Cloud-E-Mails: Fünf wirksame Schutzmaßnahmen

Erich Kron_KnowBe4

Erich Kron, CISO-Advisor bei KnowBe4

E-Mails aus Cloud-Umgebungen sind zum Dreh- und Angelpunkt digitaler Unternehmen geworden. Unabhängig von Branche und Größe verbinden sie Mitarbeiter, Kunden, Lieferanten, Finanzsysteme und kritische Geschäftsprozesse miteinander.

Angreifer haben es auf genau diese Kommunikation abgesehen. Für sie ist das Kompromittieren eines E-Mail-Kontos oft so, als hätten sie den Generalschlüssel zu einem Gebäude gefunden. Sind sie erst einmal drinnen, können sie Informationen stehlen, sich als Mitarbeiter ausgeben, Zahlungen umleiten, Malware verbreiten oder auf Systeme Dritter zugreifen. Wir vertrauen internen E-Mails von Natur aus mehr als externen. Die Herausforderung besteht nun darin, dass die meisten Unternehmen E-Mails von außerhalb weitaus stärker als solche aus dem eigenen Haus filtern und überprüfen.

Der Schutz von Cloud-E-Mails ist jedoch kein Wundermittel oder erfordert eine Sicherheitslösung, die jedes Problem löst. Wie in den meisten Bereichen der Cybersicherheit beruht der Erfolg auf dem Aufbau mehrerer Verteidigungsebenen, die zusammenwirken.

Im Folgenden werden fünf Cybersicherheitsmaßnahmen vorgestellt, die Unternehmen als Teil ihres Sicherheitsprogramms zum Schutz ihrer Cloud-E-Mail-Umgebungen umsetzen sollten:

1. Eine phishing-resistente Multi-Faktor-Authentifizierung einsetzen

Würden Passwörter ausreichen, gäbe es nicht so viele Account Takeover. Eine Multi-Faktor-Authentifizierung (MFA) ist nach wie vor eine der wirksamsten verfügbaren Sicherheitsmaßnahmen, aber kein Allheilmittel. Angreifer werden immer geschickter darin, herkömmliche MFA-Methoden zu umgehen. Angriffe durch Push-Benachrichtigungsmüdigkeit, gestohlene Einmal-Passcodes und „Adversary-in-the-Middle“-Phishing-Kits haben dazu geführt, dass einfache MFA weniger wirksam ist als früher.

Das bedeutet jedoch nicht, dass eine MFA keinen Wert mehr hat. Es bedeutet im Umkehrschuluss lediglich, dass Unternehmen nach Möglichkeit stärkere Authentifizierungsformen anstreben sollten. Phishing-resistente MFA-Lösungen wie FIDO2-Sicherheitsschlüssel, Passkeys, Smartcards und die zertifikatsbasierte Authentifizierung erschweren es Angreifern erheblich, Anmeldedaten zu stehlen und erneut zu verwenden. Diese Methoden überprüfen nicht nur die Identität des Benutzers, sondern auch die Legitimität der Website oder Anwendung, die die Authentifizierung anfordert. Unternehmen sollten für alle Nutzer eine MFA vorschreiben. Ebenso wichtig ist es, veraltete Authentifizierungsprotokolle zu deaktivieren, da diese den MFA-Schutz gänzlich umgehen können. Alte Authentifizierungsmethoden schlummern oft unbemerkt im Hintergrund, bis ein Angreifer sie zufällig entdeckt.

2. SPF, DKIM und DMARC implementieren

Einer der ältesten Tricks im Repertoire von Cyberkriminellen ist es, sich als jemand anderes auszugeben und damit die IT-Systeme zu täuschen. Angreifer geben sich häufig als Führungskräfte, Anbieter, Geschäftspartner oder vertrauenswürdige Unternehmen aus, da Menschen bekannten Namen naturgemäß eher vertrauen.

