GlobalSign Blog

07 Feb 2017

Sollten alle internen E-Mails digital signiert werden?

Wir haben eine erschreckende Geschichte für Sie.

Stellen Sie sich vor Sie sind Buchhalter in Ihrem Unternehmen und Sie erhalten eine E-Mail von Ihrem Geschäftsführer, in der Sie aufgefordert werden Geld für eine zeitkritische Transaktion zu überweisen. Er sagt, ein Anwalt wird Sie in Kürze kontaktieren, um mehr Details durchzugeben. Als nächstes erhalten Sie eine E-Mail vom Anwalt, die eine schriftliche Vollmacht inklusive Unterschrift Ihres Geschäftsführers und Unternehmensstempel enthält. Also erfüllen Sie den Auftrag und überweisen 700.000€. Am nächsten Tag erwähnen Sie die Transaktion im Gespräch mit Ihrem Geschäftsführer, und bestätigen, dass diese zeitgerecht wie gewünscht durchgeführt wurde. Nur, Ihr Geschäftsführer schaut Sie unwissend an. Er hat nie eine E-Mail an Sie geschickt und eine Geldüberweisung beantragt.

Sind Sie entsetzt? So erschreckend wie die Geschichte klingt, sie ist letztes Jahr tatsächlich passiert und ist nur ein Beispiel der wachsenden Gefahr, die das FBI auch als “Business Email Compromise (BEC)” (Gefährdung von Unternehmens-E-Mails) bezeichnet. Zwischen Oktober 2013 und Mai 2016 wurden 22.143 Fälle von BEC an das FBI gemeldet. Insgesamt haben Kriminelle mehr als $3 Milliarden an Falschtransfers in Auftrag gegeben. Die letzte Hochrechnung im Februar vom FBI schätzt den Betrag auf über $2 Milliarden – das sind eine Milliarden Dollar, die Diebe in nur vier Monaten Unternehmen abknöpfen wollten.

Request from CEO

(Quelle)

Dies sind auch nicht mehr die E-Mails aus der Vergangenheit, die man einfach erkennen konnte. Nein! Es handelt sich um extrem ausgefeilte, gut geplante Angriffe, in denen viel Wissen über das Zielunternehmen vorhanden ist, um den Angriff glaubwürdig zu machen. In manchen Fällen haben die Kriminellen Malware genutzt, um sich Zugang zum Unternehmens-E-Mail-System zu verschaffen, und so bestehende Rechnungsvorlagen zu ihrem Vorteil zu nutzen.

“Sie leisten gutes Handwerk und haben ihre Hausaufgaben gemacht. Sie sprechen in einer Sprache, die auch im Zielunternehmen genutzt wird und fordern Beträge, die den Betrug wahrscheinlich erscheinen lassen. Die Tage in denen gefälschte E-Mails leicht anhand von schlechter Grammatik erkannt werden konnten, sind gezählt.” (Quelle)

Sollten deshalb alle internen E-Mails digital signiert werden?

Wir haben gezeigt, wie einfach es ist eine gefälschte E-Mail-Adresse zu erstellen und Cyber-Kriminelle werden immer besser bei der Nutzung von Social Engineering und Malware, um Angriffe durchzuführen. Wie können Unternehmen sich also gegen BEC Angriffe schützen? Eine Option ist standardmäßig alle internen E-Mails digital zu signieren.

Digitale E-Mail-Signaturen, bzw. alle digitalen Signaturen, werden mit einem digitalen Zertifikat angebracht*. Die Zertifikate werden auf Einzelpersonen ausgestellt (oder Maschinen, Geräte oder Server – wie zum Beispiel bei SSL für Websites), aber erst nachdem die Identität der Person von einer Zertifizierungsstelle (CA), wie GlobalSign, geprüft wurde.

Wenn der Empfänger eine digital signierte E-Mail öffnet, wird eine kleine rote Rosette angezeigt, die visualisiert, dass die E-Mail signiert wurde, zusammen mit dem Namen des Absenders. Da die Signatur mit dem Zertifikat des Absenders angebracht wurde, das nur nach einem strengen Identitätscheck ausgestellt wurde, kann sich der Empfänger sicher sein, dass die E-Mail tatsächlich vom Absender kam, und nicht Teil eines Spamangriffs ist.

signed email

Beispiel einer digital signierten E-Mail in Outlook.

signed email in outlook

Prüfung des Zertifikats, das genutzt wurde, um die E-Mail digital zu signieren.

*Bitte beachten Sie: Dies ist eine stark vereinfachte Erklärung. Mehr Details finden Sie in unserem Artikel über Kryptografie mit öffentlichen Schlüsseln.

Signaturen können einfach hinzugefügt und automatisiert werden

Digitale Signaturen sind mit den meisten Unternehmens-E-Mail-Clients kompatibel und sind auf Knopfdruck hinzugefügt. Die meisten Clients können außerdem so konfiguriert werden, dass automatisch alle abgehenden E-Mails signiert werden. Es ist also relativ einfach digitale Signaturen als Standard im ganzen Unternehmen einzuführen.

trust centre

In Outlook werden alle abgehenden E-Mails automatisch digital signiert,
wenn man das Häkchen in der Box setzt.

Können digitale Signaturen in E-Mails das Risiko von BEC komplett aus der Welt schaffen? Wahrscheinlich nicht ganz, vor allem da Cyber-Kriminelle immer neue Wege suchen, um Ihre Opfer hereinzulegen. Es ist jedoch ein einfacher Weg, um Ihre Mitarbeiter daran zu erinnern, immer zweimal zu überlegen, ob die E-Mail wirklich von dem angegebenen Absender sein kann. Die beste Abwehr ist letztlich immer Ihren Mitarbeitern genug Wissen zu vermitteln, um solche Angriffe zu erkennen – indem man sie auf die Art von Angriffe hinweist und zeigt, worauf zu achten ist. Das FBI hat dafür ein paar hilfreiche Tipps:

  • Seien Sie vorsichtig bei Überweisungsanfragen per E-Mail und Anfragen die dringend erscheinen
  • Prüfen Sie telefonisch, ob der Absender die E-Mail geschickt hat
  • Passen Sie auf, ob es sich um imitierte E-Mail-Adressen handelt
  • Nutzen Sie Multi-Level-Authentifizierung

Erfahren Sie mehr dazu, wie Sie E-Mails digital signieren und verschlüsseln können, um sich gegen Phishing und Datenverlust zu schützen. Laden Sie unser kostenloses eBook herunter: “Sichere E-Mail Signatur und E-Mail-Verschlüsselung"

von Lea Toms

Artikel teilen

Jetzt Blog abonnieren