Experten Blog

E-Mail Security entschlüsselt

E-Mail: Das Tor zu Cyber-Bedrohungen im Internet

E-Mail gehört weiterhin zu den beliebtesten Kommunikationsmedien in Unternehmen. Gleichzeitig ist E-Mail auch der häufigste Angriffsvektor. Der Zugriff von Mitarbeitern auf E-Mails erfolgt über unterschiedliche Geräte von verschiedenen Orten aus – Zuhause, im Büro, unterwegs. Für die E-Mail-Nutzung wird eine „konvergierte Gerätelandschaft“ genutzt. Mitarbeiter klicken in E-Mails manchmal versehentlich auf Links zu Webseiten, auf denen Malware gehostet ist oder sie installieren sogar bösartige Inhalte direkt auf dem eigenen Gerät, ohne es zu wissen. Diese Inhalte werden dann in Form von Anhängen an weitere Mitarbeiter gesendet. 

Cyber Kill Chain: Framework zur Identifizierung und Verhinderung von Cyber Intrusion

Cyber Kill Chain ist ein von Lockheed Martin entwickeltes Framework zur Identifizierung und Verhinderung von Cyber Intrusion. Es definiert die Schritte, mit denen Angreifer ihre Ziele erreichen. E-Mail gilt dabei als das wichtigste Vehikel zur Verbreitung von Malware mit dateibasierten und dateilosen Techniken.

Gezielte Spear-Phishing-Kampagnen mit E-Mails sind zur Methode der Wahl von Angreifern geworden, um Zugriff auf Netzwerke, Systeme und Daten zu erlangen. In der Vergangenheit haben Unternehmen verschiedene E-Mail Security-Lösungen wie „Secure Email Gateways“ (SEG) eingesetzt und mit unternehmensinternen Aufklärungskampagnen kombiniert. Heute werden Angriffe allerdings immer detaillierter ausgearbeitet. Insbesondere werden dabei auch unerwartete Kommunikationsarten wie vermeintlich geschäftliche E-Mails genutzt.

Ist Ihr CEO das trojanische Pferd für E-Mail Security?

Eine der am häufigsten gewählten Varianten für gezieltes Spear-Phishing ist der sogenannte CEO-Betrug oder „Geschäftsführerbetrug“. Cyberkriminelle fälschen E-Mail-Konten von Unternehmen und geben sich als Führungskräfte aus. Über E-Mail oder andere Kommunikationskanäle versuchen sie, Mitarbeiterinnen und Mitarbeiter aus Buchhaltung oder Personalwesen zur Autorisierung von Überweisungen oder zum Versenden vertraulicher Steuerdaten zu verleiten. Dabei wird versucht, Führungskräfte des Unternehmens als trojanische Pferde zur Umgehung der E-Mail Security einzusetzen. Neue und modifizierte Malware-Varianten und Zero-Day-Bedrohungen werden mit historischen IPS-Signaturen und heuristischen Techniken, die bei vielen älteren E-Mail Security-Lösungen noch immer Stand der Technik sind, nicht in ausreichendem Umfang erkannt.

Deshalb besteht bei Unternehmen ein noch nie da gewesener Bedarf an Schutz gegen bösartige Inhalte (Anhänge und URLs) sowie gegen inhaltslose Arten von E-Mail-Angriffen (Spam, Spear-Phishing, BEC). In einem Cyber Security-Markt, in dem es von Anbietern und Produkten wimmelt, die sich alle als bahnbrechend bezeichnen, ist es für Kunden eine große Herausforderung, das richtige E-Mail Security-Produkt auszuwählen, ein Bereitstellungs-Framework aufzusetzen und die relevanten Funktionen und Services sinnvoll zu konfigurieren, um eine optimale Security Posture zu erreichen.

In diesem Beitrag beschreibe ich Schritt für Schritt die kritischen Aspekte der E-Mail Security, alle wichtigen Funktionen, die E-Mail Security-Produkte unterstützen müssen, sowie die Integration in bestehende Infrastrukturen.

Referenzarchitektur für ein E-Mail Security-Gateway

Viele Kunden setzen bereits Next Generation Firewalls ein oder planen die Migration älterer Firewalls. Durchdacht angewendet, bietet Next Generation Firewall-Technologie vollständige Transparenz, Kontrolle, Threat Prevention und Sandboxing-Funktionen sowie viele weitere Vorteile. Mit Kombinationen aus E-Mail Security-Lösungen und Next Generation Firewalls lassen sich umfassende Schutzlösungen gegen zielgerichtete Angriffe aufbauen, die auch E-Mail-Angriffsvektoren abwehren können.

In einem typischen einfachen Netzwerk kann ein E-Mail Security Gateway physisch oder virtuell umgesetzt werden (mit VmWare ESXi, KVM, HyperV und ähnlichen Systemen). Er wird optimalerweise hinter einer Next Generation Firewall positioniert. E-Mail Security Gateways sind auch für Public Cloud-Bereitstellungen verfügbar. Sie decken damit das gesamte Spektrum von Mailserver-Bereitstellungen in eigenen Rechenzentren, in der Cloud und über SaaS ab.

Selbst wenn Sie über eine oder mehrere lokale Microsoft Exchange-, SaaS-basierte Office 365- oder Google Suite-Bereitstellungen oder über eine hybride Konfiguration mit mehreren Domains verfügen, können Sie E-Mails nahtlos sichern, indem Sie an einem Ihrer Standorte ein E-Mail Security Gateway einsetzen, mit dem alle Mailserver unterstützt werden – im eigenen Rechenzentrum oder in der Cloud.

