Thought Leadership
Wann sind E-Mails sicher? Die fortschreitende Digitalisierung sorgt permanent für Umstrukturierungen in Unternehmen. Dennoch ist auch im Zeitalter von WhatsApp die E-Mail das wohl wichtigste geschäftliche Kommunikationsmittel. Ob Verträge, Angebote oder Rechnungen: Kein anderes Medium ist ähnlich schnell und wirtschaftlich im täglichen Einsatz.
Insbesondere das letzte Jahr mit seinen zahllosen Trojaner-Attacken hat gezeigt, dass Sicherheit und Datenschutz in der digitalen Kommunikation an Bedeutung gewinnen müssen.
Doch nicht nur die eingehende E-Mail Korrespondenz birgt ein Risiko. Auch die ausgehende Kommunikation darf nicht vernachlässigt werden. Die Praxis zeigt, dass der Verlust von sensiblen Informationen, das arglose Versenden personenbezogene Daten und die Missachtung von Vorschriften, beispielsweise zum Schutz von Kundendaten, große Probleme bereitet. Datendiebe haben es aber auch sehr einfach: Im E-Mail-Zeitalter lassen sich Kundendaten mit einem Klick als Anhang anfügen und versenden. Viele Unternehmen stehen dabei vor der Herausforderung, Datendiebstahl und Compliance-Verstöße überhaupt zu erkennen.
Bei den heutigen komplexen und zielgerichteten Attacken auf IT-Infrastrukturen genügen Viren- und Spamschutz folglich nicht mehr. Zudem gewinnt mit der DSGVO das Thema E-Mail-Sicherheit noch einmal an Brisanz, denn sie verschärft die Situation im Hinblick auf Datenschutzverletzungen. Vergessen Sie nicht: In all den täglichen Kundenanfragen, internen E-Mail-Korrespondenz oder in digitalen Personalakten schlummern personenbezogene Daten oder geschäftsrelevante Informationen. Für Hacker und Datendiebe sind diese Inhalte das Gold des 21. Jahrhunderts.
Heiko Brenn, Experte für E-Mail-Management und Collaboration bei GBS, deckt Gefahrenquellen in der ein- und ausgehenden Kommunikation auf und informiert über Lösungsansätze im modernen E-Mail Management.
Gefahr im Posteingang: Schwachstelle PDF-Anhänge
Die E-Mail sieht seriös aus: Mit persönlicher Anrede und in einwandfreiem Deutsch verweist der Absender auf seine Bewerbung im Anhang. Nichtsahnend öffnet die Sekretärin einer mittelgroßen Firma das angehängte PDF-Dokument. Es ist leer und enthält lediglich den Warnhinweis „Inhalte aktivieren – Makros wurden deaktiviert“. Sie klickt auf „Inhalte aktivieren“ und installiert sich prompt eine Ransomware.
Was unsere Sekretärin nicht wusste: Im Dokument befand sich ein Makro, das durch die Virenerkennung der Firewall geschlüpft ist. Das aktivierte Makro hat nun freie Bahn, lädt Malware aus dem Internet und startet sie. Der Trojaner verschlüsselt Dokumente, Mediendateien und Web-Dateien – nicht nur auf dem Rechner unserer Sekretärin, sondern auf allen Netzlaufwerken. Binnen Sekunden legt die Ransomware das gesamte Firmennetz lahm, kein Mitarbeiter kann noch auf irgendein Dokument zugreifen. Als einzig lesbare Datei erscheint auf dem Desktop eine Zahlungsaufforderung mit dem Hinweis, dass sämtliche verschlüsselte Daten erst wieder freigegeben werden, wenn dieser nachgekommen wird.
E-Mails mit manipulierten PDF-Dokumenten sind kein übertriebenes Horror-Szenarium, sondern eine reale Gefahr: Im vergangenen Jahr fingen sich etliche Unternehmen auf diesem Weg die Erpressungstrojaner Locky oder Jaff ein. Eine oft unterschätzte Schwachstelle ist das weitverbreitete und plattformübergreifend lesbare PDF-Dateiformat. Viele denken nur an manipulierte Office-Dateien, mit deren Hilfe Kriminelle versuchen, Computer und Netzwerke mit Malware zu infizieren. Aber auch PDFs können ausführbaren Schadcode enthalten, der beispielsweise über die Kommentarfunktion eingebettet ist. So präpariert werden sie dann als E-Mail-Anhang versendet.
