#15 – Sicherheit im Mailverkehr

Hallo Dennis und auch von mir herzlich willkommen zu Folge 15.

Wir sind im vierten Monat hagel IT Podcast, irre wie die Zeit vergeht. Und heute wollen wir uns im weitesten Sinne über den E-Mail-Verkehr unterhalten.

Genau. Und wie man das von uns schon kennt, welches Thema dominiert bei uns doch ein wenig und führt so ein bisschen wie ein roter Faden durch alle Folgen durch?

Cyber-Sicherheit.

Genau, die Sicherheit. Und dementsprechend ist auch unser heutiges Thema E-Mail ausgerichtet auf Cyber-Sicherheit. Ich glaube, wie man eine E-Mail verfasst und beantwortet und weiter, weiß auch jeder unserer Zuhörer. Genau, deswegen geht es um das Thema E-Mail-Sicherheit im Großen und Ganzen.

Gut, dass du das noch gesagt hast, nicht, dass hier schon die Ersten abgeschaltet hätten oder haben. Perfekt. Genau, also E-Mail-Verkehr, Sicherheit im E-Mail-Verkehr. Was kann man da zum weitesten Sinne sagen, beziehungsweise was sind wahrscheinlich so die grundlegenden Fragen unserer ZuhörerInnen? Willst du die ZuhörerInnen da vielleicht mal abholen?

Genau, gerne. Also wir haben ja... So, ich sag mal vier Themenbereiche, die uns immer wieder begegnen. Das eine ist ein Thema, das ist wahrscheinlich so alt wie das Thema E-Mail an sich. Gab es aber auch zu Fax-Zeiten schon Spam. Also klassisch Spam-E-Mails, die gibt es schon ewig. Die sind erstmal nichts Besonderes, haben trotzdem ein bisschen was mit Sicherheit zu tun. Warum? Gehen wir gleich nochmal drauf ein. Dann haben wir das Thema Phishing. Was eben gerade auch in den letzten zwei Jahren wahnsinnig stark zugenommen hat. Dann haben wir das Thema Zertifikate. Also E-Mail-Verkehr absichern, verschlüsseln, signieren. Und dann haben wir das Thema, ja wir sagen mal Human Firewall. Also Training, Erkennung, Mitarbeiterschulung, eben auf Sicherheit im E-Mail-Verkehr zu achten. Ja.

Starten wir mit dem Spam, würde ich sagen.

Genau, das können wir relativ schnell, glaube ich, abhaken.

Genau, vielleicht ganz grundsätzlich. Ich habe so im Bekanntenkreis auch tatsächlich so ein bisschen die weitläufige Meinung. Ich glaube, dass da ganz schnell so die Grenze verwischt, was ist eigentlich Spam und was vielleicht sogar auch nicht. Also ich habe so das Gefühl, dass viele Leute, wenn sie sagen, ich habe schon wieder nur ein Newsletter in meinem Postfach, dann fühlen die sich schon bespammt im weitesten Sinne. Also da kannst du vielleicht mal so ein bisschen darauf eingehen, wo da die Grenze liegt. Weil ich meine, im Zweifel habe ich so ein Newsletter ja auch beantragt. Genau.

Also Spam ist erstmal ja jede Form von E-Mail-Inhalten, die ich nicht haben möchte. Das kann also auch ein Newsletter sein. Das Gute bei einem Newsletter ist natürlich, den habe ich irgendwo beantragt und den kann ich auch abbestellen in den meisten Fällen. Also es ist irgendwo unten oder oben ein Link drin. Ich bin meist ganz, ganz klein. Wenig auffällig hier abmelden oder hier klicken zum Abmelden und dann kann man das beenden. Und Spam geht ja noch einen Schritt weiter. Beim Spam habe ich das halt nicht. Also da kriege ich E-Mails, die ich nicht haben will. Und das hat auch jeder wahrscheinlich schon mal gesehen im Posteingang. Da kommen dann so E-Mails an, wo dann für irgendwelche Medikamente geworben wird oder die zehntausendste Mastercard Gold. Das ist dann halt wirklich Spam. Spam-Listen, auf denen ich gelandet bin. Auf denen meine E-Mail-Reste gelandet ist, weil ich die mal irgendwo eingetragen habe. Naja, und die Daten sind von da abhanden gekommen. Also das ist Spam, den kann ich nicht abbestellen. Genau, und das ist halt so klassischer Spam.

