Während Sicherheitsorganisationen Milliarden pro Jahr für die Verbesserung der E-Mail-Sicherheit ausgeben, scheint sich das Problem schneller zu verschlimmern als es besser wird. Informieren Sie sich über die sieben Hauptgründe, warum dies der Fall ist, und was Sie tun können, um den Schutz Ihrer Organisation zu verbessern.

Nachdem ich kürzlich meinen Blog "Warum die Cybersicherheit sich nie zu verbessern scheint und was man dagegen tun kann" veröffentlicht habe, dachte ich, ich würde meine Sicherheitsbetrachtung etwas weiter auf das Thema E-Mail-Sicherheit eingrenzen. Wie kommt es, dass E-Mails nach wie vor der Hauptangriffsvektor für die meisten erfolgreichen Cyberkriminellen sind, obwohl jedes Jahr Milliarden von Dollar ausgegeben werden, um sie zu verhindern? Auf makroökonomischer oder globaler Ebene scheint das Problem nicht besser, sondern schlimmer zu werden.

Was folgt, ist eine Diskussion der sieben Schlüsselfaktoren, die die anhaltende Herausforderung der E-Mail-Sicherheit vorantreiben, und was wir dagegen tun können.

  1. Es gibt immer eine Krise, eine Jahreszeit oder ein hochemotionales Thema, das für Social Engineering von Cyberkriminellen genutzt wird. Gegenwärtig durchleben wir die globale Corona-Krise. So gut wie jeder Einzelne und Geschäftsmann interessiert sich für die neuesten Virusnachrichten, den besten Ort, um PSA zu kaufen, oder ja, sogar wer Toilettenpapier vorrätig hat. Aber natürlich kommen Weihnachten, Ostern, politische Kampagnen, Hurrikane und Flächenbrände, Steuern und viele andere motivierende Themen auch viele Male im Jahr vor. Und die Angreifer planen und reagieren entsprechend auf diese Themen. Tatsächlich nutzten in den Wochen, nachdem die COVID-Pandemie erstmals ausgerufen wurde, etwa 10% der von Mimecast blockierten Spam- und Phishing-E-Mails den Virus aus. Cyberkriminelle schwenken schnell auf die beste Art und Weise, um die Aufmerksamkeit ihrer beabsichtigten Opfer zu erregen und ihre Haken an ihre Ziele zu phischen.
  2. E-Mail hat alles, was Angreifer brauchen. Ganz gleich, ob der Bedrohungsakteur einfach oder raffiniert ist, E-Mail ist regelmäßig der Eintrittspunkt in eine Organisation. Warum? E-Mail ist allgegenwärtig, mit Milliarden von Benutzern, global, extrem zuverlässig, relativ anonym, kostenlos, allgemein vertrauenswürdig für den Durchschnittsbürger und technisch sehr flexibel. Wie viele andere gebräuchliche Technologien kombinieren die Möglichkeit, Dateien, Links und angepassten Text zu versenden, mit einem Aussehen, das unendlich flexibel ist und völlig dem Absender überlassen bleibt, und das tatsächlich so konzipiert ist, dass es Domain-Spoofing ermöglicht? Ist es wirklich eine Überraschung, dass E-Mail der Angriffsvektor ist? Und die Kombination von E-Mail und Web gibt dem Angreifer einen massiven 1-2-Schlag.
  3. Das ungesicherte Internet. Wie ich bereits in dem bereits erwähnten Blog Why Cybersecurity Never Seems to Improve (Warum die Cybersicherheit sich nie zu verbessern scheint) sagte, ist das Internet sowohl unglaublich wertvoll, als auch unglaublich riskant; ohne ordnungsgemäße Überwachung und mehrschichtige Sicherheitskontrollen kann jeder wie jeder andere E-Mails versenden und E-Mail- und Webdomänen registrieren und Websites einrichten, die genau so aussehen, wie der Eigentümer es wünscht. Gibt es irgendeine Überraschung, dass dies reif für böswillige Spoofing und Betrug ist? Es erfordert zusätzlichen Aufwand, seine E-Mail-Domains mit DMARC zu sperren und das Internet nach den verschiedenen Möglichkeiten zu durchsuchen, wie die eigene Online-Marke ausgenutzt wird.
