Keine Chance für Phishing und Trojaner

Grundlagen der E-Mail-Sicherheit

| Autor / Redakteur: Dr. Götz Güttich / Peter Schmitz

Für die E-Mail-Sicherheit können Unternehmen viel tun, selbst dann, wenn ihnen eine Ende-zu-Ende-Verschlüsselung der Nachrichten mit S/MIME oder OpenPGP zu aufwendig ist.
Für die E-Mail-Sicherheit können Unternehmen viel tun, selbst dann, wenn ihnen eine Ende-zu-Ende-Verschlüsselung der Nachrichten mit S/MIME oder OpenPGP zu aufwendig ist. (© Sergey Nivens - stock.adobe.com)

E-Mails sind für Unternehmen immer noch das wichtigste Kommunikationsmittel und gleich­zeitig sind sie wichtigster Einfallsweg für Malware in ein Firmennetzwerk. Ransomware, Phishing, virenverseuchte Attachments und auch Spam sind konkrete Bedrohungen für die IT-Sicherheit. Administratoren müssen wissen was zu tun ist, um die Mail-Übertagungen in ihren Netzen abzusichern.

E-Mail ist heute immer noch eines der wichtigsten Kommunikationsmittel. Leider aber auch eines der unsichersten. Mails werden in der Regel unverschlüsselt über das Netz übertragen. Darüber hinaus wird die Mail-Technik auch intensiv missbraucht, um Malware, Phishing-Links und ähnliches zu übertragen. Das hängt vor allem mit den geringen Kosten und der Einfachheit, an riesige Mengen von Mail-Adressen zu kommen, zusammen. Wie aber kann ein Administrator seine Mail-Kommunikation sichern?

Antivirus und Anti Spam

Zunächst einmal ist es empfehlenswert, den Mail-Verkehr auf dem Gateway auf Viren und Malware zu untersuchen. Virenscanner stehen für die meisten Next Generation-Firewalls und UTM-Lösungen zur Verfügung. Sie ersetzen zwar nicht in allen Fällen eine Anti-Virus-Lösung auf dem Client (dazu später mehr), lassen sich aber, da sie an einer zentralen Stelle arbeiten, relativ leicht konfigurieren und verwalten. Auf dem Internet-Gateway sehen sie darüber hinaus auch jeden übertragenen Verkehr und sind so in der Lage, bekannte Viren und Trojaner sowie Spyware aus den Datenübertragungen auszufiltern, und das üblicherweise nicht nur bei Mail-Daten, sondern auch bei anderen wichtigen Protokollen wie beispielsweise HTTP. Als Scanning Engines verwenden die Appliances üblicherweise eine der Engines der führenden Anbieter von Anti-Virus-Lösungen und keine Eigenentwicklung der Appliance-Hersteller.

Die Sorge um E-Mail-Sicherheit wächst stetig

Business E-Mail Compromise, Ransomware, Trojaner, Phishing, und vieles mehr

Die Sorge um E-Mail-Sicherheit wächst stetig

09.07.18 - Da die elektronische Post aus dem Geschäftsleben nicht mehr wegzudenken ist, ist sie ein bevorzugtes Einfallstor von Cyberkriminellen. Dennoch verzichten eine Vielzahl von Unternehmen darauf, ihre Mitarbeiter auf diese Gefahren hin zu schulen. Eine Befragung von Barracuda zeigt die häufigsten Probleme auf. lesen

Der Internet Gateway eignet sich genauso gut für den Einsatz eines zentralen Spam-Schutzes, der Spam-Mails ausfiltert und so die Anwender vor Phishing-Angriffen, schädlichen Links und ähnlichem absichert. Beim Spam-Schutz ist es wichtig, dass die Administratoren genau definieren können, welche Mails zugestellt, markiert, in Quarantäne verschoben und blockiert werden. Nur dann sind sie dazu in der Lage, ihre Anti-Spam-Lösung exakt an die Anforderungen ihres Unternehmens anzupassen. Das Anlegen von Black- und White-Lists sollte die Lösung auch unterstützen.

Sowohl die Anti-Virus- als auch die Anti-Spam-Funktion lassen sich auf den Firewall- und UTM-Appliances in der Regel über ein Abonnementmodell nutzen, es fallen dafür also jährliche oder monatliche Kosten an.

