E-Mail-Anhängen verborgene Malware

In E-Mails eingebettete Malware ist in der Lage, gängige Antivirus-Systeme zu umgehen

Tief in E-Mail-Anhängen verborgene Malware hat sich zu einer neuen und ständigen Bedrohung entwickelt.

In jüngerer Zeit wurde Clearswift von mehreren prominenten Cyber Security-Gruppen und -Unternehmen um Hilfe gebeten. Dabei ging es um die Bekämpfung der zunehmenden und unaufhörlichen Bedrohung durch den Versand von Malware in E-Mail-Anhängen, die durch automatisch ausgeführten Programmiercode aktiviert wird. Die Komplexität und der stetige Wechsel der Übertragungsmethode haben dazu geführt, dass diese neuen Malware-Varianten unerkannt bleiben und gängige Antivirus-Lösungen problemlos durchlaufen.

Die Folgen

Sicherheitsexperten im Bank- und Finanzdienstleistungssektor mussten sich bereits Ende letzten Jahres mit frühen Versionen von Cridex und Dridex auseinandersetzen – in E-Mails eingebettete Malware, mit der versucht wurde, Kontodaten und persönliche Informationen zu stehlen. Doch kaum hatten die Finanzunternehmen den Kampf zum Schutz der Bankdaten aufgenommen, häuften sich Berichte, nach denen jetzt das Gesundheitswesen von Malware angegriffen wurde, die es auf Krankenakten abgesehen hatte. Egal, welche Branche betroffen ist: Diese neuen Sicherheitsrisiken bereiten den Sicherheitsexperten mächtig Kopfzerbrechen. Eine der größten Herausforderungen dabei ist die Abhängigkeit von herkömmlichen Virenscannern und -filtern, denn obwohl diese inzwischen aktualisiert wurden, um einfachere Bedrohungen abzuwehren, gehen sie einfach nicht weit genug, um die E-Mails auf Malware zu untersuchen, die auf tieferen Ebenen in angehängte Dokumente eingebettet oder in komplexem Programmiercode versteckt ist, der als Auslöser dient.

Funktionsweise

Hier ein Beispiel dafür, was Sie von dieser neuen Art von Malware erwarten können, die sich in E-Mails verbirgt.

Der Absender verschickt E-Mails mit vagem Inhalt und Verweis auf einen wichtigen Anhang, wie z. B. eine Rechnung. Der Anhang, oft im PDF-Format, heißt beispielweise Rechnung519658.pdf

In diesem Fall hat der Anhang mehrere Ebenen. Die PDF-Datei enthält JavaScript sowie ein eingebettetes WORD-Dokument mit einem Makro, das sich von selber ausführt.

Öffnet der Empfänger die PDF-Datei, wird die JavaScript-Komponente ausgeführt, die eingebettete WORD-Datei in eine temporäre Datei verwandelt, und ein Befehl an Windows ausgegeben, die Datei zu öffnen. Die Makros in der WORD-Datei bedienen sich verschiedener Methoden, um ihr tatsächliches Vorgehen zu verschleiern. Dieses besteht meist aus dem Herunterladen und Ausführen von Viren, Trojanern, CryptoLocker, CryptoWalls oder anderen Arten von Schadcode.

Diese Anhangstypen (Office-Dokumente und PDFs) sind jedoch für normale Geschäftsabläufe erforderlich und werden oft vom Endanwender als sicher eingestuft, ungeachtet der Verwüstung, die entstehen kann, wenn die Nachricht mit böswilliger Absicht verschickt wurde.

Die Lösung: Bereinigung von E-Mails für umfassenden Schutz vor Malware

Die wirkungsvollste Art, E-Mails zu bereinigen und sicherzustellen, dass sie sicher und frei von eingebetteter Malware sind, ist, bestehende Lösungen zum Schutz von E-Mails durch eine zusätzliche Ebene zur strukturellen Bereinigung zu ergänzen. Die Adaptive Redaction-Technologie von Clearswift verfolgt dabei einen einzigartigen Ansatz: Unsere „Structural Sanitization“ umfasst eine tiefgehende Inhaltsanalyse, bei der Nachrichten und ihre Anhänge auf besonders detaillierter Ebene komplett zerlegt werden, um verborgene und aktive Inhalte automatisch zu erkennen und zu entfernen. Aktive Inhalte können in Form von ausführbaren Dateien vorliegen, die durch eingebettete Malware geöffnet werden, wie z. B. Skripte oder Makros wie VBA-Makros in Office-Dokumenten, JavaScript, VBScript und ActiveX im Textkörper von Nachrichten und Anhängen im HTML-Format sowie JavaScript und ActiveX in PDF-Dokumenten. Dadurch lässt sich Malware, die von herkömmlichen Spam- und Viren-Algorithmen für E-Mails nicht entdeckt wird, komplett entfernen.

Daher bietet das Entfernen von allen aktiven Inhalten, eine zusätzliche Sicherheitsebene und sogleich kosteneffiziente Lösung dar. Es lässt sich problemlos in vorhandene E-Mail-Sicherheitslösungen (zum Schutz von E-Mails am Standort selbst oder in der Cloud, d. h. Microsoft Office 365, Google Gmail usw.) integrieren, ohne dass die vorhandenen Systeme neu konfiguriert oder ersetzt werden müssen. Auf diese Weise erhalten Sie umfassenden Schutz vor der unendlich wandlungsfähigen, in E-Mails eingebetteten Malware.

PCI-Konformität: Redaktion von Kreditkartendaten in eingehenden E-Mails

Der Schutz vor riskanten Informationen ist wichtiger denn je.

