Site Logo

Angesichts der Welle von Angriffen ist es an der Zeit, den E-Mail-Schutz zu verstärken

Themen:
28. Apr.. 2022
|
Phil Muncaster

Behördenmitarbeiter sind beliebte Ziele für E-Mail-Bedrohungen. So war es auf der einen Seite nicht überraschend, als kürzlich bekannt wurde, dass die Mitarbeiter des öffentlichen Sektors im Vereinigten Königreich im vergangenen Jahr mit Milliarden von bösartigen E-Mails überschwemmt wurden. Was vielleicht noch besorgniserregender ist, ist die Schlussfolgerung, die der Bericht gezogen hat: dass dieselben Empfänger letztes Jahr auf Zehntausende bösartiger Links geklickt haben könnten.

Dies ist zumindest erneut ein Beweis dafür, dass Unternehmen mehrschichtige personelle und technische Schutzmaßnahmen benötigen, um die Bedrohung durch bösartige E-Mails abzuwehren. Und sie brauchen schnelle, automatisierte Tools, um die Reaktionszeiten zu verkürzen, falls etwas schief geht.

Wie schlimm war es wirklich?


Die Forscher von Comparitech haben ihren Bericht aus Anfragen zur Informationsfreiheit (Freedom of Information, FOI) zusammengestellt, die an fast 260 britische Regierungsorganisationen gesendet wurden. Hochgerechnet auf 764.331 Regierungsangestellte schätzten sie, dass im Jahr 2021 knapp 2,7 Milliarden bösartige E-Mails eingegangen sind. Die wichtigsten Ergebnisse waren wie folgt:

  • Behördenmitarbeiter erhielten 2021 durchschnittlich 2.399 bösartige E-Mails.

  • Pro Mitarbeiter verzeichnete NHS Digital die höchste Anzahl bösartiger E-Mails für 2021 (89.353), gefolgt von der Regierung Nordirlands (34.561) und dem Financial Reporting Council (25.992).

  • Im Jahr 2021 wurden durchschnittlich 0,32 % dieser E-Mails von Mitarbeitenden geöffnet. Dies entspricht über 8,6 Millionen, die möglicherweise geöffnet wurden.

  • Bei 0,67 % der geöffneten E-Mails klickten die Mitarbeiter auf verdächtige Links. Dies entspricht einer Gesamtzahl von 57.736.


Die gute Nachricht ist, dass, falls Regierungsbehörden den Eingang einer bösartigen E-Mail erkannten, diese höchstwahrscheinlich blockiert wurde. Laut diesen FOI-Antworten wurde jedoch auch eine signifikante Anzahl geöffnet und angeklickt. Was Klickraten anbelangt ist 0,67 % tatsächlich ziemlich niedrig. Verizon verzeichnete in seinem Bericht über Datenschutzverletzungen im Jahr 2021 eine Rate von 3 % in allen Organisationen. Die bloße Anzahl bedeutet jedoch, dass es sich für die Kriminellen trotzdem lohnt, vor allem, wenn automatisierte Software die schwere Arbeit durch Versenden von massenhaftem, bösartigen Spam verrichtet.

Comparitech teilte mit, dass es alle FOI-Antworten, die nicht eindeutig waren, abgezogen hat, um die Wahrscheinlichkeit einer Überschätzung der Klickzahlen zu verringern.

Das große Ganze


Es versteht sich von selbst, dass E-Mail immer noch der primäre Bedrohungsvektor für Angriffe ist, da E-Mails immer noch am effektivsten sind. Das Klicken auf einen böswilligen Link oder einen bösartigen Anhang kann Folgendes nach sich ziehen:

  • Ein direkter verdeckter Malware-Download – Ransomware, Cryptomining-Malware, Banking-Trojaner, usw.;

  • Weiterleitung zu einer überzeugend aussehenden Phishing-Seite, über die Zugangsdaten gesammelt werden;

  • ein schwerwiegender Verstoß gegen Benutzerdaten oder sensible Informationen;

  • erhebliche finanzielle und Ruf-Schäden.


Es ist wahrscheinlich, dass Regierungsangestellte in der ganzen westlichen Welt auf die gleiche Weise betroffen sind – ebenso wie Mitarbeiter in anderen Sektoren, vom Gesundheitswesen bis zur Industrie. In diesem Zusammenhang zeigt eine kürzlich vom britischen National Cyber Security Centre (NCSC) getroffene Entscheidung, seinen Posteingangsprüfdienst „Mail Check“ auf die Schulen des Landes auszuweiten, das Ausmaß der Bedrohung für den Bildungssektor.