Jetzt ist ja Spam per se erstmal nicht gefährlich im weitesten Sinne. Ich glaube aber, dass das eine ganz gute Überleitung ist vielleicht zum allgemeinen Phishing. Ab wann wird denn Spam gefährlich?

Ja, es gibt zwei Möglichkeiten, wie Spam gefährlich wird. Die eine ist eben, indem ich durch eine Spam-E-Mail dazu gebracht werde, eine Internetseite aufzurufen, auf der ich mir Sachen runterladen kann, die dann wiederum ein Virus oder Trojaner beinhalten. Das kann gefährlich sein. Und die andere Variante, und da haben wir so ein bisschen Übergang ins Phishing, ist dann, wenn ich durch diese E-Mail auf eine Internetseite geleitet werde, auf der ich dann mich registrieren muss. Oder anmelden soll. Und der Übergang zum Phishing ist dann eben, dass ich eine E-Mail bekomme, von einem Dienst, den ich vermeintlich kenne. Also als Beispiel sagen wir mal, ich kriege eine E-Mail, da steht drin, Paketzusteller-Benachrichtigung, wir konnten Sie nicht antreffen. Bitte klicken Sie hier, um festzulegen, wie Sie Ihr Paket erhalten wollen. So, dann komme ich auf eine Seite, die vielleicht so ähnlich aussieht wie die von der Deutschen Post oder von DHL, von wem auch immer. Und soll mich anmelden. Und jetzt habe ich vielleicht sogar Zugang zu der DHL.de-Webseite. Jetzt melde ich mich da an, weil ich ja offensichtlich ein Paket bekommen sollte und nicht da war. Das konnte ich nicht annehmen. Ja, jetzt melde ich mich da an und es passiert aber nichts. So, was dann passiert ist, ich bin möglicherweise auf einer Website gelandet, die der von der Deutschen Post oder von DHL ähnlich sieht, aber nicht die Website ist. Ja, das ist das. Das ist das. Wenn ich das dann reintrage, werde ich eben nicht eingeloggt in die DHL-Webseite, sondern diese Daten werden halt gesammelt. Und damit können dann eben Passwort-Datenbanken befüttert werden und Unbefugte können sich Zutritt verschaffen mit diesen Zugangsdaten zu meinem echten DHL-Account als Beispiel. Oder eben, wenn ich das Passwort bei verschiedenen Diensten verwende, dann eben auch für andere Dienste. Das ist die Gefahr beim Phishing.

Ja, jetzt stellt sich vielleicht der eine oder andere die Frage, aber woher? Wer wissen die denn, dass ich beispielsweise ein DHL-Paket erwartet habe oder dass ich bei Bank XYZ bin, dass ich einen Account bei Shop XYZ habe? Da muss man aber wahrscheinlich ehrlicherweise sagen, das ist purer Zufall, wenn es passt, weil diese E-Mails wahrscheinlich in enormen Massen einfach blind versendet werden.

Genau, also beim normalen Phishing ist es ganz häufig einfach massenhaftes Versenden und irgendwo habe ich einen Treffer. Und dann gibt es natürlich ein bisschen gezieltere Angriffe. Bei denen, ja, vielleicht aufgrund von Social Engineering, also da haben Unbekannte eben geschaut über soziale Netzwerke, habe ich vielleicht mal irgendwie gepostet, dass ich mir jetzt was Neues in dem und dem Shop bestellt habe. Dann wissen die, ah, okay, der hat offensichtlich einen Zugang da. Und so kann ich dann gezielt natürlich dann auch darauf eingehen. Oder es gab bei einem Online-Shop mal einen Diebstahl von Benutzerdaten. So, und da wurden vielleicht keine wirklich sensiblen Daten abgegriffen, aber E-Mail-Adressen von angemeldeten Benutzern. Dann kann ich die Benutzer natürlich auch gezielt kontaktieren und da dann solche Phishing-Angriffe durchführen.