Das Sender Policy Framework (SPF), DomainKeys Identified Mail (DKIM) und Domain-based Message Authentication, Reporting and Conformance (DMARC) sind alle für sich gute Sicherhereitsmaßnahmen. Sie hindern Angreifer zwar nicht daran, Domains zu registrieren, die der des Opfers ähnlich sind (sogenanntes „Typo-Squatting“), aber sie verhindern, dass es so aussieht, als stamme die E-Mail von einer legitimen Domain. SPF identifiziert, welche Server berechtigt sind, E-Mails im Namen Ihrer Domain zu versenden. DKIM nutzt kryptografische Signaturen, um zu überprüfen, ob Nachrichten verändert wurden. DMARC vereint diese Technologien und weist empfangende E-Mail-Systeme an, wie sie mit Nachrichten umgehen sollen, die die Authentifizierungsprüfungen nicht bestehen.

Einfach ausgedrückt tragen diese Kontrollmechanismen dazu bei, Angreifer daran zu hindern, Nachrichten zu versenden, die so aussehen, als kämen sie direkt vom Unternehmen des Opfers. Viele Organisationen beginnen mit der Überwachung und wechseln dann schrittweise zu strengeren DMARC-Durchsetzungsrichtlinien. Dieser Ansatz ermöglicht es Sicherheitsteams, legitime Systeme, die E-Mails versenden, zu identifizieren, bevor strengere Kontrollen durchgesetzt werden. Zwar kann die E-Mail-Authentifizierung nicht jeden Angriff verhindern, doch sie legt die Messlatte deutlich höher und erschwert eine der einfachsten Methoden, mit der Kriminelle sich als Organisationen ausgeben und ihre Taktikten dahinter verstecken.

3. Verhinderung von Acount Takeover

Wenn Angreifer Zugriff auf ein legitimes E-Mail-Konto erlangen, kann sich die Situation sehr schnell komplizieren. Ein kompromittiertes E-Mail-Konto verschafft Angreifern etwas von unschätzbarem Wert: Vertrauen. Anstatt sich als Mitarbeiter auszugeben, werden sie selbst zu Mitarbeitern. Dann können sie Unterhaltungen überwachen, Rechnungen umleiten, sensible Informationen stehlen, Passwörter zurücksetzen, Phishing-Angriffe gegen Kollegen starten oder Weiterleitungsregeln erstellen, die unbemerkt Kopien von E-Mails an externe Konten senden.

Die wirksamste Verteidigung besteht darin, davon auszugehen, dass es irgendwann zum Diebstahl von Zugangsdaten kommen wird, und Kontrollmechanismen einzurichten, die verdächtige Aktivitäten schnell erkennen.

Unternehmen sollten folgende Funktionen nutzen:

  • Richtlinien für den bedingten Zugriff
  • Erkennung unzulässiger Reisen
  • Warnmeldungen bei verdächtigen Anmeldungen
  • Überwachung von Weiterleitungsregeln für den Posteingang
  • Erkennung neuer MFA-Registrierungen
  • Einschränkungen bei der Weiterleitung an externe Empfänger
  • Risikobasierte Authentifizierungsrichtlinien

Ebenso wichtig ist die Überwachung der Berechtigungen von Anwendungen von Drittanbietern. Denn Angreifer nutzen zunehmend bösartige OAuth-Anwendungen, um Zugriff auf E-Mail-Postfächer zu erlangen, ohne ständig Passwörter stehlen zu müssen. Das Ziel muss daher sein: eine schnelle Erkennung, die Einschränkung des Zugriffs von Angreifern und die Verringerung der Möglichkeiten nach der Kompromittierung.

4. Fortschrittliche E-Mail-Schutz einsetzen

Moderne Phishing-Angriffe sind oft nicht leicht zu erkennen. Die Zeiten, in denen jede bösartige E-Mail grammatikalische Fehler, seltsame Formatierungen und einen ausländischen Prinzen enthielt, der im Gegenzug für Hilfe Millionen von Euro anbot, sind vorbei. Heutige Phishing-Angriffe können überzeugend, gut formuliert und sehr zielgerichtet sein. Manche nutzen QR-Codes. Andere machen sich kompromittierte Konten zunutze. Viele enthalten keine Malware.

Business-E-Mail-Compromise (BEC) -Taktiken setzen oft ausschließlich auf Vertrauen und Überzeugungskraft. Deshalb sollte ein fortschrittlicher E-Mail-Schutz weit mehr als nur einfache Signaturen oder bekannte schädliche Anhänge prüfen.

