Whitelisting von E-Mail-Anhängen

So sichern Sie das Haupteinfallstor für Cyber-Angriffe ab

Die E-Mail ist nach wie vor das häufigste Medium der Kommunikation für Unternehmen. So praktisch sie ist, gilt sie jedoch auch als eines der Haupteinfallstore für Cyber-Angriffe – ausgelöst durch schadhafte E-Mail Anhänge.

Um diese Angriffe zu verhindern, gibt es Sicherheitsmaßnahmen, die das Unternehmensnetzwerk schützen. Zunächst können durch die Konfiguration von E-Mail-Filtern auf einem Mailgateway Spam-Mails automatisiert abgewehrt werden. Nicht immer wird jedoch eine Spam-Mail als solche erkannt, denn Cyberkriminelle werden immer professioneller und umgehen die automatisierten Techniken. Ein Ansatz wäre es, alle Datei-Anhänge in E-Mails komplett zu blockieren. Die Problematik hierbei ist, dass nicht alle E-Mails mit Datei-Anhängen schädlich sind und Datei-Anhänge für viele Bereiche notwendig sind. Hier kann deshalb ein Whitelisting-Ansatz am E-Mail-Gateway hilfreich sein.

Was ist Whitelisting?

Beim Whitelisting werden Dateitypen definiert, die als gewünscht und vertrauenswürdig eingestuft werden – sie kommen auf die „Whitelist“ – sozusagen eine Positivliste. Trifft eine E-Mail mit einem Anhang ein, der nicht auf der Whitelist steht, wird der Anhang entweder gelöscht oder die komplette E-Mail in Quarantäne verschoben.

Sinnvoll ist hier die Unterscheidung von verschiedenen Abteilungen oder Benutzern. Wenn z.B. das Marketing andere Dateitypen als der Einkauf benötigt, können unterschiedliche Benutzergruppen mit verschiedenen freigegeben Dateitypen gebildet werden. Dabei muss darauf geachtet werden, dass nicht zu viele und gefährliche Dateitypen freigegeben werden, sonst wird das gesamte Sicherheitskonzept wirkungslos.

Die Herausforderung beim Whitelisting

Die größte Herausforderung ist die Erfassung der verschiedenen Dateitypen und Benutzergruppen, die es geben muss. Es gilt abzuwägen, welche Dateitypen freigegeben werden oder ob gewisse Dateitypen z.B. nur noch via sicherem Dateiaustausch (z.B. Cryptshare) ausgetauscht werden dürfen und nicht mehr via E-Mail.

In einer Testphase sollten gewisse Test-Benutzer bereits nach dem Whitelisting-Ansatz arbeiten und die definierten Prozesse erproben. Dabei lässt sich herausfinden, ob die gebildeten Benutzergruppen, ausgewählten Dateitypen und Prozesse praktikabel sind.

Ebenfalls muss es ein Konzept geben, in dem definiert wird, was mit blockierten Dateianhängen passiert. Hier gibt es zwei grundsätzliche Möglichkeiten: Anhänge können entweder komplett gelöscht oder in Quarantäne verschoben werden, wo sie dann anschließend z.B. von IT-Admins überprüft und freigegeben werden können. Hier sollte man auch unbedingt beachten, dass das Konzept von den vorhandenen IT-Admins gestemmt werden kann. Denn wenn bspw. täglich 100 E-Mails in Quarantäne landen, kann das kaum bewerkstelligt werden. In diesem Fall sollte das Gesamtkonzept überarbeitet werden.

Ein beispielhafter Prozess für das Whitelisting von E-Mail Anhängen

Ein Beispiel aus der Praxis:

Bei einem unserer Kunden aus der Lebensmittelindustrie haben wir einen Whitelisting-Ansatz eingeführt. Wir haben zunächst in einer Testphase mehrere Testbenutzer in drei verschiedene Benutzergruppen eingeteilt.

Standard: Dateitypen, die jeder Benutzer erhalten darf, z.B. PDF oder Bilder
Advanced: Weitere Dateitypen, die z.B. im Produktionsumfeld notwendig sind
Advanced-Exe: Ausführbare Dateien, die in gewissen Bereichen notwendig sind.

Zunächst wurde jeder Benutzer der Gruppe „Standard“ zugeordnet. In den Fällen, wo andere Dateitypen notwendig waren, wurde dies überprüft und der Benutzer in eine andere Benutzergruppe verschoben oder es wurde abgewogen, ob es eine zusätzliche Benutzergruppe geben muss.

Dem Kunden war es außerdem wichtig, dass er die Möglichkeit hat, blockierte Dateianhänge selbst zu prüfen und ggf. freizugeben. Hier haben wir eine Quarantäne-Lösung für E-Mails eingesetzt. E-Mails mit verbotenen Datei-Anhängen werden in Quarantäne verschoben, die Benutzer erhalten in diesem Fall eine Info. Falls die E-Mail benötigt wird, wird die IT-Abteilung informiert, die die betroffene E-Mail dann kontrolliert. Der Anhang wird in einem abgesicherten Bereich auf potenzielle Schadsoftware geprüft und anschließend freigegeben. Dies hat den Vorteil, dass blockierte Dateianhänge nicht verschwinden und der Absender der E-Mail diese nicht erneut schicken muss.

Vorteile einer Whitelisting Lösung

Nur freigegebene Datei-Anhänge kommen bei den Benutzern an
Eine Großzahl der Datei-Anhänge wird automatisiert blockiert.
Die Wahrscheinlichkeit, dass ein Benutzer einen schadhaften Dateianhang öffnet wird verringert.
Der Kunde hat die Möglichkeit blockierte Dateien selbst zu prüfen und freizugeben, es gehen also keine Daten verloren.
Die Cybersicherheit wird dadurch insgesamt erhöht.

Wie HWI IT Sie unterstützen kann

Durch unsere langjährige Erfahrung im Bereich Netzwerksicherheit mit unterschiedlichsten Herstellern und Kunden auch im produzierenden Gewerbe, können wir einen hohen Qualitätsstandard durch definierte Prozesse für Projekte aller Größen garantieren. Unser Expertenteam bündelt Know-how aus den Bereichen System, Netzwerk und Security und verfügt über umfangreiche Erfahrungen mit Whitelisting Ansätzen.

Unsere Services:

Gemeinsame Erarbeitung eines Gesamtkonzeptes, welches auf Ihre Bedürfnisse zugeschnitten ist: Definition von Benutzergruppen und freigegebene Dateitypen, Quarantäne-Regeln, Freigabe Prozesse
Auswahl / Einsatz / Konfiguration der richtigen Produkte und Lösungen
Begleitung der Testphase
Ggf. notwendige Anpassungen der Prozesse

Diese Artikel könnten Sie auch interessieren:

Der User als letzte Verteidigungslinie Ihres Unternehmens

12 Maßnahmen für die Absicherung Ihres Office- und Produktionsnetzwerks

Ransomware Ryuk – Aktuelle Gefahr für das ganze Unternehmen

Ihr persönlicher

Ansprechpartner

Michael Dufner

Enabler Network Engineering

Telefon: +49 7644 59599-00

zum Kontaktformular

Unsere letzten Beiträge