Artikel versenden
Artikel drucken- Pentration Test
- Cyber Attacken
- Datenbanksicherheit
- Firewalls/UTM
- Schutz vor Hackerangriffen
- Biometrie Teil 1
- IT Security Trends 2010
- Pandemie
- Festplattenverschlüsselung Teil 2
- Festplattenverschlüsselung Teil 1
- Identity Management
- Green IT
- Phishing & Pharming
- VoIP-Tauglichkeit
- End - to - End Security
- IP Storage 3. Teil
- SIEM
- UTM
- IP Storage 2. Teil
- Web Application Security
- IP Storage 1. Teil
- Heute schon geNACt?
- Risikomanagement
- VPN auf Basis von SSL oder IPSec?
- Managed-Security-Services
- Hochverfügbarkeit bei VoIP
- Forensik
T-Systems: Was sind die neuen Herausforderungen an die Email-Sicherheit in Unternehmen?
E-Mail ist das inzwischen am häufigsten genutzte Kommunikationsmedium im geschäftlichen Umfeld. Die Zustellung erfolgt schnell, bequem, kostengünstig und eignet sich damit hervorragend für den Informationsaustausch. Genau diese Vorteile bergen aber auch Risiken, da E-Mails leicht mitgelesen bzw. verfälscht werden können.
In der griechischen Mythologie wuchsen der Hydra, dem mehrköpfigen Seeungeheuer, die hässlichen Köpfe schneller nach, als man sie abschlagen konnte. Ähnlich sieht es auch mit dem Spam-Versand auf Basis von Botnetzen aus. Durch deren steigende Anzahl gewinnt das Thema Spam-Mails zunehmend an Bedeutung und kann die Produktivität von Geschäftsprozessen mitunter empfindlich beeinflussen.
Für den Austausch geschäftlicher E-Mails ist daher auch der bedarfsgerechte Einsatz von Sicherheitsmechanismen besonders wichtig.
Was sind die neuen Herausforderungen an die Email-Sicherheit in Unternehmen?
Mit dem Siegeszug der E-Mail dem bislang erfolgreichsten Dienst des Internets - geht vermehrt eine steigende Anzahl von Missbrauchsfällen einher. Unerwünschte Spam-Mails machen in vielen Unternehmen bereits mehr als 60% des Mailaufkommens aus, also Werbemails, Malware-Versand, Kettenbriefe und kollateraler Spam. Und vermehrt sind Botnetze die Erfüllungsgehilfen bei der Verbreitung von Malware, sie dienen den Versendern dazu, ihre Herkunft zu verschleiern. Diese Bedrohungslage ist längst keine Science Fiction mehr, sondern Realität.
Das Handeln der E-Mail-Spam-Versender ist auch verstärkt von wirtschaftlichen Interessen getrieben, was auch im Zuwachs von Phishing, einer modernen Form des Trickbetrugs, deutlich wird. Dabei geht man unter anderem verstärkt dazu über, Hintertüren in ICT-Systeme einzubauen (E-Mail Angriffsintialisierung) und durch kriminelle Sekundäraktivitäten entstehen in der eigentlichen Angriffsphase meist hohe finanzielle Schäden. Da der überwiegende Teil des Spams aus dem Ausland kommt, ist den Spammern von Deutschland aus mit juristischen Mitteln kaum beizukommen.
Gerade durch den wachsenden Einsatz mobiler Security Devices wie z.B. PDA/MDA, iPhone, BlackBerry etc. entstehen zusätzliche Kosten und Perfomanceeinbussen beim E-Mail- (Push-) Service.
Die permanente Verfügbarkeit der E-Mail-Systeme ist neben dem Einsatz kryptographischen Verfahren von besonderer Bedeutung. Ohne E-Mail-Kommunikation sind viele Unternehmen nicht mehr arbeitsfähig und Ausfälle sind meist mit hohem Schadenspotenzial verknüpft.
Der sichere Kapselung der Mailserver ist ebenfalls von Bedeutung, damit diese nicht als Open Relay verwendet werden und so ungewollt zu Erfüllungsgehilfen beim Spam-Versand werden. Geschäftskunden gehen daher verstärkt dazu über, das E-Mail-Management von professionellen Dienstleistern durchführen zu lassen, die Rundum-Sorglospakete nach dem Baukastenprinzip anbieten.
Was sind die zukünftigen Trends?
Da immer mehr Geschäftskunden Anti-Spam-Filter einsetzen, werden durch die Spam-Versender immer wieder neue und intelligentere Methoden entwickelt, um die Zustellung der Spam-Mails sicherzustellen.
