Eine kleine Einführung von
ÄRGER IN IHREM POSTEINGANG
5 DINGE, DIE JEDES KLEINE UND MITTELSTÄNDISCHE UNTERNEHMEN ÜBER E-MAIL-BASIERTE BEDROHUNGEN WISSEN SOLLTE
Trotz revolutionärer Entwicklungen in der Online kommunikation ist E-Mail immer noch eines der wichtigsten Kommunikationsmittel überhaupt. Dies gilt insbesondere im geschäftlichen Bereich. Der gesamte E-Mail-Verkehr weltweit – sowohl geschäftlich als auch privat – belief sich Ende des Jahres 2012 auf über 144 Mrd. E-Mails pro Tag.1 Laut Vorhersagen wird der E-Mail-Verkehr bis zum Jahr 2016 auf über 192 Mrd. E-Mails pro Tag steigen. E-Mail-basierte Bedrohungen sind noch immer ein allgemeines Problem – auch für kleine und mittel ständische Unternehmen. Bei einem so hohen Verwendungsgrad ist es nicht verwunderlich, dass Cyberkriminelle E-Mails auch weiterhin für Ihre Angriffe nutzen. Was sollten Mitarbeiter und Entscheidungsträger in kleinen und mittelständischen Unternehmen also über E-Mail-basierte Risiken wissen? Und wie können sie sich vor diesen Bedrohungen schützen?
1 http://www.radicati.com/wp/wp-content/uploads/2012/10/Email-Market-2012-2016-Executive-Summary.pdf
FAKT
E-Mail-Spam kann Server und Posteingänge überfluten und die Produktivität beeinträchtigen. Unerwünschte Massenmails – weitläufig als Spam bezeichnet – werden allgemein als lästig empfunden, da es sich meistens um Werbung für bestimmte Services oder Produkte handelt. Das digitale Äquivalent der Postwurfsendung mag auf den ersten Blick vollkommen harmlos erscheinen. Spam ist jedoch keineswegs ungefährlich. Untersuchungen zeigen, dass der Anteil der als missbräuchlich angesehenen E-Mails bei etwa 90 % des gesamten E-Mail-Volumens liegt.2 Dies entspricht unseren Ergebnissen aus dem Jahr 2011, in dem pro Monat rund 5,2 Mrd. Spam-Mails empfangen wurden.3 Eine derartig große Menge an Junk-E-Mails führt leicht zu über lasteten Netzwerken und Servern in kleinen und mittelständischen Unternehmen, wo Ressourcen häufig begrenzt sind und jeder Netzwerkausfall die Geschäftsabläufe wesentlich beeinträchtigt. Durch diese starke Beanspruchung der Unternehmensressourcen und das Risiko von Malware-Infektionen rangiert Spam in der Liste der Sicherheitsbedenken kleiner und mittelständischer Unternehmen ganz oben. 2 http://www.maawg.org/sites/maawg/files/news/MAAWG_2011_Q1Q2Q3_Metrics_ Report_15.pdf 3 Basierend auf Daten aus dem Trend Micro™ Smart Protection Network™
Unternehmen, die eine tatsächliche Sicherheitsverletzung meldeten Quelle: Osterman Research, Inc.
Privatanwender und Unternehmen empfingen im Jahr 2011 insgesamt
5,2 Mrd.
Spam-Mails pro Monat.
FAKT
E-Mail ist ein häufiger Eintrittspunkt von Malware-Infektionen. E-Mail als Eintrittspunkt für Malware ist bereits seit vielen Jahren ein Problem. Trend Micro und Osterman Research4 veröffentlichten einen Vergleich zur steigenden Anzahl von Unternehmen, die in den fünf Jahren seit 2007 E-Mail-basierte Sicherheitsverletzungen meldeten. Hieraus lässt sich schließen, dass E-Mail für Cyber kriminelle noch immer eine brauchbare Möglichkeit ist, die Sicherheitsmaßnahmen von Unternehmen zu umgehen. ZeuS ist eine Malware-Art, die sich über E-Mails verbreitet. Die Malware protokolliert Tasteneingaben von Anwendern beim Online-Banking und stiehlt deren Anmeldedaten. Die entwendeten Daten werden dann an Cyberkriminelle gesendet, die damit in die Bankkonten der Anwender eindringen und Geld stehlen. Eine Reihe kleiner und mittelständischer Unternehmen in den USA musste bereits Konkurs anmelden, da Cyberkriminelle sie mit dieser Malware um Hunderttausende von Dollars beraubten.5 Im Jahr 2012 wurde der Cyberkriminelle Nikolay Garifulin für seine Beteiligung an einer Reihe von ZeuS-basierten Angriffen zu zwei Jahren Haft verurteilt.6 Die Summe des von zahlreichen US-Konten gestohlenen Geldes belief sich auf über 3 Millionen US-Dollar. 4 http://www.trendmicro.com/cloud-content/us/pdfs/business/white-papers/the_cloud_ advantage.pdf 5 http://www.trendmicro.de/media/misc/zeus-a-persistent-criminal-research-paper-en.pdf 6 http://www.fbi.gov/newyork/press-releases/2012/another-cyber-fraud-defendant-chargedin-operation-aching-mules-sentenced-in-manhattan-federal-court
