Security-Werkzeuge 11.06.2019, 13:58 Uhr

So lassen sich E-Mail-Attacken erfolgreich abwehren

Die meisten Angriffe auf Firmen erfolgen via E-Mail. Doch es gibt wirksame Schutzwerkzeuge. Wichtig ist vor allem die Mitarbeiter zu schulen und für das Thema zu sensibilisieren.
(Quelle: shutterstock.com/J ijomathaidesigners)
Angriffe auf ein Unternehmen nehmen meistens den Weg über das Internet und insbesondere über E-Mails. Verseuchte Webseiten spielen dabei oft keine direkte Rolle. Sie kommen in der Regel nur bei Angriffen ins Spiel, die zuvor per E-Mail gestartet wurden. In nicht leicht zu erkennenden, gefälschten E-Mails stecken dabei gefährliche Links und verseuchte Anhänge.
Quelle: Statista
Den Mitarbeitern eines Unternehmens fehlt meist das Know-how, um gefährliche E-Mails von ungefährlichen zu unterscheiden. Dennoch setzen viele Unternehmen immer noch oft auf Abwehr vor Ort - das heisst am Client des Empfängers. Besser wäre eine Strategie, die dafür sorgt, dass der Mitarbeiter so wenig Einfluss wie möglich auf den Erfolg einer Attacke hat. Wesentlich dafür sind zwei Faktoren: eine strengere Vorfilterung des E-Mail-Aufkommens und die Mitarbeiterschulung.

Spam, Phishing, Trojaner

Die Dimension des Problems macht eine Zahl des Daten­portals Statista deutlich. 2018 waren zwischen 50 und 60 Prozent aller Mails weltweit Spam-Mails. Nicht viel besser sieht die Quote für Deutschland aus.
Spam-Nachrichten lassen sich in drei Kategorien unterteilen:
  • Klassischer Spam - zwar nervig und voller Werbung, meist aber nicht gefährlich
  • Spam-Mails mit einer verseuchten Datei im Anhang (oft als PDF oder ZIP) - etwa eine Be­werbung
  • Spam-Mails mit gefährlichen Links (Phishing-Mails). Diese oft gut getarnten E-Mails führen Mitarbeiter meist auf gefälschte Webseiten und fordern zur Eingabe von Daten auf.
Viele Mail-Provider in Deutschland setzen zur Spam-Abwehr bereits eigene Filter und Anti­viren-Software an den Knotenpunkten ein. Allerdings kosten Filtersysteme Geld.
KMUs mit bis zu 50 Mitarbeitern mieten oft einen Server mit Domain- und Mail-Service. Bei solchen einfachen Mail-Konten nutzen die meisten der Mail-Provider-Platzhirsche in Deutschland für die Filterung lediglich frei verfügbare Spam-Blacklists, oft kombiniert mit einer kostenlosen Antiviren-Lösung wie Clam­AV, die mit zusätzlichen Mail-Signaturen aufgepeppt wird.
Im Folgenden stellen wir Werkzeuge vor, mit denen Unternehmen sich besser vor E-Mail-Angriffen schützen. Die Lösungen sprechen dabei Unternehmen jeder Grösse an.

Gemanagte E-Mail-Filterung

Kleine und mittlere Unternehmen können mit sehr wenig Aufwand ihr gesamtes E-Mail-Aufkommen durch einen viel wirksameren Scan-Service schicken. Mit einem sogenannten MX-Record werden alle am Server ankommenden E-Mails zuerst an den Scan-Service umgeleitet. Das Gute dabei: MX-Records sind einfach zwei Zeilen Text in der Konfiguration der Mail-Server beim Betreiber. Die Infrastruktur dahinter mit der Mail-Software auf Servern und Clients muss nicht verändert werden.
Hinter diesem Service steckt die Scan-Appliance IronPort von Cisco. Da der Kauf der Appliance für ein einzelnes Unternehmen sehr teuer wäre, lässt sie sich über Dienstleister nach Bedarf monatlich buchen. In der Regel kostet das Scannen einer Domain mit 25 Konten etwa 10 bis 15 Euro im Monat, zum Beispiel bei Dmsolutions.de.
Beim Scan-Service angekommene Mails durchlaufen als Erstes mehrere Filter: einen Reputationsfilter (mit Blacklists), einen Spamfilter und einen Virus-Outbreak-Filter. Danach prüft das System mit Hilfe zweier Antiviren-Lösungen (McAfee und Sophos) die verbliebenen Mails. Als unbedenklich eingestufte Mails werden dann ausgeliefert, alle suspekten Nachrichten in einer Liste samt Betreff und Absender gesammelt, die dem Empfänger in einer gesonderten Mail zugestellt wird. Falls eine Nachricht falsch klassifiziert wurde, kann er sie einfach per Klick freischalten.
Die weitere Verwaltung des E-Mail-Aufkommens liegt allerdings beim Dienstleister des Services und es werden auch nur eingehende E-Mails geprüft. Ausgehende Mails müssen am Client auf schädliche Inhalte untersucht werden.

