Happy Birthday E-Mail! Aber Vorsicht!

„Sie ist seitdem einem unverzichtbaren Teil des Kommunikationsalltags geworden. Aber genau das macht sie auch zu einer sensiblen Schwachstelle im Cybersicherheitsgefüge von Unternehmen, denn noch immer starten neun von zehn aller Cyber-Attacken mit einer E-Mail“, sagt Umut Alemdar, Leiter der Security Labs von Hornetsecurity, und warnt vor nach wie vor unterschätzten Risiken wie Spam und Phishing, Schadprogrammen, Aero-Day-Angriffen und DDoS-Angriffen.

Noch weniger bekannt sind dagegen die Risiken von E-Mails in Microsoft 365-Umgebungen, in denen es oft Lücken beim Schutz der E-Mail-Kommunikation. Der Grund: Viele Unternehmen gehen davon aus, dass ihre Daten in der Cloud-Umgebungen geschützt sind. Sie wissen nicht, dass Microsoft in seinen Shared-Responsibility-Guidelines explizit darauf hinweist, dass die Kunden selbst dafür verantwortlich sind, ihre Datensicherheitsrichtlinien zu konfigurieren, ihre Daten vor Ausfall und Verlust zu schützen und die eigenen Compliance-Anforderungen zu erfüllen. Abhilfe schafft eine umfassende Cloud-Security-Strategie für Microsoft 365, die die Bereiche Sicherheit, Compliance, Datenschutz und Backup abdeckt.

„Neben technischen Tools ist für eine nachhaltige Sicherheitskultur auch das sicherheitsbewusste Verhalten der Mitarbeiter essenziell. Wichtig sind hierfür regelmäßige Schulungen, welche die Bedrohungen der Branche abdecken und auf den Kenntnisstand jedes einzelnen eingehen. Denn nur konsequent geschulte Mitarbeiter sind in der Lage, Cyber-Bedrohungen zu erkennen, die über E-Mail und andere Kommunikationsmethoden versendet werden“, sagt Umut Alemdar und empfiehlt IT-Admins ihre End-User hinsichtlich E-Mail-Sicherheit vor allem unter folgenden Aspekten schulen:

Anhänge prüfen
Zwar blockiert Microsoft mittlerweile automatisch Makros in Word- und Excel-Dateien, jedoch gehen Cyberkriminelle mittlerweile vermehrt dazu über, Dateien im LNK-Format zu versenden oder über maliziöse Links auf Unternehmensdaten zuzugreifen. Beim LNK-Format handelt es sich um ein Dateiformat, das von Microsoft Windows verwendet wird, um Verknüpfungen zu Dateien, Ordnern, Websites und anderen Ressourcen zu erstellen. Endnutzer sollten daher unbedingt vermeiden, auf externe, unsichere Links zu klicken oder LNK-Anhänge zu öffnen, ohne sie zuvor von der IT-Abteilung freigeben zu lassen.

Vorsicht vor QR-Codes
Mobile Endgeräte wachsen immer stärker zur Schnittstelle zwischen Privat- und Berufsleben heran. Ein Beispiel hierfür ist die Mehrfaktorauthentifizierung (MFA), die vielerorts über ein privates Smartphone gesteuert wird. In Kombination mit QR-Codes, die mehr und mehr Einzug in den Alltag erhalten, lauert hier eine nicht zu unterschätzende Gefahr. QR-Code-Phishing oder Quishing wird als Cyberangriff-Methode immer beliebter und verleitet Enduser dazu, einen QR-Code mit der Kamera zu scannen. Besonders wenn auf demselben Handy eine MFA-App installiert ist, laufen Mitarbeiter Gefahr, zu einem Sicherheitsleck zu werden. Aus diesem Grund gilt es, die verlinkte Quelle eines QR-Codes eingehend zu prüfen, bevor man ihr vertraut.

Charity Fraud
Erschüttert eine Katastrophe die Menschheit weltweit, wie beispielsweise die Erdbeben in der Türkei und Syrien oder auch der Krieg in der Ukraine, möchten Viele Gutes tun und spenden. Der Charity Fraud ist jedoch in der jüngsten Zeit zu einer besonders gefährlichen Masche von Hackern geworden. Dieser Trend wird sich weiter fortsetzen. Bei Spendenaufrufen und -konten ist daher besondere Vorsicht zu empfehlen.

CEO Fraud
Bei dieser Betrugsmasche geben sich Cyberkriminelle als hochrangiger Mitarbeiter des Unternehmens aus, z.B. als CEO oder CFO und fordern den Empfänger auf, dringend etwas zu tun, z. B. einen hohen Geldbetrag auf ein ausländisches Konto zu überweisen oder vertrauliche Informationen preiszugeben. Um ihre Opfer zu täuschen, nutzen die Betrüger oft Social-Engineering-Techniken. Sie erzeugen beispielsweise ein Gefühl der Dringlichkeit, indem sie behaupten, die Anfrage sei vertraulich oder es drohe ein sofortiger Schaden, wenn die Handlung nicht durchgeführt wird.

Roger Homrich

Recent Posts

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

2 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

3 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

3 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

3 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

4 Tagen ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

5 Tagen ago