Gastbeitrag 16.05.2019, 08:30 Uhr

Bei E-Mail auf Nummer sicher gehen

Unbedarfte Mitarbeiter gelten als das grösste Cybersicherheitsrisiko. Ist erst ein gefälschter Link angeklickt, steht die Firmen-IT offen für Angreifer. Schulungen helfen, die DMARC-Technologie aber ebenfalls
Hacker verschaffen sich mit gefälschten E-Mails Zugang zu Firmennetzwerken
(Quelle: Proofpoint; Shutterstock/Mark Nazh )
Die Cyberkriminalität ist eine der grössten Bedrohungen für die europäischen Volkswirtschaften. Dies ist das Ergebnis einer aktuellen Studie des Weltwirtschaftsforums, in der 12 000 Geschäftsleute aus mehr als 140 Ländern die Risiken für ihre Unternehmen einschätzten. Natürlich ist die wachsende Digitalisierung auch besonders interessant für Kriminelle, denn in diesem Bereich können sie gut «verdienen».

Methoden der Kriminellen

Cyberkriminelle versuchen – und schaffen es oft –, sich durch Erpressung oder auch Manipulation Zugang zu Unternehmen zu verschaffen. Wie sieht ihre Masche in den meisten Fällen dabei aus? Oft genügt es schon, einem Mitarbeiter des zu attackierenden Unternehmens eine gefälschte E-Mail zukommen zu lassen. So sind vermeintliche Mails vom eigenen Vorgesetzten oder von Partnerunternehmen häufig ein Erfolg versprechender Ansatz. Der Inhalt der Mail kann dabei unterschiedlich aussehen. Entweder meldet sich der angebliche Vorgesetzte von einer privaten E-Mail-Adresse, in der er darum bittet, eine Überweisung zu tätigen oder die Cyberkriminellen verwenden eine gefälschte Adresse. Dabei wird als Absender eine vermeintlich vertrauenswürdige Quelle vorgetäuscht. Die so verschickte E-Mail enthält dann häufig Malware-Anhänge wie Ransomware, die zum Zweck hat, die Daten auf dem lokalen Rechner zu verschlüsseln, und um infolgedessen von Rechner zu Rechner zu wandern, um ihr verheerendes Werk auch auf anderen Geräten zu verrichten. In einem solchen Szenario können in vielen Fällen auch Server vom Ransomware-Befall betroffen sein.
Um pseudo-privaten Mails von Webmail-Anbietern zu begegnen, können IT-Sicherheitsbeauftragte durch Sensibilisierungsmassnahmen die eigenen Mitarbeiter für eine erhöhte Wachsamkeit trainieren. Denn die Cyberkriminellen analysieren gezielt soziale Medien, um etwa Ferienabwesenheiten von Vorgesetzten anhand von Facebook-Posts zu erkennen und basierend auf ihren Erkenntnissen passgenaue Mails zu verfassen. Handelt es sich bei einer E-Mail eines Vorgesetzten jedoch um eine ungewöhnliche Bitte, sind Angestellte immer gut beraten, den Chef beispielsweise über einen vorher vereinbarten Kanal zu informieren und sich so abzusichern. Für solch ein durchdachtes Vorgehen sind aber entsprechende Schulungen nötig, die nicht nur die ganze Bandbreite von Angriffstaktiken vermitteln, sondern sich auch in den Arbeitsalltag der Mitarbeiter integrieren lassen. Das bedeutet, dass moderne Trainings die Teilnehmer auch nach einer Schulung im Alltag weiterhin mit vorgetäuschten Attacken konfrontieren, sodass ihre Aufmerksamkeit zu keiner Zeit nachlässt.
Beim Thema Cybersicherheit müssen Anwender jedoch eine Vielzahl von Punkten beachten. So können sie sich keinesfalls darauf verlassen, dass der angezeigte Absendername auch der tatsächlichen Person entspricht. Einige E-Mail-Programme zeigen manchmal nur den Klarnamen auf den ersten Blick. Ein Anwender sollte sich in jedem Fall bei dubios wirkenden E-Mails die dazugehörige Absenderadresse ansehen. In einigen Fällen offenbart bereits dieser Check die kriminelle Absicht. Generell sollte der Adressat eingebettete Links nicht sofort anklicken, sondern zuerst mit dem Mauszeiger darüber schweben. So wird die Internetadresse sichtbar. Schreibfehler und eine generische Anrede («Sehr geehrte Damen und Herren» anstelle «Sehr geehrter Herr Huber») sollten den Anwender ebenfalls hellhörig werden lassen. Um einem möglichen Schaden durch Cyberkriminelle zuvorzukommen, sollte zudem auf fehlende Unterschriften oder alternative Kontaktinformationen geachtet werden.  Selbstverständlich sollte ausserdem sein, nicht unbedarft auf E-Mail-Anhänge zu klicken. Bei der Gestaltung betrügerischer E-Mails wenden Kriminelle oft Layout und Sprache der vorgetäuschten Identität an – teils ist die Nachahmung perfekt.

