Was ist E-Mail-Sicherheit?

Bei der E-Mail-Sicherheit geht es um die Verhinderung von Cyberangriffen per E-Mail, den Schutz von E-Mail-Konten vor Übernahmen und die Sicherung des Inhalts von E-Mails. E-Mail-Sicherheit ist vielschichtig und kann mehrere verschiedene Schutzschichten erfordern.

Lernziele

Nach Lektüre dieses Artikels können Sie Folgendes:

  • E-Mail-Sicherheit definieren
  • Einige gängige E-Mail-basierte Angriffe beschreiben

Link zum Artikel kopieren

Was ist E-Mail-Sicherheit?

Bei der E-Mail-Sicherheit geht es darum, E-Mail-basierte Cyberangriffe und unerwünschte Kommunikation zu verhindern. Es umfasst den Schutz von E-Mail-Posteingängen vor Übernahmen, den Schutz von Domains vor Spoofing, das Stoppen von Phishing-Angriffen,die Verhinderung von Betrug, das Blockieren der Zustellung von Malware, das Filtern von Spam, und die Verwendung von Verschlüsselung zum Schutz der Inhalte von E-Mails vor Unbefugten.

Als die E-Mail erfunden wurde, waren Sicherheit und Privatsphäre noch nicht in die E-Mail integriert. Trotz der Bedeutung der E-Mail als Kommunikationsmittel sind sie auch heute noch nicht standardmäßig in die E-Mail integriert. Infolgedessen ist die E-Mail ein wichtiger Angriffsvektor für große und kleine Unternehmen und auch für Einzelpersonen.

Welche Arten von Angriffen erfolgen per E-Mail?

Zu den häufigsten Arten von E-Mail-Angriffen zählen:

  • Betrug: Betrugsangriffe per E-Mail können verschiedene Formen annehmen, vom klassischen Vorschussbetrug, der sich an normale Bürger richtet, bis hin zur Kompromittierung von Geschäftsmails (BEC), die darauf abzielen, Buchhaltungsabteilungen großer Unternehmen dazu zu bringen, Geld auf illegale Konten zu überweisen. Oft verwenden die Angreifer Domain-Spoofing, um den Anschein zu erwecken, die Geldanforderung stamme von einer legitimen Quelle.
  • Phishing: Bei einem Phishing-Angriff wird versucht, das Opfer dazu zu bringen, dem Angreifer sensible Informationen zu übermitteln. E-Mail-Phishing-Angriffe können Benutzer auf eine gefälschte Webseite leiten, die Anmeldedaten sammelt, oder den Benutzer einfach dazu zwingen, die Informationen an eine E-Mail-Adresse zu senden, die heimlich vom Angreifer kontrolliert wird. Auch Domain-Spoofing ist bei Angriffen wie diesen üblich.
  • Malware: Zu den Arten von Malware, die per E-Mail übertragen werden, gehören unter anderem Spyware, Scareware, Adware und Ransomware. Es gibt verschiedene Möglichkeiten, wie Angreifer Malware per E-Mail verbreiten können. Eine der häufigsten ist das Einfügen eines E-Mail-Anhangs, der bösartigen Code enthält.
  • Kontoübernahme: Angreifer übernehmen die E-Mail-Posteingänge von rechtmäßigen Benutzern zu verschiedenen Zwecken, z. B. um deren Nachrichten zu überwachen, Informationen zu stehlen oder legitime E-Mail-Adressen zu verwenden, um Malware-Angriffe und Spam an ihre Kontakte weiterzuleiten.
  • Abfangen von E-Mails: Angreifer können E-Mails abfangen, um die darin enthaltenen Informationen zu stehlen oder um On-Path-Angriffe auszuführen, bei denen sie sich als beide Seiten einer Unterhaltung ausgeben. Die gängigste Methode hierfür ist die Überwachung von Netzwerkdatenpaketen in Wireless Local Networks (LANs), da das Abfangen einer E-Mail auf ihrem Weg durch das Internet äußerst schwierig ist.

Spoofing von E-Mail-Domains

Das Spoofing von E-Mail-Domains ist bei verschiedenen Arten von E-Mail-basierten Angriffen wichtig. Es ermöglicht Angreifern, Nachrichten von legitim erscheinenden Adressen zu versenden. Diese Technik ermöglicht es Angreifern, eine E-Mail mit einer gefälschten Absenderadresse zu versenden. Wenn Chuck beispielsweise Bob mit einer E-Mail hereinlegen möchte, könnte er ihm eine E-Mail von der Domain „@trustworthy-bank.com“ schicken, obwohl Chuck in Wirklichkeit weder die Domäne „trustworthy-bank.com“ besitzt noch diese Organisation vertritt.

