Trotz des Aufstiegs von Chat- und Instant-Messaging-Apps am Arbeitsplatz dominiert die E-Mail für viele von uns weiterhin die geschäftliche Kommunikation, sowohl intern als auch extern. Leider ist die E-Mail auch einer der häufigsten Einstiegspunkte für Cyberangriffe – so gelangen Malware und Exploits ins Netzwerk und Zugangsdaten und sensible Daten nach draußen.
E-Mail-Sicherheitsbedrohungen: die neuen und die dauerhaften
Daten aus den SophosLabs zeigen, dass zum Jahreswechsel etwa satte 97 Prozent des schädlichen Spams, der durch Spam-Fallen abgefangen wurde, Phishing-E-Mails waren, die sich auf der Jagd nach Zugangsdaten oder anderen Informationen befanden. Bei den restlichen drei Prozent handelte es sich um eine bunte Mischung von Nachrichten, die Links zu schädlichen Websites oder mit Fallen versehene Anhänge enthielten, die Backdoors, Remote Access Trojaner (RATs), Informationsdiebe oder Exploits installieren oder andere schädliche Dateien herunterladen sollten.
Es zeigt sich also, dass Phishing nach wie vor eine erschreckend effektive Taktik für Angreifer ist. Das liegt zum Teil auch daran, dass die Betreiber dahinter ihre Fähigkeiten immer weiter verfeinern und die Raffinesse ihrer Kampagnen verbessern.
Subtil, raffiniert und mit guter Vorbereitung werden Geschäfts-E-Mails zum Angriffsziel
Ein gutes Beispiel dafür ist der Anstieg von Business-E-Mail-Compromise (BEC). Es handelt sich dabei nicht mehr nur um schlecht geschriebene oder formatierte Nachrichten, die plump vorgeben, vom eigenen CEO zu stammen und in denen dieser die sofortige und vertrauliche Überweisung von erheblichen Geldbeträgen fordert – nein, die neuesten Varianten präsentieren sich subtiler und raffinierter.
Ein Grund dafür: Die Angreifer leisten intensive Vorarbeit, bevor sie einen Angriff starten. Sie lernen das Unternehmen und die Ziel-Führungskräfte kennen, übernehmen deren Sprachstil und Tonfall und manchmal sogar die tatsächlichen E-Mail-Konten. Das Fehlen bösartiger Links oder Anhänge in solchen E-Mails macht es schwierig, sie mit herkömmlichen Sicherheitstools zu erkennen. Außerdem haben die Betrüger gelernt, Web-Domains besser zu imitieren und nutzen auch geschickt die Tatsache aus, dass jede dritte Geschäfts-E-Mail inzwischen auf mobilen Geräten geöffnet wird. Es ist schwieriger, die Quelle und die Integrität einer Nachricht auf einem Smartphone zu überprüfen, und obendrein sind die Menschen, die ihre E-Mails auf dem Smartphone lesen, häufig unterwegs oder abgelenkt und daher eine leichtere Beute.
Mit fünf Schritten kann die Sicherheit geschäftlicher E-Mails in Unternehmen gesteigert werden.
Schritt 1: Installieren einer intelligenten, multifunktionalen Sicherheitslösung
…die den größten Teil der schädlichen E-Mails filtert, erkennt und blockiert, bevor sie ihren Adressaten erreicht.
Um Netzwerk, Daten und Mitarbeiter vor den sich schnell entwickelnden E-Mail-basierten Angriffen zu schützen, sollte der Ausgangspunkt eine effektive Sicherheitssoftware sein. Es lohnt sich, eine Cloud-basierte Option in Betracht zu ziehen, die Echtzeit-Updates, Skalierbarkeit und die Integration mit anderen Sicherheits-Tools für gemeinsame Erkenntnisse ermöglicht.
Damit die Sicherheitslösung ihre volle Leistung erbringen kann, sollten außerdem geeignete Kontrollen für ein- und ausgehende E-Mails festgelegt werden, etwa unter folgenden Fragestellungen: Werden E-Mails nur beim Empfang gescannt oder erfolgt auch ein Monitoring darüber, was die Benutzer anklicken, nachdem sie die E-Mail geöffnet haben? Wie werden unerwünschte E-Mails oder solche, deren Authentifizierung fehlgeschlagen ist, unter Quarantäne gestellt, und wer hat die Befugnis, Entscheidungen zu konfigurieren oder zu überstimmen?
Schritt 2: Implementierung von robusten Maßnahmen zur E-Mail-Authentifizierung
Ein Unternehmen sollte in der Lage sein, zu verifizieren, dass eine E-Mail von der Person und der Quelle stammt, von der sie vorgibt zu kommen. Phishing-E-Mails haben oft gefälschte oder getarnte E-Mail-Adressen, und die E-Mail-Authentifizierung bietet einen wichtigen Schutz dagegen. Eine E-Mail-Sicherheitslösung sollte in der Lage sein, jede eingehende E-Mail anhand der Authentifizierungsregeln zu überprüfen, die von der Domain festgelegt wurden, von der die E-Mail zu kommen scheint. Der beste Weg, dies zu tun, ist die Implementierung eines oder mehrerer anerkannter Standards für die E-Mail-Authentifizierung.
Die wichtigsten Industriestandards sind:
– Das Sender Policy Framework (SPF) – Dies ist ein Domain Name Server (DNS)-Eintrag, der die E-Mail-Adresse in eingehenden Nachrichten mit vordefinierten IP-Adressen vergleicht, die eine E-Mail für eine bestimmte Domain senden dürfen. Wenn die eingehende E-Mail-Adresse mit keiner von ihnen übereinstimmt, wurde die Adresse wahrscheinlich gefälscht.
– DomainKeys Identified Mail (DKIM) – Diese Funktion prüft eine eingehende E-Mail, um sicherzustellen, dass nichts verändert wurde. Wenn die E-Mail legitim ist, findet DKIM eine digitale Signatur, die mit einem bestimmten Domain-Namen verknüpft ist, der an den Header der E-Mail angehängt ist, und es gibt einen entsprechenden Verschlüsselungsschlüssel zurück bei der Quelldomain.
– Domain Message Authentication Reporting and Conformance(DMARC) – Weist den empfangenden Server an, eine E-Mail nicht anzunehmen, wenn sie DKIM- oder SPF-Prüfungen nicht besteht. Diese Prüfungen können einzeln durchgeführt werden, aber DMARC kombiniert sie. Es stellt auch sicher, dass eine durch SPF und DKIM authentifizierte Domain mit der Domain in der E-Mail-Header-Adresse übereinstimmt. DMARC bietet derzeit den besten und am weitesten verbreiteten Ansatz zur Authentifizierung von E-Mail-Absendern.
Schritt 3: Information der Belegschaft darüber, worauf achtzugeben ist
Aufmerksame Mitarbeiter*innen, die die Warnzeichen von verdächtigen E-Mails kennen, sind eine hervorragende Verteidigungslinie. Unternehmen können hierfür formelle Online-Schulungen durchführen, Beispiele für die neuesten Bedrohungen teilen, Tests durchführen und ihren Beschäftigten einige Standardprüfungen zeigen: Sieht die E-Mail-Adresse verdächtig aus, gibt es unerwartete Sprachfehler? Wenn sie von einem internen Teammitglied zu kommen scheint, würde dieses normalerweise auf diese Weise kommunizieren? Ist die eingehende E-Mail etwas, das man erwartet hat, von jemandem, den man kennt?
Wie bereits erwähnt, sind einige potenzielle Warnsignale schwieriger zu erkennen, wenn Nachrichten auf mobilen Geräten geöffnet werden. Eine Möglichkeit, dies zu adressieren, ist die Einführung von Bannern, die automatisch hervorheben, wenn eine E-Mail externen Ursprungs ist, auch wenn sie vorgibt, von einer internen Adresse zu kommen.
Schritt 4: Aufklärung der Mitarbeiter*innen über den Umgang mit Verdachtsfällen
Allen Beschäftigen sollte es leicht gemacht werden, Dinge zu melden, bei denen sie sich nicht sicher sind. Das bedeutet, ihnen einen einfachen Prozess zur Verfügung zu stellen, wie z. B. ein Intranet-Postfach für die Meldung verdächtiger Nachrichten. Das Ziel ist es, die Anzahl der gemeldeten Fälle zu maximieren. Es ist nie zu spät, weiteren Schaden zu verhindern, also sollten auch diejenigen, die Opfer eines Angriffs geworden sind, ermutigt werden, sich zu melden.
Schritt 5: Auch ausgehende Unternehmens-E-Mails im Auge haben
E-Mails, die von einem Unternehmen versendet werden, werden von den Empfängern selbst anhand der oben aufgeführten Authentifizierungsmethoden geprüft. Firmen sollten daher sicherstellen, dass sie robuste Kontrollen für ihren eigenen Domain-Namen eingerichtet haben. Dies ist für die Integrität der Kommunikation einer Organisation und deren guten Ruf sowie zur Verhinderung von Missbrauch durch Angreifer von entscheidender Bedeutung.
Auch sollte festgelegt werden, was hinsichtlich ausgehender E-Mails außerdem noch überwacht und kontrolliert werden sollte. So kann man etwa schauen, ob auf anomale Aktivitäten oder ungewöhnliche Verhaltensmuster hin überprüft wird (z. B. E-Mails, die regelmäßig mitten in der Nacht an nicht verifizierte IPs gesendet werden), die z. B. auf ein kompromittiertes internes E-Mail-Konto oder einen aktiven Cyberangriff hinweisen könnten. Oder auch ob etwa Zahlungsinformationen wie Kreditkartendaten oder andere Kunden-PPIs, die das Netzwerk verlassen, gescannt und blockiert werden.
Der beste Weg: Alle im Boot
All dies sind sensible Bereiche, bei denen es ebenso sehr um das Bewusstsein und das Vertrauen der Mitarbeiter*innen geht wie um die E-Mail-Sicherheit. Der beste Weg, um damit zu beginnen, ist die Schulung und Unterstützung der Mitarbeiter*innen. E-Mail-Bedrohungen entwickeln sich ständig weiter, da sich Angreifer neue Technologien und Umgebungen zunutze machen oder einfach nur ihre Social-Engineering-Taktiken verfeinern.
Unser Appell an Unternehmen: Überprüfen Sie regelmäßig Ihre E-Mail-Sicherheit und stellen Sie sicher, dass sie sowohl mit den Veränderungen in Ihrem Unternehmen als auch mit den Techniken der Angreifer Schritt hält.