Cyber-Security: Viel höhere Budgets für E-Mail Sicherheit notwendig

E-Mail als Kommunikationsmittel kein Auslaufmodell

Von unserem Gastautor Michael Heuer, VP Central Europe von Mimecast

[datensicherheit.de, 04.07.2018] Hartnäckig hält sich der Gedanke, dass das goldene Zeitalter der E-Mail-Kommunikation vorbei sei und der elektronische Brief zunehmend durch Whats-App und Co verdrängt wird. Zwar sind Smart-Messenger auf auch in der Unternehmenskommunikation auf dem Vormarsch, allerdings geht deren Nutzung einher mit zunehmender Kommunikation – vor allem bei internen Absprachen tauscht man mehr und öfter Informationen aus – einfach, weil es möglich und komfortabel ist.

E-Mail ist das Standardkommunikationsmittel

Die E-Mail ist aber in keinem Fall ein Auslaufmodell und es werden auch nicht weniger Mails geschrieben, im Gegenteil. Die digitale Post ist und bleibt das Standardkommunikationsmittel in Organisationen. Beim Versand von wichtigen Dokumente, Herstellung von Erstkontakten und speziell beim Kontakt mit externen Parteien konnte bisher keine Technologie der E-Mail ernsthaft Konkurrenz machen.

Wachstum beim E-Mailverkehr zu verzeichnen

Es ist daher keine Überraschung, dass die Anzahl des E-Mailverkehrs immer weiter wächst. Allerdings wurde die Mail nie für eine derartige Nutzung im Unternehmenskontext konzipiert. Daher entsprechen die Sicherheitsfunktionen der E-Mails wie der Schutz vor schadhaften Anhängen oder Links nicht dem Grad, in dem sie genutzt werden. Cyberkriminelle sind sich dieser Tatsachen bewusst und nutzen den Angriffsvektor E-Mail gezielt aus: Ca. 91 Prozent aller Angriffe auf Firmennetzwerke abzielen, starten mit einer E-Mail, laut Data Breach Investigations Report 2016.

Unzureichende Budgets für E-Mail-Sicherheit

Dieser Tatsache steht die Finanzierung der E-Mail-Sicherheit entgegen: Trotz des überwiegenden Anteils an Attacken, die mit E-Mails beginnen, wird dieser Bereich der IT-Security unterdurchschnittlich finanziert. Der Sicherung des E-Mail-Verkehrs kommt somit nur noch eine Nebenrolle zu.

Besonders beliebt ist Social Engineering, bei dem eine das Opfer über das Umfeld seiner Aktionen getäuscht wird. Die Angreifer täuschen unter der Vorgabe von vertrauten Identitäten eine sichere Umgebung vor und bringen ihr Ziel dazu, geschützte Informationen preiszugeben oder Vorteile zu erschleichen. Oft wird beispielsweise im Namen eines Vorgesetzten und des Chefs eine Mail an einen Angestellten gesendet, mit der Aufforderung, einen enthaltenen Link oder einen Anhang zu öffnen bzw. auszuführen. Geht der Angestellte dieser Aufforderung nach, hat der Angreifer sein Ziel erreicht und der Datenraub kann beginnen.

Der richtige E-Mail-Schutz verhindert von vornherein einen Großteil der Angriffe

Die E-Mail stellt somit den beliebtesten und häufigsten Angriffsvektor dar, trotzdem ist der Schutz der Kommunikation über selbige oft erstaunlich schlecht ausgebaut: Obwohl gut 90 Prozent der Attacken mit einer E-Mail beginnen, wird die Sicherheit der Mail unterdurchschnittlich finanziert. Somit kommt dem Schutz der unternehmensinternen und -externen Kommunikation nur eine Nebenrolle zu. Dabei kann ein ausreichender E-Mail-Schutz viele Angriffe schon im Voraus abblocken, ohne dass überhaupt ein Mitarbeiter der IT-Abteilung eingreifen muss.

