Das Gesundheitswesen stellt einen besonders anfälligen Sektor innerhalb des spanischen digitalen Ökosystems dar. Nur ein sehr geringer Prozentsatz der Domains im Gesundheitswesen wendet strenge Richtlinien an, während ein Großteil überhaupt keine DMARC-Architektur besitzt. Da zudem MTA-STS fast vollständig fehlt, sind Patientenakten und interne klinische Kommunikationskanäle nach wie vor in hohem Maße anfällig für böswilliges Abfangen und Domain-Spoofing.
Spanische Banken und Finanzinstitute sind landesweit führend in Bezug auf die Reife ihrer Sicherheitsrichtlinien, was vor allem auf direkte europäische Vorschriften wie DORA zurückzuführen ist. Diese mehrschichtige Verteidigungsstrategie wird jedoch durch eine weit verbreitete Nichtumsetzung von MTA-STS erheblich untergraben. Das bedeutet, dass eingehende Spoofing-Angriffe zwar stark eingeschränkt werden, ausgehender Transaktionsverkehr, interne Nachrichtenprotokolle und Überweisungsaufträge jedoch häufig ohne erzwungene Verschlüsselung auf der Transportschicht übertragen werden.
Die Domains der spanischen öffentlichen Verwaltung weisen aufgrund der vorgeschriebenen Anpassung an den ENS ein ausgezeichnetes Grundniveau an Compliance auf. Allerdings wendet nur ein sehr geringer Teil eine Richtlinie zur Abwehr von Spoofing an. Entscheidend ist, dass es in vielen kommunalen und regionalen Behörden überhaupt keine DMARC-Sicherheitsmaßnahmen gibt. In Verbindung mit der geringen Verbreitung von MTA-STS und DNSSEC sind die Kommunikationskanäle für die Bürger nach wie vor in hohem Maße anfällig für Spoofing.
Hochschul- und Forschungsnetzwerke bieten Angreifern ein riesiges, weit verstreutes Angriffsfeld. Zwar weisen die meisten Bildungseinrichtungen einen angemessen korrekten SPF-Konfigurationswert auf, doch nur eine kleine Minderheit setzt die Vorschriften strikt durch. Darüber hinaus haben viele die DMARC-Implementierung gänzlich übersprungen und verfügen nicht über MTA-STS, wodurch das geistige Eigentum der universitären Forschung und die Daten der Studierenden einem systematischen Datenabfluss ausgesetzt sind.
Als wichtigste Gatekeeper des öffentlichen Diskurses sehen sich spanische Medienkonzerne einer erheblichen Gefährdung ihrer Glaubwürdigkeit ausgesetzt. Derzeit verfügt nur ein Bruchteil der Domains in diesem Sektor über Schutzmaßnahmen, und vielen fehlt jegliches DMARC-Framework gänzlich. In Verbindung mit einem erheblichen Mangel an MTA-STS-Implementierungen können böswillige Akteure leicht bekannte Nachrichtenquellen fälschen, um koordinierte Desinformations- oder Phishing-Kampagnen zu starten.
Telekommunikationsanbieter verwalten umfangreiche Abrechnungsinfrastrukturen für ihre Kunden. Während einige bereits Maßnahmen zur Durchsetzung ergriffen haben, verfügt ein großer Teil von ihnen nicht über einen DMARC-Eintrag in ihren DNS-Einträgen. In Verbindung mit einer gravierenden Lücke bei MTA-STS sind Warnmeldungen zur Teilnehmerüberprüfung, Abrechnungsbenachrichtigungen und Administratorkonten weiterhin in hohem Maße anfällig für Manipulationen.
Logistiknetzwerke bilden das Rückgrat des lokalen Handels, weisen jedoch die niedrigsten Sicherheitswerte in Spanien auf. Eine alarmierend geringe Anzahl von Domains verfügt über eine funktionierende Sicherheitskonfiguration, während bei einem erheblichen Teil die DMARC-Parameter gänzlich fehlen. In Verbindung mit einem gravierenden Mangel an MTA-STS sind die Abrechnungsprozesse in der Lieferkette weiterhin einem kritischen Risiko durch Rechnungsabfang-Angriffe ausgesetzt.
Der Energiesektor erbringt wichtige nationale Dienstleistungen, weist jedoch bei der Überprüfung im Rahmen von NIS2 erhebliche politische Lücken auf. Zwar hat ein hoher Prozentsatz grundlegende SPF-Maßnahmen implementiert, doch setzt nur ein kleiner Teil aktiv Ablehnungsrichtlinien durch, und viele verfügen überhaupt nicht über eine DMARC-Architektur. Darüber hinaus fehlt es den meisten an MTA-STS-Verschlüsselung, was Angriffsvektoren für böswillige technische Benachrichtigungen schafft, die auf Edge-Ressourcen abzielen.
