Angriffe auf E-Mail-Konten werden auch weiterhin eine der beliebtesten Methoden von Cyberkriminellen sein, um an sensible Unternehmensdaten zu gelangen. Klassiker wie kompromittierte E-Mail-Anhänge oder Links funktionieren immer noch, wohl auch weil Hacker immer raffiniertere Social-Engineering-Techniken einsetzen.
Social Engineering oder die Verwendung gestohlener Anmeldeinformationen für den geplanten Datenklau sind weitaus diffizilere Taktiken von Cyberkriminellen. Und so sorgen ineffiziente Reaktionen auf E-Mail-Angriffe bei Unternehmen jedes Jahr für Milliardenverluste. Denn für viele Unternehmen ist das Auffinden, Identifizieren und Entfernen von E-Mail-Bedrohungen ein langsamer, manueller und ressourcenaufwendiger Prozess. Wertvolle Zeit, die oft zur weiteren Verbreitung eines Angriffs führen kann.
Durchschnittlich landen bei 10 Mitarbeitern Phishing-Angriffe im Posteingang
Um Bedrohungsmuster und Reaktionspraktiken besser zu verstehen, untersuchten Barracuda-Security-Analysten rund 3.500 Unternehmen – mit einem eindeutigen Ergebnis: Ein Unternehmen mit 1.100 Anwendern erlebt etwa 15 E-Mail-Sicherheitsvorfälle pro Monat. Ein „Vorfall“ bezieht sich auf bösartige E-Mails, die es an IT-technischen Sicherheitslösungen vorbei in die Posteingänge der Benutzer geschafft haben. Sobald diese Vorfälle identifiziert sind, müssen sie priorisiert und untersucht werden, um ihren Umfang und ihren Bedrohungsgrad zu bestimmen. Wenn sich herausstellt, dass es sich um eine Bedrohung handelt, müssen auch Abhilfemaßnahmen getroffen werden. Durchschnittlich sind 10 Mitarbeiter von jedem Phishing-Angriff betroffen, der es schafft, bis in den jeweiligen Posteingang durchzukommen. Wie oben erwähnt, funktionieren bösartige Links immer noch: Drei Prozent der Mitarbeiter lassen sich von einem Phishing-Link täuschen, indem sie diesen anklicken und damit die gesamte Organisation den Angreifern ausliefern. Hacker benötigen nur diesen einen Klick oder eine E-Mail-Antwort, um einen Angriff erfolgreich durchzuführen. Da ist es gut zu wissen, dass Unternehmen, die ihre Benutzer schulen, nach bereits zwei Schulungseinheiten eine 73-prozentige Verbesserung der Genauigkeit der vom Benutzer gemeldeten E-Mails feststellen können.
Folgende Bedrohungsmuster und Reaktionspraktiken sowie Maßnahmen, die IT-Security-Teams ergreifen können, um die Reaktion ihres Unternehmens auf E-Mail-Bedrohungen nach der Zustellung spürbar zu verbessern, wurden erkannt:
1. E-Mail-Bedrohungen nach der Auslieferung
Die Aktivitäten, die durchgeführt werden, um die Nachwirkungen eines Sicherheitsverstoßes und die Bedrohungen, die nach der Auslieferung auftreten, zu bewältigen, werden allgemein als Incident Response bezeichnet. Eine effektive Reaktion auf einen Vorfall zielt darauf ab, die Sicherheitsbedrohung schnell zu beheben, um die Ausbreitung des Angriffs zu stoppen und den potenziellen Schaden zu minimieren.
Da Hacker immer raffiniertere Social-Engineering-Techniken einsetzen, sind E-Mail-Bedrohungen sowohl für IT-technische Kontrollen als auch für E-Mail-Benutzer immer schwieriger zu erkennen. Es gibt keine IT-Security-Lösung, die sämtliche Angriffe verhindern könnte. Ebenso versäumen es Benutzer, verdächtige E-Mails – entweder mangels Schulung oder Nachlässigkeit – immer zu melden. Tun sie es doch, und ist die Genauigkeit der gemeldeten Nachrichten mangelhaft, führt dies zu einer Verschwendung von IT-Ressourcen. Ohne eine effiziente Incident-Response-Strategie können Bedrohungen oft unentdeckt bleiben – bis es zu spät ist.
2. Bedrohungen mit Threat Hunting effektiv entdecken
Es gibt mehrere Möglichkeiten, wie sich E-Mail-Bedrohungen identifizieren lassen, um sie anschließend beheben zu können. Benutzer können sie melden, IT-Teams können intern auf Bedrohungsjagd gehen, soll heißen das sogenannte Threat Hunting einleiten, oder sie können externe Anbieter beauftragen, die Angriffe zu beseitigen. Daten zu bereits behobenen Bedrohungen, die Unternehmen untereinander austauschen, sind in der Regel zuverlässiger als vom Benutzer gemeldete Hinweise.
Barracudas Analysten fanden heraus, dass die meisten Vorfälle (67,6 Prozent) durch vom IT-Team eingeleitete, interne Threat-Hunting-Untersuchungen entdeckt wurden. Diese Untersuchungen lassen sich auf unterschiedliche Weise durchführen. Üblicherweise werden Nachrichtenprotokolle durchsucht oder Schlüsselwort- beziehungsweise Absendersuchen in zugestellten E-Mails durchgeführt. Weitere 24 Prozent der Vorfälle gingen zurück auf von Benutzern gemeldete E-Mails. Rund acht Prozent wurden mithilfe von Bedrohungsdaten aus der Community, das verbleibende knappe halbe Prozent durch andere Quellen wie automatisierte oder bereits behobene Vorfälle entdeckt.
