Die versteckten Risiken von E-Mail-Weiterleitungen und -Abwesenheitsnotizen: Was Sie unwissentlich teilen

Wenn Sie jemals ohne einen zweiten Gedanken auf "Weiterleiten" in einer E-Mail geklickt oder eine automatische Abwesenheitsnotiz eingerichtet haben, bevor Sie in den Urlaub fahren, sind Sie nicht allein. Diese alltäglichen E-Mail-Funktionen erscheinen harmlos – sogar hilfreich. Doch unter ihrer bequemen Oberfläche verbirgt sich eine besorgniserregende Realität, die die meisten Fachleute nie in Betracht ziehen: Jede weitergeleitete Nachricht und automatische Antwort setzt potenziell sensible Informationen, organisatorisches Wissen und persönliche Daten auf Weisen frei, die Sie nie beabsichtigt haben.

Der Frust ist real. Sie versuchen, produktiv zu bleiben, Kollegen auf dem Laufenden zu halten und die professionellen Kommunikationsstandards einzuhalten. Dennoch sind genau diese Produktivitätswerkzeuge zu stillen Datenleckpunkten geworden, die Sicherheitsanfälligkeiten schaffen, die Cyberkriminelle aktiv ausnutzen. Laut Red Canarys Bedrohungserkennung Bericht erstellen Angreifer routinemäßig E-Mail-Weiterleitungsregeln in kompromittierten Konten, um sensible Informationen zu sammeln, während sie verdächtige Aktivitäten vor legitimen Nutzern verbergen. Die impliziten Vertrauensverhältnisse innerhalb von Organisationen machen diese Angriffe besonders effektiv – Nachrichten von legitimen internen Adressen umgehen Sicherheitskontrollen, die externe Bedrohungen kennzeichnen würden.

Dieser umfassende Leitfaden untersucht die verborgenen Gefahren, die in Ihren E-Mail-Gewohnheiten lauern, von ausgeklügelten Kompromittierungsangriffen auf Geschäftsmails bis hin zu versehentlichen Datenpannen, die durch einfache menschliche Fehler verursacht werden. Noch wichtiger ist, dass wir praktische Lösungen erkunden, die Ihre Privatsphäre und die Sicherheit der Organisation schützen, ohne die Produktivitätsvorteile, die Sie benötigen, zu opfern.

Wie Cyberkriminelle E-Mail-Weiterleitungsregeln ausnutzen

Die heimtückischste Bedrohung kommt von Angreifern, die bereits Zugriff auf legitime E-Mail-Konten erlangt haben. Einmal drin, kündigen sie ihre Präsenz nicht an – stattdessen erstellen sie leise Weiterleitungsregeln, die sensible E-Mails stillschweigend an externe Adressen kopieren, die sie kontrollieren. Dieser Ansatz ist verheerend effektiv, da er das inhärente Vertrauen ausnutzt, das Organisationen in interne Kommunikationen setzen.

Forschung von Red Canary's Sicherheitsteam zeigt, dass Gegner Postfachregeln mit absichtlich obscurierten Namen erstellen – einzelne Punkte, Semikolons oder sich wiederholende Zeichen wie "aaaa" oder ".........." Diese Benennungen helfen bösartigen Regeln, sich in legitime Systemprozesse einzufügen und einer manuellen Überprüfung durch IT-Administratoren zu entkommen.

Das Targeting ist ausgeklügelt. Angreifer konfigurieren Regeln, um Nachrichten weiterzuleiten, die bestimmte Schlüsselwörter enthalten, die mit sensiblen Geschäftsprozessen verbunden sind: "Rechnung", "Gehaltsabrechnung", "Passwort zurücksetzen" oder "Überweisung". Alternativ zielen sie auf alle Nachrichten von bestimmten Absendern wie Personalabteilungen oder Führungskräften ab. Dieser selektive Ansatz stellt sicher, dass sie wertvolle Informationen erfassen und gleichzeitig das Risiko einer Entdeckung minimieren.

