Angriffsvektor E-Mails

E-Mails sind nach wie vor einer der häufigsten Angriffsvektoren. Die Folgen sind neben der Verbreitung von Malware oft Datendiebstahl, Spam, Betrug, aber auch Datenverlust. «Hier muss bei den Mitarbeitern Awareness geschaffen werden», fordert Christopher Schmid. «Parallel müssen technische Lösungen wie Antiviren-Programme oder Spam-Filter sein, um bösartige E-Mails zu erkennen und zu isolieren. Auch gilt es, Backup-Konzepte zu überprüfen.»

Apurba Bhangale nennt Möglichkeiten, E-Mail-Infrastrukturen zu schützen, etwa durch die Implementierung einer intelligenten Gateway-Lösung. Über Regelsätze können so Spam- und Viren-E-Mails herausgefiltert werden. Zusätzliche Sicherheit bringen Authentisierungsprüfungen und die Validierung der Legitimität von E-Mails. Keine dieser Ansätze bietet jedoch einen 100-prozentigen Schutz vor Spam oder virenbefallenen E-Mails - deshalb bleibt der Nutzer selbst der entscheidende Faktor. «Bei den Mitarbeitern müssen sofort die Alarmglocken läuten, wenn sie unerwartete Mails mit verdächtigem Inhalt, unbekannten Links oder Attachments erhalten, und sie müssen sich direkt beim IT-Security-Team melden.»

Christian Knothe sieht in Sachen E-Mail-Sicherheit viele gute technologische Entwicklungen, warnt aber: «Da E-Mail nach wie vor das wichtigste Kommunikationsmedium in Unternehmen ist, kann rein mengenmässig nicht alles abgefangen werden. Deswegen ist der Mitarbeiter als menschliche Firewall gefragter denn je.»

Nachdem die Technik sowohl aufseiten der Angreifer als auch bei der Verteidigung weitgehend ausgereizt zu sein scheint, rückt der Faktor Mensch verstärkt in den Mittelpunkt. Social Engineering wird eine immer grössere Rolle bei Cyberattacken spielen. Viele Schutzmassnahmen lassen sich nach wie vor von den Mitarbeiter aushebeln, die sich wiederum von den Angreifern überlisten lassen.

Das Arsenal der Cyberkriminellen erfährt mit Deepfakes eine signifikante Erweiterung. Auch eine Art Deepfake as a-Service wird früher oder später kommen. Deepfake-Angriffe lassen sich schwer abwehren, auch Vorbeugung ist schwierig. 2020 wird wahrscheinlich das Jahr des Social Engineerings auf Deepfake-Basis, nicht zuletzt wegen der Präsidentschaftswahlen in den USA im November. Unternehmen sind deshalb mehr denn je dazu aufgefordert, ein Bündel an Massnahmen zu ergreifen, um die für sie wichtigen Daten zuverlässig zu schützen - auch vor dem Fehlverhalten der Mitarbeiter. 

Es mag ratsam sein, für kritische Informationen ein Konzept zu erstellen, bei dem die Daten verschlüsselt werden und der Schlüssel in der Kontrolle des Dateneigners bleibt. Netzwerksegmentierung gehört ebenfalls zu den Grundlagen moderner Sicherheitskonzepte und kann stark zur Minimierung von Risiken beitragen. Viele Unternehmen haben hier noch grossen Nachholbedarf.