So funktioniert E-Mail-Sicherheit im Detail
Ein Großteil aller Cyberangriffe beginnt mit einer E-Mail. Grund genug, dass sich Unternehmen eingehend mit der Absicherung und Untersuchung der Nachrichten beschäftigen.
E-Mails sind so alltäglich geworden, dass die technischen Details zu ihrer Verbreitung und Absicherung oft außer Acht gelassen werden. In der IT-Sicherheitsbranche sorgen vor allem neue Arten von Malware für Schlagzeilen. Natürlich ist es wichtig, sich mit Krypto-Minern, Ransomware und anderen Bedrohungen auseinanderzusetzen, allerdings sollte man hierbei bedenken, dass 91 Prozent aller Cyberattacken mit einer E-Mail starten. Genau wegen dieser Tatsache sollten sich IT-Sicherheitsexperten überlegen, wie man die Sicherheit von digitaler Post verbessern kann.
Grundsätzlich empfiehlt sich eine abgestimmte Pipeline von Sicherheitsmechanismen, die auf mehreren Ebenen mögliche schädliche Inhalte oder Betrugsversuche erkennen. Dabei muss man bedenken, dass heute mehr als 60 Prozent alle Mails Spam oder Inbound-E-Mails sind. Im Idealfall sollte man vor einer genauen Prüfung unsinnige E-Mails schon vorab aussortieren. Neben dem Verkehr an sich müssen außerdem Inhalt, Urheber, Anhänge, URLs und dynamische Inhalte geprüft werden. Obwohl E-Mails so kritisch für den Informationsaustausch sind und es für einzelne Angriffsvektoren Teillösungen gibt, denkt man recht wenig über den passenden strategischen Rahmen nach.
Mit dem richtigen Plan zur nachhaltigen Sicherheit
Es ist sinnvoll, sich mit den wichtigsten Tools und Prozessen vertraut zu machen, um dann zu prüfen, ob die eigene Organisation E-Mails richtig schützt – schließlich ist eine Kette immer nur so stark wie ihr schwächstes Glied. Folgende Schritte zeigen, wie man E-Mails optimal prüfen sollte, bevor sie zum Mitarbeiter gelangen.
In der Praxis ist die erste Stufe „White & Blacklisting“. Dies ist in keinem Fall ausreichend, erlaubt aber die Sperrung von bereits bekannten Angreifern und entlastet nachfolgende Prüfungsprozesse. Dabei darf aber kein Aufwand für das eigene Unternehmen entstehen. Idealerweise kann Threat Intelligence von externen Quellen direkt eingespeist werden, um bösartige E-Mails abzufangen. Außerdem sollten bekannte und als sicher angesehene Adressen in dieser Instanz als ungefährlich eingestuft werden, damit beispielsweise keine Kundenemails plötzlich ausgefiltert werden.
Bevor es an die Prüfung der Inhalte geht, macht es außerdem Sinn, die Reputation einer IP hinter der E-Mail zu testen und sie von Anfang an bei Gefahr auf eine Blacklist zu setzen. Trotzdem kann es sein, dass eine Adresse auf der Whitelist bösartig wird oder die erste Stufe der Prüfung überwindet. Daher ist der nächste logische Schritt die DNS-Authentifizierung, um zu prüfen, ob der sendende Server zur angegeben Domain passt. Hier haben sich zwei Sicherheitsstandards etabliert:
- Sender Policy Framework (SPF): Bei diesem Validierungsmechanismus soll Spoofing unterbunden werden. Das E-Mail-System des Empfängers prüft den DNS-Eintrag des Senders auf die Autorisierung der IP in der Domäne. Falls die IP nicht gelistet ist, liegt wahrscheinlich einen Betrugsversuch vor.
- Domain Keys Identified Mail (DKIM): Hier wird eine E-Mail digital signiert und durch asymmetrische Verschlüsselungsmechanismen geschützt. Der Empfänger kann die E-Mail über den öffentlichen Schlüssel des Senders verifizieren.
Falls eine Authentifizierung via DKIM und SPF fehlschlägt, kann über Domain-based Message Authentication, Reporting and Conformance (DMARC) spezifiziert werden, wie weiter mit der E-Mail vorgegangen werden soll.
Erst jetzt geht es zum ersten Mal an den Inhalt der E-Mail und erneut ist es sinnvoll, diesen auf Spam zu prüfen. Dabei sollten Text und Form auf bekannte Muster geprüft, aber auch durch automatische Analyse und Statistik untersucht werden. Danach sollten je nach individueller Situation granulare Inhaltsprüfungen erfolgen, die aus Basis von festgelegten Richtlinien die Mails analysieren.
Um der zunehmenden Gefahr von Impersonation-Attacken (auch bekannt als Whaling oder CEO-Fraud) entgegen zu wirken, sollten ebenfalls Gegenmaßnahmen ergriffen werden. Da es sich hier um eine Art Phishing handelt, muss man solche E-Mails genau prüfen. Sicherheitstechnologien erlauben dabei den Abgleich zwischen der Absender-Mail, dem Empfängernamen und den hinterlegten Informationen im System. Bei Auffälligkeiten kann die E-Mail gesperrt oder mit einem Hinweis in Quarantäne oder den Empfänger weitergeleitet werden.
Prüfung von E-Mail-Anhängen und URL-Prüfung
Neben dem Text müssen zudem angehängte Daten und Verlinkungen geprüft werden. Schadcode beispielsweise kann durch Makros an Anti-Virus-Lösungen unerkannt vorbei geschleust werden. Deshalb macht es Sinn, die Ausführung zu unterbinden und Anhänge zunächst in PDFs umzuwandeln. Solche Safe Files sind schnell verfügbar und sicher. Die Originaldaten können dann nach weitergehender Prüfung angefragt werden.
Dadurch werden beispielsweise Angriffe über Makros unterbunden. Zwar sollten solche Codes und Executables-Files generell blockiert werden, allerdings gibt es immer wieder Einzelfälle, wo deren Nutzung nötig wird. Deshalb ist es wichtig, Anhänge immer auf bekannte Malware-Signaturen zu prüfen. Hierfür gibt es öffentliche Datenbanken und Sammlungen von Anti-Virus-Anbietern.
„Obwohl E-Mails so kritisch für den Informationsaustausch sind und es für einzelne Angriffsvektoren Teillösungen gibt, denkt man recht wenig über den passenden strategischen Rahmen nach.“
Michael Heuer, Mimecast
Eine statische Analyse reicht aber nicht aus, da Schädlinge immer besser angepasst sind. Um gegen unbekannten Schadcode geschützt zu sein, sollten allen Dateien in einer gesicherten Umgebung ausgeführt und geprüft werden. Sandboxing emuliert im Idealfall komplette Systeme und erlaubt eine Analyse auf CPU-Ebene, um ungewöhnliches Verhalten zu erkennen und Anhänge bei Anomalien zu sperren oder zumindest hervorzuheben.
Ein weiterer Angriffsvektor neben Textbausteinen und Attachments sind außerdem Links auf verseuchte Homepages. Daher braucht es hier ebenfalls Prüfungsmechanismen, um URLs in Mails zu prüfen. Zum einen müssen dabei die angezeigten Links mit ihrem eigentlichen Ziel verglichen werden, denn häufig versuchen Angreifer die Nutzer durch scheinbar harmlos anmutende Zielseiten zu täuschen. Die Adressen müssen dann ebenfalls auf ihre Reputation geprüft werden. Falls es Anzeichen für Gefahr gibt, sollten dann je nach Ausmaß der Bedrohung der Zugriff blockiert oder der Anwender und das IT-Team zumindest informiert werden.
Erwähnenswert ist zudem die Prüfung von ausgehendem Mail-Verkehr. Eine wichtige Rolle spielt hier das Thema Data Leak Prevention, um besonders kritische Informationen zu schützen. Beispielsweise können in strukturierten Datenbanken Kreditkartennummern erkannt oder der Versand von Patientendaten unterbunden werden.
Fazit
Die Liste an Schutzmechanismen ist lang und es macht für Unternehmen wenig Sinn, alle Schritte intern zu lösen und jeweils ein eigenes Projekt aufzusetzen. Trotzdem hat sich die Bedrohungslage gewandelt und E-Mail-Sicherheit wird unterschätzt. Es ist daher sinnvoll, die Schritte mit ausgewiesenen Sicherheitsexperten abzustimmen. Je nach Situation kann die Anbindung eines Managed Service sinnvoll sein. Damit ist es möglich, ohne unnötige Verzögerungen die Nachrichten prüfen und an das richtige Ziel bringen zu können. Für Sender und Empfänger sollten nichts von den Sicherheitsmechanismen spürbar sein.
So existieren beispielsweise flexible Cloud-Lösungen: Die Daten können – idealerweise – über einen TLS verschlüsselten SMTP-Kanal ausgetauscht werden. Nützlich sind Services, die eine Resilienz gegen Cyberattacken erlauben, beispielsweise wenn der eigentliche E-Mail-Server oder Anbieter zeitweise nicht verfügbar ist. Moderne Sicherheitsservices für E-Mails ermöglichen dann trotzdem eine geschützte Kommunikationsfähigkeit, bis die Folgen des Angriffs beseitigt wurden. Gleichzeitig liefern sie alle genannten Schritte von Spamprüfung, Inhaltsanalyse bis hin zu Sandboxing der Attachments und URL-Prüfung.
Über den Autor:
Michael Heuer ist VP Central Europe bei Mimecast.
Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!