Risiken beim E-Mail-Versand

Einsame Hacker waren gestern

Kommentar von Michael Scheffler, Director Sales CEMEA bei Proofpoint, darüber, was jeder Verantwortliche über E-Mail-Sicherheit und über Risiken wie Malware, Man-in-the-Middle-Attacken oder Spear-Phishing wissen sollte

Michael Scheffler, Proofpoint

Michael Scheffler, Director Sales CEMEA bei Proofpoint

Das Internet im 21. Jahrhundert birgt mehr Gefahren als je zuvor. Die Vorstellung eines einsamen Hackers, der in seinem dunklen Keller auf die Suche nach seinem Opfer geht, ist hoffnungslos veraltet. Heutzutage existiert eine durchorganisierte, regelrechte Industrie für Datendiebstahl mit eigenen Hierarchien, festgelegten Rollen und Aufgabenbereichen der einzelnen Akteure, sowie fest etablierten, globalen Liefer- und Versorgungsketten.

Dabei spielt es für Unternehmen eine entscheidende Rolle, wie sich die eigenen Mitarbeiter verhalten, wenn es darum geht, dieser Industrie Paroli zu bieten. Aus diesem Grund gilt wie fast überall der Leitsatz: Wissen ist Macht. Es gibt einige besonders kritische Faktoren, bei denen Angestellte auf ihr Nutzungsverhalten achten sollten, um bekannten und neu entstehenden Bedrohungen im Internet zu begegnen. Zum einen beim Versand und Empfang von E-Mails, zum anderen beim Zugriff auf das Firmennetzwerk, sei es für E-Mails oder Anwendungen, die beispielsweise in einer Private Cloud zur Verfügung gestellt werden.

Eingehende Bedrohungen

E-Mails sind die Stützpfeiler jeder Geschäftskommunikation, bieten jedoch gleichzeitig eine potentielle Angriffsfläche für eine Fülle verschiedenster Arten Malware, Phishing-Mails und neuerdings einer alarmierend hohen Anzahl an gezielten Angriffen, auch „Spear-Phishing“ genannt. Diese ausgeklügelte Angriffsform ist meist speziell auf Executives und IT-Manager in hohen Positionen zugeschnitten und nutzt intelligent getarnte, fingierte Nachrichten, die von scheinbar bekannten Absendern zu kommen scheinen. Sie enthalten dabei persönliche Informationen, die die Authentizität zusätzlich erhöhen. Dazu sammeln und analysieren Phisher unter anderem Daten aus sozialen Netzwerken. Dieses relativ aufwendige Vorgehen wird „Social Engineering“ genannt und erhöht die Chance auf kriminellen Erfolg des Datendiebstahls beträchtlich. Die personalisierten Mails enthalten meist Links zu fingierten Webseiten, die Netzwerkinformationen sammeln oder den heimlichen Download von Malware anstoßen, mit denen das Ziel von Spear-Phishing erreicht werden soll.

In Form eines Trojaners kann somit zum Beispiel in Unternehmensnetzwerke mit dem Ziel eingedrungen werden, sensible Daten zu kopieren. Angefangen bei geistigem Eigentum bis hin zu persönlichen Informationen über Klienten, wie Kreditkartendaten oder Kundennummern ist alles relevant, was Hackern finanziellen Nutzen bringen kann. Es ist deshalb wichtig, seine Mitarbeiter in Schulungen für diese Gefahren zu sensibilisieren, was bei der Komplexität und cleveren Verschleierung dieser Spear-Phishing-Mails und des unauffälligen Vorgehens sicherlich kein einfaches Unterfangen darstellt. Ein vorgeschaltetes System, das solchen Angriffen automatisiert und nachhaltig vorbeugt, unterstützt die Mitarbeiter dabei effektiv und nimmt ihnen viele Aufgaben ab.

Ausgehende Risiken

Eine weitere Bedrohung stellt das Abfangen von Dateianhängen und verwertbaren Informationen in ausgehenden E-Mails dar. Während oft angenommen wird, dass es sich bei Mails um direkte Kommunikation mit dem Gegenüber handelt, ist es besonders für Mitarbeiter eines Unternehmens wichtig zu wissen, dass bildlich gesprochen im Grunde digitale Postkarten verschickt werden, die für organisierte Cyberkriminelle mit entsprechender Vorarbeit relativ einfach abzufangen sind, Stichwort Man-in-the-middle-Attacken. Davon ausgehend ist es geschäftskritisch und unumgänglich, eine einfach zu nutzende E-Mail-Verschlüsslung in die Mail-Clients zu integrieren, um eine sichere Kommunikation zu gewährleisten, ohne großen Mehraufwand zu verursachen.

