Falsch klassifizierte E-Mails sind mehr als ärgerlich, denn sie stellen ein kostspieliges und zeitraubendes Sicherheitsrisiko dar. Jedes Mal, wenn eine sichere E-Mail versehentlich als schädlich gekennzeichnet wird, kommt die Produktivität zum Erliegen. Mitarbeitern entgehen wichtige Nachrichten, während IT-Teams damit ringen, sie wieder freizugeben. Der Frust ist vorprogrammiert. Umgekehrt können die Folgen einer tatsächlich gefährlichen E-Mail, die nicht abgefangen wurde, verheerend sein. In diesem Fall sind Sicherheitsverletzungen, Datenverlust und finanzielle Schäden sind keine Seltenheit.
Sicherheitsteams, die in der Lage sind, zuverlässig zwischen schädlichen E-Mails, verdächtigen Nachrichten, Spam und Graymail zu unterscheiden, können Risiken reduzieren, Unterbrechungen minimieren und das Vertrauen in das Postfach wiederherstellen. Hier erfahren Sie, wie das funktioniert.
Was bedeuten die E-Mail-Klassifizierungen schädlich, verdächtig und sicher?
Bei der Sicherheit von E-Mails wird üblicherweise zwischen zwei Kategorien unterschieden: E-Mails sind entweder schädlich und werden in die Quarantäne verschoben – oder sie sind sicher und werden im Posteingang zugestellt. Bei dieser stark vereinfachten Unterscheidung wird jedoch ein kritischer Bereich ignoriert: verdächtige E-Mails.
Verdächtige E-Mails besitzen keine Indikatoren, an denen man sie klar als schädlich erkennen könnte. Vielmehr weisen sie gewisse Eigenschaften auf, die zur Vorsicht mahnen. Diese mittlere Kategorie ist entscheidend, denn wenn diese E-Mails falsch behandelt werden, setzen sie das Unternehmen möglicherweise Cyberbedrohungen aus – oder aber sie legen den Betrieb lahm, weil sie zu Unrecht in die Quarantäne verschoben werden.
Proofpoint klassifiziert E-Mails in drei Kategorien.
Sichere E-Mails: vertrauenswürdige Kommunikation
Als sicher eingestufte E-Mails sind legitime Nachrichten von bekannten Absendern und authentifizierten Domains. Sie enthalten keine Hinweise auf Phishing-, Malware- oder Social-Engineering-Versuche und zeichnen sich durch folgende Attribute aus:
- Absenderverifizierung: Die Domain des Absenders besteht die Authentifizierungsprüfungen (SPF, DKIM, DMARC), wodurch bestätigt wird, dass die E-Mail von einer vertrauenswürdigen Quelle stammt.
- Keine schädlichen Anhänge oder Links: URLs und Anhänge wurden gescannt und enthalten keine Hinweise auf Malware, Trojaner oder Phishing.
- Legitimer Inhalt: Die Nachricht enthält keine auf Dringlichkeit verweisende Sprache oder andere manipulative Taktiken, wie sie etwa bei Finanzbetrug typisch sind.
- Konsistentes Verhalten: Das historische E-Mail-Verhalten des Absenders entspricht dem derzeitigen E-Mail-Muster, z. B. ein Mitglied des Finanzteams sendet regelmäßig Rechnungen.
Sobald die E-Mails als sicher verifiziert wurden, können sie gefahrlos an den Posteingang des Empfängers weitergeleitet werden. Das Sicherheitsteam muss nicht eingreifen.
Proofpoint-E-Mail-Klassifizierung: sichere Nachrichten.
Schädliche E-Mails: eindeutige Bedrohungen
Schädliche E-Mails enthalten Schaddaten oder Täuschungstaktiken und sind eindeutig Bedrohungen. In der Regel werden diese E-Mails aufgrund ihres offensichtlichen Risikos automatisch in die Quarantäne verschoben. Sie zeichnen sich durch folgende Attribute aus:
- Phishing-Versuche: Diese Nachrichten zielen darauf ab, Anmeldedaten zu stehlen. Oft kommen dabei gefälschte Anmeldeseiten, betrügerische Links oder Nachahmung zum Einsatz.
