Gefahren auf dem elektronischen Postweg

Mit dem Siegeszug der E-Mail-Kommunikation im Geschäftsalltag sind auch die mit der elektronischen Post verbundenen Gefahren kontinuierlich gestiegen. Spam, Viren und Würmer, Phishing, Spyware, DoS-Angriffe (Denial of Service) und zunehmend raffinierte Angriffsmethoden machen die Verwaltung der E-Mail-Infrastruktur für Unternehmen jeder Größenordnung zur Herausforderung.

Ein Blick auf die Entwicklung des Spam-Aufkommens nach der Jahrtausendwende verdeutlicht den Ernst der Lage: Noch im Jahr 2001 schätzte MessageLabs - der E-Mail-Security-Dienstleister gehört mittlerweile zu Symantec - das weltweite Spam-Aufkommen auf "lediglich" sieben Prozent des gesamten E-Mail-Verkehrs - ein Jahr später waren es bereits 29 Prozent. Im Juli 2004 wurden 65 Prozent von rund 106 Milliarden weltweit gescannten E-Mails als Spam identifiziert. In seinem jüngsten Spam-Report vom März 2009 taxiert Symantec das derzeitige Volumen an E-Müll auf weltweit gut 86 Prozent.

Spam-Flut nimmt weiter zu

Nach Analysen des Berliner E-Mail-Sicherheitsspezialisten Eleven verhält es sich hierzulande ähnlich. Die Spam-Belastung deutscher Firmen ist zwischen Juli 2005 und April 2008 um mehr als 10.000 Prozent gewachsen, heißt es aus der Hauptstadt. "In vielen Unternehmen sind heute mehr als 95 Prozent aller eingehenden E-Mails Spam", konstatiert Eleven-Geschäftsführer Robert Rothe.

Werbe-Mails können lästig sein. Spam-Nachrichten, die mit betrügerischer Absicht versendet werden, sind darüber hinaus noch gefährlich. Für Unternehmen sind die Folgen vielfältig: Der E-Müll kann die Zustellung geschäftsrelevanter Nachrichten gefährden, aber auch IT-Systeme infizieren oder sogar den Ausfall der gesamten E-Mail-Infrastruktur verursachen. Rothe: "Durch die große Menge gleichzeitiger Verbindungen und eingehender E-Mails verschlingt Spam erhebliche Systemressourcen und kann so die legitime Kommunikation beeinträchtigen, in Spitzenzeiten sogar lahmlegen." Das sei mit steigenden Kosten etwa für zusätzliche Hardware und immer höherem Arbeitsaufwand verbunden.

Die unproduktive Arbeitszeit, die Mitarbeiter für das Aussortieren von Spam-Mails und die Suche nach verloren gegangenen Nachrichten aufwenden müssen, kann zum ernsten Problem werden. Nach Berechnung des Sicherheitsanbieters Panda Security verliert jeder Angestellte dadurch mindestens zehn Arbeitsstunden im Jahr. Das Marktforschungsunternehmen Nucleus Research hat 2004 die mit Spam verbundenen Kosten untersucht. Demnach kostete die E-Müll-Plage schon damals jede US-Firma im Schnitt jährlich 1934 Dollar pro Mitarbeiter.

Neben Spam zählt Phishing nach Einschätzung von Candid Wüest, Senior Threat Researcher bei Symantec, zu den größten Gefahren auf dem elektronischen Postweg. Dabei greifen Cyber-Kriminelle auf Social-Engineering-Techniken zurück, indem sie sich als vertrauenswürdige Personen ausgeben und versuchen, durch gefälschte E-Mails an sensible Daten wie Online-Banking- oder Kreditkarteninformationen zu gelangen.

Klassisches Phishing geht zurück

Die gute Nachricht: Nachdem im Jahr 2007 mit gut 4100 bei den Landeskriminalämtern gemeldeten Phishing-Fällen der Höhepunkt erreicht war - dabei sollen rund 19 Millionen Euro von Konten der Geschädigten abgehoben worden sein -, ist diese Form des Online-Betrugs nach Angaben des Bundesamts für Sicherheit in der Informationstechnik (BSI) zurückgegangen. Der Rückgang der dadurch entstandenen Schäden werde allerdings durch neue Betrugsaktivitäten der Cyber-Kriminellen wieder ausgeglichen, warnen BSI-Experten in ihrem Bericht zur Lage der IT-Sicherheit in Deutschland 2009.

Demnach spielen Viren, Würmer und Trojaner eine immer wichtigere Rolle. So beobachtet das BSI seit 2007 immer mehr spionierende Trojaner, die häufig über den elektronischen Posteingang ihren Weg ins Unternehmen finden. "Spionageangriffe beginnen häufig mit zielgerichteten E-Mails, die mit Schadcode oder infizierten Links versehen und an eine Handvoll wichtiger Leute gerichtet sind", berichtet Symantec-Mann Wüest.