Was ist ein Phishing-Angriff?

Phishing ist ein Versuch, sensible Daten zu stehlen, in der Regel in Form von Benutzernamen, Passwörtern oder anderen wichtigen Kontoinformationen. Der Phisher verwendet die gestohlenen Informationen entweder selbst, z. B. um die Konten des Benutzers mit dessen Passwort zu übernehmen, oder er verkauft die gestohlenen Informationen.

Phishing-Angreifer geben sich als seriöse Quelle aus. Mit einer verlockenden oder scheinbar dringenden Anfrage lockt ein Angreifer das Opfer dazu, Informationen bereitzustellen, so wie eine Person beim Angeln einen Köder benutzt.

Phishing findet oft über E-Mail statt. Phishing-Angreifer versuchen entweder, Menschen dazu zu bringen, Informationen direkt per E-Mail zu übermitteln, oder sie verlinken auf eine von ihnen kontrollierte Webseite, die legitim aussehen soll (zum Beispiel eine gefälschte Anmeldeseite, auf der der Benutzer sein Passwort eingibt).

Es gibt verschiedene Arten von Phishing:

  • Spear-Phishing ist sehr gezielt und oft personalisiert, um überzeugender zu sein.
  • Whaling zielt auf wichtige oder einflussreiche Personen innerhalb einer Organisation ab, wie z.B. Führungskräfte. Dies ist ein wichtiger Bedrohungsvektor für die E-Mail-Sicherheit in Unternehmen.
  • Zu den Phishing-Angriffen, die nicht per E-Mail erfolgen, gehören Vishing (Phishing per Telefonanruf), Smishing (Phishing per Textnachricht) und Social Media Phishing (Phishing in sozialen Medien).

Eine Strategie zur E-Mail-Sicherheit kann mehrere Ansätze zur Abwehr von Phishing-Angriffen umfassen. Lösungen für die E-Mail-Sicherheit können E-Mails von bekannt schlechten IP-Adressen herausfiltern. Sie können in E-Mails eingebettete Links blockieren oder entfernen, um zu verhindern, dass Benutzer zu Phishing-Webseiten navigieren. Oder sie können die DNS-Filterung verwenden, um diese Webseiten zu blockieren. Data Loss Prevention (DLP)-Lösungen können auch ausgehende Nachrichten mit sensiblen Informationen blockieren oder unkenntlich machen.

Und schließlich sollten die Mitarbeiter eines Unternehmens darin geschult werden, wie man eine Phishing-E-Mail erkennt.

Wie werden E-Mail-Anhänge bei Angriffen verwendet?

E-Mail-Anhänge sind eine wertvolle Funktion, aber Angreifer nutzen diese E-Mail-Funktion, um bösartige Inhalte an ihre Ziele zu senden, einschließlich Malware.

Dies geschieht unter anderem dadurch, dass sie die bösartige Software einfach als .exe-Datei anhängen und den Empfänger dann zum Öffnen des Anhangs verleiten. Ein weitaus häufigerer Ansatz ist es, bösartigen Code in einem unschuldig wirkenden Dokument zu verstecken, z. B. in einer PDF- oder Word-Datei. Beide Dateitypen unterstützen die Einbindung von Code – z. B. Makros –, mit dem Angreifer bösartige Aktionen auf dem Computer des Empfängers durchführen können, z. B. das Herunterladen und Öffnen von Malware.

Viele Ransomware-Infektionen der letzten Jahre haben mit einem E-Mail-Anhang begonnen. Zum Beispiel:

  • Ryuk-Ransomware dringt häufig über eine TrickBot- oder Emotet-Infektion in ein Netzwerk ein, die beide über E-Mail-Anhänge verbreitet werden.
  • Maze-Ransomware verwendet E-Mail-Anhänge, um sich im Netzwerk des Opfers einzunisten
  • Petya-Ransomware Angriffe begannen ebenfalls meist mit einem E-Mail-Anhang

Ein Aspekt der E-Mail-Sicherheit besteht darin, diese bösartigen E-Mail-Anhänge zu blockieren oder zu neutralisieren. Dies kann bedeuten, dass alle E-Mails mit Anti-Malware gescannt werden, um bösartigen Code zu identifizieren. Darüber hinaus sollten Benutzer darin geschult werden, unerwartete oder unerklärliche E-Mail-Anhänge zu ignorieren. Bei webbasierten E-Mail-Clients kann die Browserisolierung ebenfalls dazu beitragen, diese Angriffe zu vereiteln, da der bösartige Anhang in einer vom Gerät des Benutzers getrennten Sandbox heruntergeladen wird.