Zwar sollten Unternehmen ihre Belegschaft immer ermutigen, verdächtige E-Mails zu melden. Allerdings bedeutet ein Strom von durch Benutzer gemeldeten E-Mails für ressourcenlimitierte IT-Teams auch eine große Belastung. Eine gute Möglichkeit, die Genauigkeit der Anwenderberichte zu erhöhen, besteht darin, konsequente Schulungen zum Sicherheitsbewusstsein durchzuführen.
Bösartige E-Mails verbringen 83 Stunden in Posteingängen, bevor sie entfernt werden
Die Beseitigung von E-Mails kann ein langwieriger und zeitraubender Prozess sein. Im Schnitt dauert es dreieinhalb Tage, von dem Moment an, in dem ein Angriff in den Posteingängen der Benutzer landet, bis diese ihn entweder melden oder das Security-Team ihn entdeckt, und die Attacke schließlich eliminiert wird. Tatsächlich aktualisieren nur fünf Prozent der Unternehmen ihre Web-Sicherheit, um den Zugriff auf bösartige Websites für das gesamte Unternehmen zu blockieren. Grund dafür ist meistenteils die fehlende Integration zwischen Incident Response und Web-Sicherheit.
Fünf Best Practices zum Schutz vor Bedrohungen nach der Auslieferung
- Schulungen der Mitarbeiter, um die Genauigkeit und den Umfang der gemeldeten Angriffe zu verbessern: Regelmäßige Schulungen sorgen dafür, dass Sicherheitspraktiken im Gedächtnis bleiben und die Genauigkeit der gemeldeten Bedrohungen die IT-Abteilung dahingehend entlastet, zu viel Zeit mit der Untersuchung nicht bösartiger, sondern nur lästiger Junk-Mails zu verbringen.
- Community als Quelle potenzieller Bedrohungen: Gemeinsam genutzte Bedrohungsdaten sind ein wirksames Mittel gegen sich entwickelnde Bedrohungen, die Daten und E-Mail-Nutzer gefährden. Ähnliche und manchmal identische E-Mail-Bedrohungen betreffen mehr als eine Organisation, da Hacker häufig dieselben Angriffstechniken für mehrere Ziele einsetzen. Erkenntnisdaten anderer Organisationen zu sammeln, ist ein effektiver Ansatz, um groß angelegte Angriffe abzuwehren. Eine Incident-Response-Lösung, die auf gemeinsame Bedrohungsdaten zugreifen und diese nutzen kann, hilft, eine effektive Bedrohungssuche durchzuführen und potenzielle Vorfälle zu melden.
- Threat Hunting Tools für eine schnellere Untersuchung von Angriffen: Die Aufdeckung potenzieller Bedrohungen sowie die Identifizierung des Umfangs des Angriffs und aller betroffenen Benutzer kann unter Umständen Tage dauern. Unternehmen sollten Threat Hunting-Tools einsetzen, die ihnen Einblick in die Mails nach der Zustellung geben. Diese Tools können verwendet werden, um Anomalien in bereits zugestellten E-Mails zu identifizieren, schnell nach betroffenen Benutzern zu suchen und zu sehen, ob diese mit bösartigen Nachrichten interagiert haben.
- Verteidigungsmaßnahmen automatisieren: Der Einsatz automatisierter Incident-Response-Systeme kann die Zeit, die benötigt wird, um verdächtige E-Mails zu identifizieren, sie aus den Posteingängen aller betroffenen Benutzer zu entfernen und Prozesse zu automatisieren, die die Abwehr zukünftiger Bedrohungen stärken, erheblich reduzieren.
- Integrationspunkte nutzen: Unternehmen sollten nicht nur ihre Workflows automatisieren, sondern auch ihre Incident Response mit E-Mail- und Web-Sicherheit integrieren, um Angriffe zu verhindern. Die bei der Reaktion auf Vorfälle gesammelten Informationen lassen sich auch zur automatischen Problembehebung und zur Identifizierung verwandter Bedrohungen einsetzen.
Anzeige
Webinare zum Thema Business Software
Trovarit AG, anbieterneutraler Ansprechpartner bei der Auswahl, Einführung und Einsatz-Optimierung von Unternehmens-Software, weitet ihr Webinar-Programm aus:
- Clever digitalisieren
- PLM/PDM – Wissensquelle und Kommunikationszentrale für Produktdaten
- ImplAiX® – Aachener Implementierungsmodell für Business Software
- Anforderungsmanagement: Roter Faden für erfolgreiche ERP-Projekte
- ECM/DMS als strategischer Partner der Digitalisierung uvm.
Eine schnelle und automatisierte Reaktion auf Vorfälle ist mittlerweile wichtiger denn je, da ausgefeilte Spear-Phishing-Angriffe zur Umgehung der E-Mail-Sicherheit immer häufiger auftreten. Im Wettlauf gegen Cyberkriminelle verbessert die Automatisierung der Incident Response daher erheblich die Reaktionszeit auf Vorfälle, hilft die Unternehmenssicherheit zu stärken, Schäden zu begrenzen und spart IT-Teams wertvolle Zeit und Ressourcen.
Der Autor
Dr. Klaus Gheri, General Manager Network Security bei Barracuda Networks