Das Beispiel zeigt: Die Attacken auf IT-Infrastrukturen werden immer dreister, intelligenter und aggressiver. Ein Blick auf die Bedrohungslage zeigt die Brisanz des Themas: Jedes zweite deutsche Unternehmen war in den vergangenen zwei Jahren von Datendiebstahl, Industriespionage oder Sabotage betroffen. Trotz zahlreicher Präventivmaßnahmen gelangen immer wieder (neue) Schädlinge in die IT-Netze von Unternehmen und legen ganze Infrastrukturen lahm. E-Mail-Anhänge sowie Drive-by Downloads durch den Besuch von Webseiten gehören dabei zu den häufigsten Infektionswegen eines Systems mit Schadprogrammen.
Schadcode in PDF erkennen und entfernen
Die Sensibilisierung von Mitarbeitern reicht da längst nicht mehr aus. Vielmehr müssen Unternehmen geeignete technische Sicherheitsmaßnahmen ergreifen, um Ransomware einen Riegel vorzuschieben. Ein wirkungsvoller Schutz vor Krypto-Trojanern beginnt beim Blockieren verdächtiger Dateitypen, geht über das Entfernen von potentiell verdächtigen E-Mail-Inhalten, bis hin zum Umwandeln von E-Mails ins PDF-Format, wodurch ebenfalls verdächtige und verseuchte Inhalte entfernt werden. Auch der parallele Einsatz mehrerer Anti-Virenscanner mit Cloud-Erkennungstechnologie kann unbekannte Schädlinge mit hoher Wahrscheinlichkeit zeitnah erkennen und unterbinden.
Was aber tun, wenn Trojaner und Viren Schutzmechanismen, wie dem Standard-Viren- oder Spamschutz, durch die Lappen gehen, weil sie PDF ignorieren oder nur das Blockieren verdächtiger Dateien erlauben? Hier sind moderne E-Mail-Managementlösungen gefragt, die in das PDF hineinschauen und darin enthaltene Trojaner, Weblinks zu Phishing-Seiten sowie schädlichen JavaScript-Code erkennen und entfernen können. iQ.Suite ist eine solche Lösung. Mit ihr lässt sich übrigens auch ermitteln, ob der Absender einer E-Mail überhaupt vertrauenswürdig ist, beziehungsweise angehängte PDF-Dateien manipuliert wurden. Dazu wird bei E-Mail-Eingang automatisch die Digitale Signatur des Absenders verifiziert.
Warum Antivirenlösungen oftmals versagen
Klassische, signaturbasierte Antivirenlösungen können die neuen Schädlinge nicht mehr rechtzeitig identifizieren, sondern nur diejenigen, die sie kennen – oder besser: erkennen. Tag für Tag entwickeln Cyberkriminelle neue Malware und verbessern Angriffsmuster, um ihre Schadsoftware an die Gegenmaßnahmen der Anbieter von Sicherheitslösungen anzupassen. Zwar gibt es keine konkreten Zahlen, aber nach Schätzung des Bundesamts für Informationssicherheit entstehen 400 000 neue Viren täglich. Kennt ein Virenprogramm ein Angriffsmuster nicht, erkennt es einen Schädling nicht. Dabei reichen kleinste Veränderungen, damit ein Virus vom Antivirenprogramm übersehen wird. Zwar sind die Hersteller von Antivirenprogrammen schnell mit dem Updaten ihrer Lösungen, jedoch kann vom Entdecken eines neuen Schädlings bis zur Auslieferung einer aktualisierten Signaturdatenbank an die Antivirenlösung wertvolle Zeit verloren gehen.
Sandboxing: Keine Sandkastenspiele
Mit der Sandbox-Technologie steht eine effektive Maßnahme zur Verfügung, die IT-Infrastruktur vor Cyberangriffen zu schützen, indem schädlicher Datenverkehr erkannt und Rückschlüsse auf Schadsoftware gezogen werden kann, die sich bereits auf den Endgeräten eingenistet hat. Damit setzen Sandbox-Lösungen dort an, wo die Möglichkeiten traditioneller Virenscanner enden: Sie erkennen dank dynamischer Verhaltensanalyse auch Schadcode, der sich unter dem Radar herkömmlicher Sicherheitslösungen bewegt.
