28. Juni 2018 Heiko Brenn*/Christof Baumgartner

Datensicherheit fängt bei der E-Mail-Sicherheit an

Auch im Zeitalter von WhatsApp ist die E-Mail das wohl wichtigste geschäftliche Kommunikationsmittel. Ob Verträge, Angebote oder Rechnungen: Kein anderes Medium ist ähnlich schnell und wirtschaftlich im täglichen Einsatz. Sicherheit und Datenschutz müssen in der digitalen Kommunikation an Bedeutung gewinnen. [...]

Viren, Trojaner und Datenklau: Vielfältige Cyberbedrohungen brauchen angemessene Sicherheitsmaßnahmen bei E-Mails. (c) pixabay

Doch nicht nur die eingehende E-Mail Korrespondenz birgt ein Risiko. Auch die ausgehende Kommunikation darf nicht vernachlässigt werden. Die Praxis zeigt, dass der Verlust von sensiblen Informationen, das arglose Versenden personenbezogene Daten und die Missachtung von Vorschriften, beispielsweise zum Schutz von Kundendaten, große Probleme bereitet. Datendiebe haben es aber auch sehr einfach: Im E-Mail-Zeitalter lassen sich Kundendaten mit einem Klick als Anhang anfügen und versenden. Viele Unternehmen stehen dabei vor der Herausforderung, Datendiebstahl und Compliance-Verstöße überhaupt zu erkennen.

Bei den heutigen komplexen und zielgerichteten Attacken auf IT-Infrastrukturen genügen Viren- und Spamschutz folglich nicht mehr. Zudem gewinnt mit der DSGVO das Thema E-Mail-Sicherheit noch einmal an Brisanz, denn sie verschärft die Situation im Hinblick auf Datenschutzverletzungen. Vergessen Sie nicht: In all den täglichen Kundenanfragen, internen E-Mail-Korrespondenz oder in digitalen Personalakten schlummern personenbezogene Daten oder geschäftsrelevante Informationen. Für Hacker und Datendiebe sind diese Inhalte das Gold des 21. Jahrhunderts.

Gefahr im Posteingang: Schwachstelle PDF-Anhänge

Die E-Mail sieht seriös aus: Mit persönlicher Anrede und in einwandfreiem Deutsch verweist der Absender auf seine Bewerbung im Anhang. Nichtsahnend öffnet die Sekretärin einer mittelgroßen Firma das angehängte PDF-Dokument. Es ist leer und enthält lediglich den Warnhinweis „Inhalte aktivieren – Makros wurden deaktiviert“. Sie klickt auf „Inhalte aktivieren“ und installiert sich prompt eine Ransomware.

Was unsere Sekretärin nicht wusste: Im Dokument befand sich ein Makro, das durch die Virenerkennung der Firewall geschlüpft ist. Das aktivierte Makro hat nun freie Bahn, lädt Malware aus dem Internet und startet sie. Der Trojaner verschlüsselt Dokumente, Mediendateien und Web-Dateien – nicht nur auf dem Rechner unserer Sekretärin, sondern auf allen Netzlaufwerken. Binnen Sekunden legt die Ransomware das gesamte Firmennetz lahm, kein Mitarbeiter kann noch auf irgendein Dokument zugreifen. Als einzig lesbare Datei erscheint auf dem Desktop eine Zahlungsaufforderung mit dem Hinweis, dass sämtliche verschlüsselte Daten erst wieder freigegeben werden, wenn dieser nachgekommen wird.

Ist Industriespionage illegal? Was kann man tun, um sich dagegen zu schützen? Wir verraten es Ihnen!

E-Mails mit manipulierten PDF-Dokumenten sind kein übertriebenes Horror-Szenarium, sondern eine reale Gefahr: Im vergangenen Jahr fingen sich etliche Unternehmen auf diesem Weg die Erpressungstrojaner Locky oder Jaff ein. Eine oft unterschätzte Schwachstelle ist das weitverbreitete und plattformübergreifend lesbare PDF-Dateiformat. Viele denken nur an manipulierte Office-Dateien, mit deren Hilfe Kriminelle versuchen, Computer und Netzwerke mit Malware zu infizieren. Aber auch PDFs können ausführbaren Schadcode enthalten, der beispielsweise über die Kommentarfunktion eingebettet ist. So präpariert werden sie dann als E-Mail-Anhang versendet.

Das Beispiel zeigt: Die Attacken auf ITInfrastrukturen werden immer dreister, intelligenter und aggressiver. Ein Blick auf die Bedrohungslage zeigt die Brisanz des Themas: Jedes zweite deutsche Unternehmen war in den vergangenen zwei Jahren von Datendiebstahl, Industriespionage oder Sabotage betroffen. Trotz zahlreicher Präventivmaßnahmen gelangen immer wieder (neue) Schädlinge in die IT-Netze von Unternehmen und legen ganze Infrastrukturen lahm. E-Mail-Anhänge sowie Drive-by Downloads durch den Besuch von Webseiten gehören dabei zu den häufigsten Infektionswegen eines Systems mit Schadprogrammen.

