fabioberti.it - stock.adobe.com
E-Mail-Sicherheit: Checkliste zum Thema Phishing
Der Schutz vor Phishing-Mails gehört zu den wichtigsten Aufgaben eines Admins. Unsere Checkliste zeigt, wie Sie Ihre E-Mail-Sicherheit schon mit einfachen Maßnahmen optimieren.
So lange es E-Mails gibt, wird es zu Phishing-Angriffen kommen. Das bedeutet für die moderne IT, dass wir damit vermutlich auch in Zukunft noch leben müssen. Um deshalb mit den Cyberkriminellen und neuen Angriffsmethoden mithalten zu können, sollten IT-Profis und die Anbieter von E-Mail-Security-Lösungen ihre Systeme kontinuierlich auf den Prüfstand stellen, um Phishing-Attacken erfolgreich abzuwehren.
Im Folgenden finden Sie eine umfangreiche Checkliste mit empfehlenswerten Funktionen, die Sie in die engere Wahl aufnehmen sollten und zwar unabhängig davon, ob Sie nach einem neuen System zur Absicherung Ihrer Mails suchen oder ob Sie eine Wunschliste mit bestimmten Funktionen zusammenstellen wollen, die Sie dann an Ihren derzeitigen Anbieter weiterleiten können.
Die folgende Liste basiert auf den Erfahrungen der Tolly Group im Bereich E-Mail-Security, einem unabhängigen Anbieter von Zertifizierungsleistungen mit Sitz in Florida, sowie auf Anregungen verschiedener Anbieter von Sicherheitslösungen für E-Mail-Systeme. Sie ist ein guter Ausgangspunkt, um sicherzustellen, dass Ihr Unternehmen dauerhaft vor Phishing-Angriffen geschützt ist.
Die bestehende Konfiguration überprüfen
Sehr viele IT-Profis suchen immer wieder über ihre bereits vorhandenen Umgebungen hinaus nach neuen Funktionen, Eigenschaften und Anbietern, um ihre technologischen Probleme zu lösen. In vielen Fällen ist dies aber keineswegs erforderlich. Der schnellste Weg, um Verbesserungen zu erreichen, ist zuallererst die Konfiguration des schon vorhandenen Systems für E-Mail-Sicherheit zu überprüfen.
Wenn Sie zum Beispiel immer noch viele der Standardeinstellungen verwenden, dann ist Ihr System vermutlich bisher noch nicht wirklich optimiert worden. Holen Sie das nun umgehend nach.
Logins härten, Benutzerkonten schützen
Das Ziel vieler Phishing-Angriffe ist, an die Login-Daten der Nutzer zu kommen und sie zu stehlen. Wenn Sie nicht in der Lage sein sollten, einhundert Prozent aller Phishing-Versuche zu stoppen, dann können Sie zumindest dafür sorgen, dass der Login-Prozess gehärtet wird.
Viele Anwendungen ermöglichen mittlerweile zum Beispiel schon eine Zwei-Faktor-Authentifizierung. Dabei wird eine bestimmte Information an etwa das Mobiltelefon eines Anwenders geschickt, mit der er dann beim Login sicherstellen kann, dass es sich um den richtigen Nutzer handelt. Die meisten E-Mail-Sicherheitssysteme bieten außerdem die Möglichkeit, auf ungewöhnliche Logins oder Login-Versuche mit einem Alarm hinzuweisen.
Weitergehende Anstrengungen zum Training der Anwender im Unternehmen, um besser auf Phishing-Attacken vorbereitet zu sein, mögen auf den ersten Blick nicht in Ihr Aufgabenfeld fallen. Sie sind aber nichtsdestotrotz sehr effektiv beim Verhindern von künftigen Vorfällen.
Threat-Intelligence-Dienste nutzen
Zu den wichtigsten Punkten bei der Absicherung Ihrer Mail-Dienste gehört, möglichst zügig über neue Bedrohungen informiert zu werden. Hier kommen Anbieter aus dem Bereich Threat Intelligence ins Spiel, die Sie mit essentiellen Informationen über neue Bedrohungen versorgen können. Prüfen Sie aber vorher die Angebote Ihres E-Mail-Security-Providers. Eventuell verfügt er über eigene Möglichkeiten, Threat Intelligence zu integrieren. Falls das der Fall ist, sollten Sie sich noch darüber informieren, wie umfangreich diese Lösungen sind.
Außerdem sollten Sie Ihren Anbieter fragen, ob er auch andere Ressourcen integriert, wie sie etwa von FireEye, Lastline und einigen anderen Unternehmen entwickelt wurden.
Mailbox Intelligence verwenden
Ein weiterer wichtiger Bereich, den Sie nicht außer Acht lassen sollten, nennt sich Mailbox Intelligence. Damit können Sie sich viel Ärger ersparen.
Wenn es Ihnen nämlich ähnlich wie mir geht, dann bekommen Sie täglich sehr viele E-Mails. Das von Ihnen genutzt E-Mail-Security-System nutzt aber eventuell bereits einige fortgeschrittene Filter, um im Nachrichtenstrom herauszufinden, mit welchen Menschen und Firmen Sie normalerweise korrespondieren. Genau das ist Mailbox Intelligence. Ein Beispiel: Die erste E-Mail von einer bislang unbekannten Person hat die höchste Wahrscheinlichkeit, Teil eines Phishing-Angriffs zu sein. Das führt dazu, dass sie durch Ihr E-Mail-Security-System sorgfältiger analysiert werden sollte als darauffolgende Nachrichten.
