Mit dem Siegeszug der E-Mail-Kommunikation im Geschäftsalltag sind auch die mit der elektronischen Post verbundenen Gefahren kontinuierlich gestiegen. Spam, Viren und Würmer, Phishing, Spyware, DoS-Angriffe (Denial of Service) und zunehmend raffinierte Angriffsmethoden machen die Verwaltung der E-Mail-Infrastruktur für Unternehmen jeder Größenordnung zur Herausforderung.
Ein Blick auf die Entwicklung des Spam-Aufkommens nach der Jahrtausendwende verdeutlicht den Ernst der Lage: Noch im Jahr 2001 schätzte MessageLabs - der E-Mail-Security-Dienstleister gehört mittlerweile zu Symantec - das weltweite Spam-Aufkommen auf "lediglich" sieben Prozent des gesamten E-Mail-Verkehrs - ein Jahr später waren es bereits 29 Prozent. Im Juli 2004 wurden 65 Prozent von rund 106 Milliarden weltweit gescannten E-Mails als Spam identifiziert. In seinem jüngsten Spam-Report vom März 2009 taxiert Symantec das derzeitige Volumen an E-Müll auf weltweit gut 86 Prozent.
Spam-Flut nimmt weiter zu
Nach Analysen des Berliner E-Mail-Sicherheitsspezialisten Eleven verhält es sich hierzulande ähnlich. Die Spam-Belastung deutscher Firmen ist zwischen Juli 2005 und April 2008 um mehr als 10.000 Prozent gewachsen, heißt es aus der Hauptstadt. "In vielen Unternehmen sind heute mehr als 95 Prozent aller eingehenden E-Mails Spam", konstatiert Eleven-Geschäftsführer Robert Rothe.
Werbe-Mails können lästig sein. Spam-Nachrichten, die mit betrügerischer Absicht versendet werden, sind darüber hinaus noch gefährlich. Für Unternehmen sind die Folgen vielfältig: Der E-Müll kann die Zustellung geschäftsrelevanter Nachrichten gefährden, aber auch IT-Systeme infizieren oder sogar den Ausfall der gesamten E-Mail-Infrastruktur verursachen. Rothe: "Durch die große Menge gleichzeitiger Verbindungen und eingehender E-Mails verschlingt Spam erhebliche Systemressourcen und kann so die legitime Kommunikation beeinträchtigen, in Spitzenzeiten sogar lahmlegen." Das sei mit steigenden Kosten etwa für zusätzliche Hardware und immer höherem Arbeitsaufwand verbunden.
Die unproduktive Arbeitszeit, die Mitarbeiter für das Aussortieren von Spam-Mails und die Suche nach verloren gegangenen Nachrichten aufwenden müssen, kann zum ernsten Problem werden. Nach Berechnung des Sicherheitsanbieters Panda Security verliert jeder Angestellte dadurch mindestens zehn Arbeitsstunden im Jahr. Das Marktforschungsunternehmen Nucleus Research hat 2004 die mit Spam verbundenen Kosten untersucht. Demnach kostete die E-Müll-Plage schon damals jede US-Firma im Schnitt jährlich 1934 Dollar pro Mitarbeiter.
Neben Spam zählt Phishing nach Einschätzung von Candid Wüest, Senior Threat Researcher bei Symantec, zu den größten Gefahren auf dem elektronischen Postweg. Dabei greifen Cyber-Kriminelle auf Social-Engineering-Techniken zurück, indem sie sich als vertrauenswürdige Personen ausgeben und versuchen, durch gefälschte E-Mails an sensible Daten wie Online-Banking- oder Kreditkarteninformationen zu gelangen.
Klassisches Phishing geht zurück
Die gute Nachricht: Nachdem im Jahr 2007 mit gut 4100 bei den Landeskriminalämtern gemeldeten Phishing-Fällen der Höhepunkt erreicht war - dabei sollen rund 19 Millionen Euro von Konten der Geschädigten abgehoben worden sein -, ist diese Form des Online-Betrugs nach Angaben des Bundesamts für Sicherheit in der Informationstechnik (BSI) zurückgegangen. Der Rückgang der dadurch entstandenen Schäden werde allerdings durch neue Betrugsaktivitäten der Cyber-Kriminellen wieder ausgeglichen, warnen BSI-Experten in ihrem Bericht zur Lage der IT-Sicherheit in Deutschland 2009.
Demnach spielen Viren, Würmer und Trojaner eine immer wichtigere Rolle. So beobachtet das BSI seit 2007 immer mehr spionierende Trojaner, die häufig über den elektronischen Posteingang ihren Weg ins Unternehmen finden. "Spionageangriffe beginnen häufig mit zielgerichteten E-Mails, die mit Schadcode oder infizierten Links versehen und an eine Handvoll wichtiger Leute gerichtet sind", berichtet Symantec-Mann Wüest.
