Aktuelles, Branche, Gastbeiträge - geschrieben von dp am Montag, Mai 6, 2019 16:03 - noch keine Kommentare
Selbst signierte E-Mails sind potenziell gefährlich
Jeder noch so aufmerksame Mitarbeiter kann irgendwann auf eine gefälschte E-Mail hereinfallen
[datensicherheit.de, 06.05.2019] In seinem aktuellen Kommentar geht Michael Kretschmer, „Managing Director DACH“ bei Clearswift, auf Medienberichte ein, wonach Mailprogramme wie „Mozilla Thunderbird“ oder „Apple Mail“ unter bestimmten Bedingungen falsche Mail-Signaturen als richtig darstellen. Möglich sei dies durch eine fehlende Definition in Bezug auf das Mailprogramm geworden, welche besagt, was zu tun ist, wenn in einer E-Mail die Signaturen sowohl in einem „eContent“- als auch „MIME“-Teil gespeichert sind.
Michael Kretschmer, „Managing Director DACH“ bei Clearswift
Missbrauch einer signierten E-Mail eines anderen Nutzers
Ein potenzieller Angreifer habe diese Lücke nun ausnutzen können. Hierfür habe er nur die bereits signierte E-Mail eines Nutzers im „CMS“-Paket seiner E-Mail speichern und seinen unsignierten Text im „MIME“-Teil anhängen müssen. Beide Nachrichten seien somit als signiert und scheinbar vertrauenswürdig angezeigt worden.
Bei dem anderen geläufigen E-Mail-Verschlüsselungsstandard „OpenPGP“ hätten auf ähnliche Weise unsignierte Mails als vertrauenswürdig ausgegeben werden können. E-Mail-Programme hätten hierbei Nachrichten als durchgehend signiert dargestellt, „obwohl nur Teile ihres Inhalts signiert waren“.
Die Folgen könnten besonders für Unternehmen fatal sein, wenn Mitarbeiter bei signierten E.Mails davon ausgehen, Nachricht und Absender wären bekannt bzw. vertrauenswürdig. Kretschmer warnt: „Ein Angreifer kann somit sein Opfer dazu bringen, einen schadhaften Anhang zu öffnen oder vertrauliche Daten preiszugeben.“
Potenziell gefährliche Inhalte aus E-Mails und deren Anhängen herausfiltern!
Um sich vor solchen Angriffen zu schützen, sollten Firmen das Bewusstsein für E-Mail-Betrug bei ihren Angestellten schärfen. Das heißt, dass jede E-Mail „ungeachtet einer vorhandenen Signatur kritisch betrachtet wird“. Aufforderungen, auf eine unbekannte Website zu gehen oder Inhalt herunterzuladen, müssten mit äußerster Vorsicht betrachtet werden. Makros sollten in Dokumenten standardmäßig deaktiviert und ihre Ausführung nur dann gestattet sein, wenn die Authentizität der Nachricht vollständig gewiss ist.
Doch es sei davon auszugehen, dass auch dem aufmerksamsten und vorsichtigsten Mitarbeiter gelegentlich ein Fehler unterlaufen und er auf eine Betrugsmasche hereinfallen könne. Unternehmen sollten deshalb in eine Lösung investieren, „die potenziell gefährliche Inhalte aus Mails und deren Anhängen herausfiltert“, empfiehlt Kretschmer. Dies geschehe automatisch und ohne dass der Mitarbeiter aktiv eingreifen müsse. Darüber hinaus sollte der Netzwerkverkehr durchgehend auf verdächtige Leistungsspitzen und Verbindungen hin untersucht werden.
„Vorfälle wie diese werden in Zukunft nicht weniger, im Gegenteil. Unternehmen, die über die richtige Strategie in puncto E-Mail-Sicherheit verfügen, sind gegen solche und ähnliche Angriffe allerdings bestmöglich gewappnet“, so Kretschmer.
Weitere Informationen zum Thema:
datensicherheit.de, 06.05.2019
Elektronische Signatur und Vertrauensdienste: Informationstag am 24. September 2019 in Berlin
datensicherheit.de, 16.04.2019
Phishing: Auch kleine Unternehmen sind Ziel
datensicherheit.de, 10.02.2019
Emotet: Erneute Verbreitung über gefälschte E-Mails
datensicherheit.de, 07.04.2019
Phishing-Gefahr: Kompromittierte WordPress-Webseiten entdeckt
Aktuelles, Experten - Feb. 8, 2025 0:13 - noch keine Kommentare
Mahnung der Freien Ärzteschaft im ePA-Kontext: Krankheitsdaten sind keine Ware!
weitere Beiträge in Experten
- „AI Act“: Seit dem 2. Februar 2025 weitere Regelungen der europäischen KI-Verordnung in Kraft
- AI Act: eco-Kommentar zum Inkrafttreten – nationale Gesetzgebung muss Vision und Praxis vereinen!
- Datenschutzkonferenz: Hilfestellungen für effektive Anonymisierung und Pseudonymisierung personenbezogener Daten geplant
- Zwei der weltweit größten Cybercrime-Foren mit über zehn Millionen registrierten Nutzern abgeschaltet
- KI: Jeder Achte glaubt, dass Anwälte weitgehend überflüssig werden könnten
Aktuelles, Branche - Feb. 8, 2025 0:26 - noch keine Kommentare
NIS-2-Umsetzung: Gesetzgebungsverfahren offenbar vorerst gescheitert
weitere Beiträge in Branche
- Industrie sollte Cyber-Sicherheit ihrer Geräte, Maschinen und Anlagen dringend auf ihre Agenda 2025 setzen!
- Dennis Weyel erinnert im NIS-2-Kontext daran: Firmenleitung haftet bei Cyber-Attacken!
- IT-Sicherheit: Gedanken zum Generationenkonflikt
- Finanzsektor: Herausforderungen und zugleich Chancen durch DORA
- AI Act der EU verbietet bestimmte KI-Systeme und verpflichtet zur -Kompetenz
Branche, Umfragen - Dez. 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren