E-Mail-Sicherheit: Die Herausforderungen für Unternehmen

Das Verhalten der Anwender

Wie man es auch dreht und wendet, das Verhalten der Endanwender beziehungsweise deren Entscheidungen hat einen ganz erheblichen Einfluss auf die E-Mail-Sicherheit. Die Entscheidungen, die Nutzer treffen, können eine gefährliche Situation überhaupt erst auslösen, oder diese aber einfach abwehren.

Viele Sicherheitsexperten sehen dies als einen entscheidenden Faktor. Und die Wahrnehmung von Anwendern und Sicherheitsexperten in den Unternehmen weicht durchaus voneinander ab. Was Sicherheitsexperten als wirkliche gefährliche Bedrohung betrachten, sehen Anwender häufig lediglich als lästigen Spam.

Es finden sich mannigfaltige Studien, die von Unternehmen durchgeführt wurden, um die Situation im Hinblick auf Gefahren durch Social Engineering und Phishing zu bewerten. Bei derlei Untersuchungen werden Phishing-Kampagnen im eigenen Unternehmen durchgeführt, um das Sicherheitsbewusstsein der Mitarbeiter einordnen zu können.

In vielen Fällen zeigt sich, dass die Anwender, trotz vorgehender Schulungen, den Phishing-Angriffen oftmals auf den Leim gehen. So führen entsprechende Trainings in Sachen E-Mail-Sicherheit scheinbar nicht immer zum gewünschten Effekt.

Gezielte Phishing-Angriffe

Sehr gezielte Angriffe per Mail erleben ein Comeback. Vor der Möglichkeit automatisierter Angriffe waren arbeitsintensive, manuelle Attacken an der Tagesordnung. Inzwischen sind wieder sehr gezielte Angriffe üblich, die für Angreifer zwar einen erheblichen Aufwand bedeuten, aber auch einen deutlich höheren Gewinn versprechen als automatisierte Massenangriffe.

Längst beobachten Angreifer das Opfer und den Arbeitgeber beziehungsweise das Unternehmen des Opfers über einen längeren Zeitraum. Dank öffentlicher Quellen und sozialen Netzwerken fällt es den Kriminellen meist leicht, zu erfahren, wer im Unternehmen welche Position bekleidet und mit wem kommuniziert. Mit diesen gesammelten Informationen ist es für Angreifer nicht schwer, in eine fremde Rolle zu schlüpfen und mit einer sehr gezielten E-Mail unter einer falschen Identität das Opfer zur gewünschten Handlung zu bewegen. Entsprechende Mails sind meist nur schwer als verdächtig zu erkennen.

Manchmal nutzen die Hacker bei einem Angriff zusätzlich zur E-Mail weitere Kommunikationskanäle, um der Attacke mehr Gewicht zu verleihen. Der Sicherheitsberater David Storm berichtet von einem Fall, bei der der Angreifer unter der Mobilfunknummer des Vorgesetzen eine SMS an einen Mitarbeiter versendete, um auf eine ebenfalls gefälschte E-Mail-Nachricht hinzuweisen.

Übernahme von E-Mail-Accounts

Die Übernahme von E-Mail-Konten ist eine eher indirekte Herausforderung für die E-Mail-Sicherheitsverantwortlichen, die aber nichtsdestotrotz von großer Bedeutung ist. So versuchen Angreifer über weniger gut gesicherte Geräte oder Netzwerke Zugriff auf entsprechende Daten zu erlangen.

Mit speziellen Tools gelingt es den Angreifern dann, auf weniger gut gesicherten Geräten an die Anmeldeinformationen zu gelangen. Dazu werden beispielsweise auch nicht genügend gesicherte Remote-Zugänge missbraucht.

Zu Windows gehören viele leistungsfähige Tools und Komponenten wie die PowerShell. Sind diese nicht bestmöglich in Sachen Sicherheit konfiguriert, kann es Eindringlingen unter Umständen leicht gelingen, sich in Netzwerken seitwärts zu bewegen, um andere Maschinen im Unternehmensnetzwerk zu erreichen und zu kompromittieren. Eine Account-Übernahme auf einem eigentlich nicht sehr bedeutenden System kann dadurch dennoch weitreichende Folgen haben, wenn Angreifer sich im Netzwerk nach weiteren Angriffspunkten auf die Suche machen.

Die Sicherheit von mobilen und IoT-Geräten

Wenngleich technisch gesehen ebenfalls kein Problem der E-Mail-Sicherheit, müssen Verantwortliche berücksichtigen, dass mobile und IoT-Geräte kompromittiert werden können und somit beispielsweise Teil eines Phishing-Angriffs werden können.

Eine augenscheinlich unbedenkliche App auf dem Smartphone, die selbst keinerlei Schadcode enthält, kann den Benutzer dennoch zum Besuch einer Phishing-Website verleiten, auf der dann die Zugangsdaten preisgegeben werden sollen. Auch hier gehen Angreifer häufig sehr gezielt vor.

Zudem sollten Sicherheitsteams ein wachsames Auge auf IoT-Geräte wie beispielsweise Überwachungskameras haben. Bei all diesen Geräten handelt es sich um kleine vernetzte Computer, die Angreifer als Einsprungstelle ins Unternehmensnetzwerk missbrauchen können.

Die Sicherheit als großes Ganzes betrachten

Schlussendlich sollten Unternehmen die Bedeutung der Perimetersicherheit überdenken. Meist wurde viel Zeit und Geld in die hochwirksame Absicherung der Infrastruktur investiert, mit allen oder vielen der folgenden Elemente: Firewalls, WAF (Web Application Firewall), Intrusion Prevention und Intrusion Detection sowie E-Mail-Sicherheitsgateways.

Und in vielen Fällen verrichten die Produkte ihre Arbeit so gut, dass Angreifer wenig Lust verspüren, den Aufwand zu betreiben, diese zu umgehen. Dies führt aber dazu, dass Cyberkriminelle den leichteren Weg wählen und versuchen, E-Mails und Benutzer zu kompromittieren, ohne sich direkt mit der Abwehrtechnologie beschäftigen zu müssen. Sie übernehmen Maschinen, die sich außerhalb des Perimeters befinden oder locken Benutzer mit Hilfe von augenscheinlich harmlosen E-Mails dorthin.

Die traditionelle Perimetersicherheit ist nach wie vor von großer Bedeutung, aber andere potenzielle Angriffsflächen sollten ebenso berücksichtigt werden.

Immer wachsam bleiben

Um die E-Mail-Sicherheit zu gewährleisten ist ein hohes Maß an Wachsamkeit von Bedeutung. Dies insbesondere, da sich die Art der Angriffe immer wieder verändert. Es existiert keine Standardangriffsmethode und auch die Verfahren, um Angriffe zu entdecken und zu stoppen, entwickeln sich kontinuierlich weiter.