Autor – Alex Dunkel, Geschäftsführer der Dunkel GmbH
Mehr als 120 Millionen Angriffe durch schädliche E-Mails erfolgten letztes Jahr an Firmenpostfächer, wie das Fachportal security-insider im Mai diesen Jahres berichtet [1]. Auch eine von der Unternehmensberatung Accenture gemeinsam mit dem Ponemon Institute durchgeführte Studie „Cost of Cybercrime“ kommt zu einem ähnlichen Ergebnis: Im Geschäftsumfeld durchgeführte Attacken durch Malware nahmen im letzten Jahr um drei Prozent zu [2].
Mittlerweile gleichen schädliche E-Mails nicht mehr den stümperhaft geschriebenen Briefen, die gern mit „Lieber Freund“ begannen. Rechtschreibfehler, fehlende Ansprache oder Aufforderungen, dem Onkel in Afrika Geld zu schicken, ermuntern heute so gut wie jeden zum Drücken der Delete-Taste. Aktuell sieht das Phishing versierter Cyberkrimineller anders aus: Da meldet sich zum Beispiel ein Studierender beim HR-Ansprechpartner einer Firma für Medizintechnik und fragt, ob er seine Abschlussarbeit dort schreiben könne; bisherige Universitätsergebnisse lägen aufgelistet anbei. Der Angefragte freut sich über interessierten, jungen Nachwuchs – und schleust unbeabsichtigt beim Klick auf den Anhang ein Virus ein.
Kaskadenlösung für E-Mail-Sicherheit
Security-Lösungen müssen auf diese Art Angriffe reagieren. Diesem hohen Täuschungsniveau Rechnung tragend, nehmen Mails beispielsweise in der Lösung der Dunkel GmbH mehrere Hürden, bevor sie das Unternehmensnetzwerk erfolgreich betreten dürfen. Als erste Hürde durchläuft eine Mail parallel mehrere Virenscanner. Die selbstentwickelten Methoden verwenden unter anderem verhaltensbasierte Analysen mit Recurrent Pattern Detection, Fingerprint, Bayessche Filter oder Kommunikationsanalysen. Solche verhaltensbasierten Methoden lassen Schlüsse auf brandneue, bisher unerkannte Viren zu. Die Spam-Bewertungen der einzelnen Scanner münden in eine gemeinsame maschinelle „Expertenmeinung“. Liegt deren Wahrscheinlichkeit bei über 99,99, wird die Mail nicht angenommen.
Bekannte Viren detektiert die Lösung zu hundert Prozent. Dabei greift sie nicht nur auf das gebündelte Scannerwissen führender Anti-Viren-Hersteller zurück: Das Programm gleicht verdächtige Anhänge mit Virustotal ab. Virustotal ist ein Register nahezu aller kommerzieller Virenscanner. Es steht zwar jedem offen, birgt aber den Nachteil, dass es alle Dateien transparent veröffentlicht – im Geschäftsleben undenkbar. Daher lädt die Lösung keine Dateien hoch, sondern gleicht die Prüfsummen respektive Hashs ab. Inhalte bleiben verborgen. Die Kombination verschiedener Analysewerkzeuge und treffgenaue Verfahrensabstimmung führt zu einer durchschnittlichen Spam-Erkennungsrate von über 99 Prozent.
Mailsecurity-Lösung wehrt Malware ab
Junk-Ordner adé
Eine weitere Funktion der Lösung: Zirka 99 Prozent der Schad- und Spam-Mails weist sie gleich noch vor dem Eindringen ins Unternehmensnetzwerk ab und blockiert Malware und Spam in Echtzeit noch während der Übertragung. Damit wird der Junk-Ordner obsolet. Ständiges Querlesen des Spamordners auf erwünschte, zu Unrecht im Junk schlummernde Mails entfällt. Schafft es eine Mail nicht durch die strenge Schutzkaskade – ein Fall, der ausgesprochen selten auftritt -, erhält der Absender eine Notiz über die verweigerte Zustellung und kann unmittelbar Kontakt mit dem Empfänger aufnehmen.