Schadcode in PDF erkennen und entfernen

Die Sensibilisierung von Mitarbeitern reicht da längst nicht mehr aus. Vielmehr müssen Unternehmen geeignete technische Sicherheitsmaßnahmen ergreifen, um Ransomware einen Riegel vorzuschieben. Ein wirkungsvoller Schutz vor Krypto-Trojanern beginnt beim Blockieren verdächtiger Dateitypen, geht über das Entfernen von potentiell verdächtigen E-MailInhalten, bis hin zum Umwandeln von E-Mails ins PDF-Format, wodurch ebenfalls verdächtige und verseuchte Inhalte entfernt werden.

Auch der parallele Einsatz mehrerer Anti-Virenscanner mit Cloud-Erkennungstechnologie kann unbekannte Schädlinge mit hoher Wahrscheinlichkeit zeitnah erkennen und unterbinden. Was aber tun, wenn Trojaner und Viren Schutzmechanismen, wie dem Standard-Viren– oder Spamschutz, durch die Lappen gehen, weil sie PDF ignorieren oder nur das Blockieren verdächtiger Dateien erlauben? Hier sind moderne E-Mail-Managementlösungen gefragt, die in das PDF hineinschauen und darin enthaltene Trojaner, Weblinks zu PhishingSeiten sowie schädlichen JavaScript-Code erkennen und entfernen können. iQ.Suite ist eine solche Lösung. Mit ihr lässt sich übrigens auch ermitteln, ob der Absender einer E-Mail überhaupt vertrauenswürdig ist, beziehungsweise angehängte PDF-Dateien manipuliert wurden. Dazu wird bei E-Mail-Eingang automatisch die Digitale Signatur des Absenders verifiziert.

Warum Antivirenlösungen oftmals versagen

Klassische, signaturbasierte Antivirenlösungen können die neuen Schädlinge nicht mehr rechtzeitig identifizieren, sondern nur diejenigen, die sie kennen – oder besser: erkennen. Tag für Tag entwickeln Cyberkriminelle neue Malware und verbessern Angriffsmuster, um ihre Schadsoftware an die Gegenmaßnahmen der Anbieter von Sicherheitslösungen anzupassen. Zwar gibt es keine konkreten Zahlen, aber nach Schätzung des Bundesamts für Informationssicherheit entstehen 400 000 neue Viren täglich. Kennt ein Virenprogramm ein Angriffsmuster nicht, erkennt es einen Schädling nicht. Dabei reichen kleinste Veränderungen, damit ein Virus vom Antivirenprogramm übersehen wird. Zwar sind die Hersteller von Antivirenprogrammen schnell mit dem Updaten ihrer Lösungen, jedoch kann vom Entdecken eines neuen Schädlings bis zur Auslieferung einer aktualisierten Signaturdatenbank an die Antivirenlösung wertvolle Zeit verloren gehen.

Sandboxing: Keine Sandkastenspiele

Mit der Sandbox-Technologie steht eine effektive Maßnahme zur Verfügung, die ITInfrastruktur vor Cyberangriffen zu schützen, indem schädlicher Datenverkehr erkannt und Rückschlüsse auf Schadsoftware gezogen werden kann, die sich bereits auf den Endgeräten eingenistet hat. Damit setzen SandboxLösungen dort an, wo die Möglichkeiten traditioneller Virenscanner enden: Sie erkennen dank dynamischer Verhaltensanalyse auch Schadcode, der sich unter dem Radar herkömmlicher Sicherheitslösungen bewegt.

Eine Sandbox ist eine sichere Umgebung, die vollständig von der ITInfrastruktur eines Unternehmens isoliert ist. In dieser sicheren Umgebung werden verschiedenste Computersysteme mit unterschiedlichen Betriebssystemen bereitgestellt, um eine reale IT-Umgebung zu simulieren. Unbekannte und verdächtige Programme und Dateien werden in dieser sicheren Umgebung zur Ausführung gebracht, um ihr Verhalten und die Auswirkungen auf das Computersystem zu beobachten. Anhand dieser Beobachtungen kann festgestellt werden, ob sich die Datei schädlich auf das System auswirkt oder nicht. Diese Bewertung bildet die Grundlage der Entscheidung, ob das Programm oder die Datei auf dem Endgerät zugelassen oder geblockt werden soll.

