Sicherheit
28.05.2019
Security-Werkzeuge
1. Teil: „Erfolgreiche Abwehr von E-Mail-Attacken“

Erfolgreiche Abwehr von E-Mail-Attacken

E-Mail-SecurityE-Mail-SecurityE-Mail-Security
J ijomathaidesigners / shutterstock.com
Die meisten Angriffe auf Firmen erfolgen via E-Mail. Doch es gibt wirksame Schutzwerkzeuge. Wichtig ist vor allem die Mitarbeiter zu Schulen und für das Thema zu sensibilisieren.
  • Quelle:
    Statista
Angriffe auf ein Unternehmen nehmen meistens den Weg über das Internet und insbesondere über E-Mails. Verseuchte Webseiten spielen dabei oft keine direkte Rolle. Sie kommen in der Regel nur bei Angriffen ins Spiel, die zuvor per E-Mail gestartet wurden. In nicht leicht zu erkennenden, gefälschten E-Mails stecken dabei gefährliche Links und verseuchte Anhänge.
Den Mitarbeitern eines Unternehmens fehlt meist das Know-how, um gefährliche E-Mails von ungefährlichen zu unterscheiden. Dennoch setzen viele Unternehmen immer noch oft auf Abwehr vor Ort - das heißt am Client des Empfängers. Besser wäre eine Strategie, die dafür sorgt, dass der Mitarbeiter so wenig Einfluss wie möglich auf den Erfolg einer Attacke hat. Wesentlich dafür sind zwei Faktoren: eine strengere Vorfilterung des E-Mail-Aufkommens und die Mitarbeiterschulung.

Spam, Phishing, Trojaner

Die Dimension des Problems macht eine Zahl des Daten­portals Statista.com deutlich. 2018 waren zwischen 50 und 60 Prozent aller Mails weltweit Spam-Mails. Nicht viel besser sieht die Quote für Deutschland aus.
Spam-Nachrichten lassen sich in drei Kategorien unterteilen:
  • Klassischer Spam - zwar nervig und voller Werbung, meist aber nicht gefährlich
  • Spam-Mails mit einer verseuchten Datei im Anhang (oft als PDF oder ZIP) wie eine Be­werbung
  • Spam-Mails mit gefährlichen Links (Phishing-Mails). Diese oft gut getarnten E-Mails führen Mitarbeiter meist auf gefälschte Webseiten und fordern zur Eingabe von Daten auf.
Viele Mail-Provider in Deutschland setzen zur Spam-Abwehr bereits eigene Filter und Anti­viren-Software an den Knotenpunkten ein. Allerdings kosten Filtersysteme Geld.
KMUs mit bis zu 50 Mitarbeitern mieten oft einen Server mit Domain- und Mail-Service. Bei solchen einfachen Mail-Konten nutzen die meisten der Mail-Provider-Platzhirsche in Deutschland für die Filterung lediglich frei verfügbare Spam-Blacklists, oft kombiniert mit einer kostenlosen Antiviren-Lösung wie Clam­AV, die mit zusätzlichen Mail-Signaturen aufgepeppt wird.
Im Folgenden stellt com! professional Werkzeuge vor, mit denen Unternehmen sich besser vor E-Mail-Angriffen schützen. Die Lösungen sprechen dabei Unternehmen jeder Größe an.

Gemanagte E-Mail-Filterung

Kleine und mittlere Unternehmen können mit sehr wenig Aufwand ihr gesamtes E-Mail-Aufkommen durch einen viel wirksameren Scan-Service schicken. Mit einem sogenannten MX-Record werden alle am Server ankommenden E-Mails zuerst an den Scan-Service umgeleitet. Das Gute dabei: MX-Records sind einfach zwei Zeilen Text in der Konfiguration der Mail-Server beim Betreiber. Die Infrastruktur dahinter mit der Mail-Software auf Servern und Clients muss nicht verändert werden.
Hinter diesem Service steckt die Scan-Appliance IronPort von Cisco. Da der Kauf der Appliance für ein einzelnes Unternehmen sehr teuer wäre, lässt sie sich über Dienstleister nach Bedarf monatlich buchen. In der Regel kostet das Scannen einer Domain mit 25 Konten etwa 10 bis 15 Euro im Monat, zum Beispiel bei Dmsolutions.de.
Beim Scan-Service angekommene Mails durchlaufen als Erstes mehrere Filter: einen Reputationsfilter (mit Blacklists), einen Spamfilter und einen Virus-Outbreak-Filter. Danach prüft das System mit Hilfe zweier Antiviren-Lösungen (McAfee und Sophos) die verbliebenen Mails. Als unbedenklich eingestufte Mails werden dann ausgeliefert, alle suspekten Nachrichten in einer Liste samt Betreff und Absender gesammelt, die dem Empfänger in einer gesonderten Mail zugestellt wird. Falls eine Nachricht falsch klassifiziert wurde, kann er sie einfach per Klick freischalten.
Die weitere Verwaltung des E-Mail-Aufkommens liegt allerdings beim Dienstleister des Services und es werden auch nur eingehende E-Mails geprüft. Ausgehende Mails müssen am Client auf schädliche Inhalte untersucht werden.
2. Teil: „Filter via Cloud & Konsole“

