Schluss mit Phishing und ereignisbasierten E-Mail-Attacken!

E-Mails sind omnipräsent und nach wie vor das bedeutendste Kommunikationsmittel im Geschäftsalltag. Zeitgleich ist die elektronische Korrespondenz ein sehr gefragter Angriffsvektor für Internetkriminelle. Mittlerweile werden längst nicht mehr nur mangelhaft formulierte Spamnachrichten versendet, sondern hochprofessionelle und scheinbar vertrauenswürdig wirkende Phishing-Mails mit Malware oder präparierte Website-Links im Gepäck. Es lohnt sich daher, ein wirkungsvolles und vollständiges E-Mail-Sicherheitskonzept zu realisieren.

Der Geschäftsalltag ist heute gezeichnet vom E-Mail-Verkehr. Wenngleich die Kommunikation in den letzten Monaten vielerorts durch unterschiedliche Kommunikationsmedien, Kollaborationstools und Videokonferenzen erweitert wurde, ist die elektronische Korrespondenz für die meisten Firmen und deren Mitarbeiter weiterhin der wichtigste Kommunikationskanal, um mit Geschäftspartnern, Zulieferern, Kunden und Arbeitskollegen zu kommunizieren.

Während sich vor einigen Jahren die täglichen Informationen auf ein paar Briefe und Faxe beschränkten, werden die Unternehmen heute täglich von einer großen E-Mail-Menge überrollt.

Laut einer Voraussage des Instituts Radicati Group soll sich in diesem Jahr die Anzahl der täglich versendeten E-Mails global auf ganze 319 Milliarden belaufen. Bis 2025 soll sich diese Zahl aller Voraussicht nach auf 376 Milliarden erhöhen.

Folglich ist es kein Wunder, dass die meisten erfolgreichen Angriffe mit einer manipulierten E-Mail starten. Dabei handelt es sich längst nicht mehr um schlecht formulierte Spamnachrichten, die vor Tippfehlern strotzen, sondern um hochprofessionelle, scheinbar seriös wirkende Phishing-E-Mails, die virenverseuchte E-Mail-Anhänge oder präparierten Website-Links im Gepäck haben, um vor allem Malware-Angriffe zu starten, geschäftskritische Daten zu erlangen, Unternehmensnetzwerke zu infiltrieren und horrende Lösegeldforderungen zu stellen.

Im Netz der Datenfischer

Phishing-Mails sind mittlerweile zu einer ernsten Gefahr für die IT-Sicherheit eines Unternehmens geworden. Jeden Tag erreichen rund 3,4 Milliarden betrügerische E-Mails die Postfächer global.

Das Besorgniserregende an der Tatsache: Da nicht alle Phishing-Mails im Junk-Verzeichnis landen, reicht meistens ein falscher Klick aus, um Internetkriminellen und gefährlicher Schadsoftware Tür und Tor ins Unternehmensnetzwerk zu öffnen – und damit Schäden in Millionenhöhe zu verursachen.

Entsprechend einer aktuellen Analyse des Digitalverbands Bitkom entsteht der inländischen Wirtschaft durch Sabotage, Datendiebstahl oder Spionage jährlich ein Gesamtschaden von 102,9 Milliarden Euro.

Doch gibt es einige Faktoren, an denen Phishing-E-Mails identifiziert werden können:

• Unbekannter Absender, kryptisch wirkende Versender-Adresse
• Anonyme, unpersönliche oder generalisierend gehaltene Anrede
• Keinerlei Impressum; fragwürdige, unvollständige Firmenangaben
• Grammatik- und Rechtschreibfehler, außergewöhnliche Wortwahl
• Abgekürzte Weblinks oder anklickbare Bilder im E-Mail-Text
• Zip-, Word- oder Excel-Dateien im Anhang

E-Mail-Sicherheit braucht ein Konzept!

Sowohl die Anzahl betrügerischer Phishing-Mails wie auch die Kosten für eine Datenverletzung steigen kontinuierlich an.

Vor diesem Hintergrund ist es sinnvoll, dass Betriebe ein wirkungsvolles und ausgeklügeltes E-Mail-Sicherheitskonzept realisieren, das neben zeitgemäßen und innovativen E-Mail-Sicherheitslösungen der nächsten Generation auch beständige Security Awareness Fortbildungen der Kollegen einschließt.