Eine Sandbox lässt sich als eigene Lösung im Unternehmen betreiben. Auch die Verlagerung von Sandbox-Technologien in die Cloud ist möglich und hat Vorteile: Sicherheitsanbietern steht mehr Rechenleistung zur Verfügung und Ressourcen von mehreren Kunden können gemeinsam genutzt werden. Außerdem sind Unternehmen nicht mehr auf internes Fachwissen angewiesen, da ihre Anbieter oder Partner die Analysearbeit für sie an einem zentralen Ort erledigen können. iQ.Suite Watchdog Sandbox beispielsweise ist eine solche Lösung, die Dateien und Dokumente in einer abgesicherten Cloud-Umgebung unter realen Bedingungen auf schadhaftes Verhalten untersucht. Der Anwender kann detailliert konfigurieren, welche Dateien in die Cloud hochgeladen und analysiert werden sollen.

Eine gute Sandbox erkennen

Eine Sandbox sollte grundsätzlich gut zur bestehenden Infrastruktur passen. Ideal ist es, wenn die SandboxLösung sich in bestehenden Sicherheitsprodukte integrieren lässt. Eine gute Sandbox Lösung ist daran zu erkennen, dass diese auch Bedrohungen erkennen kann, die speziell zum Umgehen von Sandboxes entwickelt wurden. Zudem sollte sie verdächtige Dateien unterschiedlichster Art analysieren können – mindestens aber Microsoft-Office-Dokumente, PDFs und ausführbare Dateien – und verschiedene Betriebssysteme und Anwendungen unterstützen, damit auch Malware entdeckt wird, die zur Ausführung in einer ganz bestimmten Umgebung entwickelt wurde. Denn Malware verhält sich auf einer Windows Plattform anders als auf einer MacOS, Linux oder Android Plattform! Idealweise sollten Dateien mithilfe von Anti-Malware– und Reputationsdiensten gefiltert werden. Das reduziert die Zahl der fälschlich als schadhaft kategorisierter und an die Sandbox gesendeter Dateien. Nutzt eine Sandbox außerdem eine so genannte „Kollektive Intelligenz“, können Bedrohungsanalysedaten von allen Kunden korreliert werden und allen Nutzern zugute kommen.

Data Leakage Prevention – wenn Daten unberechtigt das Unternehmen verlassen

Täuschend echt aufgemachte Phishing E-Mails, mit Trojanern verseuchte Webseiten sind beliebte Einfallstore um von außen Unternehmensdaten abzuschöpfen. Es gibt aber noch einen ganz anderen Weg: nämlich von innen; durch unautorisierte Zugriffe von Personen, denen im Geschäftsalltag eigentlich vertraut wird, wie den eigenen Mitarbeitern, Beratern, Projektmitarbeitern und externen Dienstleistern.

Dabei muss nicht einmal böse Absicht dahinter stecken. Allerdings geht so ein Datenverlust häufig schneller, als man denkt. Überlegen Sie einmal, wie schnell kritische Geschäftsinformationen an einen falschen Empfänger gemailt sind oder am Telefon versehentlich der Name einiger Großkunden ausgeplaudert ist. Oft genügt ein Moment der Unachtsamkeit und schon sind vertrauliche Inhalte an Dritte preisgegeben. Und manchmal steckt tatsächlich Vorsatz dahinter: Der von zu Hause mitgebrachte USB-Stick, auf dem in Sekundenschnelle technische Projektdaten gespeichert werden, die per E-Mail versandten Geschäftszahlen an Wettbewerber oder der Gast mit Zugriff auf das Firmen-WLAN, der sich interne Dateien auf sein Notebook kopiert.

Ob beabsichtigt oder nicht: Unautorisierte Zugriffe durch Insider sind schwer zu entdecken und nicht minder schwer zu verhindern. Gerade in großen Organisationen ist ein sehr komplexes Unterfangen, potentiellen Datenabfluss frühzeitig zu erkennen. Stellen Sie sich doch einfach einmal diese Fragen: Wissen Sie, welche Daten ihr Unternehmen per E-Mail verlassen? Können sie ausschließen, dass schützenswertes Know-how dabei ist? Sind Mechanismen etabliert, die den illegalen Versand von Kundendaten blockieren? Gibt es ein Notfallplan, der im Falle einer Datenpanne genau regelt, was wann von wem zu tun ist?