Was ist Spam?

Spam ist eine Bezeichnung für unerwünschte oder unangemessene E-Mail-Nachrichten, die ohne Erlaubnis des Empfängers verschickt werden. Fast alle E-Mail-Anbieter bieten einen gewissen Grad an Spam-Filterung. Dennoch ist es unvermeidlich, dass immer noch einige Spam-Nachrichten in den E-Mail-Posteingängen der Benutzer landen.

Spammer erlangen mit der Zeit einen schlechten „Ruf als E-Mail-Absender“*, was dazu führt, dass mehr und mehr ihrer Nachrichten als Spam markiert werden. Aus diesem Grund sind sie oft motiviert, E-Mail-Posteingänge von Benutzern zu übernehmen, IP-Adressraum zu stehlen oder Domains zu spoofen, um Spam zu versenden, der nicht als Spam erkannt wird.

Einzelpersonen und Organisationen können verschiedene Maßnahmen ergreifen, um weniger Spam zu erhalten. Sie können das öffentliche Auflisten ihrer E-Mail-Adressen reduzieren oder komplett beenden. Sie können einen Spam-Filter eines Drittanbieters zusätzlich zu dem von ihrem E-Mail-Dienst bereitgestellten Filter einsetzen. Und sie können Spam-E-Mails konsequent als Spam markieren, um ihren eingesetzten Filter besser zu trainieren.

*Wenn ein großer Prozentsatz der E-Mails eines Absenders von den Empfängern nicht geöffnet oder als Spam markiert wird, oder wenn die Nachrichten eines Absenders zu oft zurückgeschickt werden, stufen ISPs und E-Mail-Dienste die Reputation des Absenders herab.

Wie können Angreifer E-Mail-Konten übernehmen?

Angreifer können einen gestohlenen E-Mail-Posteingang für eine Vielzahl von Zwecken nutzen, z. B. zum Versenden von Spam, zum Initiieren von Phishing-Angriffen, zum Verteilen von Malware, zum Zusammenstellen von Kontaktlisten oder zur Nutzung der E-Mail-Adresse, um weitere Konten des Benutzers zu stehlen.

Sie können eine Reihe von Methoden anwenden, um in ein E-Mail-Konto einzudringen:

  • Kauf von Listen mit zuvor gestohlenen Zugangsdaten: Im Laufe der Jahre gab es viele Datenschutzverletzungen, und Listen mit gestohlenen Benutzernamen/Passwörtern sind im Dark Web weit verbreitet. Ein Angreifer kann eine solche Liste kaufen und die Anmeldedaten verwenden, um in Benutzerkonten einzudringen, oft durch Credential Stuffing.
  • Brute-Force-Angriffe: Bei einem Brute-Force-Angriff lädt ein Angreifer eine Anmeldeseite und verwendet einen Bot, um die Anmeldedaten eines Benutzers schnell zu erraten. Durchsatzbegrenzung und ein Einschränken der Anzahl der Passworteingaben verhindern diese Methode wirksam.
  • Phishing-Angriffe: Möglicherweise hat der Angreifer zuvor einen Phishing-Angriff durchgeführt, um die Anmeldedaten für das E-Mail-Konto des Benutzers zu erhalten.
  • Infizieren des Webbrowsers: Ähnlich wie bei einem On-Path-Angriff kann eine böswillige Partei den Webbrowser eines Benutzers infizieren, um alle Informationen zu sehen, die dieser auf Webseiten eingibt, einschließlich seines E-Mail-Benutzernamens und Passworts.
  • Spyware: Der Angreifer hat möglicherweise bereits das Gerät des Benutzers infiziert und Spyware installiert, um alles zu verfolgen, was er eingibt, einschließlich seines E-Mail-Benutzernamens und -Passworts.

