Illustration Absmeier foto freepik
Auch im Jahr 2023 haben die Angriffe auf die IT-Infrastruktur von Unternehmen weiter zugenommen. Laut einer Studie der Cyber Rescue Alliance aus dem Jahr 2022 sind so gut wie alle Unternehmen weltweit Ziel von Phishing-Angriffen geworden. Bei 12 % der erfolgreichen Angriffe hatten die Angreifer mehr als ein Jahr lang vollen Zugriff auf Unternehmensdaten, bevor Ransomware die Daten verschlüsselte. Das konstatiert auch das BSI in seinem Lagebericht zur IT-Sicherheit in Deutschland 2023: »Insgesamt zeigt sich im aktuellen Berichtszeitraum eine angespannte bis kritische Lage. Die Gefährdungslage im Cyberraum ist damit so hoch wie nie zuvor.«
Statistiken geben Anlass zur Sorge
Eine Analyse vom Oktober dieses Jahres hat ergeben, dass im 3. Quartal 2023 10 % mehr E-Mails mit bösartigen Links auftauchten als im Vorquartal. Der Anstieg ist beträchtlich, wobei Experten davon ausgehen, dass die Zahl der Angriffe bis Weihnachten weiter steigen wird. Zu rechnen ist unter anderem mit KI-gestützten Phishing-Mails, die vorgeben von legitimen Paketdiensten zu stammen. Einige Anbieter sind bereits dazu übergegangen, ihre Kunden explizit zu warnen. Ein besonders häufiger Angriffsvektor sind bösartige Links zu Google Drive und anderen Cloud-Speichern sowie die Verbreitung von QR-Codes. Sie verstecken sich beispielsweise in PDF-Dateien und leiten die Opfer zu manipulierten Seiten weiter. Signaturbasierte Systeme greifen hier wie so oft zu kurz.
Alles in allem bleibt die E-Mail eine der wichtigsten Kommunikationsformen. Diese Zahl der privat und geschäftlich versendeten und empfangenen Mails soll auch in den kommenden Jahren kontinuierlich steigen und sich im Jahr 2026 auf 392,5 Milliarden Mails pro Tag belaufen. Das heißt, moderne Sicherheitslösungen müssen diesen Anforderungen zurechtkommen und die E-Mail-Kommunikation noch besser schützen. Dabei darf die Usability allerdings nicht leiden.
Wie Cyberangriffe ablaufen: E-Mails bleiben ein Problem
Wider besseren Wissens gehen Verantwortliche immer noch davon aus, dass der klassische Cyberangriff über das Internet auf die Firewall eines Unternehmens zielt und von dort aus Netzwerke kompromittiert. Die Realität sieht anders aus. Bei weit über 80 Prozent aller Angriffe versenden Cyberkriminelle eine E-Mail mit Schadcode oder Phishing-Links an interne Nutzer. Diese E-Mails gelangen häufig ungehindert in die Postfächer der Anwender, da herkömmliche Virenscanner Phishing-Mails oft nicht erkennen. In vielen Fällen setzen die Angreifer mittlerweile auf QR-Codes, die auf bösartige Seiten verlinken. Solche Codes unterlaufen traditionelle Sicherheitslösungen.
Das liegt nicht zuletzt daran, dass die Angreifer inzwischen auf KI und frei verfügbare Chatbots wie ChatGPT zurückgreifen. Häufig enthalten diese E-Mails sehr überzeugend formulierte Anweisungen, die den Nutzer auffordern, bestimmte Webseiten zu öffnen oder Informationen preiszugeben. Solche E-Mails sind mittlerweile so professionell gestaltet, dass selbst Experten darauf hereinfallen. Beim prominenten Diebstahl von Authentifizierungsschlüsseln für Microsoft Azure vor einigen Monaten ist sogar ein Ingenieur bei Microsoft auf eine Phishing-Mail hereingefallen. Mittlerweile sind offensichtlich so gut wie alle Nutzer gefährdet, Opfer einer Phishing-Attacke zu werden. Bösartige Phishing-E-Mails lassen sich zum Teil erst dann als solche erkennen, wenn sie in einer Sandbox überprüft werden, und die Malware ausgeführt wird. In den meisten Fällen gelingt es den Angreifern nach einem erfolgreichen Phishing-Angriff, Code auf dem Rechner des Opfers auszuführen und schließlich in das Netzwerk einzudringen. Die Folgen sind bekannt: Datendiebstahl, Erpressung durch Ransomware und oftmals nicht unerhebliche finanzielle Folgeschäden.
