Der Feind im eigenen Posteingang

Der Feind im eigenen Posteingang
Anzeige

Beitrag teilen

Angriffe auf E-Mail-Konten werden auch weiterhin eine der beliebtesten Methode von Cyberkriminellen sein, um an sensible Unternehmensdaten zu gelangen. Best Practices von Barracuda gegen fehlende Integration zwischen Incident Response und Web-Sicherheit.

Obwohl Klassiker wie kompromittierte E-Mail-Anhänge oder Links immer noch ihren Zweck erfüllen, wollen sich Angreifer darauf nicht unbedingt verlassen: Social Engineering oder die Verwendung gestohlener Anmeldeinformationen für den geplanten Datenklau sind weitaus diffizilere Taktiken. Und so sorgen ineffiziente Reaktionen auf E-Mail-Angriffe bei Unternehmen jedes Jahr für Milliardenverluste. Denn für viele Unternehmen ist das Auffinden, Identifizieren und Entfernen von E-Mail-Bedrohungen ein langsamer, manueller und ressourcenaufwendiger Prozess. Wertvolle Zeit, die oft zur weiteren Verbreitung eines Angriffs führen kann.

Anzeige

Im Schnitt: Phishing-Angriffe auf 10 Mitarbeitern

Um Bedrohungsmuster und Reaktionspraktiken besser zu verstehen, untersuchten Barracuda-Security-Analysten rund 3.500 Unternehmen – mit einem eindeutigen Ergebnis: Ein Unternehmen mit 1.100 Anwendern erlebt etwa 15 E-Mail-Sicherheitsvorfälle pro Monat. Ein „Vorfall“ bezieht sich auf bösartige E-Mails, die es an IT-technischen Sicherheitslösungen vorbei in die Posteingänge der Benutzer geschafft haben. Sobald diese Vorfälle identifiziert sind, müssen sie priorisiert und untersucht werden, um ihren Umfang und ihren Bedrohungsgrad zu bestimmen. Wenn sich herausstellt, dass es sich um eine Bedrohung handelt, müssen auch Abhilfemaßnahmen getroffen werden. Durchschnittlich sind 10 Mitarbeiter von jedem Phishing-Angriff betroffen, der es schafft, bis in den jeweiligen Posteingang durchzukommen. Wie oben erwähnt, funktionieren bösartige Links immer noch: Drei Prozent der Mitarbeiter lassen sich von einem Phishing-Link täuschen, indem sie diesen anklicken und damit die gesamte Organisation den Angreifern ausliefern. Hacker benötigen nur diesen einen Klick oder eine E-Mail-Antwort, um einen Angriff erfolgreich durchzuführen. Da ist es gut zu wissen, dass Unternehmen, die ihre Benutzer schulen, nach bereits zwei Schulungseinheiten eine 73-prozentige Verbesserung der Genauigkeit der vom Benutzer gemeldeten E-Mails feststellen können.

Im Folgenden beleuchtet der Artikel erkannte Bedrohungsmuster und Reaktionspraktiken näher und stellt Maßnahmen vor, die IT-Security-Teams ergreifen können, um die Reaktion ihres Unternehmens auf E-Mail-Bedrohungen nach der Zustellung spürbar zu verbessern.

Anzeige

E-Mail-Bedrohungen nach der Auslieferung

Die Aktivitäten, die durchgeführt werden, um die Nachwirkungen eines Sicherheitsverstoßes und die Bedrohungen, die nach der Auslieferung auftreten, zu bewältigen, werden allgemein als Incident Response bezeichnet. Eine effektive Reaktion auf einen Vorfall zielt darauf ab, die Sicherheitsbedrohung schnell zu beheben, um die Ausbreitung des Angriffs zu stoppen und den potenziellen Schaden zu minimieren.
Da Hacker immer raffiniertere Social-Engineering-Techniken einsetzen, sind E-Mail-Bedrohungen sowohl für IT-technische Kontrollen als auch für E-Mail-Benutzer immer schwieriger zu erkennen. Es gibt keine IT-Security-Lösung, die sämtliche Angriffe verhindern könnte. Ebenso versäumen es Benutzer, verdächtige E-Mails – entweder mangels Schulung oder Nachlässigkeit – immer zu melden. Tun sie es doch, und ist die Genauigkeit der gemeldeten Nachrichten mangelhaft, führt dies zu einer Verschwendung von IT-Ressourcen. Ohne eine effiziente Incident-Response-Strategie können Bedrohungen oft unentdeckt bleiben – bis es zu spät ist.

Bedrohungen mit Threat Hunting effektiv entdecken

Es gibt mehrere Möglichkeiten, wie sich E-Mail-Bedrohungen identifizieren lassen, um sie anschließend beheben zu können. Benutzer können sie melden, IT-Teams können intern auf Bedrohungsjagd gehen, soll heißen das sogenannte Threat Hunting einleiten, oder sie können externe Anbieter beauftragen, die Angriffe zu beseitigen. Daten zu bereits behobenen Bedrohungen, die Unternehmen untereinander austauschen, sind in der Regel zuverlässiger als vom Benutzer gemeldete Hinweise.