Eine Sandbox ist eine sichere Umgebung, die vollständig von der IT-Infrastruktur eines Unternehmens isoliert ist. In dieser sicheren Umgebung werden verschiedenste Computersysteme mit unterschiedlichen Betriebssystemen bereitgestellt, um eine reale IT-Umgebung zu simulieren. Unbekannte und verdächtige Programme und Dateien werden in dieser sicheren Umgebung zur Ausführung gebracht, um ihr Verhalten und die Auswirkungen auf das Computersystem zu beobachten. Anhand dieser Beobachtungen kann festgestellt werden, ob sich die Datei schädlich auf das System auswirkt oder nicht. Diese Bewertung bildet die Grundlage der Entscheidung, ob das Programm oder die Datei auf dem Endgerät zugelassen oder geblockt werden soll.
Eine Sandbox lässt sich als eigene Lösung im Unternehmen betreiben. Auch die Verlagerung von Sandbox-Technologien in die Cloud ist möglich und hat Vorteile: Sicherheitsanbietern steht mehr Rechenleistung zur Verfügung und Ressourcen von mehreren Kunden können gemeinsam genutzt werden. Außerdem sind Unternehmen nicht mehr auf internes Fachwissen angewiesen, da ihre Anbieter oder Partner die Analysearbeit für sie an einem zentralen Ort erledigen können. iQ.Suite Watchdog Sandbox beispielsweise ist eine solche Lösung, die Dateien und Dokumente in einer abgesicherten Cloud-Umgebung unter realen Bedingungen auf schadhaftes Verhalten untersucht. Der Anwender kann detailliert konfigurieren, welche Dateien in die Cloud hochgeladen und analysiert werden sollen.
Eine gute Sandbox erkennen
Eine Sandbox sollte grundsätzlich gut zur bestehenden Infrastruktur passen. Ideal ist es, wenn die Sandbox-Lösung sich in bestehenden Sicherheitsprodukte integrieren lässt. Eine gute Sandbox Lösung ist daran zu erkennen, dass diese auch Bedrohungen erkennen kann, die speziell zum Umgehen von Sandboxes entwickelt wurden. Zudem sollte sie verdächtige Dateien unterschiedlichster Art analysieren können – mindestens aber Microsoft-Office-Dokumente, PDFs und ausführbare Dateien – und verschiedene Betriebssysteme und Anwendungen unterstützen, damit auch Malware entdeckt wird, die zur Ausführung in einer ganz bestimmten Umgebung entwickelt wurde. Denn Malware verhält sich auf einer Windows Plattform anders als auf einer MacOS, Linux oder Android Plattform! Idealweise sollten Dateien mithilfe von Anti-Malware- und Reputationsdiensten gefiltert werden. Das reduziert die Zahl der fälschlich als schadhaft kategorisierter und an die Sandbox gesendeter Dateien. Nutzt eine Sandbox außerdem eine so genannte „Kollektive Intelligenz“, können Bedrohungsanalysedaten von allen Kunden korreliert werden und allen Nutzern zugute kommen.
Data Leakage Prevention – wenn Daten unberechtigt das Unternehmen verlassen
Täuschend echt aufgemachte Phishing E-Mails, mit Trojanern verseuchte Webseiten sind beliebte Einfallstore um von außen Unternehmensdaten abzuschöpfen. Es gibt aber noch einen ganz anderen Weg: nämlich von innen; durch unautorisierte Zugriffe von Personen, denen im Geschäftsalltag eigentlich vertraut wird, wie den eigenen Mitarbeitern, Beratern, Projektmitarbeitern und externen Dienstleistern.
Dabei muss nicht einmal böse Absicht dahinter stecken. Allerdings geht so ein Datenverlust häufig schneller, als man denkt. Überlegen Sie einmal, wie schnell kritische Geschäftsinformationen an einen falschen Empfänger gemailt sind oder am Telefon versehentlich der Name einiger Großkunden ausgeplaudert ist. Oft genügt ein Moment der Unachtsamkeit und schon sind vertrauliche Inhalte an Dritte preisgegeben. Und manchmal steckt tatsächlich Vorsatz dahinter: Der von zu Hause mitgebrachte USB-Stick, auf dem in Sekundenschnelle technische Projektdaten gespeichert werden, die per E-Mail versandten Geschäftszahlen an Wettbewerber oder der Gast mit Zugriff auf das Firmen-WLAN, der sich interne Dateien auf sein Notebook kopiert.
