Aktuelles, Branche, Gastbeiträge - geschrieben von dp am Montag, Mai 6, 2019 16:03 - noch keine Kommentare
Selbst signierte E-Mails sind potenziell gefährlich
Jeder noch so aufmerksame Mitarbeiter kann irgendwann auf eine gefälschte E-Mail hereinfallen
[datensicherheit.de, 06.05.2019] In seinem aktuellen Kommentar geht Michael Kretschmer, „Managing Director DACH“ bei Clearswift, auf Medienberichte ein, wonach Mailprogramme wie „Mozilla Thunderbird“ oder „Apple Mail“ unter bestimmten Bedingungen falsche Mail-Signaturen als richtig darstellen. Möglich sei dies durch eine fehlende Definition in Bezug auf das Mailprogramm geworden, welche besagt, was zu tun ist, wenn in einer E-Mail die Signaturen sowohl in einem „eContent“- als auch „MIME“-Teil gespeichert sind.
Michael Kretschmer, „Managing Director DACH“ bei Clearswift
Missbrauch einer signierten E-Mail eines anderen Nutzers
Ein potenzieller Angreifer habe diese Lücke nun ausnutzen können. Hierfür habe er nur die bereits signierte E-Mail eines Nutzers im „CMS“-Paket seiner E-Mail speichern und seinen unsignierten Text im „MIME“-Teil anhängen müssen. Beide Nachrichten seien somit als signiert und scheinbar vertrauenswürdig angezeigt worden.
Bei dem anderen geläufigen E-Mail-Verschlüsselungsstandard „OpenPGP“ hätten auf ähnliche Weise unsignierte Mails als vertrauenswürdig ausgegeben werden können. E-Mail-Programme hätten hierbei Nachrichten als durchgehend signiert dargestellt, „obwohl nur Teile ihres Inhalts signiert waren“.
Die Folgen könnten besonders für Unternehmen fatal sein, wenn Mitarbeiter bei signierten E.Mails davon ausgehen, Nachricht und Absender wären bekannt bzw. vertrauenswürdig. Kretschmer warnt: „Ein Angreifer kann somit sein Opfer dazu bringen, einen schadhaften Anhang zu öffnen oder vertrauliche Daten preiszugeben.“
Potenziell gefährliche Inhalte aus E-Mails und deren Anhängen herausfiltern!
Um sich vor solchen Angriffen zu schützen, sollten Firmen das Bewusstsein für E-Mail-Betrug bei ihren Angestellten schärfen. Das heißt, dass jede E-Mail „ungeachtet einer vorhandenen Signatur kritisch betrachtet wird“. Aufforderungen, auf eine unbekannte Website zu gehen oder Inhalt herunterzuladen, müssten mit äußerster Vorsicht betrachtet werden. Makros sollten in Dokumenten standardmäßig deaktiviert und ihre Ausführung nur dann gestattet sein, wenn die Authentizität der Nachricht vollständig gewiss ist.
Doch es sei davon auszugehen, dass auch dem aufmerksamsten und vorsichtigsten Mitarbeiter gelegentlich ein Fehler unterlaufen und er auf eine Betrugsmasche hereinfallen könne. Unternehmen sollten deshalb in eine Lösung investieren, „die potenziell gefährliche Inhalte aus Mails und deren Anhängen herausfiltert“, empfiehlt Kretschmer. Dies geschehe automatisch und ohne dass der Mitarbeiter aktiv eingreifen müsse. Darüber hinaus sollte der Netzwerkverkehr durchgehend auf verdächtige Leistungsspitzen und Verbindungen hin untersucht werden.
„Vorfälle wie diese werden in Zukunft nicht weniger, im Gegenteil. Unternehmen, die über die richtige Strategie in puncto E-Mail-Sicherheit verfügen, sind gegen solche und ähnliche Angriffe allerdings bestmöglich gewappnet“, so Kretschmer.
Weitere Informationen zum Thema:
datensicherheit.de, 06.05.2019
Elektronische Signatur und Vertrauensdienste: Informationstag am 24. September 2019 in Berlin
datensicherheit.de, 16.04.2019
Phishing: Auch kleine Unternehmen sind Ziel
datensicherheit.de, 10.02.2019
Emotet: Erneute Verbreitung über gefälschte E-Mails
datensicherheit.de, 07.04.2019
Phishing-Gefahr: Kompromittierte WordPress-Webseiten entdeckt
Aktuelles, Experten - Sep. 18, 2025 16:23 - noch keine Kommentare
Automatisierte Datenanalysen durch Polizeibehörden: DSK-Forderung nach Verfassungskonformität
weitere Beiträge in Experten
- Zehn Jahre Datenschutz im Wandel: Prof. Dr. Dieter Kugelmann lädt zu Wissenschaftlichem Symposium am 10. Oktober 2025 ein
- Open Source: Drei von vier Unternehmen in Deutschland bereits Nutzer
- Warnung zum Semesterstart: Verbraucherzentrale Hamburg kritisiert überteuerte Nachsendedienste
- Data Act: Geltung verschafft Nutzern von IoT-Systemen mehr Rechte
- Data Act seit 12. September 2025 endgültig in Kraft – doch viele Fragen bleiben offen
Aktuelles, Branche, Studien - Sep. 18, 2025 16:05 - noch keine Kommentare
Lieferantenmanagement im Mittelstand: Web-Seminar zur gesetzlich geforderten IT-Sicherheit nach NIS-2 & Co.
weitere Beiträge in Branche
- Datenstrategie: Deutsche Führungskräfte sehen Mangel als Gefahr für KI-Erfolg
- Daten als Beute auf Vorrat: Cyberkriminelle setzen auf Fortentwicklung der Quantencomputer
- GhostRedirector missbraucht Google: ESET entdeckte Manipulation von Suchergebnissen
- CEO DEEPFAKE CALL: Bei Anruf Awareness-Training zum Thema Vishing
- Human Risk Management: KnowBe4-Whitepaper verfolgt ganzheitlichen Ansatz
Aktuelles, Branche, Umfragen - Juli 9, 2025 19:03 - noch keine Kommentare
DigiCert-Umfrage: Manuelle Zertifikatsprozesse führen zu Ausfällen, Compliance-Fehlern und hohen Verlusten im Unternehmen
weitere Beiträge in Service
- Threat Hunting: Bedeutung und Wertschätzung steigt
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
Kommentieren