In seinem aktuellen Bericht 2009 kommt das Bundesamt für Verfassungsschutz (BfV) zu dem Schluss, dass Deutschland zunehmend ins Visier ausländischer Nachrichtendienste rückt. "Technologisch weniger entwickelte Staaten", heißt es in dort, spähten eher "technisches Know-how aus, um Kosten für die eigene Forschung und Entwicklung sowie mögliche Lizenzgebühren zu vermeiden". Höher entwickelte Staaten interessierten sich dagegen "für Produktideen, komplexe Fertigungstechniken sowie für Unternehmens- und Marktstrategien".
Betroffen von dieser zunehmenden Spionagetätigkeit sind Unternehmen, die sich im traditionell rohstoffarmen Deutschland vor allem mit ihrem Know-how im globalen Wettbewerb behaupten müssen. Das BfV beschäftigt sich allerdings ausschließlich mit Angriffen von Nachrichtendiensten ausländischer Staaten, wo Russland und China mit besonderem Interesse glänzen. Spähaktionen nicht-staatlicher Stellen werden von dem Amt nicht erfasst, so dass die Dunkelziffer der gesamten Angriffe eher hoch sein dürfte.
Auf jeden Fall zugenommen, so der BfV-Bericht, haben gezielt durchgeführte Maßnahmen mit und gegen IT-Infrastrukturen. Neben der Informationsbeschaffung fallen darunter auch Aktivitäten, die zur Schädigung und Sabotage dieser Systeme geeignet sind. Eine der gängigsten Angriffsmethoden ist das Versenden von E-Mails, die einen durch ein Schadprogramm verseuchten Anhang besitzen. Solchen Angriffen gegen "erkennbar gezielt ausgesuchte Empfänger" geht ein umfangreiches "Social Engineering" voraus. Das dient dazu, persönliche Daten und Interessen auszuspähen, um den Angriff danach möglichst punktgenau setzen zu können.
Aussagen über den Schaden, den Wirtschaftsspionage in Deutschland verursacht, machen die Verfassungsschützer nicht. Dafür sei die Dunkelziffer zu hoch, heißt es. Schätzungen aus dem nordrhein-westfälischen Innenministerium gehen gleichwohl von einem Verlust von rund 30 Milliarden Euro pro Jahr aus. Zudem seien rund 70.000 einheimische Arbeitsplätze durch Wirtschaftsspionage bedroht.
Spam-Angriffe über soziale Netzwerke nehmen deutlich zu
Neben den Angriffen via E-Mail und Internet sind Spam-Mails die zweite große Bedrohung für Unternehmen. "Bis zu 98 Prozent aller eingehenden E-Mails sind Spam" meldet zum Beispiel der Sicherheitsspezialist Retarus. Der Virenschutz-Anbieter Kaspersky Lab geht in seinem Spam-Report für das dritte Quartal 2009 im Durchschnitt von einem Spam-Anteil von 85,7 Prozent am gesamten E-Mail-Traffic aus, ein leichter Zuwachs im Vergleich zum ersten Halbjahr 2009 (85,5 Prozent). Bei einem Aufkommen von geschätzten 25 Milliarden E-Mails im Jahr 2009 ergibt das je nach Rechenbasis die unglaubliche Anzahl von 20 bis 23 Milliarden Spam-Nachrichten pro Jahr, die Postfächer verstopfen, Arbeitszeit kosten und nicht selten auch direkten Schaden anrichten. Immerhin 0,46 Prozent des gesamten E-Mail-Verkehrs enthält anderen Berechnungen zufolge Schadsoftware im Anhang und weitere 0,99 Prozent sind so genannte Phishing-Mails, die dem Ausspähen von Zugangsdaten und Passwörtern dienen.
Der Trend wird auch im kommenden Jahr anhalten, schätzt Robert Rothe, Geschäftsführer des E-Mail-Sicherheitsspezialisten Eleven aus Berlin, nicht ganz uneigennützig, aber dennoch wohl realistisch: Kein Business-Modell im Web ist so profitabel wie der Versand von Spam. So hat etwa die Messaging Anti-Abuse Working Group (MAAWG) einem Heise-Bericht zufolge in einer Umfrage herausgefunden, dass immerhin ein Sechstel der 65 Prozent "Nicht-Experten""manchmal" auf die Angebote eingeht. Und an der University of California hat man ausgerechnet, dass ein Versender von Spam bis zu sechsstellige Beträge einfährt, wenn auch nur einer unter 12,5 Millionen Empfängern einer Spam-Mail auf den Leim geht. An solche Margen kommt kein anderes kommerzielles Internet-Angebot auch nur annähernd heran.
Zu den besorgniserregenden Trends 2010 gehört insbesondere die Tatsache, dass sich nach Expertenmeinung Spams und Malware auch in den boomenden sozialen Netzwerken ausbreiten werden. Der Run auf Twitter, Facebook und Co. wird sich auch in den Angriffen per E-Mail auswirken. Spammer und Virenversender greifen immer häufiger auf Social-Engineering-Tricks zurück, um "Freunde" und "Bekannte" zur Antwort auf mehr als zweifelhafte Angebote zu verführen.
