E-Mail ist aus unserem digitalen Leben nicht mehr wegzudenken. Doch hinter der einfachen Oberfläche verbirgt sich ein ständiger Kampf gegen Spam, Phishing und andere bösartige Inhalte. Um unsere Postfächer zu schützen, verlassen wir uns auf ausgeklügelte E-Mail-Filter. Was aber passiert, wenn diese Filter zu viele Ausnahmen zulassen?

Das Problem mit den Whitelists

Viele E-Mail-Serverbetreiber nutzen sogenannte Whitelists, um bestimmte Absenderdomains oder E-Mail-Adressen von der Filterung auszuschließen. Das kann aus verschiedenen Gründen geschehen:

• Geschäftliche Beziehungen: E-Mails von wichtigen Partnern, Kunden oder Lieferanten sollen immer ankommen.
• Interne Kommunikation: E-Mails innerhalb des eigenen Unternehmens werden oft nicht gefiltert, um die Zusammenarbeit nicht zu behindern.
• Fehlalarme: Wenn ein Absender fälschlicherweise als Spam eingestuft wird, kann er auf die Whitelist gesetzt werden, um das Problem zu beheben.

All diese Gründe sind nachvollziehbar. Doch jede Whitelist-Eintragung stellt ein potenzielles Sicherheitsrisiko dar. Je mehr Absender und Domains von der Filterung ausgeschlossen werden, desto größer wird die Angriffsfläche für Cyberkriminelle.

Wie Angreifer die Lücken ausnutzen können

Angreifer sind schlau und passen ihre Taktiken ständig an. Hier sind einige Beispiele, wie sie Whitelists und Ausnahmen in E-Mail-Filtern ausnutzen können:

• Spoofing: Wenn eine Domain auf der Whitelist steht, können Angreifer gefälschte E-Mails mit dieser Domain als Absenderadresse verschicken. Da die Domain nicht gefiltert wird, gelangen diese E-Mails ungehindert in die Postfächer der Empfänger. Diese E-Mails können Phishing-Links, Malware oder andere bösartige Inhalte enthalten.
• Domain-Imitation: Angreifer können Domains registrieren, die legitimen Domains sehr ähnlich sind (z.B. „micros0ft.com“ statt „microsoft.com“). Wenn die legitime Domain auf der Whitelist steht, besteht die Gefahr, dass auch E-Mails von der gefälschten Domain durchgelassen werden.
• E-Mail-Bombardement: Angreifer können eine große Anzahl von E-Mails von einer Whitelist-Domain verschicken, um die Server der Empfänger zu überlasten (Denial-of-Service-Angriff).
• Malware-Verbreitung: E-Mails von Whitelist-Domains können verwendet werden, um Malware zu verbreiten. Da diese E-Mails nicht gefiltert werden, können sie die Sicherheitsmechanismen der Empfänger umgehen und deren Systeme infizieren.
• Business Email Compromise (BEC): Angreifer können sich als vertrauenswürdige Kontakte ausgeben und Mitarbeiter dazu bringen, Geld zu überweisen oder sensible Informationen preiszugeben. Eine Whitelist-Domain kann dabei helfen, die Täuschung glaubwürdiger zu machen.

Beispiele aus der Praxis

• Ein Unternehmen fügt die Domain eines wichtigen Lieferanten auf die Whitelist, um sicherzustellen, dass Bestellungen und Rechnungen nicht verloren gehen. Ein Angreifer nutzt dies aus, um gefälschte Rechnungen mit derselben Domain zu versenden und das Unternehmen um Geld zu betrügen.
• Ein Mitarbeiter fügt seine private E-Mail-Adresse auf die Whitelist, um sicherzustellen, dass wichtige Informationen nicht im Spam-Ordner landen. Ein Angreifer kompromittiert diese E-Mail-Adresse und nutzt sie, um Phishing-E-Mails an andere Mitarbeiter zu versenden.
• Ein Angreifer registriert eine Domain, die einer bekannten Marke sehr ähnlich sieht, und fügt diese auf die Whitelist eines Unternehmens. Anschließend versendet er gefälschte E-Mails, die von der gefälschten Domain stammen, und täuscht die Mitarbeiter des Unternehmens.

Was können wir tun?

• Weniger ist mehr: Whitelists sollten so klein wie möglich gehalten werden. Jede Ausnahme sollte sorgfältig geprüft und begründet werden.
• Regelmäßige Überprüfung: Whitelists sollten regelmäßig überprüft und aktualisiert werden, um sicherzustellen, dass sie noch relevant und notwendig sind.
• Zusätzliche Sicherheitsmaßnahmen: Whitelists sollten durch zusätzliche Sicherheitsmaßnahmen wie SPF, DKIM und DMARC ergänzt werden, um die Authentizität von E-Mails zu überprüfen.
• Schulung der Mitarbeiter: Mitarbeiter sollten über die Gefahren von Phishing und anderen E-Mail-basierten Angriffen aufgeklärt werden.
• Nutzung von Threat Intelligence: Threat Intelligence-Feeds können helfen, bösartige Absender und Domains zu identifizieren und zu blockieren.

Fazit

E-Mail-Filter sind ein wichtiger Bestandteil der IT-Sicherheit. Doch sie sind nicht unfehlbar. Wenn wir zu viele Ausnahmen zulassen, schaffen wir Angreifern Chancen, unsere Sicherheitsmechanismen zu umgehen. Es ist wichtig, einen guten Balanceakt zwischen Benutzerfreundlichkeit und Sicherheit zu finden und Whitelists mit Bedacht einzusetzen.