Anti-Virus- und Anti-Spam-Lösungen auf den Clients

In manchen Umgebungen kann es auch sinnvoll sein, client-basierte Anti-Spam- beziehungsweise Anti-Virus-Programme einzusetzen. Entweder als zusätzliche Schutzschicht oder in Umgebungen, in denen der Mail-Server bei einem Provider steht und in denen die Administratoren des Unternehmens deswegen keinen Zugriff auf diesen haben. Viele Hersteller von Anti-Virus-Software bieten Security-Suites an, die auch eine Anti-Spam-Funktion enthalten, es gibt aber auch Stand-Alone Anti-Spam-Produkte für Outlook und andere weit verbreitete Mail Clients. Diese Lösungen eignen sich besonders für Umgebungen, in denen die zuständigen Mitarbeiter keine Anti-Virus-Produkte von Drittanbietern installieren wollen, zum Beispiel, weil sie den Windows Defender vorziehen. Egal, welches Produkt letztendlich zum Einsatz kommt, im Unternehmen ist es von großer Bedeutung, dass es sich von einer zentralen Stelle aus verwalten lässt, da die Administration sonst schnell sehr aufwendig wird.

Mail-Security versagt bei CEO-Fraud und Spear-Phishing

E-Mail-Sicherheit

Mail-Security versagt bei CEO-Fraud und Spear-Phishing

12.12.17 - Sicherheitsexperten testeten den Schutz durch Mail-Security-Systeme vor Spear-Phishing und CEO-Fraud in mehreren Live-Hacking-Workshops auf der IT-Security-Conference. Die meisten Systeme versagten in der Praxis unnötigerweise, obwohl sich die Attacken mit wenig Aufwand hätten abwehren lassen. lesen

Eine dedizierte Lösung zum Mail-Schutz

Es gibt aber nicht nur Schutzfunktionen auf Clients und Internet-Gateways, sondern es stehen auch dedizierte Sicherheitsprodukte zur Verfügung, die sich ausschließlich dem Absichern des Mail-Verkehrs widmen. Diese arbeiten als Appliances im Netz oder in der Cloud und erkennen beziehungsweise blockieren unerwünschte E-Mails. Auf diese Weise lassen sich Malware und Spear-Phishing-Angriffe unterbinden, Spam ausfiltern und ähnliches. Konfigurierbare Richtlinien helfen in diesem Zusammenhang dabei, die richtigen Mails zu erkennen und definierbare Maßnahmen zur Bedrohungsabwehr sorgen dann automatisch dafür, dass die Anwender im Netz vor den schädlichen Mails geschützt werden. In der Regel erstellen solche Lösungen, genau wie die Gateway-basierten Produkte, auch Alerts und Reports, die die zuständigen Mitarbeiter bei Bedarf warnen und informieren.

Zu den Bestandteilen einer Mail-Security-Lösung gehören neben der Erkennungsfunktion für die schädlichen Mails heute auch oftmals URL-Checker, die die in den Mails enthaltenen Links überprüfen und so schädliche Webseiten identifizieren und URL-Manipulationen aufdecken. Es sind aber noch andere Einsatzszenarien denkbar: Es gibt beispielsweise Produkte, die über eine Bildanalysefunktion verfügen und so beispielsweise pornografische oder anderweitig unangemessene Bilder in E-Mail-Anhängen identifizieren und blockieren können. Solche Lösungen lassen sich also teilweise auch nutzen, um Unternehmens-Policies durchzusetzen und beschränken sich nicht nur auf die reine IT-Sicherheit.

Verschlüsselung

Nicht zum Schutz des Unternehmens vor möglichen Angriffen, sondern zum Schutz der Inhalte der Mails vor unbefugten Lesern dient die E-Mail-Verschlüsselung. Das Thema Verschlüsselung ist in diesem Bereich nach wie vor problematisch. Zwar unterstützen inzwischen viele Provider und Mail-Clients den Aufbau einer verschlüsselten Verbindung zwischen den Clients und den Mail-Servern über SSL/TLS und viele Mail-Server sind inzwischen auch dazu in der Lage, untereinander verschlüsselt zu kommunizieren. Dennoch bleibt bei jeder Mail-Übertragung an externe Ziele völlig unklar, ob alle beteiligten Komponenten diese Art der Verschlüsselung unterstützen oder nicht. Beherrscht beispielsweise der Mail-Server des Zielunternehmens keine Verschlüsselung, so werden die Mails nach wie vor im Klartext zugestellt. Die genannte Verschlüsselungsmethode hilft folglich nur dabei, das eigene Mail-Passwort für den Login beim Server zu schützen, eine verschlüsselte Übertragung der Mails und Attachments bis zum Empfänger garantiert sie nicht. Die Administratoren der beteiligten Mail-Server haben bei diesem Ansatz übrigens sowieso immer Zugriff auf die unverschlüsselten Daten, da die Verschlüsselung nur im Transport erfolgt.

Einfach E-Mails verschlüsseln

ProtonMail, Tutanota, OpenPGP, Web.de & Co.

