Diese Mail-Attacken kommen in 2021 auf uns zu – und so können wir uns davor schützen

Mail-Security-Experten von NoSpamProxy veröffentlichen Prognose zu wichtigsten Malware-Trends und Angriffsmethoden auf Mail-Kommunikation in 2021 und fordern zu mehr Kooperation auf.

Paderborn, 4. Februar 2021 – Net at Work GmbH, der Hersteller der modularen Secure-Mail-Gateway-Lösung NoSpamProxy aus Paderborn, veröffentlicht eine Prognose zu fünf bedeutenden Methoden für E-Mail-Angriffe in 2021. Mit einem besonderen Fokus auf den deutschsprachigen Raum und seine spezifischen Gegebenheiten werden dafür vom NoSpamProxy-Team regelmäßig umfangreiche Datenquellen ausgewertet und die aktuelle Bedrohungslage kontinuierlich analysiert.

Mit dem Projekt Heimdall steht seit mehr als einem Jahr auch ein durch Schwarmintelligenz und Big Data getriebener Ansatz zur Analyse zur Verfügung. Heimdall wertet mit modernsten Big-Data-Analysen kundenübergreifend die Metadaten und Links von Millionen von E-Mails und Anhängen aus. Innerhalb von Minuten kann Heimdall so auf neu auftretende Angriffsmuster reagieren und die angeschlossenen Kunden aktiv schützen. Die parallel kontinuierlich wachsende Datenbasis bietet neuartige Chancen für verbesserte Analysen und Prognosen.

Nach Auswertung der Daten aus 2020 über Angriffsmethoden und -formen zum Jahresende erwarten die Security-Experten vor allem folgende fünf Trends für 2021:

1. Bekannte Plattformen wie Google Forms als Sprungbrett

Schon seit langem versuchen Angreifer durch das Erstellen oder Kapern von Postfächern als legitim bekannter E-Mail-Dienste wie Microsoft oder Google, sich die gute Reputation dieser Plattformen zunutze zu machen. Gleichzeitig bemühen sich die Diensteanbieter, durch neue Technologien und Methoden den Versand von Spam und Malware zu verhindern. Aktuell beobachten die Security-Experten in diesem Hase-und-Igel-Spiel ein Ausweichen auf Nebenschauplätze. So maskieren Angreifer E-Mails zum Beispiel als Unzustellbarkeitsbericht oder als Termineinladung und bauen darauf, dass diese Nachrichten von einigen Security-Lösungen weniger strikt behandelt werden.

Auch der Dienst Google Forms wird seit einigen Wochen massiv für den Versand von Spam und Malware missbraucht. Der Gestaltungsspielraum, den Google für den Versand von E-Mails bei Google Forms zulässt, ist unverständlich: Es können beliebige Absenderinformationen eingegeben werden, die Betreffzeilen sind zu 100% anpassbar und die Inhalte werden von Google ganz offensichtlich nicht geprüft.

Für die Hersteller von E-Mail-Security-Lösungen bedeutet dies, dass neue Wege beschritten werden müssen: Die Abwehr solcher Attacken kann nur durch eine Kombination aus Absenderreputation und aktueller Bewertung der konkreten Links erfolgen. Aus der Absenderreputation lassen sich positive Merkmale ermitteln. So ist beispielsweise für E-Mails aus dem Ticketsystem der Deutschen Bahn mittels Prüfung der SPF-, DKIM- oder DMARC-Angaben automatisiert ermittelbar, ob sie aus einem validen System kommen. Für die Bewertung der konkreten Links und Anhänge haben sich zentrale – sprich instanz- und organisationsübergreifende – Reputationsdienste als besonders wirksam erwiesen. Durch die breite Sichtung von Prüfungsergebnissen zu Metadaten von E-Mails, Links und Anhängen in Echtzeit können diese Systeme sehr zeitnah schädliche Links und Anhänge erkennen. Die Kombination von lokalen Prüfungen und zentralen Mitteln bietet damit Geschwindigkeits- und Skalenvorteile. So kann die Indizienkette zur Bewertung einer eingehenden E-Mail schnell, zuverlässig und vor allem umfangreich aufgebaut und überprüft werden.