Online-Kriminelle zielen auf Klasse statt Masse

Dabei zielen die Online-Kriminellen mittlerweile nicht mehr auf Ruhm, sondern auf Bereicherung ab. "Die Übeltäter ziehen es vor, einen kleineren Personenkreis zu infizieren statt Massenattacken vorzunehmen, um die Gefahr, erwischt zu werden, möglichst gering zu halten", erläutert Jan Lindner, Deutschland-Chef bei Panda Security. Für Unternehmen - darin sind sich die Security-Experten einig - ist der Verlust von Produktivität und Reputation das größte Problem. Da betroffene Organisationen dazu tendieren, Angriffe zu verschweigen, lässt sich der Gesamtschaden nur schwer beziffern.

Nicht nur im Hinblick auf Industriespionage, sondern im gesamten Malware-Bereich gehen Cyber-Kriminelle immer professioneller vor. Anfangs wurden nur Dateien verschickt, um etwa einen Trojaner in einen PC einzuschleusen. Als große Anhänge dann jedoch geblockt wurden, komprimierten die Angreifer ihre Dateien. Danach setzten sie auf angreifbare Dateiformate wie Word-, PDF- oder Excel-Dokumente. Momentan werden primär Links via Spam-Mails versendet - da die Anwender die Schaddatei nun aus dem Internet herunterladen müssen, können die Angreifer den Filter umgehen. Nach dem jüngsten Intelligence Report (erstes Quartal 2009) von MessageLabs beträgt der Anteil an betrügerischen Nachrichten mit Links zu bösartigen Websites derzeit 20,3 Prozent - das ist der höchste Stand seit Juni 2008.

Werthaltiges Wissen sichern
Im Schnitt sind fünf Prozent des Know-hows für künftige Projekte werthaltig. Diese Informationen sollten deshalb besonders geschützt werden, um nicht in den Besitz der Konkurrenz zu gelangen.

Sicherheitskonzept erstellen
Jede Firme sollte ein Sicherheitskonzept haben und die Problemfelder Wirtschafts- und Industriespionage von Beginn an in die Policy mit aufnehmen.

Berater konsultieren
Planen Sie Ihr Sicherheitskonzept inklusive Spionageschutz gegebenfalls mit Hilfe eines Beraters.

Datentypen klassifizieren
Alle Typen von Unternehmensdaten sollten in Sicherheitsklassen eingeteilt werden, zum Beispiel die drei Kategorien öffentlich, intern und vertraulich. An dieser Klassifizierung muss sich dann die Sicherheitsstrategie organisatorisch und technisch ausrichten.

Informationen verschlüsseln
Geschäftskritische Informationen sollten immer verschlüsselt werden. Dies muss abhängig von der Struktur des Unternehmens und seiner Datenhaltung auf verschiedenen Ebenen geschehen: E-Mail, https, VPN, SSL-VPN sowie File- und Disk-Encryption sind mögliche Verschlüsselungsfelder.

Datenlecks abdichten
Data Leakage Protection ist ein neuer Sicherheitstrend. Mit solchen Systemen lassen sich Informationen jeglicher Art analysieren und schützen, was sich indes auch auf personenbezogene Daten erstreckt. <br/><br/> Damit kann das Interesse der Unternehmen an einer umfassenden Kontrolle mit dem Anspruch der betroffenen Personen auf informationelle Selbstbestimmung kollidieren.

IT-Profi beschäftigen
Der Verzicht auf einen IT- bzw. Sicherheitsexperten im Betrieb kann unter dem Strich teuer kommen.

Datenträger schützen
Das Wegsperren von Datenträgern kann zwar Schutz bieten, reicht allein aber nicht aus. Die Verschlüsselung geschäftskritischer Informationen ist unverzichtbar.

Personal sensibilisieren
Mitarbeiter sollten in Sicherheitsschulungen auch auf die Gefahren durch Wirtschafts- und Industriespionage aufmerksam gemacht werden.

Internes Risiko beachten
Leider ist nicht auszuschließen, dass eigene Mitarbeiter aus unterschiedlichen Motiven wichtige Daten für Dritte ausspähen.

Dienstleister überprüfen
Dienstleister, die täglich Zutritt zum Unternehmen haben, sind potentielle Schlupflöcher für Spione. Zum Beispiel IT-Experten getarnt als Reinigungskräfte.

Spione antizipieren
Es ist natürlich nahezu unmöglich, aber machen Sie sich Gedanken darüber, wer besonderes Interesse am geistigen Eigentum Ihres Unternehmens haben könnte.

