Die neue Studie kommt zu dem Resultat, dass allgemein das Vertrauen in die Möglichkeit, Security-Angriffe durch E-Mails zu verhindern, gering ist. Bei vielen Unternehmen besteht ein dringender Bedarf, bessere Sicherheitsmaßnahmen bei Mail-Systemen in systemkritischen Bereichen ihrer Infrastruktrur umzusetzen.

OPSWAT , weltweit führender Anbieter im Bereich Critical Infrastructure Protection (CIP), hat den Report “Email Security Threats Against Critical Infrastructure Organizations ” veröffentlicht. Diese Untersuchung wurde in Zusammenarbeit mit Osterman Research durchgeführt. Die Studie befragte IT- und Sicherheitsverantwortliche, die in Branchen mit kritischen IT-Infrastrukturen tätig sind. Zu den Ergebnissen der Umfrage gehört, dass 80 Prozent der Organisationen im vergangenen Jahr eine Sicherheitsverletzung im E-Mail-Bereich verzeichnen mussten. Ganze 63,3 Prozent der Befragten gaben außerdem zu Protokoll, dass ihr Ansatz zur Sicherheit bei den E-Mails verbesserungsbedürftig ist.

E-Mails sind ein besonders verbreitetes Instrument für die Kommunikation und Produktivität in allen Bereichen von Unternehmen. Sie stellen aber auch den primären Angriffszugang für Cyber-Bedrohungen dar, bei denen Angreifer vorhandene Schwachstellen durch Phishing-Versuche, manipulierte Links und schädliche Datei-Attachments für ihre Zwecke ausnutzen. Einmal eingedrungen, können sich diese Bedrohungen immer weiter durch die Netzwerke und Verbindungen ausbreiten und damit sowohl IT- als auch OT-Umgebungen (Operational Technology) gefährden. Besonders alarmierend war, dass mehr als die Hälfte der Befragten sogar der Meinung ist, E-Mail-Nachrichten und -Anhänge seien standardmäßig sogar harmlos. Die Risiken, die standardmäßig mit E-Mails verbunden sind, werden offenbar von der Mehrheit der Beschäftigten nur zum Teil oder gar nicht zur Kenntnis genommen.

Yiyi Miao, Chief Product Officer bei OPSWAT, führt in diesem Zusammenhang aus: „Diese nachlässige Herangehensweise vieler Befragter unterstreicht die Notwendigkeit, eine alternative Haltung eines prinzipiellen “Zero Trust” zu übernehmen. Das besonders hohe Vorkommen von Sicherheitsverletzungen im E-Mail-Bereich stellt eine erhebliche Bedrohung für die geschäftskritische Infrastruktur von Unternehmen dar. Es erfordert eine besondere Umstellung auf eine präventionsbasierte Verteidigungsstrategie gegen verbreitete Systeme von Kommunikation und Datenaustausch.“

Besonders wichtige Studienergebnisse:

• Geschäftskritische Infrastrukturen bleiben ein Ziel: 80 Prozent der geschäftskritischen Infrastruktureinrichtungen sind in den letzten 12 Monaten Opfer von Sicherheitsverletzungen im E-Mail-Bereich geworden. Dies unterstreicht aufs Neue die Attraktivität dieses Bereichs für die Cyber-Kriminalität.
• Weiter bestehende Schwachstellen: Trotz Fortschritten im Bereich der Cyber-Security vertrauen 48 Prozent der befragten Unternehmen und Organisationen nicht auf ihre bestehenden Sicherheitsvorkehrungen bei E-Mails: Sie bleiben weiterhin anfällig für potenziell verheerende Cyber-Angriffe.
• Die Nichteinhaltung von Vorschriften sorgt für erhebliche betriebliche und geschäftliche Risiken: Erschreckenderweise halten sich 65 Prozent der befragten Organisationen nicht an gesetzliche Standards, womit sie sich weiterhin erheblichen betrieblichen und geschäftlichen Risiken aussetzen.

Die Umfrageergebnisse zeigen auch eine große Lücke bei fortgeschrittenen Sicherheitsfunktionen im E-Mail-Bereich auf, die Bedrohungen für den Posteingang der Anwender verhindern könnten. So fehlen zum Beispiel in vielen Unternehmen wesentliche Maßnahmen wie Content Disarm and Reconstruction (CDR), URL-Scans für verdächtige Signale und die Erkennung von Anomalien in E-Mail-Nachrichten.

Andererseits erkennen viele Organisationen bereits die Notwendigkeit, ihre Abwehrmaßnahmen gegen E-Mail-Angriffe zu verbessern. Als Reaktion auf solche geschäftskritischen Attacken bekräftigt OPSWAT erneut sein Engagement, Unternehmen im Bereich gefährdeter Infrastruktureinrichtungen mit hochmodernen auf Prävention ausgerichteten Lösungen.