  4. Die mangelnde Sicherheitshygiene stellt ein allgemeines Problem dar. Wenn Unschuldige im Internet oder E-Mail-Dienste von Cyberkriminellen gehackt werden, werden sie sehr oft dazu benutzt, Angriffe gegen ihre eigentlichen Ziele zu starten. Warum machen die Bedrohungsakteure das? Auf der Webseite ist es viel schwieriger, sich gegen bösartige Seiten zu verteidigen, die auf ansonsten hoch angesehenen Web-Domains gehostet werden. Und vergessen Sie nicht die DNS-Einträge von Webseiten. Wenn der Angreifer administrative Zugriffe für den DNS-Eintrag einer legitimen Website erhalten kann, ist es für den Angreifer sehr einfach, eine Subdomain - badsite.goodsite.com - zu registrieren und den Verkehr zu einer bösartigen Website zu leiten, die den guten Ruf der Domain goodsite.com auslaugt. In ähnlicher Weise kann der Angreifer bei gepwneten E-Mail-Konten diese unschuldigen E-Mail-Dienste für Unbeteiligte als Relais für seine Phishing-Kampagnen nutzen und so ebenfalls ihren guten Ruf ausnutzen.
  5. Der Wechsel zu Microsoft 365 (früher bekannt als Office 365) führt zu einer Störung der E-Mail-Sicherheit. Und schlimmer noch: Organisationen, die zu 100 % von den integrierten Anti-Phishing-Diensten abhängig sind, die mit der Plattform geliefert werden, sind in hohem Maße anfällig für verschiedene Formen von Phishing. Verstehen Sie mich nicht falsch, Microsoft 365 ist ein großartiger Service - über 200 Millionen tägliche Benutzer können sich nicht irren! Aber denken Sie wie ein Cyberkrimineller: Sobald klar ist, dass Sie Microsoft 365 verwenden (indem Sie einfach Ihren MX-Eintrag überprüfen), kann der Cyberkriminelle sicher sein, dass der Angriff, der erfolgreich auf seiner Instanz von Microsoft 365 ausgeführt wird, auch Ihre Instanz von Microsoft 365 durchdringt. Setzen Sie Microsoft ein, um Microsoft auf der Betriebssystemebene Ihrer Clients und Server zu schützen? Warum nicht? Dieselbe Logik gilt für die E-Mail-Sicherheit.
  6. Viele Organisationen verfügen über alte oder unvollständige E-Mail-Sicherheitsvorkehrungen. Im kürzlich veröffentlichten Bericht über den Stand der E-Mail-Sicherheit wurde berichtet, dass nur 60% der Organisationen "über eine Art Sicherheitssystem verfügen, um ihre Daten oder Mitarbeiter bei internen und ausgehenden E-Mails zu schützen". Das bedeutet, dass ein beträchtlicher Teil der Organisationen nur zu versuchen scheint, sich gegen eingehende E-Mails zu schützen, aber sobald der Angreifer in ihr E-Mail-System gelangt, ist er im Wesentlichen blind für die beiden anderen Vektoren des E-Mail-Verkehrs. Man will nicht zu dem schlechten Internet-Nachbarn werden, den ich in Nr. 4 oben beschrieben habe, aber viele sind es.
  7. Schulungsprogramme für schwaches Sicherheitsbewusstsein. Im Bericht über den Stand der E-Mail-Sicherheit wurde auch die Tatsache erwähnt, dass nur eine von fünf Organisationen mindestens einmal im Monat eine Schulung des Sicherheitsbewusstseins durchführt. Wie können wir erwarten, dass die Mitarbeiter im Alltag sich der neuesten Angriffsarten sowohl bewusst als auch vorsichtig sind, wenn sie nur vielleicht ein- oder zweimal pro Jahr informiert werden? Und um welche Art von Ausbildung handelt es sich dabei? Langweilig? Stundenlange Powerpoint-Folien? Mit anderen Arten von Compliance-Schulungen kollidieren? Während die überwiegende Mehrheit der Organisationen irgendeine Form der Schulung des Sicherheitsbewusstseins durchführt - was großartig ist - machen es relativ wenige richtig. Tatsächlich sind die Ergebnisse ziemlich krass: Mimecast-Daten zeigen, dass Kunden ohne Mimecast Awareness Training mit 5x höherer Wahrscheinlichkeit auf bösartige Links in E-Mails klicken, als Kunden, die diese verwenden.

