Sicherheit oder Komfort: Eine Geschichte über E-Mail-Spam und Ransomware

Autor/Redakteur: Sascha Pfeiffer, Principal Security Consultant bei Sophos/gg

“Sicherheit oder Komfort?” ist eine der zentralen Fragen, der sich IT-Verantwortliche heute stellen müssen. Soll ich Web-Sicherheit deaktivieren um die Geschwindigkeit von Facebook zu erhöhen? Müssen wir wirklich die Microsoft Office-Makros deaktivieren wo unsere Finanzabteilung sie doch so häufig verwendet? Der Software Installer stürzt immer wieder ab, vielleicht sollten wir die AV-Lösung deaktivieren, so lange er läuft?

Die Antworten auf diese Fragen bergen viel Sprengstoff in sich – für die Usability, die internen Prozesse und natürlich für die Sicherheit der Firmendaten. Sophos stellt einige der möglichen Szenarien vor.

Die Bedrohung

Drahtzieher der kriminellen Machenschaften ist ein Hacker, den wir im folgenden Ghost nennen. Er hat mehrere Namen, dafür aber kein Gesicht. Sein Aufenthaltsort ist (und bleibt meistens) unbekannt, ein männlicher Weißer um die dreißig – vielleicht. Ghost ist ein Cyber-Krimineller, der in den letzten Jahren erfolgreich Geld und persönlichen Daten von Internetusern gestohlen hat. Dabei ist er wirklich kein Computer-Experte. Seine Programmierkenntnisse sind begrenzt und sein Wissen über Sicherheitssysteme nur mittelmäßig. Das hindert ihn nicht daran, seinen Lebensunterhalt erfolgreich mit Straftaten im Cyberspace zu verdienen.

Als Mittel der Wahl für seinen nächsten Angriff hat Ghost eine Ransomware ausgewählt, einen TorrentLocker. Die Zustellung erfolgt über eine Spam-Kampagne per E-Mail. Er entscheidet sich für die USA, Großbritannien, Australien und Kanada, da diese wohlhabenden Länder die größte Rendite versprechen.

Mit Hilfe der Tor-Software taucht Ghost ins Dark Web und nimmt Kontakt zu einer Malware-as-a-Service-Organisation (MaaS) auf. Für einen geringen monatlichen Betrag erhält er nun Zugriff auf die TorrentLocker Ransomware. Zusätzlich kann er über das Botnet der MaaS-Organisation Hunderttausende von Spam-E-Mails mit Microsoft Word oder Excel-Anhänge versenden. Öffnet der Benutzer die Anhänge mit den versteckten Makros, wird die Ransomware heruntergeladen. All dies wird unterstützt mit einem technischen 24/7 Support, falls Ghost mal Fragen hat oder Hilfe braucht. Seine Aktivitäten zielen auf Büros, Fabriken und Heimanwender, also so ziemlich jeden mit einer gültigen E-Mail-Adresse. Seinen Angriff startet er in den frühen Morgenstunden.

Die Verteidigung

Der Held unserer Geschichte ist Frank, Anfang 30, einziger IT-Administrator in einem mittelständischen Unternehmen irgendwo in Deutschland. Er ist verantwortlich für alles Digitale im Haus, von Storage und Netzwerken bis hin zu Home Office Lösungen und dem defekten Drucker in der Buchhaltung. Frank weiß, dass Sicherheit aus mehreren Ebenen besteht. Je mehr Ebenen vorhanden sind, desto schwieriger ist es für Kriminelle, Malware einzuschleusen. Um möglichst viele Risiken auszuschließen, setzt er auf diese:

E-Mail-Schutz

Die erste Ebene in Franks Abwehrkette ist eine E-Mail-Gateway-Appliance. Diese nutzt eine Anti-Spam-Technologie, die unangeforderte und unerwünschte E-Mails herausfiltert. Er nutzt DKIM und SPF. DKIM ermöglicht das Anfügen einer digitalen Signatur an gesendete E-Mails. Diese sorgt zum einen dafür, dass der Empfänger sich auf den korrekten Absender verlassen kann, zum anderen kann sie eingehende E-Mails blockieren. Kriminelle haben so keine Möglichkeit, über die E-Mail-Domain eine gültige digitale Signatur zu erstellen und zu senden. Ein SPF-Eintrag ist eine Liste aller offiziellen E-Mail-Server, die eine Organisation verwendet. So wird überprüft, ob eine gesendete E-Mail von einem geprüften Server kam, oder nicht.

Hinweis:

SPF-Einträge umfassen in der Regel entweder “-all” oder “~ all”. Die Option “-all” bedeutet: “Diese Liste ist endgültig und keine anderen Server gelten als valide Versender meiner E-Mails.” Mit anderen Worten: Der SPF-Eintrag ist auf dem neuesten Stand und jede E-Mail, die von einem anderen Server kam, ist demnach nicht von Ihnen. “~ all” ist ein so genanntes Soft-Fail, das bedeutet “meine Server-Liste ist womöglich doch nicht vollständig.” Soft-Fails können verwendet werden, wen SPF-Einträge modifiziert und getestet werden. Es ist daher aus Sicherheitserwägungen heraus sinnvoll, die Einträge mit “-all” zu beenden.