Filter via Cloud & Konsole

  • Cisco IronPort: Diese Schutzlösung wird auch von kleineren Providern als Mail-Vorfilter für KMUs angeboten.
    Quelle:
    Bild: Cisco
Die Mail-Filterung lässt sich auch vollumfänglich zu Cloud-Services verlagern. Der Vorteil: Das Filtern ist über eine webbasierte Konsole managebar und es werden sowohl die eingehenden wie auch die ausgehenden Nachrichten auf schädliche Inhalte überprüft.
Auch bei dieser Lösung muss ein Unternehmen keine zusätzliche Hardware nutzen oder Server pflegen. Einige Anbieter stellen auf Wunsch aber auch eine Version bereit, die eine Firma selbst intern oder extern hosten kann. Das setzt dann natürlich eigene Hardware voraus.
Der technische Hintergrund ist dabei dem geschilderten Verfahren mit MX-Records sehr ähnlich. Der Mail-Provider oder gemietete Mail-Server bleibt unverändert. Der Umzug einer Domain ist nicht erforderlich. Alle Mails werden einfach mit Hilfe eines veränderten MX-Records (einer Server-Adresse) an den Service umgelenkt, verarbeitet und zum Ausliefern an den Mail-Server zurückgegeben. Auch gesendete
E-Mails werden auf diesen Weg geprüft und ausgeliefert.
Bekannte Anbieter eines solchen Services sind etwa Hornetsecurity oder TitanHQ mit SpamTitan. Die Preise variieren je nach Service. So kosten bei TitanHQ 100 Nutzer etwa 120 Euro pro Monat, bei Hornetsecurity etwa 180 Euro.
Der Vorteil der cloudbasierten Lösungen sind optionale Zusatz-Services wie die revisionssichere E-Mail-Archivierung oder die sichere, unkomplizierte Verschlüsselung der Mails. Sie lassen sich einfach hinzubuchen und erfordern keine weiteren Eingriffe in die IT-Landschaft.