Online-Kriminelle zielen auf Klasse statt Masse
Dabei zielen die Online-Kriminellen mittlerweile nicht mehr auf Ruhm, sondern auf Bereicherung ab. "Die Übeltäter ziehen es vor, einen kleineren Personenkreis zu infizieren statt Massenattacken vorzunehmen, um die Gefahr, erwischt zu werden, möglichst gering zu halten", erläutert Jan Lindner, Deutschland-Chef bei Panda Security. Für Unternehmen - darin sind sich die Security-Experten einig - ist der Verlust von Produktivität und Reputation das größte Problem. Da betroffene Organisationen dazu tendieren, Angriffe zu verschweigen, lässt sich der Gesamtschaden nur schwer beziffern.
Nicht nur im Hinblick auf Industriespionage, sondern im gesamten Malware-Bereich gehen Cyber-Kriminelle immer professioneller vor. Anfangs wurden nur Dateien verschickt, um etwa einen Trojaner in einen PC einzuschleusen. Als große Anhänge dann jedoch geblockt wurden, komprimierten die Angreifer ihre Dateien. Danach setzten sie auf angreifbare Dateiformate wie Word-, PDF- oder Excel-Dokumente. Momentan werden primär Links via Spam-Mails versendet - da die Anwender die Schaddatei nun aus dem Internet herunterladen müssen, können die Angreifer den Filter umgehen. Nach dem jüngsten Intelligence Report (erstes Quartal 2009) von MessageLabs beträgt der Anteil an betrügerischen Nachrichten mit Links zu bösartigen Websites derzeit 20,3 Prozent - das ist der höchste Stand seit Juni 2008.
Auch Spammer sind kreativ
Auch Spammer haben immer wieder neue Techniken entwickelt. Um etwa Content-basierende Anti-Spam-Engines auszutricksen, nutzen die E-Müll-Versender mittlerweile das so genannte Vertical Writing. Dabei werden Mails nicht in der normalen, waagegerechten Schreibweise verfasst, sondern senkrecht. Eine weitere neue Methode, dem Spam-Filter zu entgehen, ist der Rückgriff auf Ascii, die in Mails und SMS gebräuchliche Bilddarstellung anhand von Satzzeichen.
Ein weiterer gefährlicher Trend: Immer häufiger kapern Spammer auch Firmen-PCs, um sie in Botnetze einzubinden, über die dann E-Müll (samt Malware) in großen Mengen versendet wird. So verzeichnet Eleven seit Anfang 2008 immer an den Wochenenden einen spürbaren Rückgang des Spam-Volumens - für den Sicherheitsanbieter ein klares Indiz dafür, dass E-Müll mittlerweile verstärkt auch über die am Wochenende meist ausgeschalteten Unternehmensrechner verschickt wird.
Risikofaktor Mensch
"Neben Hackern stellen die Anwender das höchste Risiko für Unternehmen dar - Sicherheitsanbieter können zwar immer bessere Schutzmethoden entwickeln, der Mensch als Risikofaktor wird aber immer gefährlicher", warnt Eric Domage, Research Manager Security bei IDC.
Auch Sicherheitsanbieter beobachten den Trend zum Austricksen des Users: "Malware-Attacken sind zunehmend besser getarnt - und die Anwender werden somit immer häufiger dazu verleitet, infizierte Anhänge oder Links zu öffnen", berichtet Rüdiger Trost, Security-Spezialist bei F-Secure. "Wenn man 300 Mails am Tag bearbeitet, ist man schlicht auch nachlässiger und leichter angreifbar", gibt Rafael Laguna, CEO von Open-Xchange, zu bedenken.
Je ausgefeilter die Schutztechnik, desto ausgeklügelter werden auch die Social-Engineering-Methoden der Hacker. "Sie werden immer besser darin, durch attraktive Köder wie brisante News oder erotische Bilder die Anwender auszutricksen", so Panda-Manager Lindner. IDC-Mann Domage hält es für naheliegend, dass Kriminelle zunehmend persönliche Informationen aus sozialen Netzen wie LinkedIn, Xing oder Facebook gewinnen und daraus für die Opfer interessante (Angriffs-)Mails kreieren. Eine scheinbar von Bekannten kommende E-Mail erhöhe die Wahrscheinlichkeit, dass der Empfänger in die Falle tappt, deutlich.
Fazit
Ein Rückgang der E-Mail-Bedrohungen ist nach Einschätzung der Security-Experten nicht in Sicht. "Sofern sich das Medium E-Mail nicht deutlich verändert und beispielsweise mit digitalem Porto oder einer Absender-Authentifizierung versehen wird, wird es ein Medium zur Verbreitung gefährlichen Contents bleiben", statuiert Symantec-Spezialist Wüest. (kf)