E-Mail-Sicherheitsbedrohungen und wie man sie vermeidet

E-Mail ist leider eine der am wenigsten sicheren Möglichkeiten, Daten über das Internet zu senden, und es gibt sie schon seit Jahren, länger als die meisten anderen Kommunikationsarten, was sie für die Ausnutzung durch Betrüger reif macht.

In diesem Leitfaden erfahren Sie alles, was Sie über E-Mail-Bedrohungen wissen müssen und wie Sie sich schützen können.

Was wir auf dieser Seite behandeln

Wenn Sie ein bestimmtes Problem oder eine Frage zu E-Mail-Sicherheitsbedrohungen haben, verwenden Sie die Sprunglinks unten, um eine schnelle Antwort auf Ihre Frage zu erhalten.

  • Was ist eine E-Mail-Sicherheitsbedrohung?
  • Warum ist E-Mail so unsicher?
  • Arten von E-Mail-Sicherheitsbedrohungen
  • Arten von Phishing-E-Mail-Betrug
  • So erkennen Sie E-Mail-Sicherheitsbedrohungen
  • So schützen Sie Ihr Unternehmen vor E-Mail-Sicherheitsbedrohungen

Was ist eine E-Mail-Sicherheitsbedrohung?

Einige Betrüger versuchen, technologische Schwachstellen auszunutzen, um sich in ein bestimmtes Netzwerk oder Gerät zu hacken, es mit Malware zu füllen oder vertrauliche Informationen zu stehlen.

Andere verwenden Social-Engineering-Techniken, bei denen Menschen dazu verleitet werden, bestimmte Entscheidungen zu treffen – oder bestimmte Maßnahmen zu ergreifen – die die Informationen preisgeben, die der Betrüger haben möchte.

E-Mail-Sicherheitsbedrohungen sind oft Beispiele für Letzteres – sie sind voller bösartiger Links, die oft zwischen Textzeilen eingebettet sind, um dem Empfänger Legitimität zu vermitteln und ihn zum Durchklicken zu bewegen. Aber das ist noch nicht alles.

Einige Statistiken über E-Mail-Sicherheitsbedrohungen

Die E-Mail-Sicherheit sollte für Einzelpersonen, Familien und Unternehmen von größter Bedeutung sein, und Angriffsopfer können am Ende Tausende bezahlen, um das von ihren Tätern verursachte Unrecht zu korrigieren. Hier sind einige Fakten, die Sie berücksichtigen sollten:

  • In den USA gibt es alle 39 Sekunden einen Hackerangriff.
  • 95 % der Online-Sicherheitsverletzungen sind auf menschliches Versagen zurückzuführen.
  • 43 % der Cyberangriffe zielen auf kleine Unternehmen ab.
  • Das FBI meldete einen Anstieg der Cyberkriminalität um 300 % seit Covid-19.
  • Die jährlichen Ausgaben für Cybersicherheit werden in diesem Jahr 6 Billionen US-Dollar erreichen.

Dies verdeutlicht in gewisser Weise, warum es so wichtig ist, sich über die vorhandenen Cybersicherheitsbedrohungen auf dem Laufenden zu halten.

Warum ist E-Mail so unsicher?

E-Mail ist leider ein von Natur aus anfälliger Kommunikationskanal, insbesondere weil es keine Ende-zu-Ende-Verschlüsselung wie andere Medien oder überhaupt einen verschlüsselten Schutz bietet.

Eine beliebte Plattform zum Ausnutzen

Obwohl ein Hosting-Dienst wie Gmail über verschlüsselte E-Mail-Optionen verfügt, spielt dies nur eine Rolle, wenn das Konto, an das Sie sie senden, auch die gleichen Verschlüsselungsmaßnahmen wie Sie implementiert hat. Sobald Sie beispielsweise eine E-Mail an jemanden senden, der einen anderen Anbieter verwendet, werden Ihre E-Mails unverschlüsselt über das SMTP-Protokoll (Simple Maile Transfer Protocol) gesendet.

Es gibt auch ein Problem, das dem von Windows in Bezug auf Malware sehr ähnlich ist. Windows ist das am weitesten verbreitete Betriebssystem der Welt, und da Betrüger Viren entwickeln wollen, die so viele Menschen wie möglich treffen können, ist es statistisch gesehen immer optimal, Viren für Windows Phones zu erstellen. Dasselbe gilt für E-Mails – es ist die beliebteste Form der legitimen geschäftlichen Kommunikation und daher für Betrüger ein Kinderspiel.

Menschlicher Fehler

Ein weiteres Problem bei E-Mails ist, dass es viel Raum für menschliche Fehler gibt. Es ist unwahrscheinlich, dass Menschen bei E-Mails häufiger Fehler machen als bei einer Website wie Facebook, aber es ist die Form der Kommunikation, die viele Menschen verwenden, um ihre wichtigsten Dateien zu versenden und ihre arbeitsbezogene Korrespondenz zu führen, während sie gleichzeitig das am wenigsten genutzte Medium ist.

Aus diesem Grund gibt es auf der ganzen Welt Beispiele dafür, dass Menschen auf „An die falsche Person senden“ klicken, die falschen E-Mails weiterleiten und verschiedene andere Fehler, die als „menschliches Versagen“ eingestuft werden könnten und schwerwiegende finanzielle Folgen haben.

Die häufigsten Arten von E-Mail-Sicherheitsbedrohungen

Es gibt eine Reihe weiterer E-Mail-Sicherheitsbedrohungen, die Sie kennen sollten. Da Phishing zu einem weit gefassten Begriff geworden ist, der sich auf viele verschiedene Praktiken bezieht, werden einige der unten aufgeführten Methoden möglicherweise an anderer Stelle als Phishing kategorisiert.

Dies ist nur eine andere Art, sie aufzuteilen, damit sie leicht verständlich sind und Sie die besten Chancen haben, sie zu erkennen, bevor es zu spät ist.

Ransomware-AngriffeÜblicherweise per E-Mail zugestellt, infiziert Ransomware ein Gerät und fordert den Benutzer auf, eine Gebühr dafür zu zahlen, oder es löscht alle seine Daten.
SpoofingWie bei Phishing-Betrug gibt sich der Betrüger als legitimes Unternehmen aus – aber es handelt sich um eine bekannte Marke. Sie können dies nutzen, um Einstiegspunkte für Malware oder persönliche Informationen zu erhalten.
VorwandEin Betrüger verbringt Zeit damit, eine ausgefeilte und detaillierte Persona oder Geschichte zu erstellen, und nutzt dieses Vertrauen, um persönliche Informationen zu erhalten, oft indem er Ziele auffordert, persönliche Informationen zu bestätigen.
KonversationshijackingEs wurde festgestellt, dass einige Betrüger die E-Mail-Sicherheit eines Unternehmens gefährden, sich über seine Geschäftspraktiken informieren und sich dann als Mitarbeiter oder vertrauenswürdige Partner ausgeben, indem sie sich als E-Mail-Domäne ausgeben.
Cache-VergiftungDiese Technik wird initiiert, indem fehlerhafte Daten auf einen DNS-Server hochgeladen werden, was bedeutet, dass Betrüger eine E-Mail entführen und auf einen betrügerischen Server oder etwas Ähnliches mit einer Website umleiten könnten.
VerzeichnisernteBetrüger nutzen diesen Angriff, um durch Brute-Force Zugriff auf die internen E-Mail-Adressen eines Unternehmens oder Netzwerks zu erlangen. Sie können dann schädliche Links an diese E-Mail-Adressen senden.
APTsAdvanced Persistent Threats sind Angriffe, die typischerweise über einen längeren Zeitraum auf das Netzwerk eines großen Unternehmens oder Konzerns ausgeführt werden. Dies ist normalerweise eine koordinierte Operation, die darauf abzielt, eine Schwachstelle in einem Netzwerk auszunutzen – die menschlich sein kann.