Die Summe des von zahlreichen US-Konten gestohlenen Geldes belief sich auf über
3 Millionen US-Dollar.
FAKT
Phishing-Angriffe können kleine und mittelständische Unternehmen per E-Mail erreichen. Phishing ist eine andere E-Mail-basierte Bedrohung, die kleine und mittel ständische Unternehmen bewältigen müssen. Beim Phishing handelt es sich um den arglistigen Versuch, Personen zur Preisgabe vertraulicher Informationen zu bewegen. Gewöhnlich senden Angreifer Spam-Nachrichten, die auf bösartige Websites verweisen oder den Empfänger über einen Link dorthin weiterleiten. Diese Phishing-Angriffe verwenden Social-EngineeringTaktiken, um Anwender dazu zu verleiten, freiwillig vertrauliche Daten preis zugeben oder datenstehlende Malware herunterzuladen. Phishing-E-Mails geben sich häufig als offizielle Korrespondenz von Websites aus, die den Opfern vertraut sind, wie z. B. Facebook oder Websites für Online-Banking. Auch die bösartige Webseite selbst ist in der Regel gut als rechtmäßige Anmeldeseite bekannter Websites getarnt. Auf den ersten Blick erscheint Phishing recht einfach vermeidbar zu sein. Durch raffiniertes Social Engineering gelangen Cyberkriminelle jedoch immer wieder erfolgreich zum Ziel. Bei dieser Technik werden zunächst gezielte Erkundigungen über das Opfer eingeholt, um den Angriff dann speziell auf seine Interessen zuzuschneiden. E-Mail und komplexe, zielgerichtete Bedrohungen E-Mail wird auch in komplexen, zielgerichteten Angriffen (Advanced Persistent Threats, APTs) gegen Unternehmen und staatliche Behörden verwendet. APTs sind Bedrohungen, die in einem Netzwerk oder System für lange Zeit unentdeckt bleiben. Sie führen zum unrechtmäßigen Abfluss vertraulicher, wichtiger Daten, die dann an die Öffentlichkeit oder in die Hände von Angreifern geraten. Derartige Netzwerkinfiltrationen verursachen bei betroffenen Unternehmen erhebliche finanzielle Verluste und schaden ihrem guten Ruf. Eine interne Überwachung APT-bezogener Spear-Phishing-Mails ergab, dass 91 % aller gezielten Angriffe Spear-Phishing beinhalten. Bei näherer Betrachtung dieses Ergebnisses wurde deutlich, dass 33 % der von E-Mail-basierten APTs betroffenen gewerblichen Opfer kleine und mittelständische Unternehmen sind. Damit ist belegt, dass auch diese Unternehmen gefährdet sind und sich gegen derartige Bedrohungsszenarien wappnen sollten.7 7 http://www.trendmicro.de/media/misc/spear-phishing-email-apt-attack-research-paper-de.pdf
FAKT
Cyberkriminelle investieren Geld, um E-Mail für Ihre Zwecke zu missbrauchen. Kleinen und mittelständischen Unternehmen sollte bewusst sein, dass Cyberkriminelle beachtliche Mittel aufwenden, um neue Möglichkeiten zu finden, E-Mail für ihre bösartigen Machenschaften zu nutzen. Ein Beispiel hierfür ist das Blackhole Exploit Kit. Ein Exploit-Kit ist eine Webanwendung, mit der Cyberkriminelle bekannte Schwachstellen in beliebten Anwendungen wie Internet Explorer, Adobe Acrobat, Adobe Reader und Flash Player für bösartige Spam-Angriffe ausnutzen können. Es stellt ihnen zudem detaillierte Informationen über ihr Angriffsziel bereit, z. B. Browser, Betriebssystem, geografischer Standort und mögliche zu nutzende Systemschwachstellen. Das Blackhole Exploit Kit ist derzeit das bekannteste. Warum das Blackhole Exploit Kit so gefährlich ist? Es macht Phishing-Angriffe wesentlich effektiver. Statt die Anwender dazu zu verleiten, ihre Anmeldedaten preiszugeben, leitet das Blackhole Exploit Kit sie direkt zu einer Seite weiter, die automatisch Malware wie ZeuS herunterlädt. Exploit-Kits sind für Cyberkriminelle käuflich erwerblich. So kosten beliebte Exploit-Kits z. B. zwischen 2.000 und 3.000 US-Dollar.8 Cyberkriminelle investieren ständig in den rechtswidrigen Einsatz von E-Mails. 8 http://www.trendmicro.de/media/wp/russian-underground-101-whitepaper-en.pdf
FAKT
E-Mail-basierte Bedrohungen bleiben auch in Zukunft ein Problem. E-Mail ist aus Unternehmen nicht mehr wegzudenken, denn E-Mails sind inzwischen fester Bestandteil im täglichen Arbeitsablauf. Kleine und mittelständische Unternehmen sollten sich des realen Risikos durch E-Mail-basierte Bedrohungen bewusst sein und entsprechende Sicherheitsmaßnahmen treffen. Hier einige Beispiele, welche verheerenden Schäden E-Mail-basierte Bedrohungen in Unternehmen anrichten können: • Spam überlastet das Netzwerk und beeinträchtigt die Produktivität, wenn er den Posteingang erreicht. Malware kann sich negativ auf die Produktivität auswirken, denn die Beseitigung von Infektionen erfordert mitunter übermäßige Kosten, Zeit und Energie. • Der gute Ruf eines Unternehmens, das vertrauliche Kundendaten speichert, kann durch Datenverlust nach einem E-Mail-basierten Spear‑Phishing-Angriff massiv leiden. • E-Mail-basierte Bedrohungen können durch Cyberspionage oder komplexe, zielgerichtete Angriffe (APTs) zu finanziellen Verlusten und Diebstahl geistigen Eigentums führen.