Was können Sie dagegen tun?

Die obige Liste und Diskussion kann entmutigend erscheinen. Dies ist schließlich der Grund, warum die E-Mail-Sicherheit und ihr enger Vetter, die Web-Sicherheit, für Verteidiger so herausfordernd und für Cyberkriminelle so nützlich sind. Zwar gibt es keine einfache Lösung, die die Sicherheitsprobleme im Alleingang lösen kann, aber es gibt bewährte bewährte Verfahren, die zusammengenommen das Risiko von Sicherheitsvorfällen dramatisch reduzieren können. Was die technischen Kontrollen betrifft, so können Sicherheitssysteme mit erstklassigen E-Mail-/DMARC-, Web-/Web-Überwachungs-, Netzwerk-, Endpunkt- und Multi-Faktor-Authentifizierungssystemen wertvolle präventive Sicherheit bieten. Kombinieren Sie diese und andere technische Kontrollen mit zweckgerechter Schulung des Sicherheitsbewusstseins und anderen Möglichkeiten, Ihre Sicherheitskultur zu verbessern, und Sie werden viel dafür getan haben, zwei Beine des dreibeinigen Sicherheitsschemels festzunageln.

Was ist das andere Bein des Hockers? Prozess. Jeder wichtige Geschäftsprozess, der über einen Single Point of Failure gestört oder ausgenutzt werden kann, ist nicht ausreichend belastbar. Schauen Sie sich diese also genau an und tun Sie, was Sie können, um sie widerstandsfähiger und damit weniger anfällig für die Aktionen von Cyberkriminellen zu machen.

 

Sie wollen noch mehr Artikel wie diesen? Abonnieren Sie unseren Blog.

Erhalten Sie alle aktuellen Nachrichten, Tipps und Artikel direkt in Ihren Posteingang

Das könnte Ihnen auch gefallen:

Why Cybersecurity Never Seems to Improve, and What You Can Do About It

Die Sicherheitsverteidigung verbessert sich, aber die Cyber...

Die Sicherheitsverteidigung verbessert sich, aber die Cyberkriminellen bewegen sich schnell... Weiterlesen >

Matthew Gardiner

von Matthew Gardiner

Principal Security Strategist

Veröffentlicht 03. Juni 2020

The Impact of COVID-19 on Cyber Security Insurance

Die Cyber-Bedrohungen nehmen zu, da die Mitarbeiter w...

Cyber-Bedrohungen nehmen zu, da die Mitarbeiter aufgrund von Cyber-Bedrohungen von zu Hause aus arbeiten... Weiterlesen >

Randi Gollin

von Randi Gollin

Veröffentlicht 08. Juni 2020

Ransomware kehrt mit einer neuen Masche zurück: Bezahlen Sie oder wir veröffentlichen

Lösegeld-Angriffe sind größer geworden und...

Ransomware-Angriffe sind größer und raffinierter geworden... Lesen Sie mehr >

Mercedes Cardona

von Mercedes Cardona

Mitwirkender Verfasser

Veröffentlicht 10. Juni 2020