11.02.2008 | Autor / Redakteur: Lothar Lochmaier / Stephan Augsten
E-Mail-Spam ist nicht nur lästig, sondern kann auch zum Sicherheitsrisiko für den Client und das gesamte Netzwerk werden. Eine geeignete Strategie der Security-Professionals erfordert nicht nur ausgereifte Filter-Methoden. Es gilt die Abwehrkräfte an den neuralgischen Punkten im Unternehmen zu positionieren, damit kein Leerlauf entsteht und die Systeme sich auch wirtschaftlich rechnen. Erfahren Sie in diesem Beitrag mehr über die Spam-Prophylaxe und -Beseitigung.
E-Mail-Spam bleibt ein akut wachsendes Problem. Vor allem vor dem Hintergrund der neuen Rechtslage für Unternehmen, jede am Gateway ankommende E-Mail archivieren zu müssen. Außerdem treibt das steigende Spam-Aufkommen die Anforderungen an das Storage in die Höhe.
Dennoch fällt es zunächst bei der grundsätzlichen Betrachtung schwer, Spam von anderen Sicherheits-Bedrohungen zu trennen. Denn die Abarten unzähliger Viren und Trojanischer Pferde benutzen E-Mail als primären Verbreitungsweg.
Auch Angriffsmuster wie Phishing, Pharming und webbasierte Bedrohungen bedienen sich dem Mailverkehr. Auf diese Weise wollen Cyber-Kriminelle potenzielle Opfer auf bestimmte Websites locken, wo der PC durch eine Drive-by-Installation infiziert wird.
Spam bleibt nach wie vor die größte Herausforderung für die Messaging-Security, da sich mindestens 90 Prozent aller E-Mails als unerwünscht oder gefährlich klassifizieren lassen. Botnetze haben diese Herausforderung verstärkt.
Mittlerweile sind die größten illegalen Rechnernetzwerke für annähernd 80 Prozent des Spam-Aufkommens verantwortlich. Damit gehört der oftmals als Datenmüll nur unzureichend charakterisierte Spam zu den Hauptbedrohungen für Netzwerke – sowohl wegen des hohen Aufkommens, aber auch als Träger anderer Bedrohungen.
Infolgedessen gefährdet das hohe Spam-Aufkommen die Unternehmensumgebung. Unerwünschte Mails beeinflussen nicht nur die die Mitarbeiterproduktivität. Sie verbrauchen auch Bandbreiten- und Speicher-Ressourcen und können die Messaging-Infrastruktur eines Unternehmens verlangsamen oder komplett blockieren.
Eine Lösung ist das Filtern von IP-Adresse: Die Blockade von Verbindungen zwischen dem Mail-Server und bekanntermaßen „schlechten“ Sites bleibt nach Auffassung von Raimund Genes, CTO Anti-Malware bei Trend Micro eine der besten Methoden, die Beeinträchtigung durch Spam zu minimieren.
„Da das Spam-Aufkommen kontinuierlich steigt, benötigen Content-basierte Filter immer mehr Ressourcen, um die selbe Menge legitimer E-Mails zu verarbeiten“, sagt der Experte. Es reiche in Zukunft jedoch kaum mehr aus, Spam vor dem Posteingang der Endanwender zu blockieren. Die Mehrzahl des Spams sowie andere E-Mail-Bedrohungen müssen gänzlich vom Netzwerk ferngehalten werden, um Sicherheit zu gewährleisten und Bandbreiten- sowie Speicher-Ressourcen zu schonen.
„Aus diesem Grund haben sich Reputation-Services zu einem wichtigen Teil von Anti-Spam-Lösungen entwickelt“, gibt Genes zu bedenken. Mit Hilfe der E-Mail-Reputation lasse sich die Vertrauenswürdigkeit der sendenden IP-Adresse prüfen.
Verfügt die IP aufgrund des Versandes von Spam oder E-Mail-Bedrohungen über eine schlechte Reputation, wird die Zustellung der E-Mail verhindert. „Um wirklich effektiv zu sein, muss die E-Mail-Reputation aber dynamisch aktualisiert werden, so dass auch Spam von Zombies blockiert wird“, mahnt Genes. Erst nach erfolgreicher Bereinigung ließen sich wieder legitime E-Mails versenden.
Die Effektivität der Reputations-Dienste variiert allerdings erheblich. So weisen die führenden Services Blockade-Raten zwischen sechs und 73 Prozent auf, wie die im Februar 2007 ermittelten Ergebnisse der Anti-Spam-Tests von Opus One (engl. PDF, 97 KB) gezeigt haben.
„Reputation-Services müssen zudem durch eine effektive Anti-Spam-Engines ergänzt werden, die wie die Spam-Techniken kontinuierlich weiterentwickelt werden“, stellt Genes klar. Noch Anfang 2007 habe die größte Sorge dem Image Spam gegolten. Daraufhin hätten die Hersteller die Effektivität ihrer Lösungen bei der Erkennung und Identifikation von Image Spam optimiert, so dass die Spammer auf Spamtechniken über Attachments umgeschwenkt haben.
