CAS Information Security & Risk Management 2017: Secure eMail / Sichere E-Mail

Christophe-Monigadon-Sichere-EMail-CAS-CISSP-BSI-Prof-Dalla-Vecchia

Back-to-School: Aus dem Klassenzimmer vom CAS Information Security & Risk Management. Basis für diesen Lehrgang ist das BSI Grundschutzhandbuch, und die Teilnehmenden bereiten sich begleitend auf die CISSP-Prüfung vor. Somit ist es ein Teil des 15-tägigen Lehrgangs, ein CISSP- oder BSI-Fachthema als Blogpost aufzubereiten:

Information Security Secure eMail / Sichere E-Mail: You’ve Got Mail

Kennen Sie den Film aus dem Jahr 1988 mit Tom Hanks und Meg Ryan in den Hauptrollen? Dreissig Jahre später werden weltweit circa 270 Milliarden E-Mails pro Tag verschickt. Selbst neue soziale Medien wie Facebook (2004), Twitter (2006) oder WhatsApp (2009) haben es nicht geschafft, E-Mails zu verdrängen. E-Mails haben sich erfolgreich durchgesetzt. Doch der Schein trügt. Laut Zahlen von Symantec ist über die Hälfte der weltweit versandten E-Mails elektronischer Müll.

Die Absichten hinter diesem «Müll» lassen sich stark vereinfacht in drei Kategorien gruppieren:

  • möglichst viel Geld mit den wenigen Empfängern machen, die auf SPAM Nachrichten reagieren
  • Diebstahl von sensiblen Daten wie Kennwörter oder Kreditkartendaten (Phishing)
  • den Computer nichtsahnender Empfänger mit schädlichem Code infizieren. Solcher Code wir meist erst beim Öffnen der Nachricht heruntergeladen. Der Anteil der mit «Malware» (engl. für Schadsoftware) verseuchten Nachrichten steigt von Jahr zu Jahr (vgl. Tabelle 1).

secure-email-symantec
Tabelle 1: E-Mail Malware Rate (Quelle: Symantec)

In der Schweiz dient das Fernmeldegesetz dem Schutz der Benutzerinnen und Benutzer von Fernmeldediensten vor unlauterer Massenwerbung (=SPAM). Es verpflichtet die Anbieter von Fernmeldediensten zur Bekämpfung der unlauteren Massenwerbung. Die Absender umgehen dieses Hindernis, indem sie die Herkunft der E-Mails mit technischen Hilfsmitteln verschleiern und/oder ihre Nachrichten im Ausland versenden. Kaspersky publiziert dazu regelmässig Statistiken. (vgl. Tabelle 2).

spam-herkunftslaender-Kapersky

Die E-Mails werden zum Teil über ungenügend geschützte E-Mailserver versandt. Auch illegal verschaffte E-Mailkonten sind dazu geeignet. Vernetzte Haushaltsgeräte und Unterhaltungselektronik bieten Cyberkriminellen neue Opportunitäten. Die Firma Proofpoint berichtete bereits 2014 über eine Spamwelle, für die über 100’000 Heimgeräte in einem sogenannten Botnetz (=Geräteverbund) 750 000 E-Mails verschickt haben. Ein Viertel aller missbrauchten Geräte bestand aus Haushaltgeräten wie Multimedia-Playern, Fernsehgeräten und sogar einem Kühlschrank. Gartner zufolge werden dieses Jahr über 8 Milliarden «Dinger» vernetzt sein. Dies entspricht einem Wachstum von 31% gegenüber dem letzten Jahr. Cyberkriminellen bieten sich hiermit laufend neue Versandplattformen an.

Für Cyberkriminelle ist das Risiko erwischt zu werden gering. Umso mehr ist für uns höchste Vorsicht beim Umgang mit E-Mails geboten:

  • Gehören Sie nicht zu den Beteiligten: Prüfen Sie, welche Ihrer «Dinge» mit dem Internet verbunden sind. Diese Überlegung fordert ein Umdenken. Es muss nicht gleich Ihr Kühlschrank sein, der gerade für den Versand von E-Mails zweckentfremdet wird. Selbst moderne Drucker sind in der Regel ab Werk E-Mail fähig.
  • Schützen Sie Ihre Identität: Die Berner Zeitung BZ hat am 10. Mai 2017 über einen breit angelegten Angriff auf Mailkonten von Privatkunden der Swisscom berichtet. Zitat: «Mit gekaperten 10’000 Mailkonten von ahnungslosen Privatkunden können die Angreifer im harmlosesten Fall viel Schabernack treiben, im schlimmsten Fall aber grossen Schaden anrichten. Die Mailadressen könnten dafür benutzt werden, Massenwerbung respektive Spam zu verschicken. »
  • Technik alleine reicht nicht: Spamfilter, Virenschutzprogramme usw. bieten keinen allumfassenden Schutz. Bleiben Sie gegenüber E-Mails stets wachsam und misstrauisch. Der Absender ist nicht immer derjenigen, für den er sich ausgibt. Neugierde liegt in der Natur des Menschen und gerade diese Eigenschaft machen sich die Versender von Spam und Phishingmails zunutze.

Information Security Secure eMail Fazit:

Sie haben es in der Hand: Bewahren Sie eine kritische Haltung gegenüber vernetzten «Dingen», pflegen Sie einen sorgfältigen Umgang mit der eigenen digitalen Identität und haben Sie den Mut, E-Mails ungelesen zu löschen. Denken Sie daran, wenn es wieder einmal heisst… You’ve Got Mail!

Quellen:

http://www.gartner.com/newsroom/id/3598917

http://www.bernerzeitung.ch/schweiz/standard/Im-Herzen-der-Cyberabwehr/story/13056825

https://de.securelist.com/analysis/quartalsreport-spam/72588/spam-and-phishing-in-q1-2017/

http://www.spiegel.de/netzwelt/web/kuehlschrank-verschickt-spam-botnet-angriff-aus-dem-internet-der-dinge-a-944030.html


Blogpost wurde erstelle von Christophe Monigadon  (Eidgenössische Finanzmarktaufsicht FINMA)
im Rahmen vom CAS Information Security & Risk Management.

Dozenten in diesem sehr praxisorientierten Lehrgang sind:
Lukas Fässler (FSDZ Rechtsanwälte & Notariat AG)
Rainer Kessler (Governance Concept GmbH),
Andreas Wisler (goSecurity GmbH)

Beim nächsten CAS live dabei sein?
Hier der Link zur Ausschreibung CAS Information Security & Risk Management

Persönliche Beratung für den Lehrgang gewünscht?
Einfach Prof. Martina Dalla Vecchia ein E-Mail schreiben und einen Termin vorschlagen.

Hinterlasse eine Antwort

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

Captcha loading...