Gerade wenn Sie glauben, alle Anforderungen zum Schutz von Zahlungskartendaten mit den Regelungen des PCI-DSS (Payment Card Industry Data Security Standard) in Einklang gebracht zu haben, stellen Sie fest, dass auch eingehende E-Mails, die Kreditkartennummern enthalten, Ihre Bemühungen zunichtemachen und Ihrem Unternehmen Strafen einbringen können. Das Problem lässt sich jedoch umgehen, indem Zahlungskartendaten mit Hilfe von Kontroll- und Datenredaktionstechnologien automatisch aus Dokumenten entfernt werden, bevor sie überhaupt in Ihr E-Mail-System gelangen. Dies gewährleistet nicht nur die Einhaltung von Compliance-Anforderungen und ein hohes Maß an Kundenservice, sondern verringert auch den Aufwand und das Fehlerpotenzial, das durch manuelle Eingriffe entsteht, bei denen hinterher eine Spur riskanter Zahlungskartendaten entfernt werden muss.

PCI-Konformität

Was wie der harmlose Versuch eines Kunden wirkt, seine Serviceanfrage durch Angabe seiner primären Kontonummer (PAN) oder Zahlungsdaten in seiner E-Mail zu vervollständigen, bedeutet oft einen Verstoß gegen Artikel 3 und 4 des PCI-DSS, die sich auf die sichere Übertragung und Speicherung von Karteninhaberdaten beziehen. Dieses Problem tritt meist dann auf, wenn Informationen die PCI-geschützte Umgebung verlassen. Der potenzielle Verstoß entsteht durch den digitalen Fußabdruck, der in unregulierten PCI-Netzwerken und -Systemen zurückbleibt, also z. B. in Ihrem E-Mail-System, Ihren Archiven sowie in Festplattenabbildern und Sicherungskopien für die Notfallwiederherstellung.

Das Problem kann sich schnell verdichten, wenn ein Mitarbeiter auf eine E-Mail mit PCI-Daten antwortet oder diese über ein öffentliches oder ungeschütztes Netzwerk an Empfänger innerhalb oder außerhalb des Unternehmens weiterleitet – selbst wenn er nur auf die vom Verfasser bereitgestellten Informationen antwortet.

E-Mails sind jedoch nicht der einzige riskante Kommunikationsweg. Eine ähnliche Verletzung kann auftreten, wenn ein Kunde seine Zahlungsdaten über ein unzureichend geschütztes Kontaktformular, soziale Medien oder einen Messaging- bzw. Chat-Dienst übermittelt. Hierbei handelt es sich meist um Front-End-Anwendungen, welche die Daten an andere Systeme weitergeben, wo sie dann gespeichert und an andere Webserver, automatische Marketing-Systeme und CRM-Tools verbreitet werden. In jedem Fall gelangen Sie dadurch in den Besitz toxischer Zahlungskartendaten, die gemäß PCI-DSS eingedämmt, gesichert und verwaltet werden müssen.

Beim Versuch, diesem oft missachteten Problem zu begegnen, wurden Mitarbeiter bisher meist von der IT- und Compliance-Abteilung angewiesen, solche E-Mails (oder online übermittelten Nachrichten) manuell zu löschen und anschließend die IT-Abteilung einzuschalten. Diese hat dann alle Spuren der Daten verfolgt und aus dem System gelöscht und den Absender darüber informiert, dass die Übermittlung von Kartendaten über diesen Kommunikationsweg gegen die Firmenrichtlinien verstößt. Wie bei den meisten manuellen Verfahren zur Einhaltung von Datenschutzvorgaben beinhaltet auch dieser Ansatz ein gewisses Fehlerpotenzial, unnötige Risiken und verlorene Beratungszeit – sowohl für den Kunden als auch für Ihr Unternehmen.

Eine automatische Lösung für die PCI-Konformität

Mittlerweile lässt sich dieses aufwändige Problem jedoch durch Data Redaction einfach beheben. Dabei wird sämtliche eingehende Korrespondenz automatisch auf Zahlungsdaten (oder andere vertrauliche oder unangemessene Daten) untersucht und von diesen befreit, bevor sie in E-Mail- und Websysteme ohne ausreichenden PCI-Schutz gelangt oder an unregulierte Systeme weitergegeben wird – und bevor es nötig ist, solche Daten manuell zu identifizieren und spurlos zu vernichten. Adaptive Redaction erlaubt einen detaillierten Ansatz zur Inspektion von Mitteilungen und Anhängen, bei dem die eingehende Nachricht zerlegt und gründlich bereinigt wird. Dabei werden ausschließlich Informationen entfernt, die den PCI-DSS verletzen. Der Rest der Nachricht gelangt unbeeinträchtigt an den Empfänger. Dies gewährleistet eine ununterbrochene Zusammenarbeit und Kommunikation und beseitigt dennoch etwaige Risiken, die sich durch die unangemessene Weitergabe unternehmerisch relevanter Daten ergeben.

Die Richtlinien für die Adaptive Redaction können konsequent auf unterschiedliche Kanäle angewendet werden, um die Einhaltung der PCI-Richtlinien zu gewährleisten. Zudem lassen sie sich einfach in bestehende Strukturen zum Schutz von E-Mails und Internet integrieren, ohne dass diese neu konfiguriert oder ersetzt werden müssen. Eine schlichte, automatische Lösung für ein Problem, das Ihnen ansonsten Probleme bereiten kann.

Testen Sie die Clearswift PCI-Lösung jetzt kostenlos und unverbindlich.