E-Mail Security: bitte 3 Schritte weiterdenken!

E-Mails absichern im Unternehmen

Die traurige Realität in der Ukraine hat nicht nur den Schrecken des Krieges nach Europa zurückgebracht, es wurde auch vermehrt thematisiert, dass Hacker in diversesten Ländern von öffentlicher Seite geduldet werden. Zum Teil werden diese auch aktiv unterstützt, um konkurrierenden Ländern auf diesem Wege Schaden zuzufügen. Trotzdem: Der Zugriff auf Schadcode-Infrastruktur und spammende Server oder die Strafverfolgung auf fremdem Staatsgebiet ist für Behörden schwierig. Deswegen werden bisher weniger als 1 Prozent aller Angriffe aufgeklärt. Gezielte Attacken auf Unternehmen sind auch in Österreich schon lange an der Tagesordnung; die "Augen-zu-und-durch“-Strategie mancher Organisationen ist daher nicht mehr tragbar.

Der Fall des Landes Kärnten zeigt in diesem Zusammenhang, dass große Investitionen in Border-Security mit Firewalls, Anti-SPAM und Anti-Virus keinen Schutz davor bieten, wenn ein User (und das ist nur allzu menschlich) auf einen für ihn speziell vorbereiteten Link klickt und so der Schadcode ins System gelangt.

Halten wir dazu den Status der heutigen E-Mail-Technologie fest:

  • E-Mails sind für jede Organisation das wichtigste Kommunikationsmittel: Keine E-Mails – kein Überleben (E-Mail-Blackout).
  • Absender einer E-Mail können vom Anwender nicht oder nur schwer verifiziert werden.
  • E-Mails werden während der Übertragung nicht durchgängig vor Zugriffen geschützt.

 

DAS PARADIES FÜR ANGREIFER

Daraus ergeben sich eine Reihe von Konsequenzen, die für Angreifer ein wahres Paradies darstellen:

  1. Man kann jeden Benutzer in einem Unternehmen per E-Mail erreichen, wie wunderbar! Das Erraten der E-Mail-Adresse ist kinderleicht, die Namen und Rollen finden sich auf Social-Media-Plattformen oder sogar auf der firmeneigenen Website.
     
  2. Anwender haben keine Möglichkeit sicherzustellen, ob die E-Mail wirklich von der Person ist, die sie vorgibt zu sein. Viele Mailserver in nicht ausschließlich dubiosen Ländern erlauben nach wie vor das Versenden unter falschem Namen.
     
  3. Jedes Unternehmen versendet und empfängt täglich massenhaft Informationen, die alle Geschäftsprozesse umfassen und leicht mitgelesen werden können.

 

DIE TECHNIK WIRD’S RICHTEN, ODER?

Was lernen wir jedoch nach 50 (!) Jahren E-Mail-Technologie daraus? Etablierte Technologien wie DKIM, TLS und DNSSEC geben dem Benutzer nicht die erkennbare Sicherheit, ob eine E-Mail

  • authentisch
  • integer oder
  • am Übertragungsweg nicht lesbar

war.

DKIM, SPF und die Weiterentwicklung DMARC wurden dazu entwickelt, damit das Empfängersystem prüfen kann, ob der Sender berechtigt ist, im Namen der Mail-Domäne zu senden. DNSSEC erweitert das normale Domain Name System um digitale Signaturen, die gewährleisten, dass die Antwort vom DNS echt und vollständig ist. TLS oder der alte Name SSL ist eine Technologie, die den Datentransfer zwischen zwei Netzwerkgeräten abhör- und modifiziersicher mit Zertifikaten verschlüsselt. Sie ist der de-facto-Standard in Firmennetzen und im Internet.

Für sich alleine ist keine Technologie imstande, die Sicherheit zu erhöhen. Die Kunst besteht darin, ein Netzwerk an Maßnahmen zu implementieren, die lückenlos ineinandergreifen und den potenziellen Angreifern die möglichen Einfallswege sukzessive zu schließen. Die Sicherheit ist niemals ein Punkt, den man erreicht, sondern ein immerwährender Prozess an Erkennung, Implementierung und Überwachung.

