IT-Sicherheit: Der Feind im eigenen Posteingang

Angriffe auf E-Mail-Konten werden auch weiterhin eine der beliebtesten Methode von Cyberkriminellen sein, um an sensible Unternehmensdaten zu gelangen. Obwohl Klassiker wie kompromittierte E-Mail-Anhänge oder Links immer noch ihren Zweck erfüllen, wollen sich Angreifer darauf nicht unbedingt verlassen: Social Engineering oder die Verwendung gestohlener Anmeldeinformationen für den geplanten Datenklau sind weitaus diffizilere Taktiken. Und so sorgen ineffiziente Reaktionen auf E-Mail-Angriffe bei Unternehmen jedes Jahr für Milliardenverluste. Denn für viele Unternehmen ist das Auffinden, Identifizieren und Entfernen von E-Mail-Bedrohungen ein langsamer, manueller und ressourcenaufwendiger Prozess. Wertvolle Zeit, die oft zur weiteren Verbreitung eines Angriffs führen kann.

Durchschnittlich landen bei 10 Mitarbeitern Phishing-Angriffe im Posteingang

Um Bedrohungsmuster und Reaktionspraktiken besser zu verstehen, untersuchten Barracuda-Security-Analysten rund 3.500 Unternehmen – mit einem eindeutigen Ergebnis: Ein Unternehmen mit 1.100 Anwendern erlebt etwa 15 E-Mail-Sicherheitsvorfälle pro Monat. Ein „Vorfall" bezieht sich auf bösartige E-Mails, die es an IT-technischen Sicherheitslösungen vorbei in die Posteingänge der Benutzer geschafft haben. Sobald diese Vorfälle identifiziert sind, müssen sie priorisiert und untersucht werden, um ihren Umfang und ihren Bedrohungsgrad zu bestimmen. Wenn sich herausstellt, dass es sich um eine Bedrohung handelt, müssen auch Abhilfemaßnahmen getroffen werden. Durchschnittlich sind 10 Mitarbeiter von jedem Phishing-Angriff betroffen, der es schafft, bis in den jeweiligen Posteingang durchzukommen. Wie oben erwähnt, funktionieren bösartige Links immer noch: Drei Prozent der Mitarbeiter lassen sich von einem Phishing-Link täuschen, indem sie diesen anklicken und damit die gesamte Organisation den Angreifern ausliefern. Hacker benötigen nur diesen einen Klick oder eine E-Mail-Antwort, um einen Angriff erfolgreich durchzuführen. Da ist es gut zu wissen, dass Unternehmen, die ihre Benutzer schulen, nach bereits zwei Schulungseinheiten eine 73-prozentige Verbesserung der Genauigkeit der vom Benutzer gemeldeten E-Mails feststellen können.

Im Folgenden beleuchtet der Artikel erkannte Bedrohungsmuster und Reaktionspraktiken näher und stellt Maßnahmen vor, die IT-Security-Teams ergreifen können, um die Reaktion ihres Unternehmens auf E-Mail-Bedrohungen nach der Zustellung spürbar zu verbessern.

E-Mail-Bedrohungen nach der Auslieferung - Die Aktivitäten, die durchgeführt werden, um die Nachwirkungen eines Sicherheitsverstoßes und die Bedrohungen, die nach der Auslieferung auftreten, zu bewältigen, werden allgemein als Incident Response bezeichnet. Eine effektive Reaktion auf einen Vorfall zielt darauf ab, die Sicherheitsbedrohung schnell zu beheben, um die Ausbreitung des Angriffs zu stoppen und den potenziellen Schaden zu minimieren.

Da Hacker immer raffiniertere Social-Engineering-Techniken einsetzen, sind E-Mail-Bedrohungen sowohl für IT-technische Kontrollen als auch für E-Mail-Benutzer immer schwieriger zu erkennen. Es gibt keine IT-Security-Lösung, die sämtliche Angriffe verhindern könnte. Ebenso versäumen es Benutzer, verdächtige E-Mails - entweder mangels Schulung oder Nachlässigkeit - immer zu melden. Tun sie es doch, und ist die Genauigkeit der gemeldeten Nachrichten mangelhaft, führt dies zu einer Verschwendung von IT-Ressourcen. Ohne eine effiziente Incident-Response-Strategie können Bedrohungen oft unentdeckt bleiben - bis es zu spät ist.