Die Angreifer arbeiten oft mit einer Flut von Spam- und Phishing-E-Mails, die signaturbasierte Malware-Scanner schlichtweg überfordern. Abhilfe versprechen kombinierte, heuristische Ansätze (Yara Rules), denen es gelingt, auch aus einer großen Menge von E-Mails die schädlichen Nachrichten herauszufiltern. Bei der obigen Analyse konnten mit klassischen, heuristischen Regeln über 800.000 Spam-E-Mails identifiziert werden. Weitere 70.000 wurden mit modernen, heuristischen Regeln abgefangen. Klassische, signaturbasierte Ansätze haben demgegenüber nur 150.000 Spam-E-Mails erkannt.
Aktuell setzen Angreifer auf einfachere Angriffsmethoden, um »unter dem Radar« vieler Sicherheitstechnologien ins Netzwerk zu gelangen. Dabei kommen vor allem Callback-Phishing und Business E-Mail Compromise zum Einsatz. Beim Callback-Phishing werden die Opfer aufgefordert, einen vermeintlich seriösen Kontakt anzurufen, der zum Beispiel bei einem Problem am Computer helfen soll. Hier kommen nicht selten KI-gestützte Deep Fakes zum Einsatz. Während des Anrufs versucht der Angreifer, das Opfer zur Installation von Software auf dem Computer zu überreden. Eine Methode, die leider häufig zum Erfolg führt. Bei BEC-Angriffen werden (oft sehr gut gemachte) Geschäfts-E-Mails gefälscht und das Opfer aufgefordert, bestimmte Informationen preiszugeben, Links anzuklicken oder Anwendungen zu installieren. Der vermeintliche Absender ist oft ein Vorgesetzter im Unternehmen, dem die Anwender vertrauen.
Mehr Angriffe, bösartiger und professioneller gestaltet
Die stark wachsende Zahl bösartig manipulierter E-Mails ist alarmierend. Inzwischen werden Firmen über mehr als jede zehnte E-Mail angegriffen. Die Praxis zeigt, dass ein einziger erfolgreicher Angriff ausreicht, um komplette IT-Sicherheitssysteme auszuhebeln. Bei den Untersuchungen fällt auf, dass die Angreifer verstärkt auf schädliche Links setzen, die viele Malware-Scanner nicht (ausreichend) überprüfen. So passieren etliche Malware- oder Phishing-Mails anstandslos die Filter. Im Vertrauen auf die installierte Sicherheitslösung klicken Nutzer dann doch auf die in den E-Mails enthaltenen Links. Dabei spielt die insgesamt professionelle Darstellung der E-Mails eine wichtige Rolle. Verantwortliche im Unternehmen sollten deshalb darauf achten, dass der Malware-Scanner den Inhalt einer E-Mail sehr detailliert scannt und dabei auch Links berücksichtigt, hinter denen sich schlussendlich Malware/Ransomware stecken kann.
Kompromittierte E-Mail-Anhänge sind aber nicht verschwunden. Vor allem PDFs mit Schadcode sind derzeit ein Thema. Nutzer tendieren dazu, PDF-Dateien zu vertrauen und sie ungeprüft zu öffnen. Teilweise sind in den PDF-Dokumenten bösartige QR-Codes verborgen, die ihrerseits auf bösartig manipulierte Webseiten verweisen.