Worauf Sie bei E-Mail Security Gateways achten sollten

Entscheidende Merkmale von E-Mail Security Gateway-Lösungen:

1. Effektive Anti-Spam-Funktionen für E-Mail

Einsatz von Techniken zur Absender-, Protokoll- und Inhaltskontrolle, um Netzwerke sowie Benutzer von unerwünschten Massen-E-Mails abzuschirmen. Zu den Basistechniken gehört die Auswertung von IP- und Domain-Reputationen. Darüber hinaus lassen sich Validierungsmethoden wie Bounce, Authentifizierung und Empfängerverifizierung sowie DMARC-, SPF- und DKIM-Checks einsetzen.

2. Anti-Virus und Anti-Malware für E-Mail – für bekannte Objekte und Zero Day

Mehrstufiger Anti-Virus-Schutz in der Cloud, um Viren und andere Bedrohungen zu stoppen, bevor sie das Netzwerk erreichen. Vorhersagetechnologie mit heuristischen Techniken, um neu aufkommende Viren zu bekämpfen. Effektive E-Mail Security muss die Benutzer davor schützen, Links zu folgen, die auf Websites mit Malware führen. Mit Sandbox-Analysen, bei denen E-Mail-Anhänge ausgeführt und URLs aufgerufen werden, lässt sich das Laufzeitverhalten von Dateien und Links bewerten, die in E-Mails und E-Mail-Anhänge eingebettet sind.

3. Data Loss Prevention (DLP) für E-Mail

Vermeidung von Datenverlust mit einem zentralisierten richtliniengesteuerten DLP-Filter, der aus Benutzersicht transparent ist. Werden von Benutzern E-Mails mit relevanten Inhalten gesendet, die den DLP-Richtlinien entsprechen, lassen sich automatisch entsprechende Maßnahmen auslösen. Mit DLP-Wörterbüchern und -Identifikatoren werden automatisch aktualisierbare Richtlinien mit hoher Treffsicherheit erstellt.

4. E-Mail-Archivierung und -Speicherung

Archivierung eingehender, ausgehender und interner Nachrichten, die von Microsoft Exchange-Servern und Office 365-Konten empfangen und gesendet werden. Um die Metadaten von E-Mails zu schützen, muss sichergestellt sein, dass alle E-Mails sowohl am Entstehungsort als auch am Zielort archiviert werden. Für die Einhaltung der EU-Datenschutzvorschriften müssen E-Mails europäischer Kunden in der EU archiviert werden, E-Mails US-amerikanischer Kunden in den USA. Klare Regeln zur Unterstützung detaillierter E-Mail-Archivprotokolle sind ein weiterer Schlüssel zu optimaler E-Mail Security in Unternehmen.

5. Schutz vor E-Mail-Betrug mit DMARC/DKIM/SPF

Domain‐based Message Authentication, Reporting & Conformance (DMARC) ist die neueste Technik für die E-Mail-Authentifizierung. Der DMARC-Standard zur Verhinderung von E-Mail-Missbrauch wurde erstmals 2012 veröffentlicht. DMARC wurde von PayPal in Zusammenarbeit mit Google, Microsoft und Yahoo entwickelt.

Mit DMARC erhalten Unternehmen Einblick in ihre E-Mail-Kommunikation. Auf Basis der gewonnenen Erkenntnisse können sie an der Implementierung und Durchsetzung einer DMARC-Richtlinie für ihre E-Mail Security arbeiten.

Bei Umsetzung der DMARC-Richtlinie p=reject sind Unternehmen geschützt gegen:
Phishing bei Kunden des Unternehmens

  • Markenmissbrauch und -betrug
  • Malware- und Ransomware-Angriffe
  • Spear-Phishing und CEO-Betrug (für eigene Mitarbeiter relevant)

Mit DMARC werden Einblicke in Phishing-Angriffe möglich. So können Kunden im Voraus über Angriffe informiert und für das richtige Verhalten sensibilisiert werden. DMARC beruht auf den weit verbreiteten Protokollen SPF (Sender Policy Framework) und DKIM (Domain Keys Identified Mail). Mit SPF wird der Absender authentifiziert, mit DKIM die Nachricht.

DMARC verwendet DKIM, um sicherzustellen, dass Nachrichten nicht manipuliert sind. Bei der Absenderauthentifizierung wird SPF genutzt. E-Mail-Empfänger erhalten auch Hinweise zu möglichen Reaktionen bei fehlgeschlagener E-Mail-Authentifizierung. Allerdings bleibt es den E-Mail-Gateways der Empfänger überlassen, ob sie diese Hinweise befolgen. DMARC-Domaininhaber instruieren E-Mail-Gateways, wie mit nicht authentifizierten E-Mails über eine DMARC-Richtlinie verfahren werden soll.

Das DMARC-Framework für die E-Mail-Authentifizierung besteht aus drei Hauptbausteinen:

  1. SPF-Record-Erstellung
    Angaben dazu, welche IP-Adressen berechtigt sind, E-Mails im Namen der Domains Ihres Unternehmens zu senden.
  2. DKIM-Signierung
    Übermittlung von Nachrichten in einer Form, die Mailbox-Providern Prüfmöglichkeiten gibt.
  3. DMARC-Implementierung
    Sperrung bösartiger Nachrichten, die von Ihren eigenen Absender-Domains abgehen, bevor sie im Posteingang landen.

Die Implementierung von E-Mail-Authentifizierung mit DMARC sorgt dafür, dass sich Empfänger auf die Identität von Absendern verlassen können.

Ich hoffe, dass ich Ihnen mit den hier dargestellten Informationen einen guten Einblick in die ersten Schritte zum Schutz des E-Mail-Verkehrs in Ihrem Unternehmen geben konnte. Wenn Sie

Kunal Biswas - 26 Juli 2019

Diese Seite teilen: