Schlagwort-Archive: E-Mail

Der Spamschutz als Virenblocker

Gastbeitrag von Olaf Petry, IT-Sicherheitsbeauftragter / CISO, Hornetsecurity.

Logo HornetSecurity1,3 Millionen Treffer. Dieses Ergebnis spuckt die Suchmaschine Google aus, wenn nach „Computervirus“ gesucht wird. Eine beachtliche Zahl, die verdeutlicht, wie wichtig dieses Thema bei Firmen, Behörden und Privatanwendern ist, schließlich können Computerviren eine ernstzunehmende Bedrohung für private Rechner und IT-Infrastrukturen von Unternehmen darstellen. Aber wie gelangen Viren, Zero-Day-Exploits und andere Malware auf die Computer und Server? Und wie lässt sich dieses Risiko effektiv minimieren?

Spam- und Virenmails werden immer professioneller

Zwar sind Drive-By-Downloads oder das versehentliche Herunterladen von schädlicher Software im Internet ein durchaus bekanntes Phänomen, jedoch erleben wir derzeit eine Renaissance der E-Mail als Einfallstor für Malware; insbesondere in Dokumenten verschleierte Schädlinge oder Links darauf schlagen in jüngerer Vergangenheit vermehrt durch. Selbst wenn Experten diesem Kommunikation­smedium immer wieder der Tod vorhersagen – auch in Zukunft werden mehr E-Mails versendet und empfangen als jemals zuvor. Wie viele E-Mails davon als Spam zu klassifizieren sind, lässt sich nicht auf die E-Mail genau feststellen, dennoch lohnt es sich, einen kurzen Blick auf ein paar Daten von Hornetsecurity zu werfen, um einen Überblick über das Medium E-Mail zu bekommen.

  • Die Zahl aller Clean-Mails pro Benutzer stieg von ca. 120 im Jahr 2007 auf knapp 400 Ende 2015 an.
  • Spam-Nachrichten sind auf dem Rückzug: Der durchschnittliche Jahresanteil an Spam-Mails am gesamten E-Mail-Verkehr ging von 99,7 Prozent im Jahr 2008 auf knapp 63 Prozent im Jahr 2015 zurück.
  • Die Zahl der als virenverseuchte E-Mail klassifizierten E-Mails pro Benutzer pro Monat stieg hingegen in den vergangenen fünf Jahren um das Fünffache an (mit deutlichen Ausreißern nach oben durch große Malware-Attacken)

2016-01-Entwicklung_Spam-AufkommenKonkret bedeutet dies eine Abkehr der früher geltenden Regel „Masse statt Klasse“: Spammer versenden weniger Spam- und Viren-Mails, diese dafür in einem wesentlich professionelleren Erscheinungsbild. Dies liegt einerseits daran, dass die Empfänger von Spam deutlich besser informiert sind und nicht mehr so einfach auf schlecht gemachte Müll-Nachrichten hereinfallen. Andererseits haben auch die Anbieter von Antispam-Lösungen ihre Hausaufgaben gemacht und entwickeln ihre Services kontinuierlich weiter.

Spamfilter erhöht als zusätzliche Sicherheitsstufe den Schutz

Dennoch: Einen hundertprozentigen Schutz zu gewährleisten, wird unmöglich sein, schließlich handelt es sich hier um einen Wettlauf zwischen Angreifer und Verteidiger, in dem der Hersteller von Malware immer einen winzigen Schritt voraus ist. Für Unternehmen und Privatpersonen gilt daher, dieses Risiko zu minimieren, indem sie sich bestmöglich schützen. Hier spielen Anbieter von Spamfilter Lösungen wie Hornetsecurity eine nicht zu unterschätzende Rolle – sie versperren Schadsoftware ihren Haupt-Angriffsweg, die E-Mail. Dadurch bieten sie neben den bereits vorhandenen Antiviren-Lösungen eine zusätzliche Sicherheitsstufe. Im Falle von Hornetsecurity ist dies ein mehrstufiger Filterprozess, mit dem das Unternehmen eine hohe Filterquote erreicht: Es garantiert vertraglich, 99,9 Prozent aller Spamnachrichten herauszufiltern, wobei der Regelfall mit 99,99 Prozent sogar noch deutlich darüber liegt. Beim integrierten Virenschutz sichert Hornetsecurity eine Quote von 99,99 Prozent vertraglich zu.

2016-01-Viren_pro_Nutzer-grossHornetsecurity erreicht diese Zahlen über ein mehrstufiges Filtersystem, in dem neben einem vorgeschalteten Blocking-Filter mehrere Schritte in der sogenannten aktiven Analysephase der gesamte Mailverkehr auf Herz und Nieren geprüft wird. Der Service beinhaltet zusätzlich eine Virenschutz-Komponente des Spamfilter Services von Hornetsecurity, die den eingehenden E-Mail-Verkehrs auf Viren auf Basis mehrerer Systeme prüft. Neben externen Scannern wie ClamAV und Signaturdaten von G DATA kommen verschiedene selbstentwickelte Werkzeuge zum Einsatz, um für die Kunden einen möglichst breiten Schutzschirm spannen zu können. Einen genauen Überblick verschafft das entsprechende Whitepaper.

Ein funktionierender Spamfilter Service ist daher mehr als nur ein Schutz vor lästigen E-Mails – er schafft einen zusätzlichen Sicherheitswall, um Unternehmen vor Viren, Phishing-Attacken und Exploits zu bewahren.

Angriffe auf Sicherheitslücke in Windows nehmen zu

avg_logo_deMedienberichten zufolge wird eine eigentlich am vergangenen Microsoft-Patchday geschlossene Sicherheitslücke in Windows inzwischen gehäuft angegriffen. Die Lücke sollte zwar geschlossen sein, jedoch greift das Update nicht weit genug – Angreifer können auf anderem Wege die Lücke immer noch missbrauchen.

Für die ursprünglich unter dem Namen „Sandworm“ bekannte Lücke in der Verarbeitung von OLE-Datenströmen – also etwa Office-Dateien – gibt es noch keine weitere Sicherheitsaktualisierung seitens Microsoft; ein Fix-it-Tool steht jedoch bereit, dass viele bisherige Exploit-Versuche abwehren kann.

Die zunächst noch vereinzelten Angriffe mehren sich jetzt. Die Angreifer versenden dabei vor allem gefälschte Rechnungs-E-Mails mit manipulierten PowerPoint-Dateien im Anhang, um Schadsoftware auf die Rechner der Empfänger zu schleusen. Anwender und Administratoren sollten daher zum Einen das bereitgestellte Fix-it-Tool ausführen, zum Anderen auf einen aktuellen Virenschutz achten sowie zu guter Letzt Vorsicht bei unverlangt zugesandten Dokumenten walten lassen und diese im Zweifel besser nicht öffnen.

Geschrieben von Dirk Knop.

Zero-Day-Sicherheitslücke in Windows wird angegriffen

avg_logo_deIn allen derzeit unterstützten Windows-Versionen bis auf Server 2003 klafft eine Sicherheitslücke, die bereits angegriffen und zum Einschleusen von Schadcode missbraucht wird. Der Fehler in den OLE-Routinen von Windows ermöglicht manipulierten Dokumenten, etwa beim Besuch einer Webseite einen Trojaner zu installieren. OLE ist ein internes Speicherformat von Dokumenten und Dateien.

Microsoft empfiehlt, die Benutzerkontensteuerung zu aktivieren – diese warnt vor der Ausführung des Schadcodes; in der Praxis ist das wahrscheinlich weniger hilfreich, da die Nutzer gewohnt sind, derartige Dialoge rasch wegzuklicken. Das Unternehmen stellt jedoch auch ein Fix-it-Tool bereit, das die derzeitigen Angriffe verhindert; das Fix-it-Tool setzt jedoch an Powerpoint an, andere Angriffsvektoren bleiben offen.

Derzeit versuchen Cyberkriminelle, durch Zusenden manipulierter PowerPoint-Dateien einen Schädling einzuschleusen. Daher sollten Administratoren das Fix-it-Tool in ihrem Netz sowie Nutzer an Einzelplätzen es auf diesen ausführen. Zudem sollten sie erhöhte Wachsamkeit gegenüber unverlangt zugesandte PowerpPoint-Dateien haben.

Geschrieben von Dirk Knop.

Internetnutzer unter Dauerattacke

avg_logo_de

Derzeit werden Internetnutzer auf allen Kanälen angegriffen: Cyberkriminelle versuchen verstärkt, per bösartigen E-Mail-Anhängen oder durch manipulierte Webseiten die Rechner zu infizieren. So lieferte der Videodienst Dailymotion unfreiwillig ein Exploit-Kit mit, das Sicherheitslücken in veralteten Java-Installation, Flash-Player und weiteren Komponenten zum Einschleusen von Schadcode missbrauchen wollte.

Per E-Mail machen derzeit gefälschte Vodafone-, Telekom- sowie Abmahn-Rechnungen die Runde. So behauptet ein Mail-Text, der Empfänger habe illegal ein neues R.-Kelly-Lied aus dem Netz gesogen. Details könne man dem Anhang entnehmen – eine ZIP-Datei mit Trojaner als Inhalt. Die gefälschten Telekom- und Vodafone-Rechnungen fallen durch die unpersönliche Ansprache auf („Sehr geehrter Kunde, sehr geehrte Kundin, …“) und stellen eine hohe Rechnung von mehr als 370 Euro in Aussicht. Auch hier seien Details dem viralen Anhang zu entnehmen.