Ja, ist das denn schon das sogenannte Spear-Phishing oder gehört da dann noch ein bisschen mehr dazu?

Ja, da gehört noch ein bisschen mehr zu tatsächlich. Da ist es nochmal eine Sonderform des Phishings. Da ist es wirklich sehr gezielt. Also Spear-Phishing hat man häufig dann eine E-Mail von einem vermeintlichen vorgesetzten Geschäftsführer oder ähnlichem an einen Mitarbeiter sende. Im besten Falle mit einem dringlichen Inhalt und ihn dadurch, durch diesen Faktor, dass er halt vermeintlich vom Geschäftsführer kommt oder vom Vorgesetzten kommt und einen vermeintlich dringlichen Inhalt hat, dem Mitarbeiter dazu verleite, bestimmte Dinge zu tun und die Wahrscheinlichkeit dadurch einfach erhöhe, dass er es tut. Also ganz einfaches Beispiel. Ich schreibe eine Mail vermeintlich Geschäftsführer einer Firma. Die schreibe ich am Freitagabend um 16.30 Uhr an einen Mitarbeiter in der Buchhaltung. Hallo, ich habe gerade noch die Rechnung von dem und dem Lieferanten bekommen. Bitte dringend heute bezahlen. Wir brauchen die Ware am Montag. Dann habe ich die Komponente Geschäftsführer drin. Ich habe die Komponente dringlich drin, weil es ist Freitag 16.30 Uhr und am Montag braucht er die Ware von dem Lieferanten. Und habe da vielleicht noch einen Link drin zu der Rechnung, zu der vermeintlichen Rechnung. Der führt auf. Irgendeine Phishing-Webseite, wo er sagt, hier, da kannst du die Rechnung runterladen vom Lieferanten oder sowas. Und darüber kann ich dann Daten abgreifen oder eben noch einen Schritt weiter gehen und ihn halt gleich auch einen Anhang mitschicken und ihn darauf eine Überweisung tätigen lassen an ein Konto, was ich dort eben eingetragen habe, was aber halt nicht zum Lieferanten gehört. Und das ist sehr, sehr gefährlich, weil ich da eben mit teilweise wirklich täuschend echten E-Mails arbeite. Da werden Signaturen mit verwendet. Verwendet. Die sonst auch verwendet werden. Da versucht man teilweise über Social Engineering eben rauszufinden. Gibt Spitznamen von den Leuten, die zu verwenden in E-Mails. Das sind dann sehr gezielte Angriffe. Die sind dann auch nicht mehr wahllos, sondern die sind dann wirklich sehr, sehr zugeschnitten.

Das klingt ja so ein bisschen danach, als müsste derjenige, der so einen Angriff dann ausübt, ja im Vorwege, wie du schon sagst, einen gewissen Aufwand betrieben haben und der auch durchaus beinhaltet, dass da schon E-Mail-Verkehr mitgelesen wurde über einen gewissen Zeitraum.

Ja, nicht zwangsläufig. Also das kann. Das kann sein, ja. Das ist eine gute Möglichkeit dafür natürlich. Und je mehr Informationen ich habe, umso gezielter und detaillierter kann ich das natürlich machen. Wenn ich also vorher die Chance habe, E-Mail-Verkehr mitzulesen, ist das für jemanden, der so einen Angriff macht, natürlich wie ein Sechser am Lotto. Ja. Aber es geht auch ohne das. Also es reicht ja auch, dass ich irgendwo Signaturen mal abgreife, die öffentlich versendet werden. Also es reicht ja, wenn ich eine Firma habe, die größer ist und ich schreibe einfach mal mit einem. Mit einem relativ belanglosen, mit einer relativ belanglosen Anfrage schreibe ich einfach mal eine Info-Ad-Adresse. Dann antwortet mir von dieser Info-Ad-Adresse ein Mitarbeiter und ich habe eine Signatur, die ich halt nochmal anpassen muss. Dann muss ich einen Namen austauschen, vielleicht noch irgendwie eine Position austauschen und das war's. Und schon habe ich eine valide Signatur, die sehr täuschend echt wirken kann.