Angesichts dessen sollte jede E-Mail-Sicherheitsstrategie folgende Abwehrmechanismen beinhalten:

1. E-Mail-Security-Gateways

Durch den Gebrauch von E-Mail-Security-Gateways können Betriebe, E-Mail-Bedrohungen wie Malware, Phishing-Nachrichten oder Spam-Emails direkt am Gateway blockieren, sodass die E-Mail-Sicherheit erheblich optimiert und die Zahl erfolgreich getätigter Angriffe deutlich verringert wird. Ferner verfügen einige E-Mail-Security-Gateways-Lösungen über Funktionen zur Data Loss Prevention (DLP), sodass unabsichtliche oder absichtliche Datenlecks über E-Mail verhindert werden.

2. Antiviren-, Antispam- und Antiphishing-Lösungen der nächsten Generation:

Unternehmen sollten ihre E-Mail-Server und E-Mail-Clients durch schützende Software-Komponenten ergänzen. Dazu gehören neben einer modernen Antivirensoftware und effektiven Firewall auch eine Anti-Spam- und Anti-Phishing-Lösung. Hierbei ist es wichtig, dass die Konzepte durch kontinuierliche Aktualisierungen auf dem aktuellsten Stand gehalten werden.

3. Chiffrierung und Signatur:

Da die Inhalte von E-Mails ohne Verschlüsselung etwa so geheim sind, wie der Text einer Postkarte, sollte sowohl der Versand als auch die Archivierung der E-Mails chiffriert werden.

• Bei der Übertragung von E-Mails sollten standardisierte Protokolle angewendet werden, die mittels SSL/TLS (Secure Socket Layer/Transport Layer Security) durch Authentisierung und Chiffrierung gesichert sind.
• Für die Verschlüsselung des ursprünglichen Inhalts von E-Mails, stehen diverse Methoden zur Auswahl, wie das Standardverfahren S/MIME oder das PGP (Pretty Good Privacy). Um die Integrität der elektronischen Korrespondenz zu erreichen, sollten Unternehmen digitale Signaturen einführen.

4. Interne E-Mail-Richtlinie

Die interne E-Mail-Richtlinie enthält genaue Anweisungen für die dienstliche und private E-Mail-Verwendung im Unternehmen. In der E-Mail-Vorgabe können Firmen z. B. verpflichtend regeln, wie mit E-Mail-Anhängen umzugehen ist, welche Inhalte als „verdächtig“ einzuschätzen sind und wer für die Prüfung fragwürdiger E-Mails zuständig ist.

5. Regelmäßige Security Awareness Fortbildungen

Da gezielte E-Mail-Attacken wie Spear-Phishing selbst für vorsichtige Angestellte kaum zu erkennen sind, sollten Firmen regelmäßige Security Awareness Fortbildungen zum Thema durchführen.

6. Phishing-Simulationen

Zusätzlich zu regelmäßigen Security Awareness Fortbildungen können Phishing-Simulationen umgesetzt werden, um Beschäftigte zu testen und weiter zu sensibilisieren.

E-Mails sind Fluch und Segen gleichzeitig!

E-Mails sind aus dem Geschäftsalltag nicht mehr wegzudenken. Gleichzeitig sind sie ein äußerst begehrter Angriffsvektor für Internetkriminelle. Aus diesem Grund ist es empfehlenswert, eine umfängliche E-Mail-Sicherheitsstrategie einzusetzen. Letztendlich bewahrt ein wirksames und ein umfassend ausgeklügeltes E-Mail-Sicherheitskonzept mit modernen E-Mail-Sicherheitslösungen der nächsten Generation und häufigen Security Awareness Fortbildungen das Unternehmen vor Spam, Malware, Ransomware, Phishing- und Man-in-the-Middle-Angriffsversuchen.

Gerne beraten wir Sie als erfahrenes IT-Systemhaus bei Fragen rund um die Themenbereiche E-Mail-Sicherheit, IT-Sicherheit und Security Awareness. Ferner unterstützen wir Sie bei der Implementierung starker E-Mail-Sicherheitslösungen. Vereinbaren Sie noch heute einen Termin.