E-Mail-Sicherheit: Alte Brandherde durch neuen Brennstoff noch gefährlicher

bei

 / 19. June. 2019

Immer wieder sorgen neue Arten von Malware und zunehmend ausgefeiltere Angriffsmechanismen von Cyberkriminellen für Schlagzeilen. Aktuell warnen Sicherheitsexperten beispielsweise vor Fileless Malware [1]. Dabei wird der Schadcode nicht permanent auf dem betroffenen System gespeichert. Stattdessen wird dieser im Arbeitsspeicher nachgeladen. Es gibt keine permanente Kopie auf dem Endgerät. Gängige Antivirenprogramme erkennen diese Art von Schadsoftware meist nicht. Selbst wenn ein Unternehmen nur explizit genehmigte Anwendungen per Whitelisting erlaubt, kann die Fileless-Malware eingeschleust und ausgeführt werden.

Das Problem ist, dass es neben neuen Bedrohungen auch noch bekannte Gefahrenherde gibt, die von vielen Organisationen nicht adressiert werden. Dabei geht es nicht um die riesigen Angriffe, wie die jüngste Attacke gegen Telegram [2] die für Schlagzeilen sorgte. Vielmehr lassen sich heute die meisten Unternehmen mit relativ einfachen Mitteln angreifen, dadurch wächst die Gefahr Opfer einer Attacke zu werden. Besonders beliebter Angriffsvektor ist dabei das Versenden von verseuchten E-Mails – in Kombination mit unterschiedlichen Mechanismen, um Firmen zu schaden.

Der ESRA-Report [3] prüft regelmäßig die Belastung von Geschäfts-E-Mails von über 30.000 Organisationen weltweit. Dabei wurden in den letzten Jahren insgesamt über 232 Millionen Mails gescannt. Die aktuellen Ergebnisse stammen aus einer Untersuchung im Frühjar 2019. Das Researcher-Team veröffentlicht diese jedes Quartal in einem Report [3]. Ziel ist es, Organisationen einen besseren in E-Mail-basierte Angriffe zu geben. Die Mails kommen als Blindcopy aus Organisationen unterschiedlicher Größe und wurden dort durch verschiedene Sicherheitsmechanismen vorab gefiltert. Trotzdem stellt sich heraus, dass über elf Prozent aller E-Mails (mehr als 25 Millionen) schadhaft sind.

Schadhafte URLs und Impersonation-Angriffe nicht bedacht

Ein Großteil der ungewollten E-Mailverkehrs ist Spam, genau genommen 99,6 Prozent: Mehr als jede zehnte empfangene Nachricht ist Junk. Man muss aber bedenken, dass die meisten Unternehmen Spam-Filter haben, die Zahl an versendeten Mails ist also nochmals höher. 24 908 981 nicht-erkannten Spam-Mails sind viel, haben aber eine positive Nachricht: Die riesige Menge an Werbe- und Ramsch-Mails sind nervig, halten Angestellte vom Arbeiten ab, sind aber erstmal keine direkte Gefahr.

Rund 26.713 Mails waren mit Schadsoftware belastet und schafften es in die Netzwerke der Firmen. Sie konnten die Schutzmechanismen umgehen und der Erfolg einer Attacke hängt dann nur noch von einem falschen Mausklick ab. Gerade die Speicher-basierte Malware wird nicht erkannt. Mit Technologie allein kann solchen Gefahren nicht begegnet werden, daher bleibt als letzte Verteidigung noch die Awarness der Nutzer, die solche Bedrohungen erkennen – auch, wenn sie von den Abwehrtools als sicher eingestuft wurden. Der Faktor Mensch ist dennoch kritisch, da in 23.872 Mails zusätzlich keine echte Schadsoftware, aber gefährliche Dateiformate enthalten, die für von den Angreifern missbraucht werden können  (wie .exe, .src oder .jsp).