Mail-Schutz für Office 365

Viele Unternehmen nutzen das cloudbasierte Office 365 oder Exchange inklusive Outlook als Mail-Client. Microsoft gibt zwar an, dass es die E-Mails auf Spam und Viren untersucht, bietet gleichzeitig aber auch selbst einen erweiterten Schutz-Service an. Der Dienst Microsoft Advanced Threat Protection (ATP) lässt sich fast allen Exchange- und Office-365-Abonnementplänen hinzufügen. Der Preis hängt von der Anzahl der genutzten Konten und dem gebuchten Abonnement ab.
Will ein Unternehmen nicht auf die Security-Expertise von Microsoft setzen, kann es auf alternative Produkte ausweichen. Aber aufgepasst: Einige Mail-Sicherheits-Anbieter offerieren zwar einen Schutz-Service für Office 365, haben allerdings, ohne dies erkennbar offenzulegen, lediglich als Partner Microsofts ATP-Dienst lizenziert und in ihr Angebot eingebaut.
Anders sieht es bei den Produkten bekannter Security-Hersteller aus. Beispielsweise lässt sich über den Kaspersky Business Hub die Lösung Security for Microsoft Office 365 buchen, und das nicht nur von Bestandskunden. Jedes Unternehmen kann damit seine sonstigen Schutzmaßnahmen ergänzen. Das Kaspersky-Produkt soll mit Hilfe mehrerer Schichten, sogenannter Next-Generation-Technologien, Office 365 vor Spam, Phishing, schädlichen Anhängen und unbekannten Bedrohungen bewahren.
Um die Kaspersky-Lösung zu nutzen, ist kaum technischer Aufwand nötig, denn es werden lediglich die Office-365-Zugänge zu den Konten eingebunden. Die E-Mails kommen nach wie vor direkt in Outlook beim Nutzer an. In einer Cloud-Konsole finden sich Berichte, ausgefilterte Spam-Mails sowie identifizierte und gelöschte E-Mails mit schäd­lichem Inhalt.
Der Vorteil eines Security-Herstellers liegt dabei klar auf der Hand. Er muss nicht von anderen Anbietern aktuelle Informationen zu Spam, Reputationen oder Viren-Outbreaks einkaufen, vielmehr hat er diese Informationen ohne Zeitverzug zur Verfügung und zusätzlich die Forschung selbst im Haus.
Ein weiterer namhafter Anbieter ist Sophos mit der cloudbasierten Lösung Sophos Email Security. Der Service für Office 365 und Exchange steht über die Konsole Sophos Central bereit - die Verwaltungsoberfläche für alle Cloud-Produkte von Sophos. Email Security lässt sich so einzeln oder im Verbund mit weiteren Modulen von Sophos einsetzen.
Auch Symantec hat einen extra Schutz-Service in der Cloud im Angebot. Die für große Unternehmen vorgesehene Lösung Email Security.cloud kann man mit Office 365 und Exchange verknüpfen. Allerdings ist Email Se­curity.cloud ein Zusatzmodul zum Symantec Data Loss Prevention Cloud Service und funktioniert daher nicht als Stand-alone-Lösung. Das Data-Loss-Paket nutzen Unternehmen mehrheitlich in Kombination mit der Lösung Endpoint Protection Cloud.
Thonas Uhlemann
Thomas Uhlemann:
Security Specialist bei ESET.
ESET
Spam mit perfekter Tarnung
Früher konnte jeder Laie eine Spam-Mail auf Anhieb er­kennen: Angreifer imitierten einfach E-Mails ausländischer Firmen, wobei die Texte extrem schlecht übersetzt waren. Doch die Kriminellen haben inzwischen erheblich dazu­gelernt und die Tarnung ihrer gefährlichen Mails perfek­tioniert.
Beispielsweise registrierte der Security-Dienstleister ESET von Oktober bis Mitte Dezember 2018 eine perfekt
getarnte, vor allem gegen Unternehmen gerichtete Spamwelle, die den Erpresser-Virus Shade verbreitete. „Seit Januar 2019 erleben wir wohl den Nachfolger“, berichtet Thomas Uhlemann, Security Specialist bei ESET.
Bei diesen Kampagnen sind in fehlerfrei gestalteten E-Mails legitime Wordpress-Seiten als Quell- und Ziel-Link hinterlegt. Diese Wordpress-Seiten hatten die Angreifer zuvor nach massiven Attacken übernommen. Von dort aus verteilten sie verseuchte Bilddateien mit JPG-Endung, die wiederum  einen bösartigen Loader mit der Ransomware nachluden.
3. Teil: „Schutz per Endpoint-Security“

Schutz per Endpoint-Security

  • Hornetsecurity Control Panel: Der Filter lässt sich einfach zwischen Mail-Server und Mail-Client schalten.
    Quelle:
    Hornetsecurriy
Viele klassische Hersteller von Endpoint-Security-Lösungen haben den Schutz ein- und ausgehender Mails inklusive der Überwachung der gängigen Mail- oder Exchange-Server schon lange in diese integriert. Ihre Produkte schützen in aller Regel Mail-Konten zwar bereits gut, aber doppelt hält besser. Daher empfiehlt sich für kleinere Unternehmen die Kombination von Vorfilter-Service und Endpoint-Protection. Bitdefender etwa bietet in seiner Endpoint-Produkt-Reihe GravityZone ein besonderes Schutzmodul für Exchange in den Versionen Advanced Business, Elite und Ultra an. Andere Mail-Server als Exchange sind adäquat durch einen Agenten auf dem Endpoint geschützt. Ein spezielles Mail-Server-Modul gibt es nur für Exchange. Gerade wenn Unternehmen die Exchange-Server lokal betreiben, ist das Schutzmodul für Exchange in der Endpoint-Security Pflicht.
Nach dem gleichen Muster und in einem ähnlichen Umfang bieten weitere bekannte Security-Unternehmen wie F-Secure, Trend Micro, ESET, G-Data oder McAfee ihre Lösungen an. Die schon erwähnten Produkte von Kaspersky Lab, Sophos oder Symantec enthalten E-Mail-Security als Bestandteil oder als zusätzliches Schutzmodul. Meist sind die Module aber, zum Beispiel bei Bitdefender, nur für lokale oder gehostete Exchange-Server verfügbar. Die Cloud-Module, etwa für Office 365, muss man in der Regel extra dazubuchen.
Mit dem umfassenden Messaging Security Gateway bietet auch F-Secure ein Produkt für er­höhte Mail-Sicherheit an. Es setzt den webbasierten F-Se­cure Policy Manager voraus und bringt auch E-Mail-Verschlüsselung und andere Security-Tools wie Data Loss Prevention mit.