Deep Links analysieren
Während sich manche Phishing-Angriffe bereits auf den ersten Blick erkennen lassen, ist das bei sehr gut gemachten Nachrichten nicht mehr so leicht der Fall. Hier hilft dann oft nur noch eine Analyse des enthaltenen Links. Stellen Sie aus diesem Grund sicher, dass Ihr E-Mail-Security-System nicht nur die eingehenden Mails untersucht, sondern dass es auch den enthaltenen Links folgt und diese auf Schadfunktionen prüft.
Jeder Link in einer E-Mail führt zu einer potentiellen Phishing-Webseite. Mit Hilfe einer Deep-Link-Inspektion öffnet Ihr Schutzsystem jeden enthaltenen Link in einer eigenen Sandbox, um sicherzustellen, dass es sich um keine bösartigen Inhalte handelt. Links auf solche Inhalte werden anschließend entfernt oder geblockt.
E-Mail-Sicherheit mehrstufig umsetzen
Je mehr Ebenen das System zum Schutz Ihrer E-Mails hat, desto sicherer ist es in der Regel. Das hat sich schon bei anderen Sicherheitssystemen bewährt. Wählen Sie deswegen Lösungen aus, die über mehrere Ebenen verfügen. Entscheiden Sie sich zum Beispiel für ein E-Mail-Security-System, das jeden Link zwei Mal überprüft: einmal, wenn er das E-Mail-System erreicht und ein zweites Mal, wenn ein Anwender daraufklickt. Es ist durchaus möglich, dass ein Link zuerst zu einer völlig harmlosen Seite führt, wenn die Nachricht Ihre Systeme erreicht. Das Ziel des Links kann aber nur wenige Minuten oder Stunden später zu einer gefährlichen Phishing-Webseite verändert worden sein.
Das Gegenteil kann allerdings ebenfalls auftreten. Ein Link kann anfangs zu einem schädlichen Ziel führen, wenn er Ihre Systeme in einer Nachricht erreicht. Ein paar Stunden später, wenn ein Anwender daraufklicken will, wurde das Problem aber möglicherweise schon identifiziert und behoben. Ein System, das keinen zweiten Check durchführt, würde die nun saubere Seite weiter als schädlich einstufen. Dadurch entsteht ein so genannter False Positive. Ein False Positive wirkt sich negativ auf die Anwender aus und kostet sie viel Zeit, da sie nun erst einen Admin kontaktieren müssen, der die Nachricht und den enthaltenen Link manuell freigibt oder zu einer Whitelist hinzufügt.
Webseiten und Dokumente isolieren
Was geschieht, wenn Ihr E-Mail-Security-System nicht eindeutig feststellen kann, ob eine bestimmte Seite oder ein Dokument legitim oder ein Phishing-Versuch ist? Egal, wie gut die Lösungen werden, es wird immer eine Art Niemandsland geben, in dem sich Dokumente befinden, die sich nicht eindeutig zuordnen lassen und die potentiell gut oder potentiell bösartig sind.
Der Sicherheitsanbieter Symantec, ganz exemplarisch genannt, setzt deswegen auf Isolation, eine Fähigkeit, die er dank seiner Akquisition von Fireglass im Jahr 2017 beherrscht. Dabei wird eine isolierte Seite in einem Read-Only-Modus dargestellt. So können die Inhalte betrachtet werden, ohne dass Daten in ein Formular eingegeben werden können. Optional kann ein Admin den Nutzern jedoch erlauben, die Isolation abzuschalten, um mit ihrer Arbeit trotzdem fortzufahren.
Zudem ist es auch möglich, Attachments zu isolieren. Wenn ein Anwender zum Beispiel ein Word- oder Excel-Dokument öffnen will, das er per E-Mail erhalten hat, dann wird erst ein isolierter Container gestartet. Dort und nicht direkt auf dem System des Anwenders wird die Datei dann geöffnet. Auf diese Weise kann ein möglicherweise enthaltenes gefährliches Makro den PC des Nutzers nicht infizieren.
Plattformen und Cloud-Dienste berücksichtigen
Viele der Dateien und Dokumente, die wir heutzutage per E-Mail erhalten, liegen nicht mehr lokal, sondern in einem Cloud-Dienst wie Google Drive, Dropbox oder Microsoft OneDrive. Auch wenn sich die Anwendungen in vielen Fällen direkt auf dem Computer nutzen lassen, gibt es doch spezielle Anforderungen, wenn es dabei um das Scannen von Dateien oder um die Isolation von Bedrohungen geht.
So erfordern manche Cloud-Dienste angepasste Funktionen im E-Mail-Security-System, um die dort abgelegten Dateien überprüfen zu können. Es ist deswegen ratsam, mögliche Plattform-spezifische Anforderungen mit den Produkten Ihres E-Mail-Security-Anbieters abzugleichen.
Berichte und Analysen erstellen und auswerten
Ganz sicher wollen Sie irgendwann genau wissen, wie effektiv Ihr E-Mail-Security-System arbeitet und wie gut oder schlecht es Phishing-Angriffe isoliert und neutralisiert. Für diesen Zweck benötigen Sie umfassende Werkzeuge zum Reporting und zur Analyse der Ergebnisse. Stellen Sie auch sicher, dass Ihre Lösung über ein Dashboard verfügt, in dem die aktuelle Situation in Echtzeit dargestellt wird. Wichtig sind auch Möglichkeiten, um vergangene Ereignisse analysieren zu können und um Daten zu exportieren. Das ist insbesondere dann essentiell, wenn Sie individuelle Analysen der von Ihnen eingeleiteten Maßnahmen gegen neue und alte Bedrohungen erstellen wollen.
Wie geht es danach weiter?
Können Sie noch mehr tun? Natürlich, es gibt immer noch mehr zu erledigen. Die vorgestellte Checkliste hilft Ihnen aber sofort bei der Verbesserung Ihres E-Mail-Schutzes. Außerdem zeigt sie Ihnen, in welche Richtung sich die technologische Entwicklung bewegt.