Infolgedessen setzten die Angreifer bei der Verbreitung von Spam auf die Dateiformate PDF, ZIP, RTF, XLS und seit neuestem auch auf mp3. Eine effektive Anti-Spam-Engine müsse daher in der Lage sein, E-Mails mit Spam Attachments zu blockieren und zukünftig auch vor neuen und bislang noch unbekannten Spam-Techniken Schutz zu bieten.
Die direkte Spam-Abwehr stellt deshalb nur den ersten Schritt einer Web Threat Protection dar. Eine integrierte URL-Reputation kann Mails mit Links blockieren, wenn diese auf gefährliche Webseiten führen. Über die Web-Sicherheit wird zudem der Zugriff auf diese Webseiten blockiert. „Messaging- und Web-Sicherheit ergänzen einander somit perfekt bei der Blockade dieser Protokoll-übergreifenden Angriffe“, bilanziert Genes.
Technische Lösungen bilden nach wie vor die wichtigste Verteidigungslinie. Eine gute Lösung sollte vom Kunden nur einen minimalen Management-Aufwand erfordern. Trotzdem lässt sich nach Auffassung von Raimund Genes die Gesamtsicherheit durch ein gestärktes Risikobewusstsein der Anwender noch weiter erhöhen.
Selbst wenn es für die Security-Professionals abgedroschen klingt: „Die Endanwender müssen nach wie vor eindringlich davor gewarnt werden, unverlangt erhaltene Attachments zu öffnen oder Links zu verfolgen, wenn diese aus E-Mails unbekannter Absender stammen“, so der Experte. Spam und andere Mail-Bedrohungen dürften auch künftig primär auf Social Engineering setzen, um den Empfänger zu täuschen.
Zu den häufigsten Droh- bzw. Lockmitteln gehören dabei negative Konsequenzen, wenn der Anwender nicht sofort handelt, oder das Versprechen auf finanzielle Vorteile. Werden dem Nutzer allzu fantastische Angebote per E-Post offeriert, ist Vorsicht geboten. „Was zu gut klingt, um wahr zu sein, ist es wahrscheinlich auch nicht“, warnt Genes.
Bei der wirtschaftlichen Gesamtbetrachtung sollten der CIO und die Security-Spezialisten gemeinsam mit den Fachabteilungen das Projekt evaluieren. Dabei müssen sie die Kosten einer Spam-Blockade gegen die Einbußen abwägen, die entstehen, wenn Spam einfach als unvermeidlich akzeptiert wird. Dies ist keine leichte Entscheidung, da in vielen Unternehmen das Spam-Volumen bereits zehnmal höher ist als das Volumen legitimer E-Mails.
Aufgrund von Spam ist das tägliche Traffic-Volumen in vielen Unternehmen auf mehr als zwei Mbps angewachsen. Eine Gateway-Lösung mit Reputation Services ist laut Genes erforderlich, um den größten Teil an Spam vollständig vom Netzwerk fernzuhalten: „Als mögliche Lösung bietet sich hier ein gehosteter Service an, da alle E-Mail-Bedrohungen herausgefiltert werden und nur legitime Korrespondenz in das Unternehmen gelangt.“
Was aber passiert mit Blick darauf, dass Remote-Anwender, Besucher, interner Bot Code und andere Faktoren zu einer Aufweichung des Perimeters (Deperimeterization) geführt haben? Da die Grenzen des Unternehmensnetzwerks sich nicht mehr scharf ziehen lassen, wird ein zusätzlicher Schutz an weiteren neuralgischen Punkten im Netzwerk benötigt. Dazu gehören laut Genes zum Beispiel eine Anti-Spam-Lösung auf dem Mail-Server und Anti-Virus-Schutz im gesamten Netzwerk.
Für den Entscheidungsträger CIO sei es daher ratsam in eine effektive, mehrschichtige Anti-Spam-Technologie zu investieren. Die Anti-Spam-Lösung sollte von einem Dienstleister stammen, der eine eigene Technologie verwendet und keine „Third Party Engine“. Nur so ist es dem Anbieter möglich, die Effektivität der Lösung zu kontrollieren und gezielt in die Weiterentwicklung zu investieren. Zur Beurteilung der Effektivität sollten zudem unabhängige Benchmarks herangezogen werden.
In größeren Unternehmen verantworten oftmals unterschiedliche Abteilungen die einzelnen Bereiche der Netzwerksicherheit. Moderne Bedrohungen kombinieren jedoch diverse Angriffstypen und Protokolle. Eintscheidend ist daher die Investition in ganzheitliche und komplementäre Sicherheitsstrukturen, die gleichzeitig den Schutz fürs Messaging, Web, Netzwerk sowie die Endpunkte gewährleisten.
„Die verschiedenen Abteilungen müssen bei der Koordination dieser Aspekte zusammenarbeiten“, fasst der Experte von Trend Micro zusammen. Dazu sei zusätzlich die Etablierung einer Policy für die E-Mail-Verwendung als vorteilhaft anzusehen. Entsprechend maßgeschneiderte Richtlinien tragen nämlich dazu bei, das Sicherheitsbewusstsein zu steigern und schützen so vor Spam-Bedrohungen. „Gleichzeitig unterstützen die Richtlinien bei der Umsetzung der Compliance und verhindern Datenverluste“, bilanziert Genes.
Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 2010716)