Ja, jetzt unabhängig mal davon, ob dieser Aufwand, wie ich ihn eben beschrieben habe, dahinter steckt oder nicht, kann ich ja grundsätzlich dafür sorgen, dass Dritte meint, meine E-Mails gar nicht erst mitlesen können. Und das Ganze ist eine klassische E-Mail-Verschlüsselung. Und ich sage mal im weitesten Sinne gibt es da so zwei Methoden, die so die gängigsten sind, würde ich jetzt einfach mal sagen. Das sind zum einen eben PGP, ausgesprochen Pretty Good Privacy, oder eben das sogenannte SMIME-Zertifikat. Kannst du vielleicht dazu mal ein paar Sätze verlieren? Was ist der Hintergrund und warum zwei verschiedene Arten?

Genau, also es sind zwei verschiedene Arten, weil sie ja unterschiedlich funktionieren. Also es gibt ja von vielen Dingen in der IT verschiedene Systeme und wir wollen ja auch nicht zu sehr ins Detail gehen dabei. Das haben wir uns auch auf die Fahnen geschrieben. Deswegen ist es, glaube ich, wichtig festzuhalten, es sind zwei verschiedene Standards. Das heißt, wenn ich damit arbeite, dann muss ich mich entscheiden, mit welchem davon will ich arbeiten, mit SMIME oder mit PGP, beziehungsweise Open PGP. Und... ... ...wichtig dabei ist immer, es geht darum, eine E-Mail, die ja eben anonym ist, wo ich keinen kontrollieren kann, keinen Ausweis mir zeigen lassen kann, wer ist das, irgendwie zu signieren, zu validieren. Das kann ich zum Beispiel mit SMIME machen. Man muss sagen, SMIME hat sich so ein bisschen mehr durchgesetzt als PGP an vielen Stellen, gerade im Business-Bereich. Deswegen würde ich jetzt mal auf SMIME im Speziellen eingehen. Da kann ich mir ein Zertifikat ausstellen lassen von einer Zertifizierungsstelle, so wie ich mir auch Zertifikate für Internetseiten ausstellen lasse. Da muss ich einmal validieren, es gibt verschiedene Validierungsstufen, wer ich bin. Das kann mit Personalausweis-Hinterlegung sein, das kann über Handelsregister-Auszüge sein. Und dann kriege ich ein Zertifikat. Und damit kann ich meine E-Mails erstmal signieren. Das heißt, ein gängiges Mail-Programm bekommt der Empfänger einer E-Mail von mir dann angezeigt. Meist ein kleines Logo dazu. Diese E-Mail wurde digital signiert. Und damit kann der erstmal dann für sich vermerken, okay, da steht der Absender hinter, den ich da vermute. Im Zertifikat sind Informationen zum Absender eingetragen und damit kann man das nachvollziehen. Und dann hast du gesagt, Verschlüsselung. Und das ist der nächste Schritt. Ich kann mit dem SMIME-Zertifikat auch E-Mails verschlüsseln. Allerdings nur dann, wenn der Empfänger oder alle Empfänger dieser E-Mail, die ich versenden will, ebenfalls ein SMIME-Zertifikat haben. Dann kann ich die Zertifikate austauschen miteinander und dann kann ich verschlüsselte E-Mails senden und empfangen mit den jeweiligen E-Mail-Empfängern. Und damit habe ich dann eben nicht nur eine Verschlüsselung auf dem Sende- und Empfangsweg, also der Weg dahin, der ist immer verschlüsselt, aber ich habe eben wirklich eine Verschlüsselung des E-Mail-Inhalts.