Arten von E-Mail-Phishing-Bedrohungen

Phishing ist bei weitem die häufigste Art von E-Mail-Sicherheitsbedrohung und dient dazu, vertrauliche oder persönliche Informationen von einer Einzelperson oder einem Unternehmen zu erhalten. Es gibt eine Reihe verschiedener Arten, und wenn Sie alle erkennen können, haben Sie die besten Chancen, sicher zu bleiben. Wir haben die Arten von Phishing-Betrug unten kategorisiert.

Standard-PhishingDer Betrüger gibt sich als Mitarbeiter eines seriösen Unternehmens aus. Sie verwenden Drohungen und verleihen Ihren Handlungen ein erhöhtes Gefühl der Dringlichkeit, um Ihr Denken zu verwischen. Nachrichten sind normalerweise generisch und werden massenhaft gesendet.
SpeerfischenDer Betrüger zielt auf eine bestimmte Person in einer Organisation ab (z. B. den Finanzmanager) und erstellt eine hochgradig angepasste E-Mail. Angesichts der Informationen, die online über Geschäftsleute verfügbar sind, ist dies einfach.
WalfangDer Betrüger zielt auf den Leiter oder CEO einer Organisation ab. Dies könnte als Möglichkeit zum Abrufen spezifischer Informationen auf hoher Ebene oder als Weg zum einfachen Abrufen einer großen Menge an Mitarbeiterdaten verwendet werden.
Laterales PhishingDer Betrüger kompromittiert ein echtes, persönliches Konto, wie eine E-Mail-Adresse, und verwendet es, um bösartige Links an die Personen zu verbreiten, die dem Opfer am nächsten stehen.
Klonen Sie PhishingDer Betrüger erstellt eine identische Kopie einer legitimen Nachricht von einer echten Organisation – beispielsweise einer Abwesenheitsantwort – und tauscht einfach einen sauberen Link gegen einen böswilligen aus.

Beispiele für einige gängige Phishing-Techniken

Es gibt mehrere Techniken, die verwendet werden, um Informationen durch Phishing zu erhalten (keine Sorge – wir sehen uns die verräterischen Anzeichen von Phishing weiter unten an).

Viele Phishing-E-Mails verwenden zum Beispiel verkürzte URLs, ein Tool, das aus der Notwendigkeit heraus entstanden ist, platzsparend zu sein, mit Zeichenbeschränkungen für soziale Medien, die von Betrügern verwendet werden, um bösartige Links echt aussehen zu lassen.

Andere verwenden echte Markenlogos und „Vertrauensabzeichen“, um Legitimität zu verleihen, während einige böswillige Links absichtlich neben einer Flut echter Links platzieren, um den Benutzern ein falsches Gefühl der Sicherheit zu vermitteln.

Bei ausgeklügelteren Angriffen können Betrüger Maßnahmen ergreifen, wie z. B. das Versenden einer großen Anzahl von E-Mails, um „Abwesenheits“-Antworten zurückzusenden, die ihnen eine Vorlage zum Arbeiten geben.

Ein Wort zu Phishing…

Phishing ist keineswegs eine Technik, die auf E-Mails beschränkt ist, und in den letzten Jahren hat Phishing tatsächlich einen dramatischen Anstieg auf anderen Kommunikationskanälen erlebt.

Schädliche Dokumente, die auf iCloud-Servern abgelegt werden, werden immer häufiger, während Smishing – das SMS-Äquivalent zu Phishing – bei Betrügern während der Pandemie an Popularität gewonnen hat. Vishing – Voice-Phishing – ist jetzt auch etwas, auf das Sie auf Ihrem Telefon achten müssen.