Barracudas Analysten fanden heraus, dass die meisten Vorfälle (67,6 Prozent) durch vom IT-Team eingeleitete, interne Threat-Hunting-Untersuchungen entdeckt wurden. Diese Untersuchungen lassen sich auf unterschiedliche Weise durchführen. Üblicherweise werden Nachrichtenprotokolle durchsucht oder Schlüsselwort- beziehungsweise Absendersuchen in zugestellten E-Mails durchgeführt. Weitere 24 Prozent der Vorfälle gingen zurück auf von Benutzern gemeldete E-Mails. Rund acht Prozent wurden mithilfe von Bedrohungsdaten aus der Community, das verbleibende knappe halbe Prozent durch andere Quellen wie automatisierte oder bereits behobene Vorfälle entdeckt.
Zwar sollten Unternehmen ihre Belegschaft immer ermutigen, verdächtige E-Mails zu melden. Allerdings bedeutet ein Strom von durch Benutzer gemeldeten E-Mails für ressourcenlimitierte IT-Teams auch eine große Belastung. Eine gute Möglichkeit, die Genauigkeit der Anwenderberichte zu erhöhen, besteht darin, konsequente Schulungen zum Sicherheitsbewusstsein durchzuführen.

Drei Prozent der E-Mail-Nutzer klicken auf Links in bösartigen E-Mails

Sobald IT-Security-Teams bösartige E-Mails identifiziert und bestätigt haben, müssen sie den möglichen Umfang und die Auswirkungen des Angriffs einschätzen. Die Identifizierung aller Personen innerhalb einer Organisation, die bösartige Nachrichten erhalten haben, kann ohne die richtigen Tools unglaublich zeitaufwändig sein.

Drei Prozent der Mitarbeiter eines Unternehmens klicken auf einen Link in einer bösartigen E-Mail und setzen damit das gesamte Unternehmen Angreifern aus. Mit anderen Worten: In einer durchschnittlichen Organisation mit 1.100 E-Mail-Nutzern klicken jeden Monat etwa fünf davon auf einen bösartigen Link an. Damit nicht genug: Mitarbeiter leiten bösartige Nachrichten weiter oder beantworten diese und verbreiten damit die Angriffe nicht nur innerhalb ihres Unternehmens, sondern auch extern. Der Wert mag auf den ersten Blick gering erscheinen, seine Auswirkungen sind deshalb aber nicht weniger erheblich. Hacker brauchen nur einen Klick oder eine Antwort, damit ein Angriff erfolgreich ist. Und es dauert nur 16 Minuten, bis ein Benutzer einen bösartigen Link anklickt. Eine schnelle Untersuchung und Abhilfe sind deshalb der Schlüssel, um die Sicherheit des Unternehmens aufrechtzuerhalten.

Bösartige E-Mails verbringen 83 Stunden in Posteingängen

Die Beseitigung von E-Mails kann ein langwieriger und zeitraubender Prozess sein. Im Schnitt dauert es dreieinhalb Tage, von dem Moment an, in dem ein Angriff in den Posteingängen der Benutzer landet, bis diese ihn entweder melden oder das Security-Team ihn entdeckt, und die Attacke schließlich eliminiert wird. Gezielte Security-Schulungen können diese lange Zeit erheblich verkürzen, indem sie die Genauigkeit, der von den Anwendern gemeldeten Angriffe verbessern. Der zusätzliche Einsatz automatischer Abwehrtools kann die Angriffe automatisch erkennen und beheben. Tatsächlich aktualisieren nur fünf Prozent der Unternehmen ihre Web-Sicherheit, um den Zugriff auf bösartige Websites für das gesamte Unternehmen zu blockieren. Grund dafür ist meistenteils die fehlende Integration zwischen Incident Response und Web-Sicherheit.

