Endpoint Security detaillierter betrachtet: E-Mail-Schutz

By 23. September 2021IT Security Blog

„Endpoint Security“. Das Schlagwort schlechthin beim Thema IT-Sicherheit zur Zeit. Dabei handelt es sich bei jedem PC, Mac, Server, Smartphone, Drucker um nichts anderes als einen „Endpoint“, oder auf Deutsch Endpunkt. Somit öffnet sich bei dem Thema ein weites Feld. Nachfolgend ein paar Grundgedanken zum Themenkomplex.

Endpunkte können auf verschiedene Arten angegriffen werden, von E-Mails, bei Webseitenbesuchen, durch direkte Angriffe oder etwa „alte Materialien“ – infizierte CDs, USB-Datenträger und so weiter.

Einer der wichtigsten Angriffsvektoren sind E-Mails. Diese können in verschiedenen Formen gefährlich werden. Etwa durch infizierte Anhänge, Links auf bösartige Dateien, Links auf Webseiten, die ihrerseits Daten stehlen oder etwa Phishing-Mails, bei denen man durch Beantwortung sensible Daten weiterreicht wie Kreditkartendaten.

Eine moderne E-Mail ist praktisch eine Internetseite. Sie besteht aus Bildern und Links. Auch Bilder sind in diesem Kontext wie Links zu verstehen. Sie werden selten alle in der E-Mail als Anhang mitgeliefert, sondern liegen meist auf einem externen Server, welcher diese Bilder dann bereitstellt.

Zunächst eine Betrachtung, wie eine E-Mail auf den Rechner des Empfängers gelangt – den Endpunkt.

  • Absender-Endpunkt
  • Sender-Server
  • Empfänger-Server
  • Empfänger-Endpunkt

 

Die ersten beiden Stationen müssen als unsicher gelten und können manipuliert sein. Daher fängt der Schutz idealerweise vor dem Empfänger-Server an.

Schutzwälle

Eine Abwehr liegt im Bereich E-Mail-Spam-Filter (im weitesten Sinne). Besser als E-Mails zunächst zu laden, zu untersuchen und dann zu löschen ist es sicherlich, sie mit einem Dienst bereits vor dem Herunterladen zu entfernen. Die Masse an E-Mails, welche Sie erreicht, wird kleiner. Der Dienst kann die Mails aller seiner Kunden untersuchen und so schneller auf neue Spamvarianten reagieren, als man es mit eigenen Filtern für das einzelne Unternehmen selbst tun könnte. Da stündlich sehr viele neue Spamvariationen auftauchen, ist das nicht manuell für einen einzelnen Nutzer respektive einen Administrator handhabbar. Auch sollte man bei den Spamfiltern darauf achten, dass der Anbieter die regionalen Besonderheiten im Kopf hat. Moderne Antispamfilter nutzen in der Regel einen Virenschutz, das heißt, sie können auch Viren schon auf dieser Ebene zurückhalten.

Nachdem der externe Spamfilter-Dienst passiert wurde, wandert die Mail weiter durch eine Firewall zum Empfänger-Server. Firewalls gibt es in einer sehr großen Bandbreite an Funktionalität im Markt. Da gibt es einfache wie eine Fritzbox, aber auch sehr komplexe Firewalls, welche den Datenverkehr auf verschiedenen Protokollebenen filtern können und dabei ebenfalls eine Antispam- und Virenschutzfunktion haben. Zumindest auf den Standardprotokollen wie http und POP3.

Auch die Empfänger-Mailserver haben in der Regel wieder einen Viren- und Spamschutz eingebaut.

Eine E-Mail wird dann von einem Mailprogramm wie Outlook auf dem Endpunkt vom Mailserver geladen und dargestellt. Ob nun Outlook oder ein Webmailclient: Klar ist uns allen, es gibt Anhänge, die man auf Viren prüfen muss. Auch wenn die E-Mail schon an verschiedenen Stationen ihres Weges dahin geprüft wurde, diese Endpoint-Sicherheitsmaßnahme muss sein. In der Zwischenzeit kann der AV-Hersteller Erkennungen für bis dahin unbekannte Schädlinge nachgelegt haben.