2. Emotet wird wiederkommen

Zwar konnte das Bundeskriminalamt in der vergangenen Woche verkünden, dass die Emotet-Infrastruktur zerschlagen wurde, aber es ist davon auszugehen, dass die Angreifer ihre Ansätze und Tools weiter verbessern, um dann – in etwas anderer Form – wieder zuzuschlagen. Mit hoher Wahrscheinlichkeit werden URLs, die auf ungesicherte und gekaperte WordPress-Seiten zeigen, wieder eine zentrale Rolle spielen. Klassische URL-Reputationsmechanismen versagen an dieser Stelle, weil die Domänen überwiegend für legitime Webseiten genutzt werden. E-Mail-Sicherheitslösungen müssen in der Lage sein, mit Hilfe eines Webcrawlers den aktuellen Zustand einer zu prüfenden URL untersuchen zu können und die Information, was sich hinter der URL verbirgt, in die Entscheidung einfließen zu lassen.

Verbirgt sich hinter dem Link beispielsweise keine gewöhnliche HTML-Seite, sondern Dateien oder anderweitig aktiver Inhalt, muss der E-Mail mit Skepsis begegnet werden. Findet sich hinter dem zu prüfenden Link eine DOC-Datei, ist dies auf einer WordPress-Seite dabei negativer zu bewerten, als wenn dieselbe Datei auf einer etablierten File-Sharing-Plattform wie OneDrive oder Google Drive liegt.

In beiden Fällen ist es wichtig, dass ein zentraler Reputationsdienst gefragt werden kann, ob die Datei bereits bekannt ist. Die Indizienkette zur Bewertung der E-Mail ist damit vollständiger und das Ergebnis der Prüfung zuverlässiger.

3. Missbrauch von URL-Shortenern

Zum Ende des vergangenen Jahres haben die Security-Experten bei ihrer kontinuierlichen Analyse des Mailverkehrs viel Spam beobachtet, für den herkömmliche HTTP-Forwarder oder URL-Shortener genutzt wurden, um die eigentlichen Links zu verschleiern. Die URLs der Shortener-Dienste werden von gewöhnlichen Klassifizierungsdiensten in der Regel als neutral eingestuft und nicht weiterverfolgt. Das ist eine deutliche Lücke bei der Erkennung schadhafter E-Mails – insbesondere, da teilweise regelrechte Kaskaden an Weiterleitungen genutzt werden, was diese E-Mails noch verdächtiger macht. Auch hier muss die E-Mail-Security-Lösung Crawler einsetzen, um URL-Weiterleitungen sicher nachverfolgen zu können.

4. Passwortgeschützte Container als Blackbox

Auch in 2021 werden zunehmend Angriffe mit verschlüsselten Anhängen durchgeführt werden. Typischerweise steht das Passwort für den verschlüsselten Container gleich mit in der E-Mail. Für den Empfänger ist es so ein Leichtes, den Container zu öffnen – für jedes E-Mail-Security-Gateway aber eine unüberwindbare Hürde. Damit bleiben solche Anhänge meist ungeprüft und stellen ein erhebliches Sicherheitsrisiko dar.

Seriöse Absender sollten für den Austausch sensibler Daten entweder eine vollwertige Inhaltsverschlüsselung in Form von S/MIME oder PGP verwenden, oder den Austausch sensibler Daten über einen entsprechenden Verschlüsselungsmechanismus des Security-Gateways ermöglichen, der hoffentlich im Produkt vorhanden ist. Verschlüsselte Container sollten per Richtlinie als Anhang an einer E-Mail generell ausgeschlossen werden.

