You’ve got mail – Zero Trust, der Schlüssel zum Vertrauen
Ping! Das ist der Moment, in dem Sie eine E-Mail erhalten und sich nicht sicher sind, wer der Absender ist, oder Sie sich nicht hundertprozentig im Klaren über das Anliegen der E-Mail sind. Die Chancen stehen gut, dass es sich um einen verdächtigen Sachverhalt handelt. Kein Wunder, dass IT-Administratoren die Haare zu Berge stehen, wenn es darum geht, ihren Mitarbeitern zu vertrauen, Spear-Phishing-Angriffe zu erkennen und eigenhändig abzuwehren.
Advertorial
Schaut man sich in der Technologie- und Cybersecurity-Landschaft um, ist man sich grundsätzlich einig: In immer komplexer werdenden Umgebungen, geht der Trend zurück zu Zero Trust! Doch wie lässt sich dieses Prinzip auf E-Mails übertragen?
E-Mails sind das beliebteste Kommunikationsmittel im B2B-, B2C- und B2G-Geschäft, und dabei wird die Verifizierung der E-Mail des Absenders immer wichtiger. Es gibt ein Meer von Cybersicherheitsangeboten, die darauf abzielen, die Angriffsfläche für Angriffe von außen zu verringern. Dennoch steigt die Zahl der erfolgreichen Hackerangriffe. Wie aus der anschließenden Analyse hervorgeht, werden hier vor allem BEC- (Business E-Mail Compromise) und Spearphishing-Angriffe eingesetzt, um in das Unternehmensnetzwerk einzubrechen. Wie die steigende Zahl von BEC-Angriffen zeigt, stellt die E-Mail-Kommunikation die größte Gefahrenquelle dar, und es liegt nach wie vor in der Verantwortung der Nutzer, das Risiko abzuschätzen und gegebenenfalls zu mindern. Da die Angreifer künstliche Intelligenz (KI) zur Unterstützung ihrer gezielten Angriffe einsetzen, könnten wir eine weitere Industrialisierung dieser Art von Angriffen erleben.
Public-Key-Infrastruktur (PKI) ist bereits ein essenzielles Werkzeug für die Geräteauthentifizierung, um Geräte zu identifizieren und um Zero Trust als Sicherheitsmodell zu etablieren. Diese digitale Identität kann auch zur Verifizierung von E-Mail-Absendern verwendet werden. Wenn ein Unternehmen digital signierte Korrespondenz als Standard einführt und seine Mitarbeiter entsprechend schult, um nicht signierte Kommunikation als potenzielle Bedrohung zu betrachten, verringert sich die Angriffsfläche für BEC-Angriffe.
Manch einer fragt sich, warum PKI immer noch in so vielen Bereichen so viel Anwendung findet. Die Antwort ist simpel: Zertifizierungsstellen (Certificate Authorities, CAs) können einen vertrauenswürdigen und etablierten zentralisierten Vertrauensrahmen bereitstellen, indem sie Unternehmen und Einzelpersonen validieren und E-Mail-Absendern Identitäten mit dem S/MIME-Standard zur Verfügung stellen. S/MIME ist der weltweit anerkannte Standard zur Übermittlung der Identität des Unternehmens oder des Endbenutzers an den Empfänger. Die Identität kann beim Empfang der E-Mail in fast jedem E-Mail-Programm festgestellt und überprüft werden. Beim Signieren von E-Mails wird außerdem ein Hash erzeugt, der den Zustand der E-Mail zum Zeitpunkt des Versands festhält. Wird die E-Mail während der Übertragung verändert, wird eine Fehlermeldung erzeugt und die Signatur ist ungültig.
Während dies in der Vergangenheit eine Herausforderung darstellte, machen es heutzutage E-Mail-Gateways und Lösungen zur Verwaltung des Lebenszyklus von Zertifikaten möglich, S/MIME als Dienst bereitzustellen und durch die vollständige Automatisierung dieses Prozesses die Akzeptanz des S/MIME-Standards weiter voranzutreiben. Auf Basis dieser etablierten Technologie wird das E-Mail-Kommunikationsmittel täglich vertrauenswürdiger. Es war noch nie so einfach, ein Zero-Trust-Konzept gegen unsignierte E-Mails in Ihrem Unternehmen zu etablieren, und das kleine Feature der E-Mail-Verschlüsselung kommt natürlich durch den S/MIME-Standard als Extra hinzu.
Folglich stärkt PKI den Zero-Trust-Sicherheitsrahmen, indem es verifizierbare Identität dort bereitstellt, wo sie am meisten gebraucht wird: E-Mails.
Andreas Brix von GlobalSign