Gehosteter Bild-Spam, der selbst kein Bild, sondern einen Link erhält der auf eine Spam-Webseite verweist, ist mit steigender Tendenz festzustellen. Zudem gibt es neue Trends, Spam-Filter zu umgehen. Dazu gehören z.B. so genannte "Malformed Mail Boundaries", die eine Spam-Erkennung erschweren. Vielfach werden auch HTML-Codes missbräuchlich dazu verwendet die Analyse-Algorithmen der Spam-Filter zu umgehen. Der Versand von mp3-Anlagen wird allerdings nur als Kurzeitphänomen angesehen und ist mit state-of-the-art -Filtern erfolgreich abzuwehren.
Social Network Sites führen verstärkt dazu, dass Cyber-Kriminelle versuchen, durch gezielte Angriffe auf Entscheider und Manager an vertrauliche Informationen zu gelangen. Die Social Malware ist dabei direkt an einzelne Personen gerichtet Name, Job-Titel sowie weitere Information aus Social Network Sites stehen dann meist in der E-Mail. Statt dümmlicher Potenzmittel-Werbung senden die Spammer also inzwischen auch äußerst prägnante Spam-Mails mit nur wenig Text und einer URL, um PCs über kombinierte Web- und E-Mail-Angriffe zu infizieren.
Spam-Versender ermitteln E-Mail-Adressen auch verstärkt aus LDAP-Repositories und nutzen die öffentlichen Schlüssel der X.509v3 Zertifikate, um Mails für die Spam-Empfänger zu verschlüsseln, so dass die Inhalte bei der Übertragung nicht gescreened werden können. Beim Empfänger wird vielfach auch der Eindruck erweckt, dass die Authentizität gewährleistet ist, da ein Passwort bzw. eine Smartcard-PIN zur Entschlüsselung erforderlich ist. Was viele Manager nicht wissen: Die Authentizität ist aber bei rein verschlüsselter Kommunikation nicht gewährleistet.
Spam-Technologien im Vergleich
Content-Scan vs Kontrollsummen-Algorithmus etc. Wo liegt der Unterschied?
Kontrollsummen-Algorithmus:
Ein häufiges Kennzeichen von Spam ist, dass er tausend-oder sogar millionenfach auftritt, wobei für den jeweiligen Empfänger nicht sofort zu erkennen ist, ob weitere Empfänger diese Mail bekommen haben. Um zu erkennen, ob es sich um eine Spam-Mail handelt wird nicht die gesamte Mail analysiert, sondern lediglich datenschutzkonform eine Prüfsumme generiert, die zentral in einer Online-Datenbank vorgehalten wird. Verfahren, die sich auf eine gemeinsam geführte Datenbank stützen, heißen kollaborativ. Die Algorithmen marktführender Hersteller berücksichtigen auch, dass Spam-Mails mittlerweile sehr häufig inhaltlich modifiziert werden, so dass sogenannte fuzzy checksums zum Einsatz kommen, die auch eine Erkennung bei kleineren Änderungen gewährleisten. Prüfsummen-basierte Blacklists sind damit effizienter als IP-basierte Blacklists, denn Spam-Versender nutzen bestimmte IP-Adressen nur für sehr kurze Zeit.
Content-Scan:
Zunächst unterscheidet man heuristische und statistische Verfahren bei der inhaltlichen Analyse der Nachrichteninhalte.
Die heuristische Inhaltsanalyse ist aus der administrativen Sicht ohne Trainingsphase einsetzbar und arbeitet mit einem festen Regelwerk, das allerdings immer wieder auf den neuesten Stand gebracht werden muss. Für die Prüfung der Filterregeln ist mehr Rechenaufwand erforderlich als bei Prüfsummen-basierten Verfahren.
Bei der statistischen Anlayse untersucht der Filter alle in einer E-Mail vorkommenden Zeichenketten darauf, wie signifikant ihr Auftreten bisher für Spam war und ermittelt daraus, mit welcher Wahrscheinlichkeit die vorliegende E-Mail unerwünscht ist. Ein statistischer Filter erfordert anders als die heuristischen Filter mit ihrem festem Regelwerk zunächst eine Trainingsphase.
Bekanntlich ist die beste Strategie die, die alle Stärken bündelt. Daher werden Bayes und andere statistische Filter von IT-Dienstleistern meist mit anderen Verfahren bedarfsgerecht kombiniert, um die Erkennungsrate zu optimieren und false positives zu minimieren. Damit wird die dauerhafte Aktualität und Anpassungsfähigkeit des Spamfilters gewährleistet.
Autor: René Reutter
All-About-Security Artikel bookmarken
