Anzeige

E-Mail-Security

Die E-Mail-Kommunikation ist einer der Hauptangriffsvektoren im Bereich der IT-Sicherheit. Ursache dafür ist zum einen die schwierige Verifizierung von Inhalten und Personen und zum anderen die Tatsache, dass E-Mails das Hauptkommunikationsmittel vieler Unternehmen sind.

Auch wenn Instant-Messaging-Dienste wie „Slack“ oder „Microsoft Teams“ immer häufiger für die interne Team-Kommunikation eingesetzt werden, sind E-Mails noch das Hauptkommunikationsmittel. Phishingangriffe stehen meist am Anfang von komplexen Cyberangriffen. Erinnern wir uns an Phishingmails von vor 5 Jahren so waren diese geprägt von vielen Rechtschreibfehlern, unseriösen Absender/innen und unpersönlichen Inhalten. Mittlerweile werden Phishingattacken aber immer professioneller, gezielter und sind schwieriger zu erkennen. Sogenannte Spear-Phishingattacken, welche gezielte Informationen zu Personen oder Organisationen recherchieren und darauf basierend Angriffsszenarien ausüben, sind mittlerweile an der Tagesordnung. Des Weiteren werden häufig die E-Mail-Header gefälscht, damit nicht direkt ersichtlich ist, wie die wahre Absenderadresse ist. Das Vorgaukeln einer anderen Identität nennt man in diesem Zusammenhang „E-Mail-Spoofing“. Gerade während der Corona-Pandemie gab es eine Vielzahl von Angriffsmethoden, die Angst und Unsicherheit der Opfer schonungslos ausnutzten. 

Aktuelle Phishing-Szenarien

Aufgrund des Wegfalls von Messen und Veranstaltungen sind Business-Netzwerke wie Xing und LinkedIn für viele Personen zunehmend attraktiver geworden. Dies machen sich auch Cyberkriminelle zunutze und geben sich beispielsweise als LinkedIn-Security-Team aus, um an sensible Informationen zu gelangen. Weiterhin wurden E-Mails mit dem Betreff „Corona-Bonus“ versendet. Im Anhang befand sich eine Excel-Datei, welche die genaue Bonussumme enthalten sollte. Durch das Herunterladen und das Öffnen wird Schadcode ausgeführt und das System kompromittiert. Durch die Auszahlung von Soforthilfen sollten kleinere Unternehmen vor der Insolvenz geschützt werden. Durch den Aufbau einer Drohkulisse mit Rückzahlungsszenario werden derzeit vermehrt Phishingmails mit der Absenderadresse von Förderbanken versendet, um an sensible Informationen zu gelangen. 

Ob bei aktuellen Phishingangriffen gefälschte Registrierungsformulare der Weltgesundheitsorganisation, Links zu vermeintlichen Echtzeit-Karten mit Corona-Infektionen oder aktuelle Meldungen zu Risikogebieten in der Nähe versendet werden, basieren diese Angriffe auf denselben Grundsätzen. Durch gezielte Manipulation sollen die empfangenden Personen unter Druck gesetzt werden, um eine unüberlegte Handlung auszuführen. Dies gepaart mit dem Wecken des Bedürfnisses nach Schutz und Information ergibt den perfekten Phishingangriff. 

Abstand halten – auch im digitalen Raum

Spätestens mit der rasanten Verbreitung des Emotet-Trojaners war die Gefahr, welche von E-Mail-Anhängen ausgeht, sichtbar. Eine Vielzahl von Unternehmen wurden geschädigt. Emotet ist in der Lage individuelle Informationen durch das Auslesen von Kontaktbeziehungen und E-Mail-Inhalten zu verwenden, um gezielte Phishingangriffe auszuführen, welche von Laien nicht zu erkennen sind. Zumindest für alle, die Office 365 nutzen, könnte in Zukunft das Risiko von Schadcode behafteten E-Mail-Anhängen massiv gesenkt werden. Durch den Ausbau des aus Windows 10 bekannten Schutzmechanismus Application Guard ist es nun auch in Office 365 möglich, verdächtige Dokumente und Dateien isoliert zu öffnen. Ähnlich wie in anderen Sandbox-Systemen wird die Datei dann in einem von der restlichen Systemumgebung abgeschotteten Bereich ausgeführt und es können potentiell schädliche Auswirkungen vor der Ausführung auf dem Arbeitsrechner in der isolierten Umgebung bemerkt und verhindert werden. 