5. E-Mails von Angreifern sehen teilweise professioneller aus als legitime E-Mails

Insgesamt lässt sich festhalten, dass die Tools der Angreifer immer ausgefeilter werden und die Angriffe immer professioneller aussehen. Weil sich viele Unternehmen nicht oder nicht ausreichend um die eigene E-Mail-Hygiene kümmern, sind manche Unternehmen schon jetzt in ihrer geschäftlichen Kommunikation häufig schlechter aufgestellt als die Angreifer. Als Konsequenz sehen die E-Mails dieser Unternehmen verdächtiger aus als die von professionellen Spam- und Malware-Sendern. Für die Zustellrate dieser eigentlich legitimen E-Mails ist das nicht nur sehr abträglich, sondern sie machen es ihren Kommunikationspartnern durch ihre Nachlässigkeit zudem schwer, härtere Schutzmechanismen zur Abwehr zu nutzen.

Die eigene E-Mail-Hygiene beginnt bei einem ordentlich gepflegten RDNS-Eintrag für jede IP-Adresse über die E-Mails versendet werden und endet bei gut abgestimmten SPF-, DKIM- und DMARC-Einträgen. Die dringende Empfehlung von Net at Work lautet daher nach wie vor, sich dieser Technologie deutlich mehr zu öffnen und sie konsequent und flächendeckend einzusetzen.

Fazit: Zusammen ist man weniger angreifbar

Als zentraler Mega-Trend in der E-Mail-Sicherheit wird sich auch in 2021 fortsetzen, dass es immer mehr auf die Kooperation der Kommunikationspartner insgesamt ankommt. Viele moderne Angriffsformen lassen sich stand alone kaum noch wirksam erkennen und abwehren, sondern erfordern die direkte oder indirekte Zusammenarbeit der legitimen Kooperationspartner.

Für 2021 wünschen sich die Security-Experten von Net at Work, dass alle Unternehmen und andere Organisationen folgenden Dreiklang an Maximen verfolgen:

1. Eigenverantwortung: Unternehmen und andere Organisationen sollten bei ihrer eigenen E-Mail-Kommunikation ein Höchstmaß an Hygiene umsetzen. Dazu gehört die vollständige Nutzung der Möglichkeiten zur Absenderreputation wie gut abgestimmte SPF-, DKIM- und DMARC-Einträge. Würden alle legitimen Kommunikationsteilnehmer dies tun, würden viele Phishing-, Malware- und CEO-Fraud-Attacken wirkungslos.

2. Verschlüsselung: Die flächendeckende Verschlüsselung der E-Mail-Kommunikation sollte für alle Organisationen die Regel darstellen. Mittlerweile sind viele bewährte Lösungen im Markt verfügbar, die eine Verschlüsselung ohne Aufwand für die Nutzer und mit sehr geringem Administrationsaufwand ermöglichen. Wäre verschlüsselte Kommunikation die Regel, wäre nicht nur die Kommunikation viel besser vor Ausspähung geschützt, sondern wären auch viele Angriffe viel leichter abzuwehren.

3. Zentrale Reputationsdienste: Mit der Schwarmintelligenz gemeinsam genutzter Reputationsdienste lassen sich neue Angriffsvektoren und -muster zum Nutzen aller deutlich schneller und effektiver erkennen. Unternehmen tun gut daran, E-Mail-Security-Werkzeuge zu nutzen, die diese Form der erweiterten Abwehr unterstützen. Gemeinsam ist die Community der legitimen Kommunikationspartner sehr viel besser in der Lage, sich wirksam gegen Cyberkriminelle zu schützen.