Die Verbraucherzentrale Berlin rät Empfängern der E-Mails, diese direkt zu löschen. Die Anhänge sollte man keinesfalls öffnen.

Neben stets aktualisiertem Betriebssystem und aktuellem Webbrowser und Zusatzprogrammen wie Java, Flash-Player, PDF-Reader und so weiter hilft ein installierter Virenscanner wie AVG Internet Security, den Rechner vor Schädlingsbefall zu schützen. Die stete Gefahr, den Rechner schon beim Surfen auf eigentlich harmlosen, regulären Webseiten zu infizieren, lässt sich dadurch stark vermindern.

Geschrieben von Dirk Knop.

Verschlüsselte E-Mail-Übertragung mit AVG untersuchen

Die Unternehmen des De-Mail-Verbundes, unter anderem t-online, GMX, Freenet oder web.de, erzwingen in Kürze die verschlüsselte Übertragung von E-Mails. Für die Privatsphäre und Sicherheit ist das ein Schritt in die richtige Richtung. Jedoch lassen sich Daten auf verschlüsselten Verbindungen nicht ohne Weiteres auf Schädlinge untersuchen.

Verschlüsselte E-Mail-Übertragung kann AVG jedoch mit einer kleinen Anpassung analysieren. Nutzer von Microsoft Outlook benötigen keinerlei Veränderungen, da dort das AVG Outlook-Plug-in die E-Mails prüfen kann. Andere Mail-Programme, die auf die Unterstützung des AVG Personal E-Mail-Scanners angewiesen sind, sollten hingegen wie folgt konfiguriert werden:

  1. Öffnen Sie das AVG-Programm.
  2. Klicken Sie im Menü Optionen auf Erweiterte Einstellungen.
  3. Erweitern Sie im linken Bereich den Eintrag E-Mail -Schutz ->E-Mail -Schutz und doppelklicken Sie dann auf Server.
  4. Wählen Sie POP3 oder IMAP, klicken Sie im rechten Bereich auf Neuen Server hinzufügen, benennen Sie den neuen Server und bearbeiten Sie dessen Einstellungen:
    • Login-Methode: Bestimmter Computer; geben Sie Ihren POP3/IMAP-Server an (z. B. pop3.mymail.com für POP3-Server und imap.mymail.com für IMAP-Server).
    • Lokaler Port: 10000 (AVG gibt hier einen Port vor)
    • Verbindung: „Sicher bis zu regulärem Port“ oder „Sicher bis zu dediziertem Port“
    • Aktivieren Sie die Option Aktivieren Sie diesen Server, und verwenden Sie ihn für den Postein-/ausgang.
  5. Wählen Sie jetzt SMTP, klicken Sie im rechten Bereich auf Neuen Server hinzufügen, benennen Sie den neuen Server und bearbeiten Sie dessen Einstellungen:
    • Login-Methode: Bestimmter Computer; geben Sie Ihren SMTP-Server ein (z. B. smtp.mymail.com).
    • Lokaler Port: 10001 (AVG gibt hier einen Port vor)
    • Verbindung: „Sicher bis zu regulärem Port“ oder „Sicher bis zu dediziertem Port“
    • Aktivieren Sie die Option Aktivieren Sie diesen Server, und verwenden Sie ihn für den Postein-/ausgang.
  6. Klicken Sie auf OK.

Der AVG E-Mail -Schutz ist jetzt so eingestellt, dass er mit Ihrem E-Mail -Server über SSL-Verschlüsselung kommuniziert.

Konfigurieren Sie Ihren E-Mail -Client im nächsten Schritt so, dass er sich nicht mit dem eigentlichen E-Mail -Server, sondern mit dem AVG E-Mail -Schutz verbindet. Die Serverkonfiguration lautet:

  • POP3/IMAP:
    • Server: 127.0.0.1
    • Port: 10000 (hier bitte den Wert eintragen, den AVG weiter oben vorgegeben hat)
    • Benutzername/Kennwort: wie zuvor (d. h. Ihr E-Mail -Benutzername und -Kennwort)
    • Verschlüsselung: KEINE (SSL deaktiviert)
  • SMTP:
    • Server: 127.0.0.1
    • Port: 10001 (bitte den Wert eintragen, den AVG vorgegeben hat)
    • Authentifizierung: wie zuvor
    • Benutzername/Kennwort: wie zuvor (falls erforderlich)
    • Verschlüsselung: KEINE (SSL deaktiviert)

An dieser Stelle sind sowohl AVG als auch das Mail-Programm so eingerichtet, dass die E-Mails trotz verschlüsselter, sicherer Übertragung auf enthaltene Schädlinge untersucht werden.

Geschrieben von Dirk Knop.