Gateways für Linux-Server

Eine weitere spezielle Schutzlösung für Mail-Server sind Mail-Gateways. Sie arbeiten nicht auf Basis von Exchange. Auch wenn die Cloud auf dem Vormarsch ist, sind klassische Mail-Server noch weit verbreitet. Sie basieren fast ausschließlich auf Linux. Die am Markt verfügbaren Schutzlösungen sind für Gateways vorgesehen, die auf physischen oder virtuellen Linux-Servern laufen. Dafür bieten viele bekannte Hersteller Produkte an. So hat Kaspersky Lab schon lange das Secure Mail Gateway als virtuelle Appliance im Portfolio. Es basiert auf dem Kaspersky Security for Linux Mail Server und bietet Next-Generation-Schutz für E-Mails vor bekannten und unbekannten Bedrohungen, einschließlich Spam, Phishing und jeder Art von schädlichen Anhängen.
Trend Micros InterScan Messaging Security wiederum ist ebenfalls als virtuelle Appliance verfügbar, aber auch als Red-Hat-Version.
Spam-Muster
Das unabhängige deutsche Forschungsinstitut für IT-Sicherheit AV-Test verfolgt seit vielen Jahren rund um die Uhr den internationalen E-Mail-Verkehr. Mit speziellen Erkennungssystemen scannt und klassifiziert es die E-Mails.
Aus diesen Aufzeichnungen lässt sich genau ablesen, wann der meiste Spam unterwegs ist, so Maik Morgenstern, CTO von  AV-Test: „Unsere Systeme zeigen, dass an jedem Wochentag zwischen 8 und 10 Uhr das Spam-Aufkommen steil ansteigt. Zu dieser Zeit ist auch der Anteil der Spam-Mails mit gefährlichen Links oder Malware-Anhängen am höchsten.“
Interessant ist auch, dass Spam nicht einfach nur permanent verschickt wird, sondern gesteuert in Wellen. Dabei ändert sich nicht nur der Inhalt, sondern auch gezielt der Anhang. Ebbt etwa eine große Welle mit verseuchten PDFs ab, enthält die nächste Welle beispielsweise ZIP-Archive mit Malware. Die Angreifer gehen wohl davon aus, dass die Mitarbeiter in Unternehmen nach einiger Zeit für eine bestimmte Welle sensibilisiert sind, etwa die berüchtigten verseuchten Bewerbungen. Eine Welle mit infizierten ZIP-Archiven hat danach wieder mehr Chancen auf ein Durchkommen.
Besonders perfide sind Angriffe mit Microsoft-Office-Dateien als Anhängen. Sie lassen sich schlecht als Malware erkennen, enthalten aber gefährliche Makros, die bei Ausführung Verstärkung aus dem Internet holen, etwa Ransomware.
Maik Morgenstern betont: „Die Mitarbeiter sind das schwächste Glied in der Kette. Daher ist es besser, die gefährlichen Mails so früh wie möglich abzufangen und auszusortieren. Der Markt bietet dazu viele gute Lösungen an.“
4. Teil: „Hardware für Durchsatz“