- Malware-Anhänge: Diese Dateien führen nach dem Öffnen schädlichen Code aus.
- Gefälschte Absender: Angreifer geben sich oft als vertrauenswürdige Kontakte, Anbieter oder Vorgesetzte aus, um die Empfänger zu schädlichen Aktionen zu verleiten.
- Bekannte Kompromittierungsindikatoren (IOCs): Die E-Mail weist unter Umständen bekannte Angriffsmuster, als schädlich gekennzeichnete Domains oder gesperrte IP-Adressen auf.
Wenn E-Mails diese Kriterien erfüllen, können Sicherheitsteams geeignete Maßnahmen ergreifen, d. h. die E-Mails in die Quarantäne verschieben, Anwender benachrichtigen und zugehörige Domains sperren.
Proofpoint-E-Mail-Klassifizierung: schädliche E-Mail-Bedrohung.
Verdächtige E-Mails: die schwammige Grauzone
Verdächtige E-Mails bewegen sich irgendwo zwischen sicher und schädlich. Diese Nachrichten werden zwar gekennzeichnet, jedoch fehlt es an eindeutigen Beweisen, dass es sich tatsächlich um eine Bedrohung handelt. Diese fehlende Eindeutigkeit ist der Grund dafür, weshalb der Umgang mit ihnen so heikel ist. Sie weisen in der Regel folgende Merkmale auf:
- Ungewöhnliches Absenderverhalten: Die E-Mail stammt von einem bekannten Kontakt, ist aber untypisch. Ein Beispiel: Der CEO fordert einen Mitarbeiter, der nie mit Finanztransaktionen zu tun hat, zur Durchführung einer Überweisung auf.
- Neue oder nicht verifizierte Domains: Die E-Mail stammt von einer unüblichen Domain, die zwar nicht offenkundig schädlich, aber neu oder nicht verifiziert ist.
- Drängende und manipulative Sprache: Der Absender übt durch seine Wortwahl Druck auf den Empfänger aus, um ihn zu sofortigen Aktionen zu animieren: „Sofortiges Handeln erforderlich! Ihr Konto wird in 24 Stunden deaktiviert!“
- Anhänge oder URLs nicht prüfbar: Einige Links und Anhänge umgehen Erkennungstools, sodass es schwierig ist, ihre Sicherheit zu beurteilen.
Verdächtige E-Mails bringen Sicherheitsteams in eine schwierige Lage: Wenn sie sie automatisch in die Quarantäne verschieben, kann dies zu Unterbrechungen führen, falls sie sich später doch als legitim erweisen. Werden die Nachrichten in den Posteingang zugestellt, können sie das Unternehmen potenziellen Bedrohungen aussetzen.
Proofpoint-E-Mail-Klassifizierung: verdächtige E-Mails.
Warum ist der Umgang mit verdächtigen E-Mails so schwierig?
Im Gegensatz zu schädlichen E-Mails, die relativ einfach auszumachen sind, ist bei verdächtigen E-Mails eine genauere Prüfung erforderlich. Folgende Aspekte machen den Umgang mit ihnen zu einer Herausforderung:
1. Gratwanderung zwischen Stillstand und Risiko
Werden E-Mails wahllos in die Quarantäne verschoben, führt dies sehr wahrscheinlich zu zahlreichen False Positives. Geschäftliche Prozesse werden ausgebremst, weil legitime E-Mails später ankommen. Werden verdächtige E-Mails hingegen in die Postfächer zugestellt, steigt das Risiko, dass der ein oder andere Mitarbeiter auf einen raffinierten Phishing-Versuch hereinfällt. Die Herausforderung besteht darin, das richtige Verhältnis zwischen Sicherheit und geschäftlicher Kontinuität zu bestimmen.