Das heißt im Prinzip, bevor ich aber eine erste verschlüsselte Mail verschicken kann, dann müssen die beiden Zertifikate auf beiden Seiten sich einmal sozusagen austauschen und zu sagen, um weitestgehend zu sagen, um das jetzt mal so einfach wie möglich für die Zuhörer zu erläutern, Hallo, es gibt mich und Hallo, es gibt mich und wir beide dürfen miteinander kommunizieren. Genau, richtig.

Also man kann vereinfacht sagen, ich habe ein Schließfach. Also ich habe beim Schließfach, bei einem Bankschließfach zum Beispiel, gibt es häufig einen Schlüssel, den hat der Kunde. Und ein Schlüssel hat die Bank. Und so ist es bei einem S-Mail-Zertifikat auch. Einen Schlüssel habe ich für mich, den behalte auch nur ich. Und ich habe einen Schlüssel, der wird als öffentlicher Schlüssel bezeichnet. Und den muss ich verteilen.

Ja, und S-Mail ist, wie gesagt, einfach durchaus die gängigste Praxis eben in der Geschäftswelt. Also das ist wahrscheinlich an dieser Stelle reicht, wenn wir auf diese Zertifikatsvariante einmal eingehen, beziehungsweise jetzt einmal eingegangen sind. Unter Umständen würde, alles Weisere vielleicht auch zu PGP dann den Rahmen auch ein bisschen springen und einfach zu viel Informationen mitgeben, die gar nicht notwendig ist im Zweifel.

Ja, das hat mehrere Gründe, genau. Und einer davon ist zum Beispiel eben, dass S-Mail von allen Gängen E-Mail-Programmen unterstützt wird, ohne dass ich irgendwas dafür tun muss. Auch auf Smartphones, am PC normal. Da brauche ich halt nichts extra einrichten, während ich bei PGP immer mit bestimmten weiteren Programmen arbeiten muss. Das macht es ein bisschen schwieriger, ja.

Ja, jetzt hast du, am Anfang des Gesprächs die Begrifflichkeit Human Firewall in den Mund genommen. Ja. Und da würde ich gerne nochmal ein bisschen einhaken. Jetzt ist ja wahrscheinlich der größte Schwachpunkt immer tatsächlich, gerade bei so Phishing-Attacken, der die Person, die am Bildschirm sitzt und die E-Mails liest, beziehungsweise im Zweifel eben auch auf die etwas fragwürdigen Links klickt. Was kann ich, angenommen ich bin Unternehmer und möchte mein Unternehmen vor solchen Angriffen, schützen, beziehungsweise davor schützen, dass Mitarbeiter eben besagte Links anklicken. Was kann ich tun? Also gibt es die Möglichkeit, meine Mitarbeiter dahingehend ein bisschen zu sensibilisieren?

Ja, die gibt es und die sollte man auch dringend nutzen. Also auf der einen Seite habe ich natürlich alle technischen Maßnahmen, die ich ergreifen kann. Wir hatten sowas wie die S-Mail-Signaturen und ich kann darüber hinaus natürlich auch diverse weitere Systeme wie Spam-Filter. Ja. Also Advanced Threat Protection Software, die eben auch bestimmte Angriffe erkennen kann. Die werden immer besser, die technischen Systeme. Die brauche ich auch, klar. Also technisch soll ich das machen, was möglich ist. Aber auf der anderen Seite, da wo Technik ist, da gibt es auch immer eine Lücke durch. Gibt keinen hundertprozentigen Schutz. Aber es gibt am Ende immer einen Mitarbeiter. Und dieser Mitarbeiter, den muss ich schulen. Und da gibt es verschiedene Möglichkeiten. Man kennt das klassisch. Ich kaufe mir jemanden ein, der sich einen halben Tag bei mir hinstellt im Schulungsraum und meinen Leuten erzählt, dass E-Mails böse sind und dass man da nicht auf irgendwie links draufklickt und dass man da schon gar nicht klickt, wenn man die Absender nicht kennt, dass man keine Dateien öffnet. Alles toll. Ist halt nicht nachhaltig, weil das wird halt wieder vergessen. Das ist ein bisschen wie in der Schule, oder?