Filter via Cloud und Konsole

Die Mail-Filterung lässt sich auch vollumfänglich zu Cloud Services verlagern. Der Vorteil: Das Filtern ist über eine webbasierte Konsole managebar und es werden sowohl die eingehenden wie auch die ausgehenden Nachrichten auf schädliche Inhalte überprüft.
Auch bei dieser Lösung muss ein Unternehmen keine zusätzliche Hardware nutzen oder Server pflegen. Einige Anbieter stellen auf Wunsch aber auch eine Version bereit, die eine Firma selbst intern oder extern hosten kann. Das setzt dann natürlich eigene Hardware voraus.
Cisco IronPort: Diese Schutzlösung wird auch von kleineren Providern als Mail-Vorfilter für KMUs angeboten.
Quelle: Cisco
Der technische Hintergrund ist dabei dem geschilderten Verfahren mit MX-Records sehr ähnlich. Der Mail-Provider oder gemietete Mail-Server bleibt unverändert. Der Umzug einer Domain ist nicht erforderlich. Alle Mails werden einfach mit Hilfe eines veränderten MX-Records (einer Server-Adresse) an den Service umgelenkt, verarbeitet und zum Ausliefern an den Mail-Server zurückgegeben. Auch gesendete
E-Mails werden auf diesen Weg geprüft und ausgeliefert.
Bekannte Anbieter eines solchen Services sind etwa Hornetsecurity oder TitanHQ mit SpamTitan. Die Preise variieren je nach Service. So kosten bei TitanHQ 100 Nutzer etwa 120 Euro pro Monat, bei Hornetsecurity etwa 180 Euro.
Der Vorteil der cloudbasierten Lösungen sind optionale Zusatz-Services wie die revisionssichere E-Mail-Archivierung oder die sichere, unkomplizierte Verschlüsselung der Mails. Sie lassen sich einfach hinzubuchen und erfordern keine weiteren Eingriffe in die IT-Landschaft.

Mail-Schutz für Office 365

Viele Unternehmen nutzen das cloudbasierte Office 365 oder Exchange inklusive Outlook als Mail-Client. Microsoft gibt zwar an, dass es die E-Mails auf Spam und Viren untersucht, bietet gleichzeitig aber auch selbst einen erweiterten Schutz-Service an. Der Dienst Microsoft Advanced Threat Protection (ATP) lässt sich fast allen Exchange- und Office-365-Abonnementplänen hinzufügen. Der Preis hängt von der Anzahl der genutzten Konten und dem gebuchten Abonnement ab.
Will ein Unternehmen nicht auf die Security-Expertise von Microsoft setzen, kann es auf alternative Produkte ausweichen. Aber aufgepasst: Einige Mail-Sicherheits-Anbieter offerieren zwar einen Schutz-Service für Office 365, haben allerdings, ohne dies erkennbar offenzulegen, lediglich als Partner Microsofts ATP-Dienst lizenziert und in ihr Angebot eingebaut.
Anders sieht es bei den Produkten bekannter Security-Hersteller aus. Beispielsweise lässt sich über den Kaspersky Business Hub die Lösung Security for Microsoft Office 365 buchen, und das nicht nur von Bestandskunden. Jedes Unternehmen kann damit seine sonstigen Schutzmassnahmen ergänzen. Das Kaspersky-Produkt soll mit Hilfe mehrerer Schichten, sogenannter Next-Generation-Technologien, Office 365 vor Spam, Phishing, schädlichen Anhängen und unbekannten Bedrohungen bewahren.
Um die Kaspersky-Lösung zu nutzen, ist kaum technischer Aufwand nötig, denn es werden lediglich die Office-365-Zugänge zu den Konten eingebunden. Die E-Mails kommen nach wie vor direkt in Outlook beim Nutzer an. In einer Cloud-Konsole finden sich Berichte, ausgefilterte Spam-Mails sowie identifizierte und gelöschte E-Mails mit schäd­lichem Inhalt.
Der Vorteil eines Security-Herstellers liegt dabei klar auf der Hand. Er muss nicht von anderen Anbietern aktuelle Informationen zu Spam, Reputationen oder Viren-Outbreaks einkaufen, vielmehr hat er diese Informationen ohne Zeitverzug zur Verfügung und zusätzlich die Forschung selbst im Haus.