Quelle: Ponemon Institute, 2012
SO KÖNNEN SICH KLEINE UND MITTELSTÄNDISCHE UNTERNEHMEN OPTIMAL VOR E-MAIL-BASIERTEN BEDROHUNGEN SCHÜTZEN Hier finden Sie ein paar Tipps und bewährte Verfahrensweisen, um Unternehmensdaten vor E-Mailbasierten Bedrohungen zu schützen und die Produktivität Ihrer Mitarbeiter aufrecht zu erhalten: • Erstellen Sie Maßnahmen zur Drosselung des E-Mail-Volumens und wenden Sie diese an. Das hohe E-Mail-Aufkommen geht zu Lasten der IT-Ressourcen. Da Spam 90 % der eingehenden E-Mails ausmacht, ist es für kleine und mittelständische Unternehmen absolut sinnvoll, die Flut durch Löschen unerwünschter E-Mails so zu reduzieren, dass diese Ihr Netzwerk gar nicht erst erreichen. Das entlastet auch die IT-Ressourcen. Ziehen Sie gehostete E-Mail-Sicherheitslösungen zum Schutz vor Spam, Viren und Phishing in eingehenden E-Mails in Betracht. Bedenken Sie, dass eine derartige Lösung die Verwaltung wesentlich vereinfachen dürfte. • Erlassen Sie Richtlinien hinsichtlich empfangener Spam-Mails und setzen Sie sie durch. Stellen Sie Richtlinien, Abläufe sowie Ge- und Verbote zum korrekten Umgang mit E-Mails auf. Halten Sie Mitarbeiter dazu an, ihre Posteingänge regelmäßig aufzuräumen, um Server- und Netzwerkbelastungen möglichst gering zu halten. • Informieren Sie sich und Ihre Mitarbeiter über gängige cyberkriminelle Taktiken. Erklären Sie Ihren Mitarbeitern den Unterschied zwischen rechtmäßigen E-Mails und möglichen bösartigen PhishingE‑Mails. Legen Sie fest, wie mit letzteren zu verfahren ist. • Nehmen Sie cyberkriminelle Bedrohungen ernst. Jede Anti-Spam-Methode oder -Technologie trägt zum Schutz vor Angriffen bei. Einige Technologien bieten Erkennung und Abwehr von Angriffen durch neuere Bedrohungen. • Schützen Sie sich mit einer Sicherheitslösung proaktiv vor E-Mail-basierten Bedrohungen. Trend Micro™ Hosted Email Security™ schützt kleine und mittelständische Unternehmen vor Spam, indem Spam-Mails abgewehrt werden, bevor sie das Unternehmensnetzwerk überhaupt erreichen. Die Lösung stoppt den Angriff, bevor bösartige Routinen ausgeführt werden können.
Worry-Free Business Security ist einfach die beste Wahl für kleine Unternehmen Trend Micro Worry-Free™ Business Security Lösungen bieten schnellen, effektiven und einfachen Virenschutz, damit Sie Ihre Computer sorgenfrei nutzen können, ohne sich Gedanken um Unterbrechungen oder Datenverlust machen zu müssen.
Jede Version bietet: •
Schutz vor Viren, Spam und anderen Internetbedrohungen
•
Schutz vor Hackern und Cyberkriminellen
•
Schutz vor Datendiebstahl und -verlust und bösartigen Links
•
Erweiterter URL-Filter zum Sperren des Zugriffs auf bestimmte Websites
•
Sperrung von bösartigen Links in E-Mails und Instant Messages
Erfahren Sie mehr unter: www.trendmicro.de
Ihr kostenfreier Kontakt zu Trend Micro: 0800 330 4533 oder
[email protected] Trend Micro Deutschland GmbH Central & Eastern Europe Zeppelinstraße 1 85399 Hallbergmoos Tel: +49 (0) 811 88990-700 Fax: +49 (0) 811 88990-799
©2013 Trend Micro Incorporated. Alle Rechte vorbehalten. Trend Micro und das Trend Micro T-Ball-Logo sind Marken oder eingetragene Marken von Trend Micro Incorporated. Alle anderen Firmen- oder Produktnamen sind Marken oder eingetragene Marken ihrer jeweiligen Eigentümer.
