CBM Experten Netzwerk

Die CBM Projektmanagement GmbH sprach mit Martin Harguth IT Consultant und Security Experte bei der secion GmbH zum Thema E-Mail Sicherheit.

Herr Harguth das Thema E-Mail Sicherheit hat die letzten Jahre an Brisanz gewonnen. Was sind die Gründe hierfür?

Hallo Herr Remmers, es gibt viele Gründe, warum E–Mail Sicherheit noch immer ein Thema ist. Mal abgesehen davon, dass die Technologie und die genutzten Protokolle für E-Mails recht in die Jahre gekommen sind, ist der Umgang mit Mails häufig sehr unbedacht. Einer und vielleicht der wichtigste Grund ist fehlende oder unzureichende Awareness. Häufig verlassen sich Unternehmen zu sehr auf Technologien, die durchaus sinnvoll sind um Spam abzufangen oder auch bekannte Ransomware, die sich in Bewerbungsschreiben oder ähnlichem versteckt. Diese Technologien funktionieren aber bei Spear-Phishing Attacken oft nicht. Grade Spear-Phishing-Attacken nehmen immer mehr zu.

Dabei sind diese Art von Angriffen ein Mittel zum Zweck, der Erpressung, Krypto-Mining oder auch Industrie Spionage dient. Beim Spear-Phishing werden z.B. Methoden des Social Engineering angewendet, bei denen Informationen über das oder die Opfer gesammelt werden. Die sogenannten Targets werden dann dazu gebracht, Schadcode herunterzuladen und so in das Firmennetzwerk zu bringen. Um ein Beispiel zu nennen, es werden z.B. die Außendienstmitarbeiter angeschrieben mit der bitte, dass Sie in einer herunterzuladenden Tabelle einen Wunschtermin für den Winterreifenwechsel angeben. Oder wie bei CEO-Frauds, wird mittels falscher Identität ein Unternehmen zu einem Geldtransfer zu bewegen. Er ist vergleichbar mit dem Enkel-Trick, nur auf digitalem Weg.

In den von uns bei Kunden durchgeführten Phishing-Attacken, zu denen wir von Unternehmen beauftragt wurden, haben wir eine 100% Treffer Quote, weil wir, unter anderem, die beschriebenen Methoden anwenden.

Nicht selten erleben wir es, dass neue Technologien, wie die E-Mail es ja schließlich auch einmal war, derart tief in unseren Alltag integriert ist, dass der Umgang damit zu gewöhnlich wird. So finden wir auch heute noch immer Unternehmen, die E-Mails unverschlüsselt versenden. Wenn man Ihnen dann erklärt, dass eine unverschlüsselte E-Mail wie eine Postkarte ist, die jeder mitlesen kann, dann erschreckt sich doch der eine oder andere.

Welche Fragen stellen diesbezügliche Unternehmen und welche Möglichkeiten gibt es hier zu unterstützen?

Um ehrlich zu sein, viele Unternehmen stellen noch immer zu wenig Fragen, wenn es um E-Mail Sicherheit geht. Oft wird davon ausgegangen, dass die eingesetzte Sandbox und der Spamfilter oder all die anderen Technologien schon ihre Arbeit machen werden. Ich bitte mich da nicht falsch zu verstehen, diese Technologien sind wichtig und es ich richtig sie einzusetzen, denn Awareness alleine hätte bei der modifizierten Version des Goldeneye auch nicht helfen können. Es gibt aber oft einfachere Wege die Sicherheit bei E-Mails zu erhöhen, ohne dafür hohe Investitionen zu tätigen. Hier muss unbedingt aktuell gepachte Systeme erwähnt werden, die viele Lücken vermeiden würden.

Wie schon gesagt ist der Einsatz von Technologien wie Spamfiltern oder Sandboxsystemen anzuraten, gepaart mit Awarness-Schulungen für die Mitarbeiter.  Wir machen sehr gute Erfahrungen, wenn wir mit einer Phishing-Kampagne und einem darauf aufbauenden Awareness-Training.

Etwas das wir immer wieder in unseren Pentests finden sind Konfigurationen von Mailsystemen, die nicht optimal sind. Wir führen eine Top Ten der immer wieder vorkommenden Lücken, von denen ich hier mal drei nennen möchte:

  • Die DomainKeys Identified Mails (DKIM) sind nicht konfiguriert
  • Es werden selbstsignierte Zertifikate eingesetzt.
  • SMTP-User können validiert werden.