Fünf Tipps zum Schutz vor Bedrohungen nach der Auslieferung

  • Schulungen der Mitarbeiter, um die Genauigkeit und den Umfang der gemeldeten Angriffe zu verbessern
    Regelmäßige Schulungen sorgen dafür, dass Sicherheitspraktiken im Gedächtnis bleiben und die Genauigkeit der gemeldeten Bedrohungen die IT-Abteilung dahingehend entlastet, zu viel Zeit mit der Untersuchung nicht bösartiger, sondern nur lästiger Junk-Mails zu verbringen.
  • Community als Quelle potenzieller Bedrohungen
    Gemeinsam genutzte Bedrohungsdaten sind ein wirksames Mittel gegen sich entwickelnde Bedrohungen, die Daten und E-Mail-Nutzer gefährden. Ähnliche und manchmal identische E-Mail-Bedrohungen betreffen mehr als eine Organisation, da Hacker häufig dieselben Angriffstechniken für mehrere Ziele einsetzen. Erkenntnisdaten anderer Organisationen zu sammeln, ist ein effektiver Ansatz, um groß angelegte Angriffe abzuwehren. Eine Incident-Response-Lösung, die auf gemeinsame Bedrohungsdaten zugreifen und diese nutzen kann, hilft, eine effektive Bedrohungssuche durchzuführen und potenzielle Vorfälle zu melden.
  • Threat Hunting Tools für eine schnellere Untersuchung von Angriffen
    Die Aufdeckung potenzieller Bedrohungen sowie die Identifizierung des Umfangs des Angriffs und aller betroffenen Benutzer kann unter Umständen Tage dauern. Unternehmen sollten Threat Hunting-Tools einsetzen, die ihnen Einblick in die Mails nach der Zustellung geben. Diese Tools können verwendet werden, um Anomalien in bereits zugestellten E-Mails zu identifizieren, schnell nach betroffenen Benutzern zu suchen und zu sehen, ob diese mit bösartigen Nachrichten interagiert haben.
  • Verteidigungsmaßnahmen automatisieren
    Der Einsatz automatisierter Incident-Response-Systeme kann die Zeit, die benötigt wird, um verdächtige E-Mails zu identifizieren, sie aus den Posteingängen aller betroffenen Benutzer zu entfernen und Prozesse zu automatisieren, die die Abwehr zukünftiger Bedrohungen stärken, erheblich reduzieren.
  • Integrationspunkte nutzen
    Unternehmen sollten nicht nur ihre Workflows automatisieren, sondern auch ihre Incident Response mit E-Mail- und Web-Sicherheit integrieren, um Angriffe zu verhindern. Die bei der Reaktion auf Vorfälle gesammelten Informationen lassen sich auch zur automatischen Problembehebung und zur Identifizierung verwandter Bedrohungen einsetzen.

Eine schnelle und automatisierte Reaktion auf Vorfälle ist mittlerweile wichtiger denn je, da ausgefeilte Spear-Phishing-Angriffe zur Umgehung der E-Mail-Sicherheit immer häufiger auftreten. Im Wettlauf gegen Cyberkriminelle verbessert die Automatisierung der Incident Response daher erheblich die Reaktionszeit auf Vorfälle, hilft die Unternehmenssicherheit zu stärken, Schäden zu begrenzen und spart IT-Teams wertvolle Zeit und Ressourcen.

Mehr bei Barracuda.com

 

Klaus Gheri

 

Passende Artikel zum Thema

Kein Mensch, kein Bot – ein Hacker!

Viele seriöse Unternehmen sichern ihre Webseiten durch eine sogenannte reCaptcha-Abfrage ab. Im Dauer-Clinch zwischen Cybersicherheit und Cyberkriminalität finden Hacker erfahrungsgemäß ➡ Weiterlesen

Hacker-Barrieren: Kontenmissbrauch mit Least Privilege-Ansatz verhindern

Bei traditionellen perimeterbasierten Sicherheitskonzepten haben Cyberkriminelle meist leichtes Spiel, wenn sie diesen Schutzwall erst einmal durchbrochen haben. Besonders im Fadenkreuz ➡ Weiterlesen

Kryptominer „Golang“ schürft in Windows-Systemen

Neue Variante der Kryptominer-Malware "Golang" attackiert neben Linux- auch gezielt Windows-basierte Rechner und nun vorzugsweise auch lohnenswerte Serverstrukturen. „Totgesagte leben ➡ Weiterlesen

AV-TEST: Android-Security-Apps für Unternehmen

Das Labor von AV-TEST hat eine neue Testreihe für Android-Sicherheits-Apps für Unternehmen gestartet. Im ersten Test stellt AV-TEST anhand von ➡ Weiterlesen

Sicherheitsfragen in Zeiten des Remote Work: IT-Experten antworten

Mit der Pandemiekrise, die Mitarbeiter weltweit an den heimischen Schreibtisch schickte, kamen auf Security-Verantwortliche in Unternehmen über Nacht neue Herausforderungen ➡ Weiterlesen

Insider-Bedrohungen durch ausscheidende Mitarbeiter

Viele Unternehmen sind so sehr damit beschäftigt, externe Angreifer aus ihren sensiblen Netzwerken fernzuhalten, dass sie eine andere, möglicherweise noch ➡ Weiterlesen

Ransomware: Das Wirtschaftssystem hinter der Daten-Geiselnahme

Durch die enorme Professionalisierung der Vertriebswege wie Ransomware-as-a-Service (RaaS), benötigen Angreifer nicht mehr zwingend tiefgreifende technische Fähigkeiten, sondern vielmehr unternehmerisches ➡ Weiterlesen

MobileIron: Schutz vor mobile Phishing für Everywhere Enterprise

MobileIron Threat Defense erweitert, um Multi-Vektor-Bedrohungen zu erkennen und zu beheben. Damit schützt die Lösung iOS- und Android-Geräte vor Phishing-Angriffen ➡ Weiterlesen