Im Oktober vergangenen Jahres bezeichnete das Bundesamt für Sicherheit in der Informationstechnik (BSI) die Lage der IT-Sicherheit hierzulande als „angespannt“. Mit ihren gut geplanten, stufenweisen Angriffen erbeuten Cyberkriminelle inzwischen mehr Geld als mit dem Verkauf von Drogen. Ob Verwaltungen, Unternehmen jeglicher Branche, Krankenhäuser, eine Wasseraufbereitungsanlage in den USA oder erst kürzlich ein Thüringer Impfportal – ein Angriff lohnt offenbar immer. Umso wichtiger ist es, das Unternehmen ihre Mitarbeitenden sensibilisieren. Der Bereich Informationssicherheit bietet deshalb regelmäßig Trainings an, die das Sicherheitsbewusstsein der Mitarbeitenden schärfen.

1. Bekannte und vertrauenswürdige Plattformen als Sprungbrett
Schon seit langem versuchen Angreifer durch das Erstellen oder Kapern von Postfächern als legitim bekannter E-Mail-Dienste wie Microsoft oder Google, sich die gute Reputation dieser Plattformen zunutze zu machen. Aktuell beobachten die Security-Experten neue Nebenschauplätze: So maskieren Angreifer E-Mails zum Beispiel als Unzustellbarkeitsbericht oder als Termineinladung, in der Hoffnung, dass diese Nachrichten von einigen Security-Lösungen weniger strikt behandelt werden.
Auch der Dienst Google Forms wird seit einigen Wochen massiv für den Versand von Spam und Malware missbraucht. Der Gestaltungsspielraum, den Google für den Versand von E-Mails bei Google Forms zulässt, ist unverständlich: Es können beliebige Absenderinformationen eingegeben werden, die Betreffzeilen sind zu 100% anpassbar und die Inhalte werden von Google ganz offensichtlich nicht geprüft.

2. Emotet wird wiederkommen
Die Emotet-Infrastruktur wurde Anfang des Jahres zerschlagen, aber es ist davon auszugehen, dass die Angreifer ihre Ansätze und Tools weiter verbessern, um dann in etwas anderer Form wieder zuzuschlagen. Mit hoher Wahrscheinlichkeit werden URLs, die auf ungesicherte und gekaperte WordPress-Seiten zeigen, wieder eine zentrale Rolle spielen. Klassische URL-Reputationsmechanismen versagen an dieser Stelle, weil die Domänen überwiegend für legitime Webseiten genutzt werden. 

3. Missbrauch von URL-Shortenern
Zum Ende des vergangenen Jahres haben die Security-Experten bei ihrer kontinuierlichen Analyse des Mailverkehrs viel Spam beobachtet, für den herkömmliche HTTP-Forwarder oder URL-Shortener, wie zum Beispiel bit.ly oder cutt.ly, genutzt wurden, um die eigentlichen Links zu verschleiern. Die URLs der Shortener-Dienste werden von gewöhnlichen Klassifizierungsdiensten in der Regel als neutral eingestuft und nicht weiterverfolgt. 

4. Passwortgeschützte Container als Blackbox
Auch in 2021 werden zunehmend Angriffe mit verschlüsselten Anhängen durchgeführt werden. Typischerweise steht das Passwort für den verschlüsselten Anhang gleich in der E-Mail. Für den Empfänger ist es so ein Leichtes, diesen zu öffnen, für die Software, die vor schadhaften Mails schützen soll, aber eine unüberwindbare Hürde. Damit bleiben solche Anhänge meist ungeprüft und stellen ein erhebliches Sicherheitsrisiko dar. Seriöse Absender sollten für den Austausch sensibler Daten entweder eine vollwertige Inhaltsverschlüsselung oder den Austausch sensibler Daten über einen entsprechenden Verschlüsselungsmechanismus ermöglichen. 

5. E-Mails von Angreifern sehen immer professioneller aus
Insgesamt lässt sich festhalten, dass die Tools der Angreifer immer ausgefeilter werden und die Angriffe immer professioneller aussehen. Weil sich viele Unternehmen nicht oder nicht ausreichend um die eigene E-Mail-Hygiene kümmern, sind manche Unternehmen schon jetzt in ihrer geschäftlichen Kommunikation häufig schlechter aufgestellt als die Angreifer. Als Konsequenz sehen die E-Mails dieser Unternehmen verdächtiger aus als die von professionellen Spam- und Malware-Sendern. Für die Zustellrate dieser eigentlich legitimen E-Mails ist das nicht nur sehr abträglich, sondern sie machen es ihren Kommunikationspartnern durch ihre Nachlässigkeit zudem schwer, härtere Schutzmechanismen zur Abwehr zu nutzen.