Sophos und Symantec

Ein weiterer namhafter Anbieter ist Sophos mit der cloudbasierten Lösung Sophos Email Security. Der Service für Office 365 und Exchange steht über die Konsole Sophos Central bereit - die Verwaltungsoberfläche für alle Cloud-Produkte von Sophos. Email Security lässt sich so einzeln oder im Verbund mit weiteren Modulen von Sophos einsetzen.
Auch Symantec hat einen extra Schutz-Service in der Cloud im Angebot. Die für grosse Unternehmen vorgesehene Lösung Email Security.cloud kann man mit Office 365 und Exchange verknüpfen. Allerdings ist Email Se­curity.cloud ein Zusatzmodul zum Symantec Data Loss Prevention Cloud Service und funktioniert daher nicht als Stand-alone-Lösung. Das Data-Loss-Paket nutzen Unternehmen mehrheitlich in Kombination mit der Lösung Endpoint Protection Cloud.

Schutz per Endpoint-Security

Viele klassische Hersteller von Endpoint-Security-Lösungen haben den Schutz ein- und ausgehender Mails inklusive der Überwachung der gängigen Mail- oder Exchange-Server schon lange in diese integriert. Ihre Produkte schützen in aller Regel Mail-Konten zwar bereits gut, aber doppelt hält besser.
Daher empfiehlt sich für kleinere Unternehmen die Kombination von Vorfilter-Service und Endpoint-Protection. Bitdefender etwa bietet in seiner Endpoint-Produkt-Reihe GravityZone ein besonderes Schutzmodul für Exchange in den Versionen Advanced Business, Elite und Ultra an.
Andere Mail-Server als Exchange sind adäquat durch einen Agenten auf dem Endpoint geschützt. Ein spezielles Mail-Server-Modul gibt es nur für Exchange. Gerade wenn Unternehmen die Exchange-Server lokal betreiben, ist das Schutzmodul für Exchange in der Endpoint-Security Pflicht.
Hornetsecurity Control Panel: Der Filter lässt sich einfach zwischen Mail-Server und Mail-Client schalten.
Quelle: Hornetsecurriy
Nach dem gleichen Muster und in einem ähnlichen Umfang bieten weitere bekannte Security-Unternehmen wie F-Secure, Trend Micro, ESET, G-Data oder McAfee ihre Lösungen an. Die schon erwähnten Produkte von Kaspersky Lab, Sophos oder Symantec enthalten E-Mail-Security als Bestandteil oder als zusätzliches Schutzmodul. Meist sind die Module aber, zum Beispiel bei Bitdefender, nur für lokale oder gehostete Exchange-Server verfügbar. Die Cloud-Module, etwa für Office 365, muss man in der Regel extra dazubuchen.
Mit dem umfassenden Messaging Security Gateway bietet auch F-Secure ein Produkt für er­höhte Mail-Sicherheit an. Es setzt den webbasierten F-Se­cure Policy Manager voraus und bringt auch E-Mail-Verschlüsselung und andere Security-Tools wie Data Loss Prevention mit.