2. Der Kontext ist wichtig – und nur der Empfänger kennt ihn genau
Einige verdächtige E-Mails müssen von Menschen interpretiert werden. So kann beispielsweise nur ein Mitarbeiter des Finanzteams erkennen, ob eine Zahlungsaufforderung durch einen bekannten Anbieter lediglich merkwürdig aussieht, aber trotzdem echt ist. Automatisierten Tools fehlt dieser Einblick.
3. Der Schein trügt – adaptive Angriffstechniken
Cyberkriminelle verfeinern ihre Taktiken kontinuierlich und fingieren mittlerweile Nachrichten, die unerkannt bleiben, weil sie kaum von legitimen geschäftlichen Interaktionen zu unterscheiden sind. Oft benutzen sie dabei E-Mail-Adressen, die denen von bekannten Kontakten des Empfängers sehr ähnlich sind. Sie manipulieren außerdem die Absendernamen und betten betrügerische Links ein, die auf den ersten Blick echt aussehen.
Wir gehen Unternehmen richtig mit verdächtigen E-Mails um?
Verdächtige E-Mails passen weder ganz deutlich in die Kategorie „sicher“ noch eindeutig in die Kategorie „schädlich“. Deshalb benötigen Unternehmen beim Umgang mit diesen Nachrichten einen gestaffelten Ansatz.
E-Mail mit Popup-Meldung zu verdächtigen Merkmalen.
1. Implementierung der Kategorie „verdächtig“ in Sicherheitsrichtlinien
Anstatt eine rigorose Entscheidung zwischen Postfach und Quarantäne zu erzwingen, sollten Sicherheitsteams ein eindeutiges Verfahren für die Handhabung verdächtiger E-Mails definieren. Dies kann Folgendes beinhalten:
- Weiterleiten der E-Mails in eine Quarantäne für „verdächtige“ Elemente zur Überprüfung durch den Anwender
- Senden eines Alarms an die betroffenen Anwender mit einer Anleitung für die sichere Überprüfung
- Bereitstellen einer Methode, mit der Anwender E-Mails mit mutmaßlichen Bedrohungen auf einfachem Wege melden können
2. Nutzung von KI und Verhaltensanalyse
Erweiterte E-Mail-Sicherheitstools identifizieren Abweichungen von normalen Kommunikationsmustern mittlerweile mithilfe von KI-gestützter Verhaltensanalysen. Die KI untersucht Absenderverhalten, E-Mail-Kontext und historische Muster und verfeinert dadurch die Klassifizierung verdächtiger E-Mails.
3. Vereinfachte Meldung durch die Anwender und Schulungen
Security-Awareness-Schulungen helfen Mitarbeitern dabei, verdächtige E-Mails zu erkennen und zu melden. Hier einige Tipps:
- Ermutigen Sie Ihre Anwender, zweifelhafte E-Mails zu melden.
- Führen Sie Phishing-Simulationen durch, um Ihre Anwender zu realitätsnahen Angriffsszenarien zu schulen.
- Schulen Sie Ihre Mitarbeiter zur Erkennung verräterischer Anzeichen für Phishing- und Social-Engineering-Bedrohungen.
Fazit
E-Mail-Sicherheit lässt sich nicht durch eine simple Klassifizierung der Nachrichten in „sicher“ oder „schädlich“ herstellen. Eine kritische dritte Kategorie sind verdächtige E-Mails – und sie bedürfen einer sorgfältigen Prüfung.
Für das perfekte Gleichgewicht zwischen Sicherheit und geschäftlicher Effizienz ist ein mehrschichtiger Sicherheitsansatz erforderlich. Halten Sie nach einer Lösung Ausschau, die KI-gestützte Erkennung, Sensibilisierungsschulungen für Anwender und adaptive Quarantänerichtlinien in sich vereint.
Wenn Sie einen solchen ausgewogenen Sicherheitsansatz testen möchten, vereinbaren Sie noch heute eine Demo zu Proofpoint Core Email Protection.