Also wenn ich in der ersten Doppelstunde was gehört habe, habe ich das vermutlich am Ende der großen Pause vergessen. Genau.

Und da ist es auch so nach der Mittagspause. Die Mittagspause ist das Wissen wieder weg. Und bei einigen hält es ein bisschen länger. Aber so richtig nachhaltig ist es nicht. Und das muss ich dann eigentlich alle halbe Jahr wiederholen. Und diese Trainer kosten relativ viel Geld und kann ich alles machen. Das ist alles schön. Besser als gar nichts. Aber es gibt eben die Alternative dazu. Es gibt so On-Demand-Trainings, die jeder Mitarbeiter für sich selber machen kann. In seiner Geschwindigkeit, die häufig mit Video sind, die mit Multiple-Choice-Fragebögen danach sind. Und die eben auch laufend weiterentwickelt werden. Darüber kann ich dann eben auch eben so laufendes Training machen. Jeder kann mal einmal in der Woche sich hinsetzen, so ein paar Minuten Trainingskurs machen und wird dadurch immer wieder dafür sensibilisiert, worauf er achten muss.

Und jetzt nehmen wir an, die Mitarbeiter machen das. Kann ich denn auch in irgendeiner Form, also als Unternehmer ist mir das dann glaube ich in dem Fall sehr wichtig, kann ich dann den Erfolg dieser Maßnahme in irgendeiner Form messen? Oder kann mir das dann auch in irgendeiner Form helfen? Oder kann mir das da geboten werden?

Ja, es gibt natürlich Auswertungen für diese Trainingsmodule, wo ich schauen kann, wie gut schneiden Mitarbeiter ab. Aber darüber hinausgehend gibt es auch noch die Möglichkeit, sowas zu simulieren. Also ich kann einen Phishing-Angriff simulieren oder ich kann Phishing-Angriffe simulieren. Da gibt es Anbieter dafür, bei denen ich sowas buchen kann als Dienstleistung, die dann eben Phishing-Mails an meine Mitarbeiter und auch an mich als Geschäftsführer dann raussenden. Und dann kann man mal schauen, wie viele klicken denn rauf? Wie viele öffnen die Website? Wie viele tragen ihre Daten ein? Da passiert dann halt nicht wirklich was, sondern man kriegt dann angezeigt, dass man eben einem Phishing-Versuch zum Opfer gefallen ist. Dass nichts Schlimmeres passiert ist, aber worauf man achten sollte und woran man es hätte erkennen können. Und das hat, denke ich, einen nachhaltigen Effekt. Also wenn ich über einen Zeitraum von so einem Jahr mal immer wieder solche Phishing-Mails einstreue. Und da klickt ein Mitarbeiter zum zweiten Mal drauf und kriegt wieder angezeigt, oh, du bist drauf eingefallen. Dann ist der Lerneffekt halt höher, als wenn ich da alle halbe Jahr jemanden habe, der sich hinstellt und darüber was erzählt.

Das klingt sehr spannend. Und ich glaube, ich möchte dieses spannende Thema noch einmal dafür nutzen. Ich sagte, glaube ich, vor ein oder zwei Wochen schon. Da hattest du mich gefragt, was meine Lieblingsfunktionen von Microsoft 365 sind. Und ich möchte gerne das Thema Bookings da nochmal aufgreifen. Und nochmal für den Hinweis. Nutzen, dass unsere ZuhörerInnen, falls sie das Thema ähnlich spannend fanden, dieses System gerne dazu nutzen können, um sich auf unserer Internetseite einen Termin für eine etwaige Beratung in diese Richtung zu buchen. Ja, genau.

hagel-it.de slash Termin ist der direkte Link, der direkte Weg zu uns.

Ja, ich glaube, wir haben ein gutes Ende gefunden. Das war Folge 15. Vielen Dank, Philip. Danke, Dennis. Bis zum nächsten Mal. Bis zur Woche.