Wie wichtig die Aufmerksamkeit der Nutzer ist, wird besonders deutlich, wenn man sich schädliche E-Mails anschaut, die besonders stark auf die Interaktion der Nutzer setzen – und nicht auf Schadcode. In über 53.753 Fällen konnten die Reseacher Attacken mit gestohlenen Identitäten nachweisen. Dabei geht es um Angriffe, die kontextbezogene Informationen nutzen. Beispielsweise geben sich die Kriminellen als Geschäftspartner, Kunde oder Mitglied der Führungsetage aus und schicken Rechnungen oder Bezahlfreigaben. Es kommt aber keine Malware zum Einsatz, sondern es wird allein auf die Mitarbeit der Opfers gebaut.

Die Zahl der Fälle von solchen Impersonation-Attacken ist mehr als doppelt so hoch wie die Menge an mit Schadsoftware verseuchten E-Mails. Besonders das Thema CEO-Fraud ist ein großes Problem, sodass das BKA sogar eine dezidierte Warnung veröffentlichte. Außerdem steigt die Menge an Mails mit versuchten URLs. Insgesamt wurden 463.546 unterschiedliche Links gefunden, die dazu dienen, schädliche Inhalte nachdem Anklicken auf die Geräte des Opfers nachzuladen.

E-Mail ist Hauptkommunikationsmittel für Unternehmen

Das Business Continuity Institute [4] ist in einer Umfrage der praktischen Analyse dieser Bereiche nachgegangen. Befragt wurden 369 IT-Entscheider aus 63 Ländern nach ihren Prioritäten zu den Themen Datenaustausch und Kommunikation. Ein wichtiger Teil der Untersuchung drehte sich dabei um die eingesetzte Technologie. Nahezu alle Organisationen (97 Prozent) geben E-Mail-Adressen der Mitarbeiter als Hauptkommunikationsmittel an. Daher ist es logisch, dass Cyberkriminelle das Potential für sich nutzen möchten.

Fast alle Arten von Onlinekriminalität werden über E-Mail ausgerollt. Ransomware, Trojaner, CEO-Fraud, Spam, Phishing, Social Engineering, Malware und sogar Kryptominer nutzen E-Mail als Angriffsvektor – und das leider erfolgreich. Da die Täter ihre Vorgehensweise immer weiter verfeinern, greifen einzelne Sicherheitsmechanismen nicht mehr. Der ESRA-Report macht deutlich, dass eine große Menge an schädlichen Inhalten ihren Weg in die Unternehmen findet.

In Deutschland spricht sich daher unter anderem das Bundesamt für Sicherheit in der Informationstechnik (BSI) für eine generelle Erhöhung der Widerstandskraft von Prozessen aus [5] und kommt in seinem aktuellen Lagebericht zur IT-Sicherheit auf diesen Punkt zurück. Wörtlich heißt es: „Der Schlüsselfaktor Resilienz, der in Zukunft immer bedeutsamer wird, sollte sowohl bei großen Unternehmen als auch bei KMU mehr Bedeutung bekommen. Vorfalltrainings sind hier ein wichtiger Faktor.“

Jedes Unternehmen sollte sich die Frage stellen: Wie resilient bin ich eigentlich? Gibt es eine abgestimmte Sicherheitsstrategie, die neben technischen Maßnahmen auch die Belegschaft mit inkludiert. Wichtig ist dabei, dass die Mitarbeiter als „Last Line of Defence“ aktiv geschult und in die Abwehr miteinbezogen werden. Denn die Gefahr von Attacken ist real.

 

Quellen und Referenzen

[1] https://www.mimecast.com/blog/2019/06/obfuscated-fileless-malware-in-cyberattackers-toolkits-a-closer-look/

[2] https://www.tagesschau.de/ausland/telegram-hacker-china-101.html

[3] https://www.mimecast.com/resources/white-papers/dates/2019/2/mimecast-email-security-risk-assessment-quarterly-report/

[4] https://www.mimecast.com/resources/analyst-reports/dates/2017/9/bci-information-security-report/

[5] https://www.bsi.bund.de/DE/Publikationen/Lageberichte/lageberichte_node.html

 

Michael Heuer leitet als VP Europe (EU) beim Cyber-Resilience-Experten Mimecast das Geschäft in der Region. Er ist seit Juli 2017 an Bord und baut dabei unter anderem den Vertrieb in Europa aus.