleen Zeelandnet klaar voor two-factor authenticatie

AG Connect heeft ook gevraagd naar de plannen met two-factor authenticatie. In een tijd dat men zich op internet steeds vaker identificeert met zijn e-mailadres, is het immers wel van belang te voorkomen dat derden dat e-mailadres kapen of via een vervalsing ervan zaken gaan doen. Geen enkele ISP biedt zijn klanten op dit moment die mogelijkheid. Zeelandnet geeft als enige aan dat het concrete plannen heeft; het is nu bezig met voorbereiding van activering ervan. KPN, Tele2 en XS4ALL hebben two-factor authenticatie wel op de radar, maar hebben nog geen concrete invoeringsdatum bepaald.

Lees meer over Beheer OP AG Intelligence
1
Reacties
Anoniem 18 april 2017 22:57
Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.