E-Mail-Verschlüsselung

Sind Sie auch der Meinung, dass die Einführung eines Verfahrens zur E-Mail-Verschlüsselung zu kompliziert und zu teuer ist? Noch immer bieten viel zu wenige Unternehmen die Kommunikation mithilfe verschlüsselter E-Mails an. Dabei ist meist nicht Ignoranz das Problem, sondern Unwissenheit. Die Einrichtung einer Verschlüsselungstechnologie ist heutzutage nicht mehr aufwendig. Weiterhin gibt es sehr gute kostenfreie Möglichkeiten. Verfahren wie S/MIME oder PGP/MIME sind schnell eingeführt und senken das Risiko für die zwei größten Sicherheitsprobleme der E-Mail-Kommunikation signifikant:

  • durch E-Mail-Signaturen können Empfangende und Sendende verifiziert werden,
  • durch kryptografische Verfahren können E-Mails von Außenstehenden nicht mitgelesen werden.

Sollte es nicht möglich sein ein Verfahren zur Verschlüsselung von E-Mails anzuwenden, so sollten E-Mail- und Dateianhänge mithilfe eines Tools zur Dateiverschlüsselung geschützt und somit sicher übertragen werden. Zum Entschlüsseln benötigt die empfangende Person dann ein Passwort. Dieses sollte auf einem zweiten Weg, zum Beispiel über das Telefon, übertragen werden.   

Sensibilisierung vor Phishingangriffen

Eine E-Mail kommt immer von der Adresse, welche im „Absender-Feld“ steht? Wenn eine E-Mail nur angeschaut, aber kein Anhang geöffnet wird, kann nichts passieren? 

Eine der wirksamsten Maßnahmen zum Schutz vor Phishingangriffen ist die nachhaltige Sensibilisierung. Durch Phishing-Simulationen und -Trainings können Mitarbeitende gezielt geschult und auf das Thema aufmerksam gemacht werden. Zusätzlich kann auf die aktuellen Veröffentlichungen des Bundesamtes für Sicherheit in der Informationstechnologie (BSI) und andere seriösen Quellen zurückgegriffen werden. 

Auch durch das reine Öffnen einer E-Mail kann schon Schaden entstehen. Das liegt daran, dass viele E-Mails heutzutage nicht in reiner Textform, sondern im HTML-Format versendet werden. Bei einer so formatierten E-Mail lauert die Gefahr im Quellcode. Somit kann unter Umständen Schadcode ausgeführt werden, obwohl kein Anhang heruntergeladen worden ist. 

Hier können Sie Teil 1 lesen:

IT-Sicherheit beim mobilen Arbeiten

Hannes Hartung, Geschäftsführer
Hannes Hartung
Geschäftsführer, Increase Your Skills (IYS)

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Artikel zu diesem Thema

Security Training
Nov 01, 2020

Wie sich Unternehmen vor Cyberangriffen schützen können

Die Corona-Pandemie hat die Arbeitswelt grundlegend verändert. Unternehmen sind derzeit…
Security
Okt 28, 2020

Die Nutzung sicherer Kennwörter ist nicht genug

Dass Unternehmen verstärkt versuchen, ihre Infrastruktur und ihre Mitarbeiter bestmöglich…
Phishing
Okt 27, 2020

Fünf Mythen von simulierten Phishing-Nachrichten

Der Nutzen von Cybersecurity-Awareness, insbesondere von Phishing-Simulationen, wird…

Weitere Artikel

Cloud Security

Securepoint bietet Backup-Lösung in der deutschen Cloud

Der IT-Sicherheitshersteller Securepoint hat zum 01. Dezember 2020 den Start einer cloudbasierten Datensicherung angekündigt, die von Systemhäusern einfach in ihre Services integriert werden kann.
Cybersecurity

Synopsys zum Bitkom-Leitfaden zur Software-Sicherheit

Der Branchenverband Bitkom hat kürzlich einen neuen Leitfaden zum Thema Softwaresicherheit verfasst. „Die Digitalisierungsprozesse in Wirtschaft und Gesellschaft führen dazu, dass Software und softwarebasierte Produkte zunehmend allgengewärtig sind.
Cybersecurity

Cyber Security Awareness ist kein technisches Thema

Im Jahr 2019 lag der durch Cyberkriminalität verursachte Schaden in Deutschland bei 87,7 Millionen Euro – mit steigender Tendenz. Die meisten Unternehmen haben die Zeichen der Zeit erkannt und investieren vermehrt in Hardware, Software und Services zur…
Cyber Security

Richtiger Umgang mit einem IT-Sicherheitsvorfall

Sicherheitsvorfälle können schwerwiegende Auswirkungen auf Unternehmen haben und hohe organisatorische und finanzielle Schäden verursachen. Um die Auswirkung zu minimieren, sind gute Prozesse und Verfahren zur schnellen und effizienten Behandlung zwingend…

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!