Die E-Mail-Sicherheit im Fokus

CW: Worin unterscheidet sich Ihr Security-Modell von dem Ihrer Mitbewerber?

Toth: Unser Unternehmen wurde vor über 15 Jahren gegründet und E-Mail-Sicherheit ist seit jeher ein Teil unserer DNA. Wir haben uns zu einem Cybersecurity-Unternehmen der nächsten Generation weiterentwickelt, das seinen Kunden eine Cloud-basierte Plattform zum Schutz vor dem Angriffsvektor E-Mail bietet. Darüber hinaus zählt der Schutz vor neueren Vektoren wie Social Media und Cloud-Anwendungen zu unserem Portfolio. Was uns einzigartig macht, ist, dass wir Cybersicherheit mit dem Menschen im Mittelpunkt betrachten und uns auf Lösungen konzentrieren, die die VAPs einer Organisation schützen. Als das am schnellsten wachsende börsennotierte Cybersicherheits-Unternehmen hat Proofpoint im Laufe der Jahre mehrere strategisch wichtige Akquisitionen getätigt. Wir können daher eine breite Produkt-Palette anbieten, die mit einem Portfolio von mehr als 25 Cloud-basierten Lösungen, die alle auf die Bedürfnisse von Menschen in der modernen Arbeitswelt abgestimmt sind, unerreicht ist. Darüber hinaus unterstützen wir Unternehmen bei der Abwehr neuer Bedrohungen mit der weltweit grössten Sammlung von Bedrohungsdaten, mehreren Ebenen dynamischer und menschlicher Analysen und einem erfahrenen Team von Sicherheitsexperten.

CW: Wie empfänglich sind Schweizer Unternehmen für Social Engineering im internationalen Vergleich?

Toth: Die Anzahl von Attacken basierend auf E-Mail-Betrug nimmt exponentiell zu. Vor allem, weil derartige Attacken funktionieren, kostengünstig zu verwirklichen sind und für Kriminelle grosse finanzielle Vorteile bieten. Jüngste Untersuchungen von Proofpoint bei über 2000 führenden IT-Entscheidern haben ergeben, dass 77 Prozent der Unternehmen erwarten, dass sie in den nächsten 12 Monaten Opfer von E-Mail-Betrug werden. Unsere Untersuchungen zeigen auch keinen Zusammenhang zwischen der Grösse und dem Standort eines Unternehmens und seinem Risiko, Opfer eines Angriffs zu werden. Mit anderen Worten, jeder ist ein potentielles Ziel. Für Cyberkriminelle ist der Schweizer Markt besonders lukrativ, da er einer der grössten Finanzplätze der Welt ist. Die potentiellen Geldwerte, die Cyberkriminelle aufgrund dieser Tatsache erbeuten können, sind dementsprechend attraktiv.

Zudem sind für eine solche Attacke keine ausgefeilteren Techniken als E-Mail-Spoofing und klassisches Credential Phishing von Nöten. Durch die so genannten Email-Account-Compromise-Angriffe (EAC), also kompromittierte E-Mail-Postfächer, können Kriminelle ihre Opfer noch überzeugender hinters Licht führen, da sie sich mit gefälschten oder anderweitig gestohlenen Zugangsdaten einloggen und E-Mails von einem echten, vertrauenswürdigen Konto aus versenden können. Credential Reuse, Brute-Force-Angriffe und Credential-Stealing-Malware sind in diesem Zusammenhang beliebte EAC-Cybercrime-Taktiken.

Toth: Aus unseren regelmässigen Untersuchungen geht hervor, dass im zweiten Quartal 2018 das Volumen bösartiger E-Mails im Vergleich zum ersten Quartal des gleichen Jahres um 36 Prozent angestiegen ist. Das Jahr 2017 war durch massive E-Mail-Kampagnen mit schädlichen Anhängen gekennzeichnet. Dabei war die Gruppe TA505 für den grössten Anteil dieser Kampagnen verantwortlich. Ihre Motivation liegt im finanziellen Bereich und die Gruppe hat daher grosse Volumina (Millionen) an E-Mails mit bösartigen Anhängen an potentielle Opfer versendet. Die Kampagnen, die wir bisher in diesem Jahr bereits beobachten konnten, sind hingegen kleiner, aber zugleich vielfältiger hinsichtlich der Payloads. Darüber hinaus sind die Kampagnen eher auf URLs angewiesen, die im Gegensatz zu mit Malware infizierten Dokumenten im Dateianhang ein Opfer durch das Aufrufen eines Links mit Schadsoftware infizieren.

Toth: Im zweiten Quartal 2018 war ein Zuwachs von Ransomware-Attacken bei gleichzeitigen Rückgängen bei Credential-Stealern und Banking-Trojanern zu verzeichnen. Doch scheint die Erpressung von Lösegeld mit einem Anteil von elf Prozent am Gesamtvolumen bösartiger Nachrichten lediglich eine der vielen Methoden von Cyberkriminellen zu sein und nicht die dominierende Angriffsform im Quartal. Zudem stellen wir eine Konsolidierung von Bedrohungen wie GandCrab – eingeführt im ersten Quartal – und Sigma, einem relativ neuen Akteur in der Ransomware-Landschaft, fest.

Schliesslich bleibt Krypto-Geld die Währung der Wahl für jeden, der sich auf anonyme Transaktionen und mögliche Gewinne fokussiert. Da sich die Erfolgsaussichten von Ransomware-Attacken reduziert haben, wenden sich Cyberkriminelle nun oftmals anderen Optionen zu. Dazu zählen insbesondere Coin-Mining-Malware, Zusatzmodule für Banking-Trojaner und Mining-Software, die im Hintergrund des Browsers lauffähig ist, um Krypto-Geld verschiedenster Währungen zu generieren.

Toth: Wir konnten etwa beobachten, dass unsere Kunden im Schnitt 35 BEC-E-Mails in zweiten Quartal erhalten haben, was einem Anstieg von 26 Prozent zum ersten Quartal und einem 87-prozentigen Anstieg zum zweiten Quartal 2017 entspricht. Wie bereits in den vorangegangenen Quartalen sind diese Anstiege jedoch unabhängig von der Grösse des angegriffenen Betriebs. Unternehmen aller Grössen wurden gleichermassen Ziel derartiger Attacken, obwohl einige Branchen wie der Einzelhandel, Gesundheitswesen und Behörden einen grösseren Anstieg der BEC-Aktivität verzeichneten als ihre Pendants.