Durchläuft eine Mail erfolgreich den gesamten Prüfparcours, lässt wegen ihrer Anlage aber dennoch auf ein Risiko schließen, wird eine Sperrfrist wirksam: Die Mail ruht zwölf Stunden außerhalb des Unternehmensnetzwerks in Quarantäne. Bewertet das System die Mail danach als nahezu sicher, wird sie weitergeleitet. Stuft der Algorithmus sie nach Ablauf der Frist aber weiterhin als bösartig ein, wird sie vernichtet und nicht in das Postfach des Empfängers geleitet. Zusätzlich klärt eine Notiz den Empfänger über diese Transportpause und den weiteren Verbleib der Mail auf.
Wechsel über Domain-Adresse
Zur Installation brauchen Anwender weder Soft- noch Hardware. Sie ändern lediglich den MX-Record ihrer Mail-Domain: MX DNS-Records bestimmen darüber, wohin E-Mails zugestellt werden: So geht beispielsweise eine Mail an mustermann@muster.de zum hinterlegten System mxmust.ispgateway.de. Dieser Server leitet Mails an den Muster-Server weiter. Auftraggeber Muster lässt nun statt mxmust.ispgateway.de den Service des Anbieters eintragen. Die Kaskadenlösung ist mit allen gängigen Mailsystemen kompatibel und basiert ausfallsicher auf einer hochverfügbaren Infrastruktur zweier Rechenzentren in Hessen.
Hilfe zur Selbsthilfe: ‚Malware-Impfung‘
Geschulte Augen erkennen schädliche Mails besser. Gerade im Vertrauen auf hervorragende Technik erlahmt oft die Wachsamkeit. Damit jeder einzelne Mitarbeiter um die Gefahren weiß und das Risiko einer Infektion minimiert, muss der Blick der Mitarbeiter für lauernde Gefahren im Postfach geschärft werden – auch unter Zeitdruck.
Als Methode wird eine Art ‚Malware-Impfung‘ angewendet: Eine von der Lösung als schädlich erkannte Mail dient als Impfstoff. Ihr virenbefallener Anhang wird durch unschädliche Anlage ausgetauscht. Dann wird diese dem betrügerischem Original täuschend ähnliche Mail gezielt und unangekündigt an Mitarbeiter verschickt. Anschließend werden die Klick-Raten gemessen und die anonymisierten Ergebnisse nach einem gewissen Zeitraum den Zuständigen präsentiert. Diese werden dann als Grundlage für interne Schulungsmaßnahmen zur Sensibilisierung verwendet.
Fazit
Die Anzahl der Cyberangriffe nimmt zu – und schädliche Mails sind zudem von Mitarbeitern immer schwieriger zu erkennen. Aktuelle Security-Lösungen berücksichtigen diese Entwicklung: Sie identifizieren in einem mehrstufigen Verfahren einen Großteil der Schad- und Spam-Mails an ein Unternehmen und machen auf diese Weise den Junk-Ordner überflüssig. Die technische Lösung sowie die geschulte Wachsamkeit von Mitarbeitern sind die besten Voraussetzungen für eine virenfreie E-Mail-Kommunikation.
Die Dunkel GmbH bietet hochverfügbare Cloud-Infrastrukturen und flexible Sicherheitslösungen zum Schutz von IT-Netzen, E-Mails, Team-Kollaboration sowie organisationsinternen und -übergreifenden Kommunikationsprozessen bietet. Der Early Offerer hostet IT-Ressourcen nach Bedarf als Private Cloud, Hybrid Cloud oder hochlastkompatible Plattform für komplexe Anwendungen in zwei ISO 27001-zertifzierten, mit Ökostrom betriebenen Rechenzentren im Raum Frankfurt.
Referenzen
[1] https://www.security-insider.de/phishing-angriffe-gegen-unternehmen-boomen-a-826061/
