Die Zeit für echte E-Mail-Firewalls ist gekommen
Seit Monaten lesen wir in unregelmäßigen Abständen von immer perfideren Angriffen auf Unternehmen. Bei jeder neuen Welle wird aufs Neue staunend festgestellt, dass dieser Virus oder Trojaner ganz besonders gefährlich und ausgefuchst ist. Ein Fleißsternchen darf sich der Programmierer der Schadsoftware ans Revers heften, wenn sogar das BSI eine Meldung herausgibt oder die Tagesschau berichtet.
Die allermeisten Viren nutzen als Sprungbrett ins Unternehmen eine E-Mail. Erst dann werden gegebenenfalls weitere Verbreitungsmaßnahmen ergriffen, die zuvor nicht möglich gewesen wären. Warum ist das so? Die Antwort ist ganz einfach: Am Übergang vom Internet ins Unternehmensnetzwerk steht eine Firewall. Jeder Firewall-Admin, der seinen Job vernünftig macht, hat am Ende seines Regelwerks die berühmte „Any-Any-Drop-Regel“. Sprich: Alles was vorher nicht explizit zugelassen wurde, wird abgewiesen. Damit sind alle offenen Türen ins Netz bekannt, hoffentlich gut dokumentiert und somit beherrschbar. Vor allem dann, wenn die Firewall über ein gut gemanagtes IPS-Regelwerk wie Snort verfügt.
Intelligentes Whitelisting als ersten Schritt für erhöhte E-Mail-Sicherheit
Wie sieht es im Bereich der E-Mail-Sicherheit aus? Aus Angst, einen wichtigen Auftrag zu verlieren, gehen viele Unternehmen ein sehr hohes Risiko ein, indem sie bestenfalls halbherzige Regeln im Bereich des Anhangsmanagements aufstellen. Sätze wie „Ich weiß ja gar nicht, was uns unsere Partner so schicken. Lieber erstmal annehmen!“ werden häufig als Entschuldigung vorgetragen, um wichtige Grundsicherungsmaßnahmen nicht umzusetzen. Dazu gehört zum Beispiel ein solides Whitelist-Verfahren, bei dem alle E-Mails mit Anhängen abgewiesen werden, die nicht explizit zugelassen werden. Meist werden nur die üblichen Verdächtigen wie ausführbare Dateien oder Bildschirmschoner auf eine Blacklist gesetzt. Ich persönlich habe schon lange nichts mehr von Viren gehört, die sich über eine SCR-Datei verbreiten.
Emotet sorgt für großes Risiko
Was Firewall-Admins schon lange leben, sollte endlich auch von E-Mail-Sicherheits-Admins übernommen werden. Sowohl das finanzielle Risiko aufgrund eines Totalausfalls der IT als auch das Reputationsrisiko sind durch Emotet in schwindelerregende Höhen geschnellt. Kein Auftrag kann so wichtig sein, dass man das eigene Unternehmen einem solchen Risiko aussetzt. Zumal es bei großen Aufträgen in der Regel immer einen gewissen vertrieblichen Vorlauf gab und beide Parteien daran interessiert sein dürften, den Auftrag nun ordentlich abzuwickeln.
SPF, DKIM, DMARC und S/MIME prüfen Echtheit des Absenders
Eine Whitelist für Anhänge ist jedoch nur der erste Schritt für ein ordentliches Anhangsmanagement. Bei E-Mails haben wir den Vorteil, dass wir die Absenderreputation auf unterschiedlichen Wegen messen können. Standards wie SPF, DKIM und DMARC, aber auch eine S/MIME signierte E-Mail geben einen Hinweis auf die Echtheit des Absenders. Vorrausetzung bei der S/MIME Signatur ist natürlich ein Zertifikat einer vertrauenswürdigen Zertifizierungsstelle. In seiner Empfehlung zur Abwehr von Emotet empfiehlt das BSI sogar die Abweisung von E-Mail, in denen die Absender-Adresse im sogenannten Envelope der E-Mail vom Absender im Header abweicht. Dass damit wohl der ein oder andere Newsletter verloren geht, wird leider nicht erwähnt. Es zeigt aber die Brisanz der Angelegenheit.
Content Disarm & Reconstruction macht gefährliche E-Mail-Anhänge ungefährlich
Einen weiteren Einfluss auf die Absenderreputation sollte das Wissen um die Kommunikationsbeziehung als solches haben. Ein gutes E-Mail-Security Gateway weiß, ob mit dem Absender bereits Kontakt besteht oder nicht. Dieses Wissen muss konsequent genutzt werden. Eine DOC-Datei von einem unbekannten Absender darf schlicht und ergreifend nicht mehr in einem Postfach landen. Hinweise des BSI, Anhänge nur mit größter Vorsicht zu öffnen, sind nicht wirklich hilfreich. Entweder öffnet der Benutzer die Datei, oder er lässt es. „Nur ein bisschen öffnen um mal reinzusehen“ funktioniert nicht. Hier müssen Technologien wie CDR (Content Disarm and Reconstruction) den Benutzer bestmöglich schützen. Beim CDR-Verfahren wird beispielsweise eine DOC Datei am Gateway in eine harmlose PDF-Datei gewandelt, ähnlich wie ein Röntgenbild beim Arzt. So kann der Empfänger der Datei den Inhalt der Original-Datei sehen, ohne aber die Schadsoftware zu starten.
Auch der gut gemeinte Rat des BSI, die Pattern der Virenscanner regelmäßig auf Aktualität zu überprüfen ist bei Emotet keine effektive Abwehr. Im Schnitt kommt alle 45 Minuten eine neue Variante der Malware auf den Markt und ist damit ein Phantom für die meisten Scanner.
Leistungsfähige E-Mail-Firewall NoSpamProxy
Mit NoSpamProxy bietet Net at Work eine leistungsfähige E-Mail-Firewall an. Unternehmen können spielend einfach eine Whitelist für Anhänge erstellen und damit E-Mails mit undefinierten Anhängen pauschal abweisen. Benötigte Anhangsformate können mit unterschiedlichen Aktionen behandelt werden. Die wohl wichtigste Aktion ist das CDR-Verfahren. Es kann auf alle Word-, Excel und PDF-Dateien angewandt werden, wobei es sich empfiehlt, Office-Dateien mit Makros gar nicht erst anzunehmen. Mit dem Level of Trust System ist es darüber hinaus möglich, Anhänge von bekannten Kommunikationspartnern anders zu behandeln, als Anhänge von unbekannten Absendern. Die Spannweite der möglichen Aktionen reicht von „Abweisen“ über „Qurantänisieren“, „CDR“ bis hin zum „Sandbox-Verfahren“.
Absenderreputationsverfahren wie SPF, DKIM und DMARC spielen eine große Rolle bei der Bewertung von E-Mails. Im Rahmen des Prüfverfahrens werden auch andere Eigenschaften der Absenderinformationen genauer unter die Lupe genommen.
In diesem Artikel haben wir nun gerade einmal zwei Verfahren erläutert, die NoSpamProxy-Kunden zum Einsatz bringen können. Keines davon basiert auf Pattern oder anderen zeitlich nachlaufenden Verfahren. Überzeugen Sie sich im Rahmen eines Tests von den Qualitäten einer E-Mail-Firewall made in Germany.