Technische Lösung verstärkt Schutz

Cyberkriminelle können ebenfalls Mails unter falscher Flagge senden. Sie müssen die Mail lediglich «spoofen», das bedeutet, sie können eine bekannte Adresse als Absender eintragen. Bei geschickter Manipulation wirkt es für den Empfänger, als wäre diese manipulative Mail tatsächlich von der Domain gesendet worden, welche die Kriminellen vorgeben. Dies ist nicht nur für die eigenen Mitarbeiter problematisch, wenn sie wie im oben beschriebenen Beispiel ungewöhnliche Anweisungen des Chefs erhalten – noch dazu von seiner beruflichen Adresse –, auch Kunden und Partnerfirmen eines Unternehmens können Opfer dieser Art von E-Mail-Betrug werden und Cyberkriminelle können so an vertrauliche Daten gelangen oder gar Zahlungen an gefälschte Konten vornehmen.
Was können Sicherheitsverantwortliche nun unternehmen? Es gibt eine Methode, um zu erkennen, ob es sich in einem solchen Fall tatsächlich um eine valide E-Mail handelt oder nicht. Jede Mail wird dazu nach mehreren Faktoren anhand des «Domain-based Message Authenfication, Reporting and Conformance»-Standards (DMARC) überprüft, der eigens für diesen Zweck von der Internet Engineering Task Force (IETF) entwickelt wurde. Der Standard überprüft E-Mails gemäss der Protokolle «DomainKeys Identified Mail» (DKIM) sowie «Sender Policy Framework» (SPF) auf ihre Validität. Das SPF-Protokoll bedient sich dabei dem DNS-Eintrag (Domain Name Server) der Absender-Adressen. Hier wird überprüft, ob die IP-Adresse der Mail der legitimen, also hinterlegten Adresse entspricht. Die Referenz ist somit die IP-Adresse und nicht der Domain-Name selbst. So können nicht nur illegale Absender ausgefiltert werden, auch Man-in-the-Middle-Angriffe werden auf diese Weise erschwert. Dies führt zu einem besonders wirksamen Schutz durch die Abwehr von gleich zwei Angriffsfaktoren.

Schweiz ist Vorreiter – aber ...

Obgleich diese herstellerunabhängige Technik eine effiziente Schutzmassnahme darstellt, wird sie noch nicht ausreichend genutzt. Eine detaillierte DMARC-Analyse von Proofpoint zeigte für das vierte Quartal 2018, dass in Deutschland und Österreich lediglich 33 Prozent beziehungsweise 25 Prozent der untersuchten Konzerne sich der DMARC-Implementierung angenommen haben. Im Vergleich dazu präsentiert sich die Schweiz in einem guten Licht: Immerhin 60 Prozent haben sich mit diesem Thema bereits befasst – allerdings nur 15 Prozent der Unternehmen nutzen DMARC, um aktiv gegen Domain-Spoofing vorzugehen. Diese Zahl ist auf börsenkotierte Unternehmen im jeweiligen Leitindex der Schweiz, Österreichs und Deutschlands bezogen. Doch auch wenn die Schweizer Unternehmen hier Vorreiter sind: Mit 40 Prozent aller Grossunternehmen ohne Veröffentlichung eines DMARC-Eintrags beziehungsweise 85 Prozent ohne aktive Domain-Spoofing-Abwehr ist immer noch eine gefährlich hohe Zahl an Firmen ungeschützt.
Im öffentlichen Sektor hingegen sieht das Bild in der Schweiz schon trüber aus – dieser ist leider wesentlich weniger geschützt. Lediglich 4 Prozent aller untersuchten Domains haben DMARC bereits adaptiert – allesamt auf Kantonsebene. Im Fall der Eidgenössischen Departemente wurde bis zuletzt jedoch kein einziger DMARC-Eintrag hinterlegt. Für die Studie untersucht wurden dabei in der Schweiz die Admin-Domain der Bundesverwaltung sowie die Domains der 26 Kantonsbehörden.

Akuter Handlungsbedarf

Auch wenn die Schweiz im Vergleich mit ihren deutschsprachigen Nachbarn besser abschneidet, so ist die Gefahr manipulierter E-Mails bei Unternehmen und vor allem bei Behörden noch lange nicht gebannt. Zudem gilt es für die Sicherheitsverantwortlichen, auch alle anderen Aspekte der Cybersicherheit im Blick zu behalten. Denn ein Sicherheitsvorfall in der Unternehmens-IT beziehungsweise in einer Behörde zieht häufig nicht nur finanzielle Schäden nach sich – auch ein Reputations- oder Vertrauensverlust ist durchaus möglich. So können über Angriffe, die Mitarbeiter aufgrund der Vorspiegelung einer falschen Identität hinters Licht führen, auch wichtige interne Informationen unkontrolliert nach aussen dringen. Gemessen an den potenziellen Einbussen sollte sich jeder IT-Entscheider aktiv mit einer Lösung beschäftigen.
Der Autor
Werner Thalmeier
Werner Thalmeier ist Senior Director Systems Engineering EMEA bei Proofpoint.
www.proofpoint.com

Das könnte Sie auch interessieren