Ob beabsichtigt oder nicht: Unautorisierte Zugriffe durch Insider sind schwer zu entdecken und nicht minder schwer zu verhindern. Gerade in großen Organisationen ist ein sehr komplexes Unterfangen, potentiellen Datenabfluss frühzeitig zu erkennen. Stellen Sie sich doch einfach einmal diese Fragen: Wissen Sie, welche Daten ihr Unternehmen per E-Mail verlassen? Können sie ausschließen, dass schützenswertes Know-how dabei ist? Sind Mechanismen etabliert, die den illegalen Versand von Kundendaten blockieren? Gibt es ein Notfallplan, der im Falle einer Datenpanne genau regelt, was wann von wem zu tun ist?
DLP-Lösungen erkennen Schlüsselbegriffe und nutzen Erkennungstechnologien
Um den unkontrollierte Versand von sensiblen Informationen und Unternehmenswissen zu verhindern sind Mechanismen nötig, die den Datenabfluss entdecken und unterbinden. Das beginnt mit der Kontrolle ausgehender Dateianhänge, geht über die Kontrolle ausgehender Textinhalte bis hin zur umfassenden Echtzeit-Analyse des E-Mail Verkehrs für das gesamte Unternehmen oder einzelne Abteilungen. Eine zeitgemäße DLP-Lösung erkennt beispielsweise Schlüsselbegriffe, die den branchenspezifischen Sprachgebrauch im Unternehmen prägen und die sich im E-Mail-Text oder Anhang befinden können. Das können bei Unternehmen aus dem Finanzsektor oder bei Online Shops Finanzdaten, Kreditkarteninformationen und Kundennummern sein, bei Unternehmen aus der Gesundheitsbranche Versicherungsdaten und definierte Patientendaten. Zudem kann eine auf elektronischen „Fingerprints“ basierende Technologie Dateiformate unabhängig von ihrer Benennung zuverlässig erkennen. So sind beispielsweise Office-Formate eindeutig identifizierbar. Im Rahmen einer automatisierten Prüfung lässt sich der Versand solcher E-Mails vereiteln.
Die Maßnahmen sind bereits eine Hürde, den Versand vertraulicher Daten zu verhindern, können aber im Zweifel nicht alle Schlupflöcher abdecken. Deshalb gehen einige DLP-Lösungen noch einen Schritt weiter, indem innovative Erkennungstechnologien Abweichungen vom Standard-Verhalten beim E-Mail Versand erkennen und darauf reagieren. Dazu können Informationen, wie E-Mail-Anzahl oder -Größe, über einen definierten Zeitraum gesammelt und mit dem aktuellen Verhalten der Anwender abgeglichen werden. Im Ergebnis ist beispielsweise der plötzliche Versand großer Datenmengen oder ein überproportionaler Anstieg des E-Mail-Volumens als Anomalie ersichtlich – und mögliches Anzeichen für den Versand vertraulicher Inhalte. Denkbar ist dann, den Versand anzuhalten und die E-Mail in einem geschützten Bereich abzulegen oder die IT-Verantwortlichen zu benachrichtigen. Sollten Zweifel über die Legitimität des Versandes oder Vertrauenswürdigkeit der Daten bestehen, kann auch das 4-Augen-Prinzip helfen: Die E-Mail wird in einer Quarantäne geparkt und der Absender informiert. Erst nach 4-Augen-Prüfung durch eine zweite Instanz, zum Beispiel den Datenschutzbeauftragten oder Compliance-Verantwortlichen, fällt die Entscheidung über die endgültige Blockade oder den Versand der E-Mail.
Damit sich ein DLP-Prozess wirtschaftlich umsetzen lässt, muss er zu einem Großteil automatisiert ablaufen. Im Zusammenspiel mit organisatorischen Maßnahmen wie der Sensibilisierung der Mitarbeiter durch Schulungen oder konkrete Betriebsanweisungen sowie unter Berücksichtigung geltender Datenschutzbestimmungen lässt sich auf diese Weise Datenklau nicht nur erkennen, sondern auch wirkungsvoll verhindern.
Heiko Brenn ist bei GBS als Principal Senior Produkt Manager verantwortlich für die Collaboration Security Lösungen. Sein Aufgabengebiet erstreckt sich dabei sowohl auf die IBM-, Microsoft- als auch die Cloud-Plattformen. Er verfügt über umfassende, projektbezogene Expertise in den Bereichen E-Mail-Management und Collaboration.