Was viele Unternehmen ebenfalls gut unterstützt ist der Blick eines Dritten, der, ich formuliere es mal so, nicht betriebsblind ist. Es ist einfacher Prozesse zu hinterfragen, wenn man nicht in Ihnen lebt. Oder anders ausgedrückt, es ist natürlich viel leichter als externer Berater „historisch gewachsene“ Prozesse in Frage zu stellen. Übrigens bedeutet das nicht, dass alles neu oder anders gemacht wird. Die Idee sollte sein das Gute zu erhalten und das Schlecht wegzulassen oder zu optimieren.

Eine aus unserer Sicht wichtige Unterstützung für Unternehmen ist die Beratung der einzusetzenden Technologien. Nicht jede Technologie ist aus wirtschaftlicher oder prozesstechnischer Sicht für jedes Unternehmen geeignet. Es gilt immer im Blick zu behalten, dass für eine neue Technologie ggf. auch die personellen Ressourcen zur Verfügung stehen müssen.

Aus Ihrer Erfahrung heraus, auf welche Sicherheitslücken im E-Mailsystem müssen sich Unternehmen vorbereiten?

Was in der Zukunft kommen wird, ist momentan schwer zu beantworten, da dies Umfeld sich permanent wandelt. Wir gehen aber davon aus, dass es im Bereich des Phishing und Spear-Phishing zu einer deutlich höheren Anzahl erfolgreicher Angriffe kommen wird. Es ist davon auszugehen, dass es Angreifern zukünftig schneller gelingen wird, Exploits in Mail-Clients schneller auszunutzen. Hier müssen Unternehmen geeignete Maßnahmen ergreifen, um ihre Sicherheit zu erhöhen.

Welche Lösungsansätze bietet der Markt und welches Vorgehensmodell hat sich etabliert?

Der Markt bietet eine schier unendliche Vielfalt an Produkten, die zu höherer Sicherheit beitragen. Was, wie ich ja schon erwähnte, ein substanzieller Teil des Lösungsansatzes darstellt. Dazu sind Awareness Trainings auf dem Vormarsch, was mich sehr freut, da dieser Teil der Lösung oft recht einfach abgetan wurde. Im besten Falle gab es im Januar an die gesamte Belegschaft, in der sinngemäß so etwas wie, wenn euch eine Mail verdächtig vorkommt, dann leitet diese an die IT weiter, zu lesen stand.

Das Vorgehensmodell, aus der Sicht der secion hat es sich bewährt, gezielte Phishing Attacken durchzuführen und basierend auf den Ergebnissen Awareness Trainings zu machen. Hier sei erwähnt, dass wir von den entsprechenden Unternehmen beauftragt werden! Parallel hat sich bewährt, Wirksamkeitsprüfungen der ergriffenen technischen Maßnahmen von Unternehmen vorzunehmen, z. B. in Form eines Pentests.

Was muss ein IT Security Experte heute an Skills mitbringen?

Oh ja das ist ein schwieriges Thema. So wie andere auch sind wir derzeit auf der Suche nach neuen Mitarbeitern in diesem Bereich und auch hier gibt es, wie überall einen Fachkräftemangel. Es reicht heute nicht mehr aus, wenn ein Security-Experte sich im technischen Umfeld der reinen IT auskennt, sie oder er muss andere technische Felder verstehen können. Es ist vielleicht nicht unbedingt notwendig, dass die Person eine Firewall oder einen Spanning Tree konfigurieren kann, aber sie sollte schon wissen, dass der Spanning Tree ein Protokoll ist, das Loops vermeiden soll.

Also es sollten solide technische Kenntnisse gepaart mit einer guten Portion Empathie vorhanden sein. Dazu kommt die Anforderung, ein gewisses Prozess Verständnis mitzubringen, ebenso wie Verständnis für Risikobewertung-/Management, aber auch wirtschaftliche bzw. ökonomische Kenntnisse sollten vorhanden sein. Allerdings muss hier auch gesagt werden, dass es immer ein wenig auf das Einsatzgebiet ankommt. Unsere Whiteheads, also unsere Hacker, müssen deutlich mehr technisches Verständnis mitbringen, sofern sie nicht auch Social Engineerings durchführen. Vielen Dank für das Gespräch.

Mit einer IT-Umschulung Perspektiven schaffen

Viele Stellen können aktuell im IT-Securitybereich nicht besetzt werden, da qualifizierte Fachkräfte und Experten fehlen. Eine IT-Umschulung zum Fachinformatiker Anwendungsentwicklung oder Systemintegration sowie Informatikkaufleute bietet hier eine gute Einstiegsmöglichkeit um im IT-Security Bereich tätig zu werden.