„Auch in 2021 wird die Bedrohungslage nicht einfacher. Mit unseren Prognosen möchten wir Unternehmen, Verwaltungen und andere Organisationen dafür sensibilisieren, dass es einer kontinuierlichen und gemeinsamen Anstrengung bedarf, die Sicherheit der E-Mail-Kommunikation weiterhin bestmöglich zu gewährleisten“, erläutert Stefan Cink, Leiter der Business Unit NoSpamProxy und E-Mail-Sicherheitsexperte bei Net at Work. „Mit den richtigen Werkzeugen kann auch auf die zukünftigen Bedrohungen konsequent reagiert werden. Flexibilität und Automatisierung müssen sich hier optimal ergänzen. Für viele Unternehmen sind Managed Services aus der Cloud – wie unser NoSpamProxy Cloud – eine sinnvolle Alternative zum mühsamen Aufbau und Unterhalt eigener Ressourcen.“

Weitere Informationen über die integrierte Mail-Security-Suite NoSpamProxy erhalten Sie hier:
https://www.nospamproxy.de

Interessenten können NoSpamProxy mit telefonischer Unterstützung kostenlos testen:
https://www.nospamproxy.de/de/produkt/testversion

Net at Work unterstützt als IT-Unternehmen seine Kunden mit Lösungen und Werkzeugen für die digitale Kommunikation und Zusammenarbeit. Der Geschäftsbereich Softwarehaus entwickelt und vermarktet mit NoSpamProxy ein innovatives Secure E-Mail-Gateway mit erstklassigen Funktionen für Anti-Spam, Anti-Malware und E-Mail-Verschlüsselung, dem weltweit mehr als 4.000 Kunden die Sicherheit ihrer E-Mail-Kommunikation anvertrauen. Die mehrfach ausgezeichnete Lösung – unter anderem Testsieger im unabhängigen techconsult Professional User Ranking – wird als Softwareprodukt und Cloud-Service angeboten. Mehr zum Produkt unter: www.nospamproxy.de
Im Servicegeschäft ist Net at Work als führender Microsoft-Partner mit acht Gold-Kompetenzen erste Wahl, wenn es um die Gestaltung des Arbeitsplatzes der Zukunft auf Basis von Microsoft-Technologien wie Microsoft 365, SharePoint, Exchange, Teams sowie Microsoft Azure als cloudbasierte Entwicklungsplattform geht. Dabei bietet das Unternehmen die ganze Bandbreite an Unterstützung: von punktueller Beratung über Gesamtverantwortung im Projekt bis hin zum Managed Service für die Kollaborationsinfrastruktur. Über die technische Konzeption und Umsetzung von Lösungen hinaus sorgt das Unternehmen mit praxiserprobtem Change Management dafür, dass das Potential neuer Technologien zur Verbesserung der Zusammenarbeit auch tatsächlich ausgeschöpft wird. Net at Work schafft Akzeptanz bei den Nutzern und sorgt für bessere, sichere und lebendige Kommunikation, mehr und effiziente Zusammenarbeit sowie letztlich für stärkere Agilität und Dynamik im Unternehmen.
Die Kunden von Net at Work finden sich deutschlandweit im gehobenen Mittelstand wie beispielsweise Diebold-Nixdorf, CLAAS, Miele, Lekkerland, SwissLife, Uni Rostock, Würzburger Versorgungs- und Verkehrsbetriebe und Westfalen Weser Energie.
Net at Work wurde 1995 gegründet und beschäftigt derzeit mehr als 100 Mitarbeiter in Paderborn und Berlin. Gründer und Gesellschafter des inhabergeführten Unternehmens sind Uwe Ulbrich als Geschäftsführer und Frank Carius, der mit www.msxfaq.de eine der renommiertesten Websites zu den Themen Office 365, Exchange und Skype for Business betreibt. www.netatwork.de

Firmenkontakt
Net at Work GmbH
Aysel Nixdorf
Am Hoppenhof 32 A
33104 Paderborn
+49 5251 304627
aysel.nixdorf@netatwork.de
http://www.nospamproxy.de

Pressekontakt
bloodsugarmagic GmbH & Co. KG
Team Net at Work
Gerberstr. 63
78050 Villingen-Schwenningen
0049 7721 9461 220
netatwork@bloodsugarmagic.com
http://www.bloodsugarmagic.com

Die Bildrechte liegen bei dem Verfasser der Mitteilung.