Je aufwendiger das Verschlüsslungsverfahren bei der Vielzahl der jeden Tag verschickten Mails für die Mitarbeiter ist, desto eher werden sie dazu neigen, diesen Schritt irgendwann auszulassen. Um die Sicherheit weiter zu erhöhen, empfiehlt es sich, die Mitarbeiter dahingehend zu schulen, welche Daten sie ohne Verschlüsslung per Mail verschicken dürfen und welche nicht. Außerdem sollten niemals sensible Informationen per E-Mail bei Kunden, Partnern oder Zulieferern angefragt werden. Kommunikationspartner sollen dadurch nicht unbewusst und indirekt dazu verleitet werden, diese Daten zu verschicken und somit das Gesamtproblem des sensiblen Datenaustauschs weiter zu verschärfen – letztendlich also alle anderen Sicherheitsmaßnahmen in ihrer Funktion wieder abzuschwächen.

Netzwerkzugang – und Verwundbarkeit

Zwei wichtige aktuelle IT-Trends – Mobilität und Consumerization of IT – haben sich als ernstzunehmende Bedrohungen für die Datensicherheit herausgestellt. Die zunehmende Akzeptanz mobiler Geräte in Unternehmen bringt mit sich, dass viele Mitarbeiter dazu übergehen, in Cafés, Flughäfen und anderen ungesicherten, drahtlosen Netzwerken auf ihr Unternehmensnetzwerk zuzugreifen. Das alleine stellt schon ein großes Risiko dar, weil diese Consumerization bedeutet, dass die Mitarbeiter sich und den Firmendaten Gefahren aussetzen. Die Nutzung von Netzwerken, die in Sachen Datensicherheit nicht den Firmenstandards entsprechen, ist wohl einer der gefährlichsten Faktoren. Dazu zählt auch, dass vor allem Tablets außerhalb der Arbeitszeit gerne mit Familienmitgliedern geteilt werden und somit der Gefahr durch unabsichtlichen Versand interner Firmeninformationen oder das Einfangen von Malware deutlich steigt. Auch hier hilft es, den Mitarbeitern nahe zu bringen, welche Risiken sich durch die Nutzung solcher, nicht durch ein Sicherheitssystem des Unternehmens geprüfte Netzwerke, ergeben. Eine klare Trennung von Firmen- und persönlichen Geräten ist ebenso wichtig wie die Verwendung eines starken Passworts auf jedem Gerät.

Sichere Passwörter sind die Grundvoraussetzung, da sie Datendiebstahl als erste Barriere bereits in vielen Fällen unterbinden können. Dabei spielt die Syntax natürlich eine entscheidende Rolle. Passwörter wie „123456“ oder „passwort“ zu nutzen, hat etwa einen ebenso hohen Sicherheitsaspekt, wie gar kein Passwort. Phisher nutzen oft eine Liste der 25 meist genutzten Passwörter weltweit und haben dabei oft Erfolg. Besonders gefährlich und oft verwendet ist beispielsweise der eigene Firmenname oder „chef“. Unbedingt vermieden werden sollten auch Namen von Haustieren oder Passwörter die mittels Informationen von der eigenen Facebook-Seite erraten werden könnten. Sichere Passwörter bestehen aus mindestens acht Zeichen besteht, sowohl Buchstaben, Ziffern, als auch nicht-alphanumerische Zeichen wie „&“ oder „%“ und werden in regelmäßigen Abständen geändert.

Ein technologisches Sicherheitsnetz

Zusammenfassend ist das Zusammenspiel einer sicherheitstechnischen Schulung der Mitarbeiter und dem Einsatz durchdachter, ineinandergreifender Lösungen das beste Vorgehen. Ausgehende Mails können mittels entsprechender Systeme gefiltert werden, um den Versand bei Bedarf zu unterbinden oder Nachrichten mit sensiblem Inhalt automatisch zu verschlüsseln. Die IT-Abteilungen in Unternehmen können außerdem den Zugang zum Firmennetzwerk auf die einzelnen Firmenstandorte beschränken und Passwortrichtlinien festlegen, die automatisiert sichere Kennwörter abfragen und zum Ändern des Passworts auffordern. Prinzipiell sollten IT-Manager und Verantwortliche ihre Sicherheitsvorkehrungen regelmäßig testen und evaluieren, um Firmendaten zu schützen und auf der anderen Seite den Mitarbeitern ein Sicherheitsgefühl zu vermitteln sowie ein Bewusstsein dafür zu schaffen. Dies lässt sich mittels Trainings und durch die konsequente Durchsetzung der beschriebenen Sicherheitsrichtlinien bewerkstelligen. Durch die Befolgung dieser Richtlinien können bereits die meisten gezielten Angriffe effektiv abgewehrt werden. Das Schaffen eines Bewusstseins für Datensicherheit bei den Mitarbeitern sollte somit im täglich wachsenden und komplexer werdenden IT-Markt hohe Priorität haben.

©2020Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok