E-Mail Security ist nach wie vor eines der wichtigsten Sicherheits-Komponenten bei der Absicherung von Firmenbezogenen Daten und Benutzer-Konten. Derzeit beginnen ca. 90% aller Cyberangriffe mit einer E-Mail, ein Wert, der in den letzten Jahren wieder zugenommen hat. 

Um einige wichtige Aspekte einer State of the Art E-Mail Security aufzuzeigen, sehen wir uns einmal die Entwicklung des E-Mail Verkehrs bzw. E-Mail Security über die Jahre an. 

Historisches

Im Jahr 1971 verschickte Ray Tomlinson den ersten elektronischen Brief und wird daher allgemein als Erfinder der E-Mail angesehen. Die verbreitete Nutzung von E-Mail geht auf das Jahr 1980 zurück und war eine der ersten Anwendungen des Arpanets, ein dezentrales Netzwerk, das es ermöglichte, über weite Strecken zu kommunizieren.

Mit der Verbreitung des Internets wurde E-Mail das wichtigste asynchrone Kommunikationswerkzeug, das bis heute nicht an seiner Wichtigkeit und Dominanz eingebüßt hat. Die E-Mail-Kommunikation zwischen den Server- (Backend-) Systemen verläuft fast ausschließlich mittels SMTP-Protokoll, während die Clients mit den Protokollen POP3, IMAP und HTTP kommunizieren. Mittlerweile ist HTTP das meist verwandteste Benutzer Protokoll welches neben Web-Applikationen (Webmail) auch die Kommunikation der Client-Applikationen (Apps) mittels Sync-Technologien (z.B. ActiveSync), WebDAV, und weiteren ermöglicht.  Aufgrund des hohen Anteils mobiler Geräte stellen diese vermehrt außerhalb des Firmennetzwerkperimeters ein Ziel für Angriffe dar, wodurch sie nicht durch die Perimeter-Security geschützt sind. 

SPAM & Viren

Die schnelle Verbreitung von E-Mail führte dazu, dass diese Technologie rasch für Werbezwecke missbraucht und zum Ziel von Betrügern wurde. Dies führte zur Entwicklung von Sicherheits-Systemen, um dieser ungewünschten E-Mail Flut Herr zu werden und die Benutzer und deren Daten zu schützten. Die ersten E-Mail Antivirus- und Antispam-Gateways wurden erschaffen. Mit der Einführung von Black- und White-Listen wurde es möglich, E-Mails anhand bestimmter Kriterien wie Wörter, Internet-Adressen, Domänen, Mail-Adressen und E-Mail-Anhänge zu filtern, zuzulassen oder zu blockieren. Zudem konnte durch die Integration von Antiviren-Programmen eine Virenprüfung der Anhänge in den E-Mails durchgeführt werden. Des Weiteren wurden Online-Black-Listen (RBL´s) für Internet-Adressen und Domänen zum Einsatz gebracht. Da diese Techniken durch Anlernen von E-Mail-Inhalten und Schemata immer besser wurden, kamen nun Bilder mit sichtbaren Werbetexten zum Einsatz. Diese wurden wiederum durch Text-Erkennung und Obfuscation-Techniken zusammen mit Fuzzy-Logic analysiert und erkannt. So entwickelten sich die Systeme auf Basis der steigenden Ansprüche weiter. 

Heute kommen immer häufiger E-Mail Sicherheits-Systeme aus der Cloud als SaaS Systeme zum Einsatz. Dies ist zum einen dem geschuldet, dass auch vermehrt die E-Mail Backend Systeme aus der Cloud bezogen werden, z.B. M365, als auch die eingesetzten Schutzmechanismen aus Cloud Systemen stammen und auf Cloud gestützte Informationen zugegriffen wird.  

Malware

Malware wird oftmals eingesetzt, um Schwachstellen von Systemen oder Applikationen auszunutzen, um diese zu kompromittieren und zu kapern, bzw. um ein geschütztes Netzwerk von innen heraus für einen Angriff zu öffnen. Oftmals kann ein solcher Angriff durch Signaturen oder einfacher Heuristik erkannt und gestoppt werden. Dies macht den Großteil der im Umlauf befindlichen Malware aus. Anders verhält es sich bei Zero-Day-Malware. Hierbei kommt oftmals eigens für diesen Angriff gefertigte Schadsoftware erstmalig zum Einsatz, welche eine Erkennung durch zuvor beschriebene Techniken unmöglich macht. Der Schutz vor Malware kommt meistens auf Gateway Ebene zum Einsatz bevor die E-Mails die Postfächer erreichen. Hierbei kommt Sandbox Technik zum Einsatz bei der sowohl auf virtuellen als auch Bare-Metal Sandbox Systemen die Dateien in verschiedenen Szenarien überprüfen und ausgeführt werden. 

URL-Angriffe

URL-Angriffe basieren auf in E-Mail per URL verlinkte Malware. Durch sogenannte URL-Protection werden alle in der E-Mail eingebetteten URL´s ersetzt und gegen eine Analyseplattform verlinkt, die vor dem Zugriff die verlinkten Inhalte als auch die unmittelbare Umgebung der Web-Inhalte analysiert. Somit werden alle, auch zukünftigen Zugriffe auf den eingebetteten oder verlinkten Web-Inhalt immer auf Bedrohungen gescannt. 

Phishing

Phishing zählt heute zu einem der meistverbreiteten Angriffs-Techniken bei E-Mail. Hierbei wird versucht durch Personen an Informationen heranzukommen, die ihr Umfeld betreffen, wie z.B. Ihren Arbeitgeber. Es wird versucht an sensible Daten wie Benutzeraccounts und deren Passwörtern, Bankdetails, Kreditkarten-Daten, usw. zu kommen. Es wird in einer gut gefälschten E-Mail per Link an eine Web-Seite verwiesen, die ebenso im gefälschten Design vorgibt, z.B. ein Bank-Portal oder Firmen-Portal zu sein, bei der der Benutzer seine Daten eingeben soll.  

Auch E-Mail-Herkunft-Domäne oder Organisationsinhalte ähneln den echten, originalen Domänen und weisen nur minimale Abweichungen auf, welche so gewählt wurden, dass Sie nur durch genaue Kontrolle zu erkennen sind. So kann ein Betrug durch diese E-Mail oder verlinkte Web-Seite zum Diebstahl von sensiblen Daten führen. 

Erkennt man diesen Betrugsversuch nicht sofort und gibt seine Daten ein, so sind diese gestohlen.  

E-Mails werden auch oft als interne Kommunikation getarnt, um Mitarbeiter zu Handlungen zu bewegen. Ebenso kommt es vor, dass bereits bestehende E-Mail-Konversationen genutzt werden, sich als legitim auszugeben, um an Informationen zu gelangen. Um dem entgegenzuwirken werden die E-Mails mittels Korrelation der E-Mails innerhalb der Organisation, um deren Echtheit zu prüfen, als auch die Vergangenheit dieser E-Mail dahingehend analysiert und überwacht. Die Daten hierfür stammen aus durch Machine-Learning gelernten Mailverhalten der gesamten Organisation. 

CEO Fraud und Impostor Threats

Ähnlich hierzu ist der CEO Fraud oder auch Business-E-Mail Compromise. Die Besonderheit in diesen Fällen ist die Tatsache, dass meist keine Malware oder andere Schadsoftware verwendet wird und das Ziel auch nicht Benutzernamen und Passwörter sind, sondern mittels geschickt formulierter E-Mails Mitarbeiter meist zu falschen Überweisungen verführt werden wollen. Häufig werden hier neue Mitarbeiter, die zuvor auf Sozialen Netzwerken ausfindig gemacht wurden, zu überhasteten Überweisungen aufgefordert oder in HR-Abteilungen die Änderung der Bankverbindung von Mitarbeitern veranlasst.  

Eben diese Tatsache, dass keine Schadsoftware, gefährliche URLs oder ähnliches zu entdecken sind, sondern die Bedrohung „nur“ durch den Inhalt, den Kontext und Absender-Adressen erkennbar ist, stellt eine besondere Herausforderung für die jeweiligen Sicherheitsprogramme dar. 

Spear Phishing und Scamming

Spear Phishing und Scamming wiederum sind Phishing-Techniken, bei der nicht direkt über das Firmen-Umfeld versucht wird an Informationen zu gelangen, sondern mittels social-engineering und gezielten Phishing versucht wird das soziale Umfeld des Opfers zu nutzen, um wieder durch gefälschte E-Mails und Web-Portale an sensitive Informationen zu gelangen.  

Awareness Training & Phishing Simulation

Awareness Training & Phishing Simulation sind Trainings und Tools, mit deren Hilfe Mitarbeiter dahingehend geschult werden, während ihrer Tätigkeiten Betrugsversuche und Fälschungen, die zuvor beschrieben wurden zu erkennen. Die Mitarbeiter sind das letzte Glied in der Verteidigungskette, die angegriffen wird, deshalb sind diese Trainings wichtig, damit die Mitarbeiter wissen, worauf Sie während Ihrer Tätigkeit achten sollten.  Mittels Phishing Simulations-Plattformen werden Phishing Kampagnen durchgeführt und die Ergebnisse ausgewertet.  Auf Basis dieser Ergebnisse können gezielt Trainings angeboten werden. Diese Schulungen, auch Awareness-Trainings genannt, können auf Basis der gewonnenen Informationen zielgerichtet mittels Web-Schulungen automatisiert durchgeführt werden. Am besten ist es diese Kampagnen laufend durchzuführen, um nachweisen und kontrollieren zu können, wie positiv sich die Trainings auf die gewonnenen Ergebnisse auswirken zu können. Die durch die Trainings erlangten Fähigkeiten Betrug und Gefahren zu erkennen sind ein Mehrwert, die der Mitarbeiter auch für sein privates und soziales Umfeld nutzen kann. 

Sie wollen die E-Mail-Security Ihres Unternehmens verstärken, oder mehr zum Thema erfahren?