Ein wichtiger Baustein ist also ein Virenschutz, der alle Dateien, die auf einen Rechner geladen werden, untersucht. Das ist was wir klassischer Weise als Endpoint-Sicherheit verstehen.

 

Wer filtert was

Eine Endpoint-Security muss nun diese Anhänge in den E-Mails prüfen, die enthalten Links und was diese so auf dem Empfänger-Rechner abliefern. Wir kommen also in ein sehr dynamisches Gebiet, welches aber auch vielfältige Absicherungen bietet. Da wäre zum einen eine Firewall, die, von zuverlässiger Stelle gefüttert, die wichtigsten URLs und IPs sperrt, welche bekannterweise Schadsoftware verteilen oder andere Angriffe starten. Hier muss man sehr darauf achten, welche (lesbare) URL mit welcher IP-Adresse verknüpft ist. Alleine diese Verknüpfung kann sich schnell ändern.

In einem festen Netzwerk kann man dazu wirklich gute Firewall-Anbieter – auch hinter eine Fritzbox – schalten. Das wäre auch im Homeoffice, welches in aller Munde ist, eine wichtige Investition! Die bekannten „kostenlosen“ White- und Blacklist-Anbieter dürften in meinen Augen nicht reichen, die schlechten URLs und IPs zuverlässig zu filtern. Angreifer können da auch leicht mal eine saubere Firma auf eine Blacklist schicken et cetera.

Aber was macht man dann mit einem Laptop? Wie geht man mit Remote Working um?

Wenn die Arbeitgeberfirma alle wichtigen Dinge in einem eigenen Netzwerk hinter einer Firewall hat, kann man den Zugriff auf die Firmendaten recht übersichtlich absichern. Da aber die wenigsten „nur“ ein Cloudportal des Arbeitgebers für ihre Arbeit nutzen, sondern Recherchen im Internet, Bestellungen über Herstellerportale ein wichtiger Baustein der Arbeit sind, kommen wir schnell an die Grenzen. Sollen alle Remote Workstations allen Internetverkehr nur über einen Firmenzugang via VPN erhalten? Ich denke, das stößt schnell an Grenzen der Bandbreite von Firmen.

Hier kommt ein platter Begriff „Link-Scanner“ wieder ins Spiel. In gewisser Weise haben wir das schon in den Erläuterungen zu Firewalls „erlebt“. Aber moderne Virenschutzprogramme (oft neudeutsch nun als Endpoint-Security bezeichnet) haben auch Bestandteile, welche eine Cloud-basierte Validierung von Internetlinks vornehmen und so quasi in Echtzeit Links absichern. Damit sinkt die Gefahr, dass auf dem Laptop eine Schadsoftware eingeschleust wird, die beispielsweise alle Tastendrücke mitschreibt und so Datenklau geschieht.

 

Hase und Igel-Wettlauf

Da sind wir zum Abschluss beim Thema Geschwindigkeit. Es ist wichtig, stets aktuelle Daten zur Abwehr von Angriffen zu haben. Aber auch, wenn alles in der Cloud landen würde: Die Cloudserver müssen miteinander kommunizieren und diese Sicherungsmaßnahmen vornehmen. Also platt gesagt: Ob Cloud, Firewall oder Virenscanner – je nachdem, wo die Validierung stattfindet, muss man immer überprüfen, ob sich die Stelle mehr mit einer Validierung beschäftigt oder mehr mit der eigenen Aktualisierung ausgelastet ist. In einer Firewall, sagen wir mal 1-5 Mio „Regeln“ gegen schlechte URLs/IPs zu aktualisieren, kostet auch bei guter Brandbreite einiges an Zeit. Zeit, in der man nicht produktiv arbeiten kann.

Egal, wie man es betrachtet: Es gibt zentralisierte Schutzstellen wie Cloudservices und Firmen-Firewalls, aber der Endpunkt, die Arbeitsstation, ist weiterhin zu schützen. Nur im Zusammenspiel funktioniert der Schutz der Endpoints effektiv …  aber dennoch nie zu 100%.