Wirksame Lösungen analysieren Faktoren wie:

  • Reputation des Absenders
  • Alter der Domain
  • Authentifizierungsergebnisse
  • Inhalt der Nachricht
  • Verhalten der Links
  • Verhalten der Anhänge
  • Kommunikationsmuster
  • Indikatoren für Identitätsbetrug

Funktionen wie URL-Umschreibung, Sandboxing von Anhängen, QR-Code-Erkennung, Schutz vor Identitätsbetrug und automatische Löschung von Nachrichten können das Risiko für Unternehmen erheblich verringern. Ein häufiger Fehler vieler Unternehmen ist es, sich ausschließlich auf eingehende E-Mails zu konzentrieren. Auch interne E-Mails sowie nach außen versendete E-Mails verdienen Beachtung. Sobald Angreifer ein Konto kompromittiert haben, nutzen sie es häufig, um Kollegen ins Visier zu nehmen. Angreifer können interne E-Mail-Konten auch dazu nutzen, Daten zu entwenden. Daher ist es ebenfalls entscheidend, nach ungewöhnlichen Mustern bei ausgehenden E-Mails oder nach E-Mails mit potenziell sensiblen Informationen Ausschau zu halten. Dies kann auch bei versehentlicher Datenpreisgabe durch Mitarbeitende einen großen Unterschied machen.

5. Mitarbeiter schulen und Geschäftsprozesse stärken

Technologie spielt eine entscheidende Rolle für die Sicherheit, doch Menschen bleiben eine der wichtigsten Verteidigungsebenen. Das bedeutet jedoch auf der anderen Seite nicht, dass man den Nutzern die Schuld geben sollte. Die Vorstellung, dass Mitarbeiter das Problem sind, war noch nie besonders hilfreich. Angreifer sind Profis in ihrem Fach. Sie verbringen ihre Zeit damit, menschliches Verhalten, Geschäftsprozesse und organisatorische Zusammenhänge zu studieren. Sie wissen, wie sie eine Art Dringlichkeit und Stress erzeugen, Vertrauen ausnutzen und Menschen zu schnellen Entscheidungen drängen können.

Schulungen zur Security Awareness für Mitarbeiter sollten darauf abzielen, Mitarbeitern dabei zu helfen, realistische Bedrohungen zu erkennen. Sie reichen jedoch nicht allein aus. Unternehmen sollten zudem sichere Geschäftsprozesse etablieren, die die Auswirkungen eines erfolgreichen Phishing-Angriffs mindern. Beispielsweise sollten Änderungen an Zahlungsinformationen, wie Überweisungen oder Rechnungszahlungen, stets über einen vertrauenswürdigen zweiten Kommunikationskanal überprüft werden. Anfragen zu Überweisungen, dem Kauf von Geschenkkarten oder sensiblen Mitarbeiterdaten sollten festgelegten Genehmigungsverfahren folgen.

Fazit

​Es ist entscheidend sich Zeit zu lassen und zu prüfen, bevor etwas unternommen wird. Cyberkriminelle nutzen die Dringlichkeit aus. Gute Sicherheitsprozesse nehmen ihnen diesen Vorteil. Unternehmen sollten zudem die Meldung verdächtiger Nachrichten vereinfachen. Mitarbeiter, die potenzielle Bedrohungen melden, tragen aktiv zur Verteidigung des Unternehmens bei und sollten dazu ermutigt werden, dies auch weiterhin zu tun. Viele Unternehmen gehen fälschlicherweise davon aus, dass ihr Cloud-Anbieter automatisch alle Daten dauerhaft schützt. Diese Annahme kann sich im Ernstfall jedoch als sehr unangenehm erweisen. Es ist unerlässlich, sich mit Aufbewahrungsrichtlinien, Wiederherstellungsoptionen, gesetzlichen Aufbewahrungspflichten und Backup-Möglichkeiten vertraut zu machen. Wenn E-Mail-Daten gelöscht, verschlüsselt, verändert oder auf andere Weise kompromittiert werden, benötigen Unternehmen eine zuverlässige Möglichkeit, um kritische Informationen wiederherzustellen. Angreifer suchen sich das einfachste verfügbare Ziel aus. Je mehr Hindernisse ein Unternehmen ihnen in den Weg stellt, desto wahrscheinlicher ist es, dass sie weiterziehen und sich anderweitig umsehen. Genau das ist ein Erfolg, den es anzustreben gilt.