Bedrohungen mit Threat Hunting effektiv entdecken

Es gibt mehrere Möglichkeiten, wie sich E-Mail-Bedrohungen identifizieren lassen, um sie anschließend beheben zu können. Benutzer können sie melden, IT-Teams können intern auf Bedrohungsjagd gehen, soll heißen das sogenannte Threat Hunting einleiten, oder sie können externe Anbieter beauftragen, die Angriffe zu beseitigen. Daten zu bereits behobenen Bedrohungen, die Unternehmen untereinander austauschen, sind in der Regel zuverlässiger als vom Benutzer gemeldete Hinweise.

Barracudas Analysten fanden heraus, dass die meisten Vorfälle (67,6 Prozent) durch vom IT-Team eingeleitete, interne Threat-Hunting-Untersuchungen entdeckt wurden. Diese Untersuchungen lassen sich auf unterschiedliche Weise durchführen. Üblicherweise werden Nachrichtenprotokolle durchsucht oder Schlüsselwort- beziehungsweise Absendersuchen in zugestellten E-Mails durchgeführt. Weitere 24 Prozent der Vorfälle gingen zurück auf von Benutzern gemeldete E-Mails. Rund acht Prozent wurden mithilfe von Bedrohungsdaten aus der Community, das verbleibende knappe halbe Prozent durch andere Quellen wie automatisierte oder bereits behobene Vorfälle entdeckt.

Zwar sollten Unternehmen ihre Belegschaft immer ermutigen, verdächtige E-Mails zu melden. Allerdings bedeutet ein Strom von durch Benutzer gemeldeten E-Mails für ressourcenlimitierte IT-Teams auch eine große Belastung. Eine gute Möglichkeit, die Genauigkeit der Anwenderberichte zu erhöhen, besteht darin, konsequente Schulungen zum Sicherheitsbewusstsein durchzuführen.

Drei Prozent der E-Mail-Nutzer klicken auf Links in bösartigen E-Mails

Sobald IT-Security-Teams bösartige E-Mails identifiziert und bestätigt haben, müssen sie den möglichen Umfang und die Auswirkungen des Angriffs einschätzen. Die Identifizierung aller Personen innerhalb einer Organisation, die bösartige Nachrichten erhalten haben, kann ohne die richtigen Tools unglaublich zeitaufwändig sein.

Drei Prozent der Mitarbeiter eines Unternehmens klicken auf einen Link in einer bösartigen E-Mail und setzen damit das gesamte Unternehmen Angreifern aus. Mit anderen Worten: In einer durchschnittlichen Organisation mit 1.100 E-Mail-Nutzern klicken jeden Monat etwa fünf davon auf einen bösartigen Link an. Damit nicht genug: Mitarbeiter leiten bösartige Nachrichten weiter oder beantworten diese und verbreiten damit die Angriffe nicht nur innerhalb ihres Unternehmens, sondern auch extern. Der Wert mag auf den ersten Blick gering erscheinen, seine Auswirkungen sind deshalb aber nicht weniger erheblich. Hacker brauchen nur einen Klick oder eine Antwort, damit ein Angriff erfolgreich ist. Und es dauert nur 16 Minuten, bis ein Benutzer einen bösartigen Link anklickt. Eine schnelle Untersuchung und Abhilfe sind deshalb der Schlüssel, um die Sicherheit des Unternehmens aufrechtzuerhalten.