Unternehmen, die sich für eine solche Lösung interessieren, sollten hierbei darauf achten, dass das anvisierte System Schutz gegen Spear-Phishing- bzw. Impersonation-Attacken aufweist. Beim Spear-Phishing und der Impersonation-Attacke wird, anders als beim breitgefächerten Phishing, eine Person gezielt unter Vorgabe falscher Personaldaten dazu verleitet, sensible Informationen preiszugeben oder andere schädliche Aktionen durchzuführen. Das einfache Phishing setzt auf eine hohe Anzahl von Mails, die an viele Empfänger geht und von denen wenige Aussicht auf Erfolg haben. So können zum Beispiel Mails markiert werden, die von außerhalb kommen; selbst wenn Daten wie Name, E-Mail-Adresse und Wortlaut stimmen, wird die Mail als extern markiert. Da die Mail eines Vorgesetzten in den seltensten Fällen von außerhalb des Firmennetzwerks kommen wird (VPN eingeschlossen), ist der Betrugsversuch somit entlarvt.

Opfer werden mit „harmlosen“ Links getäuscht

Kriminelle versuchen oft, ihre Opfer mit vermeintlich harmlosen Links auf ihre Seiten zu locken. Hier wird gerne auf ähnlich aussehende Buchstabenkombinationen zurückgegriffen, die im ersten Moment richtig aussehen. Beispielsweise wird www.mimecast.de als www.mirnecast.de ausgegeben. Besonders auf kleinen Bildschirmen ist der Unterschied nur sehr schwer zu sehen.

Früher versuchte man, solche Attacken durch Black & Whitelisting zu unterbinden. Dies ist aber sehr zeitaufwändig und nicht effizient, da die Pflege solcher Listen viel Zeit erfordert. Außerdem richten Cyberkriminelle immer neue verseuchte Seiten ein, sodass IT-Abteilungen nicht Schritthalten können. Bei heutigen Lösungen werden beispielsweise Links, die in E-Mails enthalten sind, in Echtzeit geprüft – noch bevor der Angestellte auf den vermeintlich harmlosen Link klickt. Dadurch kann der User gewarnt werden – auch wenn eine gefährliche Domain vorher nicht bekannt war.

Oftmals sitzen zudem Bedrohungen als Anhang in der Mail. Sogar in vermeintlich harmlosen Word-Dokumenten können schadhafte Makros versteckt sein, die den Rechner und schlimmstenfalls das gesamte Netzwerk kompromittieren sobald sie ausgeführt bzw. geöffnet werden. Eine Blockierung von Makros sollte standardmäßig aktiviert sein, allerdings bedürfen machen Situationen nach einer Makro-Ausführung. Auch hier schaffen E-Mail-Security-Systeme Abhilfe, indem ausführbare Anhänge grundsätzlich unabhängig ihres Typs in Quarantäne oder eine Sandbox-Umgebung geschickt werden.

Per Mail versendete Textdokumente werden nur in den seltensten Fällen vom Empfänger bearbeitet. Vielmehr werden sie oft nur angeschaut und danach nicht mehr benutzt. Ein PDF-Dokument würde in den meisten Fällen auch ausreichen. Das originale Text-Dokument bleibt natürlich erhalten und kann bei Bedarf abgerufen werden.

Optional ist Verwendung von Document-Sanitization-Lösungen, die den ausgehenden E-Mailverkehr auf kritische Daten hin überprüfen. So werden beispielsweise sensible Textstellen in Dokumenten nach vorher bestimmten Filtereinstellungen erkannt und geschwärzt.

Fazit

Sicherer E-Mail-Verkehr ist ein zentraler Punkt der Unternehmenssicherheit. Mit intelligenten Lösungen können viele Risiken umgangen werden, trotzdem scheuen viele Organisationen die Investition in solche Systeme. Dabei gibt es bereits zahlreiche Lösungen, die den E-Mail-Verkehr sicherer machen und zugleich bei erfolgreichen Angriffen für ein Fortbestehen der Kommunikation sorgen.

Moderne Sicherheitslösungen folgen neben der E-Mail-Security auch den Ansatz der Cyber-Resilience, mit dem die Kommunikation eines Unternehmens auch dann bestehen bleibt, wenn ein Angriff erfolgreich war.

Weitere Informationen zum Thema:

Mimecast
Cloud-Dienste für E-Mail-Sicherheit und -Archivierung

datensicherheit.de, 05.04.2018
E-Mail-Sicherheit: Mimecast sucht neue Partner