Signaturbasierte Scanner kommen mit modernen Schad-E-Mails kaum noch zurecht. Attachment Sandboxing erlaubt es, Anhänge in einer sicheren Umgebung auszuführen. Beim Ausführen offenbaren die betreffenden E-Mails dann ihre wahre Natur. Geschieht dies in einer sicheren Sandbox, greift der Malware-Scanner. Ohne diese Technik würde der Anhang seinen Schadcode nahezu ungestört auf dem Rechner des Anwenders und im Netzwerk verbreiten. Intelligente Malware-Scanner informieren dann den Anwender oder/und den Administrator darüber, ob der Anhang gefährlich ist oder nicht.
Wie geht die Entwicklung in der E-Mail-Security weiter?
In den nächsten Jahren ist kaum davon auszugehen, dass Angriffe per E-Mail weniger werden. Phishing wird einer der Schwerpunkte bleiben, wenn es darum geht, Anmeldedaten abzugreifen oder Malware zu installieren. Das BSI konstatiert in seinem Lagebericht zur IT-Sicherheit in Deutschland 2023: »Insgesamt zeigte sich im aktuellen Berichtszeitraum eine angespannte bis kritische Lage. Die Bedrohung im Cyberraum ist damit so hoch wie nie zuvor. Ransomware blieb die Hauptbedrohung. Einen vollständigen Schutz vor Ransomware-Angriffen gibt es nicht, denn Angreifer können auch neue Angriffswege nutzen, für die noch keine Detektions- und Abwehrmethoden entwickelt wurden«.
Aus diesem Grund sollten sich Unternehmen darauf vorbereiten, den E-Mail-Verkehr mit möglichst intelligenten und modernen Scannern zu schützen. Die sind in der Lage, eingehende E-Mails und die darin enthaltenen Links genauer zu analysieren. Schon allein aus dem Grund, weil Angreifer immer mehr auf KI setzen, sollten Unternehmen sich selbst diese Technologie zunutze machen. Etwa, um bisher unbekannte Angriffsmethoden und Malware-Varianten zu erkennen und zu bekämpfen. Auf der Basis von KI lassen sich beispielsweise Anomalien und Muster in E-Mail-Verkehr präziser erkennen und potenziell schädliche Aktivitäten frühzeitig identifizieren. Weiterhin ist eine Integration von stärkeren Authentifizierungsmechanismen zu erwarten, wie beispielsweise Multi-Faktor-Authentifizierung, um die Identität der E-Mail-Absender besser verifizieren zu können.
Vermutlich wird auch der Einsatz der Blockchain-Technologie für eine transparente und manipulationsresistente Nachverfolgung der E-Mail-Kommunikation zunehmen. Diese Technologien, kombiniert mit kontinuierlichen Updates der Sicherheitsprotokolle und intensiven Awareness-Trainings, bilden die Grundlage für eine robustere Abwehr von E-Mail-basierten Bedrohungen. Eine moderne Security-Lösung für E-Mails muss einerseits mit der stark steigenden Anzahl der Nachrichten an sich klarkommen und andererseits mit dem Zuwachs von bösartig manipulierten E-Mails, die immer professioneller, raffinierter und intelligenter werden.
Fazit
Auch was das Thema Cybersicherheit anbelangt, sind wir in diesem Jahr an einem Wendepunkt angelangt. Die kontinuierliche Abstimmung von Cybersicherheit, Geschäftsstrategie und Betrieb ist unabdingbar geworden. Mit der Einführung von generativer KI als einem vielfältig genutzten geschäftlichen Instrument, steigt neben der schieren Zahl von Cyberangriffen auch das Risiko für den Verlust von geistigem Eigentum und Geschäftsdaten exponentiell. Dazu kommt die wachsende Gefahr, gegen Branchenvorschriften wie HIPPA, DSGVO/GDPR und eine Vielzahl ähnlich gelagerter länderspezifischer Datenschutzgesetze zu verstoßen. Ausgewiesene Fachkompetenz und Verantwortung für eine aktive Steuerung von Sicherheitsinitiativen werden auf Vorstandsebene zu einer strategischen Priorität. Das gilt auch für eine umfassende Betrachtung des Dauerbrenners E-Mail-Sicherheit.
Jörn Koch, Senior Channel Development Manager, VIPRE Security Group