Zweifellos hat der aufkommende Homeoffice-Trend nicht nur zur Zunahme bösartiger E-Mails, sondern auch des Risikofaktors, dass Mitarbeiter sich durchklicken, beigetragen. Zu Beginn der Pandemie gab Google an, täglich 240 Millionen Spam-Nachrichten zum Thema COVID-19 und 18 Millionen Malware- und Phishing-E-Mails zu blockieren. Die Zahlen von Comparitech belegen das. Comparitech zufolge verzeichneten Regierungsstellen von 2018 bis 2019 einen Anstieg von 25 % bei bösartigen E-Mails, gefolgt von einem noch größeren Anstieg von 146 % zwischen 2019 und 2020.

Untersuchungen haben immer wieder davor gewarnt, dass Mitarbeitende im Homeoffice mit höherer Wahrscheinlichkeit ein riskantes Verhalten wie das Anklicken von Phishing-Links an den Tag legen. Der Grund dafür könnte sein, dass sie durch Mitbewohner und Familienmitglieder abgelenkt werden, oder sogar psychologisch weniger geneigt sein, die Sicherheitsvorschriften zu befolgen, wenn sie nicht im Büro sind.

Was für die E-Mail-Sicherheit notwendig ist


Was ist also die Antwort, um E-Mail-Sicherheitsbedrohungen zu minimieren? Es gibt mehrere Schwachstellen, die von Angreifern ausgenutzt werden könnten: Das klassische Trio von Personen, Prozessen und Technologien. Darauf muss sich jede effektive Sicherheitsstrategie konzentrieren:

  • Technologie. Die erste Verteidigungsebene muss technischer Art sein. Die E-Mail-Sicherheitstechnologie hat sich seit den Tagen des URL- und Anhang-Scannens stark weiterentwickelt, so wichtig diese Funktionen auch sind. Unternehmen sollten auch darauf achten, diese mit KI-Tools zu ergänzen, um verdächtiges Verhalten zu erkennen, das andernfalls möglicherweise keinen Alarm auslöst. Und Incident-Response-Tools sind darauf ausgelegt, schnell Abhilfe zu schaffen, wenn sich tatsächlich Bedrohungen einschleichen.

  • Personen. Die erste Verteidigungslinie muss durch verbesserte Schulungen zur Stärkung des Phishing-Bewusstseins ergänzt werden. Das bedeutet Tools, die reale Kampagnen simulieren und Feedback zu den Ergebnissen liefern können. Die Sitzungen sollten in leicht verdaulichen Lektionen für alle Mitarbeiter kontinuierlich durchgeführt werden.

  • Prozesse und Richtlinien. Updates in diesem Bereich sind nützlich, um alle Mitarbeitenden an ihre Verantwortlichkeiten bei der Befolgung von Best Practices zu erinnern. Denken Sie z. B. an folgende Punkte: Verwendung einer Multi-Faktor-Authentifizierung für die Anmeldung; kein Anklicken von Links oder Öffnen von Anhängen in unerwünschten E-Mails und keine Anmeldung bei Konten/Diensten von Drittanbietern mit der beruflichen E-Mail.


Die E-Mail-Sicherheit liegt genau wie die Cybersecurity im Allgemeinen in der Verantwortung eines jeden Einzelnen. Das ist der erste Schritt zur Schaffung einer echten Security-by-Design-Kultur.

Phil Muncaster

Phil Muncaster ist technischer Redakteur und Herausgeber mit über 12 Jahren Erfahrung bei einigen der größten Technologiepublikationen auf dem Markt, darunter Computing, The Register, V3 und MIT Technology Review. Er verbrachte mehr als zwei Jahre in Hongkong und konnte dadurch tief in die asiatische Technologieszene eintauchen. Jetzt ist er nach London zurückgekehrt, wo die Informationssicherheit zu einem wichtigen Schwerpunkt seiner Arbeit geworden ist.

Folgen Sie Phil auf Twitter und vernetzen Sie sich auf LinkedIn mit ihm.

Verwandte Beiträge:
Erfolg in der realen Welt: Wie Hunt Brothers Pizza Microsoft 365 absichert
Erfolg in der realen Welt: Wie Hunt Brothers Pizza Microsoft 365 absichert
 Secured.22: Risiken von Account Takeover und ihr Management
Secured.22: Risiken von Account Takeover und ihr Management
 Security awareness computer based training could save your business
Security awareness computer based training could save your business
Threat Spotlight: Document-Based Malware
Threat Spotlight: Document-Based Malware