Einfach E-Mails verschlüsseln

18.09.18 - Damit vertrauliche E-Mails von Unbefugten nicht gelesen werden können, sollten auch kleine Unternehmen ihre Nachrichten verschlüsseln. Viele glauben allerdings immer noch, E-Mail-Verschlüsselung sei kompliziert. Wir zeigen wie einfach E-Mail-Verschlüsselung inzwischen mit Diensten wie ProtonMail, Tutanota, den Webmail-Diensten GMX und Web.de und auch dem Klassiker OpenPGP funktioniert. lesen

Möchte man sicherstellen, dass die Mails während der ganzen Übertragung Ende-zu-Ende-verschlüsselt werden muss man folglich zu anderen Lösungen greifen. Hier stehen verschiedene Methoden zur Verfügung, beispielsweise PKI-basierte Verschlüsselungen mit S/MIME oder OpenPGP. Diese haben aber den Nachteil, dass die Versender der Mail in den Besitz des öffentlichen Schlüssels des Empfängers der jeweiligen verschlüsselten Nachricht kommen müssen, da sie diesen benötigen, um die Mail-Encryption durchzuführen. Der Empfänger entschlüsselt die Nachricht dann mit seinem privaten Schlüssel, den nur er besitzt. Der Schlüsselaustausch lässt sich in der Praxis nicht so einfach realisieren und einen einheitlichen Standard für die Schlüsselübertragung gibt es auch nicht.

Es existieren zwar Ansätze, automatisierte Möglichkeiten für den Schlüsseltausch zu realisieren, wie beispielsweise EasyGPG vom BSI, diese werden aber nicht überall unterstützt und sind auch nicht allen bekannt. Deswegen ist es in der Praxis nach wie vor so, dass die meisten Unternehmen bestenfalls eine SSL/TLS-Verschlüsselung verwenden und End-to-End-Encryption im Mail-Verkehr eher die Ausnahme bleibt. Kommt aber eine Mail-Verschlüsselung zum Einsatz, so wird sie häufig mit einer Signatur kombiniert, die auch die Integrität der Mail sicherstellt.

Phishing-Schutz DMARC und der Datenschutz

DMARC und die EU-DSGVO

Phishing-Schutz DMARC und der Datenschutz

21.12.18 - Täuschend echte E-Mails von Banken, großen Versandhändlern oder Logistikunternehmen, die unter irgend einem Vorwand persönliche Daten abfragen wollen, kennt heute fast jeder. Solche Phishing-Attacken schaden der Reputation und damit auch der Mail-Zustellbarkeit der kopierten Marke. Dabei kann man sich mit DMARC wirksam gegen den Missbrauch der eigenen Marke schützen. Aber darf man das überhaupt? lesen

Providerangebote

Kommen wir nun zum Schluss auch noch auf diverse Providerangebote zu sprechen, die vor allem für die Absicherung des Mail-Verkehrs kleiner und mittelgroßer Unternehmen, die keine eigene Mail-Infrastruktur haben, von Nutzen sind. Viele Provider bieten ihren Kunden – oft gegen Aufpreis – Anti-Virus- und Anti-Spam-Schutzfunktionen an, die sich auf Postfach-Basis aktivieren lassen. Diese ersparen den Administratoren Arbeit, da sie ihm die Pflege eigener Lösungen abnehmen. In der Praxis können sie aber auch problematisch sein, da gerade große Provider nur ungenügenden Support leisten und deswegen auftretende Probleme kaum zu lösen sind. So kann es beispielsweise vorkommen, dass ein Spam-Filter wegen einer Fehlkonfiguration Unmengen an False Positives erzeugt ohne dass sich an dieser Situation – auch nach mehreren Support-Anrufen – etwas ändert. Für solche Fälle sollten die zuständigen Mitarbeiter eine Alternativlösung in der Hinterhand haben, auf die sie im Problemfall mehr Einfluss ausüben.

Fazit

Für die E-Mail-Sicherheit kann man viel tun, selbst dann, wenn einem eine Ende-zu-Ende-Verschlüsselung der Nachrichten mit S/MIME und OpenPGP zu aufwendig ist. Anti-Spam- und Anti-Virus-Lösungen helfen dabei, die Flut von Spam- und Phishing-Nachrichten einzudämmen und die Verbreitung von Malware zu unterbinden. Eine SSL/TLS-Verschlüsselung zwischen den Mail-Clients und den Servern hilft dabei, die Benutzerpasswörter zu schützen und sichert so den Zugriff auf die Mail-Konten ab. Außerdem stehen auch leistungsfähige Tools und Appliances zur Verfügung, die dabei helfen, den Mail-Verkehr genau zu analysieren und mit den dabei gewonnenen Informationen das Sicherheitsniveau der ganzen Mail-Umgebung anzuheben. Da es allerdings immer von der Umgebung abhängt, welche Funktionen benötigt werden und bezahlbar sind, müssen Administratoren ihre Anforderungen immer genau definieren, bevor sie daran gehen, ihre Mail-Umgebungen zu schützen.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 46060418 / Kommunikation)