So erkennen Sie eine E-Mail-Sicherheitsbedrohung

Wie bereits erwähnt, kann es schwierig sein, Phishing zu erkennen, aber es gibt ein paar Gemeinsamkeiten, auf die man achten sollte, die wirklich einen Unterschied machen könnten. Klicken Sie niemals auf Links in einer E-Mail, die:

  • Ist übersät mit Rechtschreib- und Grammatikfehlern.
  • Beinhaltet die Androhung von Strafen, Geld- oder Freiheitsstrafen.
  • Versucht, ein übergroßes Gefühl von Dringlichkeit oder Angst zu vermitteln.
  • Behauptet, von einer bekannten Marke zu sein, aber das Design und die Farben kollidieren.
  • Fordert die Übergabe vertraulicher Informationen per E-Mail an.
  • Haben Sie keine Anrede oder sprechen Sie Sie nicht mit Ihrem Namen an.
  • Verfügt über verkürzte URLs, die verdächtig aussehen, wenn Sie mit der Maus darüber fahren.

Wenn eine E-Mail vorgibt, von einem Unternehmen zu stammen, mit dem Sie bereits eine Beziehung haben – wie z. B. Ihrer Bank – können Sie es jederzeit anrufen, um zu bestätigen, dass die Korrespondenz legitim ist. Wenn es andererseits von einem Unternehmen stammt, mit dem Sie keine Beziehung haben, dann lohnt es sich wahrscheinlich nicht, auf die E-Mail zu klicken, selbst wenn sie legitim ist.

Dies sind alles Hinweise, keine Bestätigung, dass eine E-Mail bösartig ist oder bösartigen Inhalt enthält. E-Mails ohne personalisierte Anrede sind beispielsweise nicht immer schädlich. Ein Phishing-Versuch kann eines, zwei oder fünf der oben genannten Warnzeichen aufweisen; möglicherweise werden keine angezeigt.

Alles in allem ist Vorsicht jedoch besser als Nachsicht – es gibt keine Strafe für Vorsicht oder doppeltes Überprüfen, noch dafür, ein Unternehmen anzurufen, um es noch einmal zu überprüfen.

So schützen Sie Ihr Unternehmen vor E-Mail-Sicherheitsbedrohungen

Angenommen, Sie besitzen – oder arbeiten für – ein mittelständisches Unternehmen, das sich Sorgen um Online-Sicherheitsbedrohungen macht. Welche Schritte unternehmen Sie?

Oberste Priorität sollte die Aufklärung der Mitarbeiter darüber haben, worauf sie achten müssen. Es gibt verräterische Anzeichen dafür, dass eine E-Mail eine Phishing-E-Mail ist – und es gibt Formate, die kommen und gehen – daher ist es wichtig, Aufzeichnungen über Angriffe auf Ihr System zu führen (erfolgreich oder nicht), Mitarbeiter über Angriffe zu informieren und sie zu ermutigen, verdächtige Nachrichten zu melden sie erhalten auf ihren Arbeitsadressen.

Sie sollten auch sicherstellen, dass Sie über Sicherheitstechnologie wie ein E-Mail-Sicherheitsgateway oder alternativ über ein Sicherheitstool wie Barracudas API-basierte Abwehrbox verfügen, die Daten aus historischen E-Mail-Kommunikationen einzelner Mitarbeiter verwendet, um den „normalen“ E-Mail-Verkehr zu ermitteln. Natürlich sollten Sie auch eine aktuelle Antivirensoftware installieren, um Angriffe abzuwehren, wenn Ihr Perimeter verletzt wurde.

Stellen Sie außerdem sicher, dass Sie über die neuesten Versionen der von Ihnen verwendeten Software verfügen, da einige Betrüger Schwachstellen in älteren Iterationen beliebter Softwareprogramme ausnutzen, die anschließend in Updates gepatcht werden.

Sie sollten auch wo immer möglich nach dem „Prinzip der geringsten Privilegien“ arbeiten, das bedeutet, dass Personen im Wesentlichen nur Zugang zu den Teilen eines bestimmten Netzwerks erhalten, die sie zur Erfüllung ihrer beruflichen Aufgaben benötigen. Wenn sie auftreten, können Angriffe viel einfacher isoliert und eingedämmt werden.