Globale Sicherheitstrends 2018: E-Mail-Kommunikation als großes Risiko für Entscheider

Kommunikation per E-Mail stellt ein erhebliches Sicherheitsrisiko für Entscheider in Unternehmen dar: wie der „Global Security Report 2018“ des IT-Sicherheitsunternehmens Trustwave zeigt, waren im Jahr 2017 Phishing-Attacken und Social Engineering per E-Mail mit 55% die führende Methode der Cyber-Kriminalität zu Lasten von Firmen. Dabei spielten der Versand von schädlichen PDF-Dateien sowie Social Engineering eine bedeutende Rolle.

Trustwave analysierte mitprotokollierte Sicherheits- und Compliance-Verletzungen in 21 Ländern. Als wesentlicher Schwachpunkt wurde dabei menschliches Fehlverhalten ausgemacht: „The human factor is still the highest source of weakness for corporate environments, with phishing contributing to more than half of such compromises. We have also seen an increase in threats from malicious insiders, the second most common source of compromise in corporate environments.“

Mit Blick auf Phising – also der Versuch, an persönliche Daten zu gelangen und damit Identitätsdiebstahl zu begehen – spiele im Unternehmensbereich der Versand von schadhaften PDF-Dateien eine erhebliche Rolle. Dazu erhalte der Empfänger eine E-Mail mit einer PDF-Datei als Anlage. Nach dem Öffnen zeige der Anhang einen verschwommenen Text mit dem Hinweis, dass die PDF sicher sei und über einen Link online angeschaut werden müsse. Durch Anklicken des Links werde der Empfänger entweder an eine Website zur Eingabe von Daten weitergeleitet oder es komme automatisch zu einem Download von schadhafter Software.

Neben der Einschleusung schadhafter Software oder der Ausspionierung von Nutzerdaten ist das sog. Social Engineering von zunehmender Bedeutung. Eine mittlerweile weithin bekannte Form ist der CEO Fraud. Ziel solcher Attacken ist meist das mittlere Management: Der Angreifer gibt per E-Mail vor, der CEO des Unternehmens zu sein und verlangt eine Überweisung. Dabei sieht die Absender-Kennung so aus wie die des tatsächlichen CEO. Wie Trustwave hervorhebt, handelt es sich – anders als bei Phising – um individuelle Attacken, für die der Angreifer zunächst Mailadressen erforscht und der Sprache des Empfängers mächtig ist.

Neben reiner E-Mail-Kommunikation wird mittlerweile auch der Weg über soziale Netzwerke gesucht. Dabei werden die Empfänger für eine Aktion dazu aufgefordert, sich mit ihrem Social Media Account anzumelden. Über die gefälschte Seite werden Login-Daten abgefangen und können daraufhin durch den Angreifer auf anderen Plattformen missbraucht werden. Social Engineering ist von Firewalls schwer zu erkennen, weil es für derartige Angriffe keine definierbaren Muster bzw. Regeln und auch keine Dateianhänge gibt. Mögliche Schutzmechanismen auf Basis von künstlicher Intelligenz stecken indes noch in den Kinderschuhen.

Die Ergebnisse machen deutlich, dass E-Mail-Kommunikation nach wie vor eine offene Flanke für Unternehmen ist. Der einzig wirksame Schutz besteht in einer grundlegenden Änderung der Kommunikationskanäle: für interne Kommunikation eignen sich digitale Board Portale wie beispielsweise Diligent, mit denen sowohl Unterlagen auf höchstem Sicherheitslevel ausgetauscht als auch Konversationen über eine Chat-Funktion erfolgen können. Weil es sich um ein geschlossenes System handelt, lässt sich das Risiko von Phising oder Social Engineering ausschließen. Denn auf E-Mails können Geschäftsführer und Vorstände dann weitgehend verzichten.