Als die E-Mail-Technologie konzipiert wurde, war das Thema Sicherheit noch kein Thema. Deshalb ist es an der Zeit, auch hier nachzuschärfen und die vorhandenen Technologien einzusetzen.

 

ECHTE MAILS ERKENNEN

Hier setzt dann die im vorigen Artikel "Warum Mail-Verschlüsselung in jedem Unternehmen ein Thema ist…“ erwähnte Technik der Signatur und Verschlüsselung an. Damit können Angriffsvektoren für Hacker erheblich reduziert werden. Fragt man Unternehmen, die gehackt wurden, nach ihrem weiteren Vorgehen, antworten sie zu oft mit mehr Investitionen in Border Security und Benutzerschulungen.

Albert Einstein sagte einmal: Die reinste Form des Wahnsinns ist, wenn man nichts ändert und trotzdem etwas anderes erwartet. Wir würden uns wünschen, wenn die nächste Pressemeldung nicht lautet "Wieder nichts gelernt“, sondern "Land Kärnten erlaubt ab 1.1.2023 nur noch Empfang signierter E-Mails“.

Das wäre 3 Schritte weitergedacht.

 

Andreas Auer

Andreas Auer begann im Jahr 2000 nach der EDVO-HTL in St. Pölten als EDV-Techniker bei einem mittelständischen Produktionsunternehmen im Mostviertel. Hier war er zuständig für Windows-Server und -Clients sowie für das Netzwerk an den Produktions- und Verkaufsstandorten. Des Weiteren unterlag ihm die Weiterentwicklung des Steuerungssystems der Produktionsanlage.

Im Jahr 2003 wechselte er zum Amt der NÖ Landesregierung nach St. Pölten und wurde Mitarbeiter der damals neu gegründeten Betriebsführung. Das zu Beginn 12-köpfige Team betreut die zentrale Verwaltungs-IT-Landschaft des Landes NÖ mit dem Landhaus in St. Pölten, allen Bezirkshauptmannschaften und deren Außenstellen mit weit über 15.000 Benutzern.

Nach fast 16 Jahren im öffentlichen Dienst verließ er die Landeshauptstadt und ist seit 2019 Security-Consultant bei Antares Netlogix. Hier ist er der Spezialist für E-Mail-Sicherheit, Multi-Faktor-Authentifizierung und Virtualisierung. Zudem ist er auch an Firewall- und PKI-Projekten beteiligt.

Roman Stadlmair

Roman Stadlmair ist Produktmanager bei SEPPmail und zusätzlich für den Vertrieb in Österreich verantwortlich. Vor der Anstellung bei SEPPmail war er 14 Jahre lang selbstständig im IT-Consulting mit den Schwerpunkten Projekte mit PRINCE2, IT-Infrastruktur und Trainings tätig.

Davor sammelte Roman Stadlmair Erfahrungen bei nationalen und internationalen IT-Unternehmen im Bereich Technik, Presales, Beratung und Vertrieb.

Heute betreibt er neben seiner Anstellung bei SEPPmail auch die PowerShell Usergroup Austria und ist Österreichs langjährigster Microsoft Powershell MVP (Most Valued Professional).


E-Mail Security Teil 1

Warum Mailverschlüsselung in jedem Unternehmen ein Thema ist…

In diesem Artikel versucht Andreas Auer zu erklären, warum Mailverschlüsselung für jedes Unternehmen besonders wichtig sein sollte.

JETZT LESEN


Profitieren Sie von unserem Insiderwissen im Bereich Netzwerk & IT-Sicherheit.
Mit unserem Newsletter erhalten Sie Informationen zu aktuellen Themen, Lösungen und Terminen aus erster Hand!

Newsletter abonnieren