Hardware für Durchsatz

  • Kaspersky Security for Microsoft Office 365: Das cloudbasierte Tool wird zur Überwachung des Mail-Verkehrs mit Office-365-Mail-Konten verknüpft.
    Quelle:
    Kasperksy
Für Unternehmen mit sehr hohem E-Mail-Aufkommen halten die Anbieter Speziallösungen bereit. So verarbeitet das UTM-E-Mail-Gateway von Sophos in der kleinsten Ausführung 60.000 bis 100.000 Mails pro Stunde. Das Paket ist eine All-in-one-Lösung für E-Mail-Verschlüsselung, Data Loss Prevention, Anti-Spam und Bedrohungsschutz gegen Malware. Laut Sophos sind so auch modernste Spear-Phishing-Angriffe, die es gezielt auf ein bestimmtes Unternehmen abgesehen haben, abwehrbar. Das Produkt ermöglicht zudem eine umfassende Kontrolle über alle Daten, die ein Unternehmen per E-Mail verlassen. Es arbeitet optional mit den vorhandenen Sophos-Lösungen für Endpoints und Server zusammen und ist in verschiedenen Ausbaustufen als Hardware-Appliance für ein Rack oder als fertige VMware-Appliance verfügbar. Die beiden kleinsten Ausbaustufen als VMware-Appliance empfiehlt Sophos für 300 bis 1000 Nutzer.
Sollte ein Unternehmen einen noch höheren Bedarf haben, lässt sich die eingangs erwähnte Technologie Cisco IronPort auch als eigene Hardware-Appliance nutzen. Cisco stellt die Rack-montierbaren Geräte zu einem fixen Kaufpreis bereit, der je nach Modell zwischen 3500 und 5000 Euro beträgt. Hinzu kommt der Service für das Prüfen und Filtern der Mails, den ein Unternehmen nach Anzahl der Nutzer beziehungsweise der Mail-Konten dazubuchen muss. Das vorausgesetzt landet jede Mail, wie im Abschnitt „Gemanagte E-Mail-Filterung“ beschrieben, im Reputations-, Spam- und Virus-Outbreak-Filter. Hängengebliebene Mails prüft das System dann mit Antiviren-Lösungen von McAfee und Sophos.

Fazit & Ausblick

Angesichts der beinah täglichen Meldungen über geklaute Daten, gehackte Anwendungen oder lahmgelegte IT-Infrastrukturen erscheint eine erfolgreiche Cyberabwehr für Unternehmen beinahe wie ein hoffnungsloses Unterfangen. Doch ganz so düster ist die Lage nicht. Für den Schutz des E-Mail-Verkehrs jedenfalls gibt es eine ganze Reihe wirk­samer Lösungen - in verschiedenen Ausbaustufen und für Unternehmen jeder Größe. Ihr Einsatz erhöht den Schutzfaktor erheblich und schließt zumindest eines der gravierend­­s­ten Einfallstore für Malware und Hacker. Sie sollten ein zentraler Baustein in der Sicherheitsstrategie jedes Unternehmens sein.
Trendmicro Phishing Insight
Phish Insight: Mit dem Dienst von Trend Micro können Unternehmen das Phishing-Know-how ihrer Mitarbeiter testen.
Trend Micro
Kostenloser Phishing-Simulator
In einer Studie vom Februar 2019 stellt Trend Micro fest, dass die häufigsten Cyberattacken via Phishing-Mails stattfinden. Der Untersuchung zufolge wurden bereits 39 Prozent der deutschen Unternehmen Opfer solcher Angriffe. Die Schulung von Mitarbeitern sei deshalb extrem wichtig, doch aufgrund fehlender Trainer sei das nur schwer zu bewerkstelligen, gaben 44 Prozent der befragten IT-Verantwortlichen an.
Trend Micro stellt daher für IT-Abteilungen jetzt die kostenlose Phishing-Simulationsplattform Phish Insight zur Verfügung. Dort lassen sich mit Hilfe von Phishing-Mail-Vorlagen die Abteilungen in einem Unternehmen testweise ohne reale Gefahr mit Mails beschicken. Die Ergebnisse stellt das Tool in einem Dashboard dar und zeigt so auf, wo die Mitarbeiter geschult werden sollten.
Udo Schneider, Security Evangelist bei Trend Mi­cro: „Wir möchten die IT-Sicherheitsverantwortlichen in Unternehmen dabei unterstützen, ihre Mitarbeiter für die Gefahren im Cyberraum zu sensibilisieren. Besonders für den Schutz vor Phishing ist es wichtig, dass jeder Mitarbeiter über die Wirkungsweise solcher Angriffe informiert ist. Dafür haben wir mit Trend Micro Phish Insight ein kostenloses Simulations- und Informationsangebot geschaffen.“ Die Plattform ist zwar in eng­lischer Sprache, aber die Test-Mails lassen sich in Deutsch verschicken. Die Plattform ist zugänglich unter: https://phishinsight.trend­micro.com/en.

mehr zum Thema