Bösartige E-Mails verbringen 83 Stunden in Posteingängen, bevor sie entfernt werden

Die Beseitigung von E-Mails kann ein langwieriger und zeitraubender Prozess sein. Im Schnitt dauert es dreieinhalb Tage, von dem Moment an, in dem ein Angriff in den Posteingängen der Benutzer landet, bis diese ihn entweder melden oder das Security-Team ihn entdeckt, und die Attacke schließlich eliminiert wird. Gezielte Security-Schulungen können diese lange Zeit erheblich verkürzen, indem sie die Genauigkeit, der von den Anwendern gemeldeten Angriffe verbessern. Der zusätzliche Einsatz automatischer Abwehrtools kann die Angriffe automatisch erkennen und beheben. Tatsächlich aktualisieren nur fünf Prozent der Unternehmen ihre Web-Sicherheit, um den Zugriff auf bösartige Websites für das gesamte Unternehmen zu blockieren. Grund dafür ist meistenteils die fehlende Integration zwischen Incident Response und Web-Sicherheit.

Im Folgenden fünf Best Practices zum Schutz vor Bedrohungen nach der Auslieferung:

• Schulungen der Mitarbeiter, um die Genauigkeit und den Umfang der gemeldeten Angriffe zu verbessernRegelmäßige Schulungen sorgen dafür, dass Sicherheitspraktiken im Gedächtnis bleiben und die Genauigkeit der gemeldeten Bedrohungen die IT-Abteilung dahingehend entlastet, zu viel Zeit mit der Untersuchung nicht bösartiger, sondern nur lästiger Junk-Mails zu verbringen. 
• Community als Quelle potenzieller BedrohungenGemeinsam genutzte Bedrohungsdaten sind ein wirksames Mittel gegen sich entwickelnde Bedrohungen, die Daten und E-Mail-Nutzer gefährden. Ähnliche und manchmal identische E-Mail-Bedrohungen betreffen mehr als eine Organisation, da Hacker häufig dieselben Angriffstechniken für mehrere Ziele einsetzen. Erkenntnisdaten anderer Organisationen zu sammeln, ist ein effektiver Ansatz, um groß angelegte Angriffe abzuwehren. Eine Incident-Response-Lösung, die auf gemeinsame Bedrohungsdaten zugreifen und diese nutzen kann, hilft, eine effektive Bedrohungssuche durchzuführen und potenzielle Vorfälle zu melden. 
• Threat Hunting Tools für eine schnellere Untersuchung von Angriffen Die Aufdeckung potenzieller Bedrohungen sowie die Identifizierung des Umfangs des Angriffs und aller betroffenen Benutzer kann unter Umständen Tage dauern. Unternehmen sollten Threat Hunting-Tools einsetzen, die ihnen Einblick in die Mails nach der Zustellung geben. Diese Tools können verwendet werden, um Anomalien in bereits zugestellten E-Mails zu identifizieren, schnell nach betroffenen Benutzern zu suchen und zu sehen, ob diese mit bösartigen Nachrichten interagiert haben. 
• Verteidigungsmaßnahmen automatisieren Der Einsatz automatisierter Incident-Response-Systeme kann die Zeit, die benötigt wird, um verdächtige E-Mails zu identifizieren, sie aus den Posteingängen aller betroffenen Benutzer zu entfernen und Prozesse zu automatisieren, die die Abwehr zukünftiger Bedrohungen stärken, erheblich reduzieren. 
• Integrationspunkte nutzen Unternehmen sollten nicht nur ihre Workflows automatisieren, sondern auch ihre Incident Response mit E-Mail- und Web-Sicherheit integrieren, um Angriffe zu verhindern. Die bei der Reaktion auf Vorfälle gesammelten Informationen lassen sich auch zur automatischen Problembehebung und zur Identifizierung verwandter Bedrohungen einsetzen.

  Eine schnelle und automatisierte Reaktion auf Vorfälle ist mittlerweile wichtiger denn je, da ausgefeilte Spear-Phishing-Angriffe zur Umgehung der E-Mail-Sicherheit immer häufiger auftreten. Im Wettlauf gegen Cyberkriminelle verbessert die Automatisierung der Incident Response daher erheblich die Reaktionszeit auf Vorfälle, hilft die Unternehmenssicherheit zu stärken, Schäden zu begrenzen und spart IT-Teams wertvolle Zeit und Ressourcen.