DLP-Lösungen erkennen Schlüsselbegriffe und nutzen Erkennungstechnologien

Um den unkontrollierte Versand von sensiblen Informationen und Unternehmenswissen zu verhindern sind Mechanismen nötig, die den Datenabfluss entdecken und unterbinden. Das beginnt mit der Kontrolle ausgehender Dateianhänge, geht über die Kontrolle ausgehender Textinhalte bis hin zur umfassenden Echtzeit-Analyse des E-Mail Verkehrs für das gesamte Unternehmen oder einzelne Abteilungen. Eine zeitgemäße DLP-Lösung erkennt beispielsweise Schlüsselbegriffe, die den branchenspezifischen Sprachgebrauch im Unternehmen prägen und die sich im E-Mail-Text oder Anhang befinden können. Das können bei Unternehmen aus dem Finanzsektor oder bei Online Shops Finanzdaten, Kreditkarteninformationen und Kundennummern sein, bei Unternehmen aus der Gesundheitsbranche Versicherungsdaten und definierte Patientendaten. Zudem kann eine auf elektronischen „Fingerprints“ basierende Technologie Dateiformate unabhängig von ihrer Benennung zuverlässig erkennen. So sind beispielsweise Office-Formate eindeutig identifizierbar. Im Rahmen einer automatisierten Prüfung lässt sich der Versand solcher E-Mails vereiteln.

Die Maßnahmen sind bereits eine Hürde, den Versand vertraulicher Daten zu verhindern, können aber im Zweifel nicht alle Schlupflöcher abdecken. Deshalb gehen einige DLP-Lösungen noch einen Schritt weiter, indem innovative Erkennungstechnologien Abweichungen vom Standard-Verhalten beim E-Mail Versand erkennen und darauf reagieren. Dazu können Informationen, wie E-Mail-Anzahl oder -Größe, über einen definierten Zeitraum gesammelt und mit dem aktuellen Verhalten der Anwender abgeglichen werden.

Im Ergebnis ist beispielsweise der plötzliche Versand großer Datenmengen oder ein überproportionaler Anstieg des E-Mail-Volumens als Anomalie ersichtlich – und mögliches Anzeichen für den Versand vertraulicher Inhalte. Denkbar ist dann, den Versand anzuhalten und die E-Mail in einem geschützten Bereich abzulegen oder die IT-Verantwortlichen zu benachrichtigen. Sollten Zweifel über die Legitimität des Versandes oder Vertrauenswürdigkeit der Daten bestehen, kann auch das 4-Augen-Prinzip helfen: Die E-Mail wird in einer Quarantäne geparkt und der Absender informiert. Erst nach 4-Augen-Prüfung durch eine zweite Instanz, zum Beispiel den Datenschutzbeauftragten oder Compliance-Verantwortlichen, fällt die Entscheidung über die endgültige Blockade oder den Versand der E-Mail.

Damit sich ein DLP-Prozess wirtschaftlich umsetzen lässt, muss er zu einem Großteil automatisiert ablaufen. Im Zusammenspiel mit organisatorischen Maßnahmen wie der Sensibilisierung der Mitarbeiter durch Schulungen oder konkrete Betriebsanweisungen sowie unter Berücksichtigung geltender Datenschutzbestimmungen lässt sich auf diese Weise Datenklau nicht nur erkennen, sondern auch wirkungsvoll verhindern.

*Heiko Brenn ist Principal Senior Produkt Manager bei GBS.


Mehr Artikel

Gregor Schmid, Projektcenterleiter bei Kumavision, über die Digitalisierung im Mittelstand und die Chancen durch Künstliche Intelligenz. (c) timeline/Rudi Handl
Interview

„Die Zukunft ist modular, flexibel und KI-gestützt“

20. Dezember 2024 Klaus Lorbeer

Im Gespräch mit der ITWELT.at verdeutlicht Gregor Schmid, Projektcenterleiter bei Kumavision, wie sehr sich die Anforderungen an ERP-Systeme und die digitale Transformation in den letzten Jahren verändert haben und verweist dabei auf den Trend zu modularen Lösungen, die Bedeutung der Cloud und die Rolle von Künstlicher Intelligenz (KI) in der Unternehmenspraxis. […]

News

Richtlinien für sichere KI-Entwicklung

20. Dezember 2024

Die „Guidelines for Secure Development and Deployment of AI Systems“ von Kaspersky behandeln zentrale Aspekte der Entwicklung, Bereitstellung und des Betriebs von KI-Systemen, einschließlich Design, bewährter Sicherheitspraktiken und Integration, ohne sich auf die Entwicklung grundlegender Modelle zu fokussieren. […]

News

Datensilos blockieren Abwehrkräfte von generativer KI

20. Dezember 2024

Damit KI eine Rolle in der Cyberabwehr spielen kann, ist sie auf leicht zugängliche Echtzeitdaten angewiesen. Das heißt, die zunehmende Leistungsfähigkeit von GenAI kann nur dann wirksam werden, wenn die KI Zugriff auf einwandfreie, validierte, standardisierte und vor allem hochverfügbare Daten in allen Anwendungen und Systemen sowie für alle Nutzer hat. Dies setzt allerdings voraus, dass Unternehmen in der Lage sind, ihre Datensilos aufzulösen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*