zurück zur Übersicht

Bernd und die Killer-Mail: Was muss E-Mail-Security heute leisten?

Es ist Dienstagmorgen kurz vor 9 Uhr. Bernd Kaufmann (Name geändert), Finanzbuchhalter eines mittelständischen Automobilzulieferers irgendwo in Deutschland, gerade mit dem nötigen ersten Kaffee versorgt, erhält eine E-Mail vom Vorstandsvorsitzenden seines Unternehmens. Bernd ist zunächst überrascht, dass ausgerechnet er, einer von zehn Finanzbuchhaltern, vom Chef höchstpersönlich eine E-Mail erhält. Persönlichen Kontakt hatte er ja auch bis dahin noch nie mit ihm. Als er den Inhalt der Nachricht liest, ist ihm aber auch gleich klar wieso: Er wurde ausgewählt. Er allein.

Tückische E-Mail: Klassische E-Mail-Security beißt sich an solchen Social Enigneering getriebenen Kampagnen oft die Zähne aus

Weil er bisher immer so gute Arbeit leiste, besonders diskret auch noch sei. Und genau deshalb ein besonders wertvoller Mitarbeiter für seinen Chef ist. Bernd ist geschmeichelt. Immer wieder hoffte er, die nötige Wertschätzung für seine teils recht biedere Arbeit zu bekommen. Nicht nur ein Rad von vielen am Wagen des Unternehmens wollte er sein. Auch mal etwas bewirken und Lob erhalten. Es schien, als sei sein Tag gekommen. „Wahnsinn, dann mache ich doch gleich die Überweisung für ihn fertig, dann wird sich der Vorstand sicher freuen und meine Arbeit wird endlich wertgeschätzt!“ Bernd rieb sich die Hände.

An diesem Tag machte Bernd leider den größten Fehler seiner gesamten Karriere.

Denn trotz löblicher Absichten und Gewissenhaftigkeit war ihm eines entgangen: Die E-Mail kam gar nicht von seinem Chef. Sie kam auch von sonst niemandem aus dem Unternehmen. Und so gingen Bernds Firma über 3 Millionen Euro verloren.

Zumindest in einem Punkt hatte Bernd allerdings recht: Die Aufmerksamkeit des Chefs hatte er damit tatsächlich auf sich gezogen.

Was genau ist geschehen?

Der betrügerischen E-Mail ging eine ganze Reihe sorgfältiger Recherchen voraus. Der Angreifer hatte nämlich nicht nur die Eck-Daten zum betreffenden Unternehmen herausgesucht, er wusste auch, dass Bernd Kaufmann in der Finanzabteilung des Unternehmens arbeitete und wer sein direkter Vorgesetzter ist. Anhand von Bernds Angaben auf Karriereportalen und seinem Profil auf Facebook fand er heraus, dass Bernd nicht ganz zufrieden ist in seiner Position und nach Anerkennung im Job sucht. Zu guter Letzt wusste der Angreifer auch, wer in direkter Konkurrenz zu unserem fiktiven Unternehmen stand. Das fälschen der Absenderadresse war dank der nicht vorhandenen E-Mail-Authentifizierung schnell mit gängigen SMTP-Fakemailern erledigt. Unser Angreifer musste schließlich nicht befürchten, dass seine versendete E-Mail als Spam oder gar als maliziös klassifiziert wird: Die E-Mail enthielt keinen Schadcode, keinen verseuchten Anhang oder gar einen Link zu einer Phishing-Seite. Social Engineering und Spear-Phisihing wie aus dem Lehrbuch.

Dieses Beispiel ist leider bei weitem kein Einzelfall. BEC – Fraud (Business e-Mail compromise, CEO-Fraud oder bspw. auch man-in-the-e-Mail) ist zu einem zunehmenden und gefährlichen Trend in der aktuellen Bedrohungslandschaft geworden. Der Verizon Data Breach Investigations Report (DBIR) 2017 zeigt nun erstmals auf, dass BEC ein ernstzunehmendes Thema in den nächsten Jahren sein wird.

Quelle: DBIR 2017

Zitat aus dem DBIR 2017

Das oben genannte Beispiel ist nur eine von vielen möglichen Techniken, mit denen Angreifer und Kriminelle versuchen an das Geld und die vertraulichen Daten von Unternehmen zu kommen. Von Ransomware und Bankingtrojanern, die über E-Mail versandt werden – E-Mail ist einer der Haupt Angriffsvektoren auf Unternehmen.

Schon jetzt starten über 93 % aller zielgerichteten Attacken mit einer E-Mail. Die Angreifer werden immer einfallsreicher und damit erfolgreicher. (Lesenswert: Der Post über Zielgerichtete Angriffe auf Firmen). Es ist Zeit sich ernsthaft zu fragen: Kann mein aktuelles E-Mail-Security Konzept noch ausreichenden Schutz bieten vor so ausgefeilten Attacken?

Mit drei Punkten in die Next Generation E-Mail-Security

Neben den klassischen Disziplinen wie Spam-Schutz und Anti-Virus sind dies die drei Kriterien, die ein aktuelles Konzept abdecken muss:

Stoppen von APTs (Advanced Persistent Threats) und Zero-Day Angriffe durch mehrstufigen Schutz, bevor sie den Nutzer erreichen mithilfe von:

  • Sandboxing von bekannten und unbekannten E-Mail-Anhängen
  • URL Analyse in betreffenden E-Mails inkl. URL-Rewriting und Echtzeit-Schutz vor unbedarftem Klicken
  • E-Mail-Authentifizierung (mittels DMARC, SPF oder DKIM) um sicherzustellen, dass die jeweilige E-Mail auch wirklich vom Absender persönlich kommt
  • Klassifizierungstechnologien auf Basis von MLT (machine learning technology) um den Inhalt der E-Mails zu untersuchen

Finden und Schützen von Unternehmenskritischen Informationen in E-Mails, auf sozialen Plattformen und in anderen Bereichen (SANs, Sharepoint, Office 365 u.v.m) mittels

  • Data Discover Techniken
  • E-Mail Data Loss Prevention
  • E-Mail Verschlüsselung
  • Automatischer Klassifizierung

Schnellstmögliche Reaktion auf Security Vorfälle mithilfe von intelligenten Tools:

  • Automatische Priorisierung von Incidents
  • Bereitstellung von detaillierten forensischen Informationen zu jeweiligen Angriffskampagnen
  • Response und Remediation Möglichkeiten wie Isolierung der betreffenden Endpunkte und unternehmensweite Suche nach weiteren betroffenen Endpunkten
  • Auto-Pull Mechanismen die schon zugestellte schadhafte E-Mails aus den jeweiligen Usermailboxen entfernen können
  • Einfache und schnelle Erstellung von Incident Reports

Vergleichen lohnt sich!

Vertrauen Sie Ihrer Mailbox noch? Kann Ihr aktuelles E-Mail-Security Konzept mit den Angriffsszenarien von heute (und von morgen) noch mithalten?

Hält Ihre E-Mail-Security Lösung noch das, was sie verspricht?

Es gibt Möglichkeiten, sich davon zu überzeugen. Eine davon ist zum Beispiel der von iT-CUBE SYSTEMS angebotene (kostenlose) DoubleCheck-Service. Dabei wird parallel zu Ihrer derzeitigen Lösung der Mailverkehr durch Experten auf Bedrohungen überwacht, und anschließend das Ergebnis der Kontrolle verglichen. Aus dem Resultat ergibt sich ein klares Bild davon, wie effektiv die eingesetzte Lösung ist und wo Verbesserungsbedarf besteht.

Ob dieser Test oder ein anderer – Die E-Mail-Security sollte auf den Prüfstand, und zwar besser heute als morgen.

 


Infos zum Double-Check-Service:
https://info.it-cube.net/proofpoint

Verizon Threat Report:
http://www.verizonenterprise.com/verizon-insights-lab/dbir/2017/

 

Schreibe einen Kommentar