Der Einsatz der Multifaktor-Authentifizierung (MFA) anstelle der Ein-Faktor-Passwort-Authentifizierung ist eine Möglichkeit, E-Mail-Posteingänge vor Kompromittierung zu schützen. Unternehmen können auch verlangen, dass sich ihre Benutzer über einen SSO-Dienst (Single Sign-On) anmelden müssen, anstatt sich direkt bei der E-Mail anzumelden.

Wie werden E-Mails durch Verschlüsselung geschützt?

Bei der Verschlüsselung werden Daten so unkenntlich gemacht, dass sie nur von autorisierten Parteien entschlüsselt und gelesen werden können. Verschlüsselung ist so, als würde man einen Brief mit einem versiegelten Umschlag versehen, so dass nur der Empfänger den Inhalt des Briefes lesen kann, auch wenn eine beliebige Anzahl von Parteien den Brief auf dem Weg vom Absender zum Empfänger bearbeiten wird.

E-Mails werden nicht automatisch verschlüsselt, d.h. das Versenden einer E-Mail ist wie das Versenden eines Briefes, dessen Inhalt nicht durch einen Umschlag geschützt ist. Da E-Mails oft persönliche und vertrauliche Daten enthalten, kann dies ein großes Problem darstellen.

So wie ein Brief nicht sofort von einer Person zur anderen geht, gehen auch E-Mails nicht direkt vom Absender zum Empfänger. Stattdessen durchlaufen sie mehrere verbundene Netzwerke und werden von Mailserver zu Mailserver weitergeleitet, bis sie schließlich den Empfänger erreichen. Jeder, der sich mitten in diesem Prozess befindet, könnte die E-Mail abfangen und lesen, wenn sie nicht verschlüsselt ist, auch der E-Mail-Dienstanbieter. Am wahrscheinlichsten ist es jedoch, dass eine E-Mail in der Nähe des Absenders abgefangen wird, und zwar mit einer Technik namens Packet Sniffing (Überwachung von Datenpaketen in einem Netzwerk).

Verschlüsselung ist wie ein versiegelter Umschlag um eine E-Mail. Die meisten Ansätze zur E-Mail-Verschlüsselung setzen auf Public Key Cryptography (erfahren Sie mehr). Einige Ansätze der E-Mail-Verschlüsselung sind Ende-zu-Ende; dies schützt die E-Mail-Inhalte nicht nur vor dem E-Mail-Dienstanbieter, sondern auch vor externen Parteien.

Wie helfen DNS-Einträge, E-Mail-Angriffe zu verhindern?

Das Domain Name System (DNS) speichert öffentliche Datensätze über eine Domain, einschließlich der IP-Adresse dieser Domain. Das DNS ist unverzichtbar, damit Benutzer auf Websites zugreifen und E-Mails versenden können, ohne sich lange alphanumerische IP-Adressen merken zu müssen.

Es gibt spezielle Arten von DNS-Einträgen, die dazu beitragen, dass E-Mails von einer legitimen Quelle und nicht von einem Betrüger stammen: SPF-Einträge, DKIM-Einträge und MARC-Einträge. Die Anbieter von E-Mail-Diensten überprüfen E-Mails anhand dieser drei Datensätze, um festzustellen, ob sie von dem Ort stammen, von dem sie zu stammen vorgeben, und ob sie während der Übermittlung nicht verändert worden sind.

Der Cloudflare Email DNS Security Wizard hilft Domaininhabern, diese wichtigen DNS-Einträge schnell und korrekt zu konfigurieren. Mehr dazu erfahren Sie in unserem Blog-Beitrag.

Wie können Phishing-Angriffe gestoppt werden?

Viele E-Mail-Anbieter verfügen über einen eingebauten Phishing-Schutz (und die oben aufgeführten DNS-Einträge sind in der Regel eines der Signale, auf die sie achten, um Phishing-Versuche zu blockieren). Dennoch gelangen immer noch regelmäßig Phishing-E-Mails in die E-Mail-Posteingänge der Benutzer. Viele Unternehmen haben einen zusätzlichen Phishing-Schutz im Einsatz, um ihre Benutzer und Netzwerke besser zu schützen.

Cloudflare Area 1 E-Mail-Sicherheit bietet Cloud-basierten Phishing-Schutz. Cloudflare Area 1 entdeckt Phishing-Infrastrukturen im Voraus und analysiert Traffic-Muster, um Angriffe zu korrelieren und Phishing-Kampagnen zu identifizieren. Lesen Sie mehr darüber, wie dieser Anti-Phishing-Service funktioniert.