Auch Spammer sind kreativ

Auch Spammer haben immer wieder neue Techniken entwickelt. Um etwa Content-basierende Anti-Spam-Engines auszutricksen, nutzen die E-Müll-Versender mittlerweile das so genannte Vertical Writing. Dabei werden Mails nicht in der normalen, waagegerechten Schreibweise verfasst, sondern senkrecht. Eine weitere neue Methode, dem Spam-Filter zu entgehen, ist der Rückgriff auf Ascii, die in Mails und SMS gebräuchliche Bilddarstellung anhand von Satzzeichen.

Ein weiterer gefährlicher Trend: Immer häufiger kapern Spammer auch Firmen-PCs, um sie in Botnetze einzubinden, über die dann E-Müll (samt Malware) in großen Mengen versendet wird. So verzeichnet Eleven seit Anfang 2008 immer an den Wochenenden einen spürbaren Rückgang des Spam-Volumens - für den Sicherheitsanbieter ein klares Indiz dafür, dass E-Müll mittlerweile verstärkt auch über die am Wochenende meist ausgeschalteten Unternehmensrechner verschickt wird.

Risikofaktor Mensch

"Neben Hackern stellen die Anwender das höchste Risiko für Unternehmen dar - Sicherheitsanbieter können zwar immer bessere Schutzmethoden entwickeln, der Mensch als Risikofaktor wird aber immer gefährlicher", warnt Eric Domage, Research Manager Security bei IDC.

Auch Sicherheitsanbieter beobachten den Trend zum Austricksen des Users: "Malware-Attacken sind zunehmend besser getarnt - und die Anwender werden somit immer häufiger dazu verleitet, infizierte Anhänge oder Links zu öffnen", berichtet Rüdiger Trost, Security-Spezialist bei F-Secure. "Wenn man 300 Mails am Tag bearbeitet, ist man schlicht auch nachlässiger und leichter angreifbar", gibt Rafael Laguna, CEO von Open-Xchange, zu bedenken.

Verlust von Kundendaten
Gehen sensible Kundendaten verloren, gerät die Kundenloyalität in Gefahr. Sie ist stark abhängig von der Fähigkeit der Unternehmen, Kundeninformationen wirksam zu schützen. Firmen müssen noch mehr als bislang investieren, um die Risiken aus Datenverlusten zu minimieren.

Risiko durch neue IT-Trends
Neue Technologien und Services wie Cloud Computing, Virtualisierung und Software-as-a-Service (SaaS) erfordern erhöhte Sicherheit. Wollen Unternehmen die Vorteile dieser Verfahren nutzen, bedarf es adäquater Sicherheits- und Verschlüsselungs-Policies, um sensible Daten - wo auch immer sie sich befinden - optimal abzusichern.

Verschärftes Datenschutzgesetz
Das verschärfte Datenschutzgesetz erfordert von den Unternehmen eine noch bessere Verschlüsselung. Dieser müssen sie in ihrem Sicherheitskonzept auch unter dem Aspekt der Compliance Rechnung tragen.

Bessere Sicherheitspakete
Es kommen zunehmend Produkt-Bundles speziell für den Mittelstand auf den Markt, die eine kombinierte Lösung für Information Protection und Verschlüsselung sowie die Umsetzung einheitlicher Sicherheitsrichtlinien im Unternehmen bieten. Damit sind auch mittlere Unternehmen in der Lage, ihre sensiblen Firmendaten umfassend zu schützen.

Je ausgefeilter die Schutztechnik, desto ausgeklügelter werden auch die Social-Engineering-Methoden der Hacker. "Sie werden immer besser darin, durch attraktive Köder wie brisante News oder erotische Bilder die Anwender auszutricksen", so Panda-Manager Lindner. IDC-Mann Domage hält es für naheliegend, dass Kriminelle zunehmend persönliche Informationen aus sozialen Netzen wie LinkedIn, Xing oder Facebook gewinnen und daraus für die Opfer interessante (Angriffs-)Mails kreieren. Eine scheinbar von Bekannten kommende E-Mail erhöhe die Wahrscheinlichkeit, dass der Empfänger in die Falle tappt, deutlich.

Fazit

Ein Rückgang der E-Mail-Bedrohungen ist nach Einschätzung der Security-Experten nicht in Sicht. "Sofern sich das Medium E-Mail nicht deutlich verändert und beispielsweise mit digitalem Porto oder einer Absender-Authentifizierung versehen wird, wird es ein Medium zur Verbreitung gefährlichen Contents bleiben", statuiert Symantec-Spezialist Wüest. (kf)