All’ diese Entwicklungen sind Grund genug auch für deutsche Unternehmen, ihre Anstrengungen beim Thema E-Mail-Sicherheit zu verstärken. Den Marktforschern von IDC zufolge planen 60 Prozent der Firmen, ihre Ausgaben für E-Mail-Sicherheit auch in wirtschaftlich schwierigen Zeiten zu erhöhen.
Dabei gibt es grundsätzlich zwei Wege, den Schutz des Unternehmens vor E-Mail-Angriffen aller Art zu sichern: Entweder man installiert Tools zur Verschlüsselung des eigenen sowie zur Prüfung des eingehenden Mailverkehrs im Unternehmen. Oder man lagert die Aufgabe, für sicheren E-Mail-Verkehr zu sorgen, an externe Spezialisten aus (Managed-E-Mail-Security). Angesichts der vielfältigen Aufgaben beim Schutz des Informations- und Datenverkehrs scheint das Outsourcing der E-Mail-Sicherheit ein zunehmend akzeptierter Weg zu sein: Nur knapp 30 Prozent der auf der Nürnberger Sicherheitsmesse it-sa 2009 befragten Unternehmen sprachen sich für eine Inhouse-Lösung aus, während knapp 60 Prozent erklärten, eine externe Lösung bereits einzusetzen oder wenigstens zu planen.
100-prozentiger Schutz ist nicht möglich
Egal, für welche Lösung sich Unternehmen entscheiden. Hundertprozentig in den Griff zu kriegen, konstatierten die Analysten der Aberdeen-Group vor Jahresfrist, sei das Problem E-Mail-Sicherheit nie. Aber es gebe unterschiedliche Ansätze mit ebenso differenzierten Erfolgsaussichten. Eine effektive E-Mail-Sicherheitsstrategie, so hat Aberdeen in einer Analyse verschiedener Best-in-class-Unternehmen (BiC) herausgefunden, kombiniere den Technologie-Einsatz mit viel Schulung und Trainings für die Mitarbeiter. Außerdem integriere sie Mail- und Web-Security-Fragen.
So verifizieren etwa 64 Prozent der Klassenbesten die Echtheit eines E-Mail-Senders. Im Klassendurchschnitt macht das mit 49 Prozent nicht einmal jeder zweite. Außerdem scannen 65 Prozent der Best-in-Class-Firmen Mail-Anhänge, aber nur 35 Prozent der Durchschnittsfirmen. Für Primi endet E-Mail-Security auch nicht vor der eigenen Haustür: 81 Prozent von ihnen prüfen auch ausgehende Nachrichten auf Spam und Malware, im Durchschnitt sind es nur 57 Prozent. Dadurch halten die "BiCs" ihr Partner- und Kundennetzwerk sauber, lobt Aberdeen.
Besonders wichtig für eine erfolgreiche E-Mail-Sicherheitsstrategie ist zudem die Einbeziehung der Mitarbeiter. Drei von vier der besonders erfolgreichen Unternehmen (77 Prozent) machen die Belegschaft mit dem sicheren E-Mail-Umgang vertraut. Im Schnitt sind es nur 54 Prozent. Darüber hinaus nehmen die Best-in-Class-Unternehmen ihre Mitarbeiter auch stärker in die Pflicht als der Durchschnitt: Mehr als andere verpflichten sie die Kollegen, regelmäßig Anti-Malware-Reports zu lesen.
Im österreichischen Juristenportal "Internet & Recht" sind weitere Tipps zum sicheren Umgang mit E-Mails nachzulesen.
-
Öffnen Sie niemals eine Datei, die Ihnen von jemandem übermittelt wurde, wenn Sie sich nicht ganz sicher sind, dass Ihnen der Absender wirklich etwas schicken wollte (zum Beispiel durch Vorankündigung).
-
Klicken Sie niemals auf einen Link aus einer E-Mail-Nachricht, außer, Sie können dem Absender absolut vertrauen!
-
Stellen Sie sicher, dass Ihr E-Mail-Programm keine HTML-Nachrichten darstellt; reine Textmitteilungen sind ungefährlich, wenn auch vielleicht nicht so schön anzusehen.
-
Versenden Sie selbst keine HTML-Nachrichten, weil dies unnötig Platz beansprucht und den Empfänger gefährdet (auch in HTML-Anweisungen können sich Schädlinge befinden).
-
Antworten Sie niemals auf Spam; damit liefern Sie nur die Bestätigung, dass Werbung unter dieser Adresse auch ankommt.
Zum Thema Verschlüsselung äußert sich unter anderem das österreichische Zentrum für sichere Informationstechnologie: "E-Mails mit Inhalten, die nur von berechtigten Personen gelesen werden dürfen, müssen verschlüsselt werden! Diese Verschlüsselung geschieht mit Hilfe von S/MIME" und ist "mit allen weit verbreiteten E-Mail -Clients möglich". Zudem sollten E-Mails digital signiert werden. "Mit Hilfe der digitalen Signatur kann eindeutig festgestellt werden, ob eine E-Mail während des Transports verändert wurde." Zudem erlaube die Signatur eine Identifikation des Absenders. Solche Signaturen können dem österreichischen Zentrum zufolge ebenfalls in allen gängigen E-Mail-Clients mit Hilfe von S/MIME erstellt werden.
Dezidierte Tipps zur sicheren Konfiguration von Mail-Servern und -Clients gibt auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) auf seiner Webseite.