Gateways für Linux-Server

Eine weitere spezielle Schutzlösung für Mail-Server sind Mail-Gateways. Sie arbeiten nicht auf Basis von Exchange. Auch wenn die Cloud auf dem Vormarsch ist, sind klassische Mail-Server noch weit verbreitet. Sie basieren fast ausschliesslich auf Linux. Die am Markt verfügbaren Schutzlösungen sind für Gateways vorgesehen, die auf physischen oder virtuellen Linux-Servern laufen. Dafür bieten viele bekannte Hersteller Produkte an. So hat Kaspersky Lab schon lange das Secure Mail Gateway als virtuelle Appliance im Portfolio. Es basiert auf dem Kaspersky Security for Linux Mail Server und bietet Next-Generation-Schutz für E-Mails vor bekannten und unbekannten Bedrohungen, einschliesslich Spam, Phishing und jeder Art von schädlichen Anhängen.
Trend Micros InterScan Messaging Security wiederum ist ebenfalls als virtuelle Appliance verfügbar, aber auch als Red-Hat-Version.

Hardware für Durchsatz

Für Unternehmen mit sehr hohem E-Mail-Aufkommen halten die Anbieter Speziallösungen bereit. So verarbeitet das UTM-E-Mail-Gateway von Sophos in der kleinsten Ausführung 60.000 bis 100.000 Mails pro Stunde. Das Paket ist eine All-in-one-Lösung für E-Mail-Verschlüsselung, Data Loss Prevention, Anti-Spam und Bedrohungsschutz gegen Malware.
Laut Sophos sind so auch modernste Spear-Phishing-Angriffe, die es gezielt auf ein bestimmtes Unternehmen abgesehen haben, abwehrbar. Das Produkt ermöglicht zudem eine umfassende Kontrolle über alle Daten, die ein Unternehmen per E-Mail verlassen. Es arbeitet optional mit den vorhandenen Sophos-Lösungen für Endpoints und Server zusammen und ist in verschiedenen Ausbaustufen als Hardware-Appliance für ein Rack oder als fertige VMware-Appliance verfügbar. Die beiden kleinsten Ausbaustufen als VMware-Appliance empfiehlt Sophos für 300 bis 1.000 Nutzer.
Kaspersky Security for Microsoft Office 365: Das cloud-basierte Tool wird zur Überwachung des Mail-Verkehrs mit Office-365-Mail-Konten verknüpft.
Quelle: Kaspersky
Sollte ein Unternehmen einen noch höheren Bedarf haben, lässt sich die eingangs erwähnte Technologie Cisco IronPort auch als eigene Hardware-Appliance nutzen. Cisco stellt die Rack-montierbaren Geräte zu einem fixen Kaufpreis bereit, der je nach Modell zwischen 3.500 und 5.000 Euro beträgt. Hinzu kommt der Service für das Prüfen und Filtern der Mails, den ein Unternehmen nach Anzahl der Nutzer beziehungsweise der Mail-Konten dazubuchen muss. Das vorausgesetzt landet jede Mail, wie im Abschnitt "Gemanagte E-Mail-Filterung" beschrieben, im Reputations-, Spam- und Virus-Outbreak-Filter. Hängengebliebene Mails prüft das System dann mit Antiviren-Lösungen von McAfee und Sophos.

Fazit und Ausblick

Angesichts der beinah täglichen Meldungen über geklaute Daten, gehackte Anwendungen oder lahmgelegte IT-Infrastrukturen erscheint eine erfolgreiche Cyberabwehr für Unternehmen beinahe wie ein hoffnungsloses Unterfangen. Doch ganz so düster ist die Lage nicht. Für den Schutz des E-Mail-Verkehrs jedenfalls gibt es eine ganze Reihe wirk­samer Lösungen - in verschiedenen Ausbaustufen und für Unternehmen jeder Grösse.
Ihr Einsatz erhöht den Schutzfaktor erheblich und schliesst zumindest eines der gravierend­­s­ten Einfallstore für Malware und Hacker. Sie sollten ein zentraler Baustein in der Sicherheitsstrategie jedes Unternehmens sein.




Das könnte Sie auch interessieren