Die technische Ausführung

Microsoft Outlook- und Office 365-Umgebungen bieten zwei primäre Weiterleitungsmechanismen, die Angreifer ausnutzen. Das automatische Weiterleiten ist der einfachste Ansatz und leitet alle eingehenden E-Mails automatisch an die angegebenen externen Adressen weiter. Ausgeklügelte Angreifer ziehen Posteingangsregeln vor, die eine präzisere Kontrolle darüber bieten, was weitergeleitet wird und wann.

Ein Angreifer, der persistenten Zugriff anstrebt, könnte eine Posteingangsregel erstellen, die nur E-Mails zum Zurücksetzen von Passwörtern an eine kontrollierte externe Adresse weiterleitet. Diese selektive Weiterleitung erhält ihren Zugriff auf das kompromittierte Konto, während der normale E-Mail-Fluss ungestört bleibt und der legitime Kontoinhaber vollständig ahnungslos über den Kompromiss bleibt.

Laut dem E-Mail-Bedrohungsbericht von Trend Micro sind die Angriffe auf Unternehmens-E-Mails dramatisch angestiegen, wobei sich die monatlichen Angriffe pro tausend Postfächern in den letzten Jahren mehr als verdoppelt haben. Die finanziellen Auswirkungen sind überwältigend – das FBI dokumentierte, dass BEC-Betrügereien im Jahr 2020 allein über 1,8 Milliarden Dollar an Verlusten generierten, wobei erfolgreiche Angriffe im Durchschnitt mehr als 125.000 Dollar kosteten.

Erkennung Herausforderungen

Die Anmeldeaktivität, die mit diesen Angriffen verbunden ist, stammt häufig von verdächtigen IP-Adressen, die nicht mit den typischen Zugriffsverhalten des kompromittierten Benutzers übereinstimmen. Angreifer verwenden virtuelle private Netzwerke und Anonymisierungswerkzeuge, um ihren Standort zu verschleiern, obwohl Organisationen mit robuster Protokollierung und IP-basiertem Anomalie-Detection diese Muster identifizieren können.

Die Herausforderung besteht darin, dass viele Unternehmen nicht über umfassende Protokollierungsinfrastrukturen oder analytische Fähigkeiten verfügen, um Authentifizierungsereignisse mit nachfolgenden Änderungen der E-Mail-Regeln zu korrelieren. Selbst wenn Protokolle vorhanden sind, kann das Volumen legitimer Regeländerungen bösartige Konfigurationen im Lärm begraben, was eine manuelle Überprüfung ohne ausgeklügelte Erkennungstools unpraktisch macht.

Der menschliche Faktor: Unabsichtliche Datenverletzungen durch E-Mail-Weiterleitung

Während ausgeklügelte Angreifer eine Kategorie von Risiken darstellen, stammt die weitaus häufigere Quelle für E-Mail-bezogene Datenexposition aus einfachem menschlichem Fehler. Sie eilen, um eine Frist einzuhalten, versuchen, mehrere Interessenvertreter informiert zu halten, und klicken auf "Weiterleiten", ohne die Empfängerliste oder den Nachrichteninhalt sorgfältig zu überprüfen. In diesem Moment geteilter Aufmerksamkeit können sensible Informationen unbeabsichtigte Empfänger erreichen, mit verheerenden Konsequenzen.

Das Ausmaß des potenziellen Schadens ist ernüchternd. Im Jahr 2015 leitete ein Mitarbeiter des australischen Einwanderungsministeriums versehentlich persönliche Details von über dreißig G20-Weltführern - darunter Barack Obama und Wladimir Putin - an einen unbeabsichtigten Empfänger weiter. Der Mitarbeiter gab später zu, in Eile zu sein und die E-Mail-Adresse vor dem Versenden nicht überprüft zu haben, so die RMS-Risiko-Management-Forschung.

Die Verbreitung von nachlässigen E-Mail-Praktiken

Umfrageforschungen zeigen, wie weit verbreitet diese gefährlichen Verhaltensweisen in professionellen Umgebungen sind. Eine Umfrage aus dem Jahr 2016 unter zweitausend britischen Arbeitnehmern ergab, dass mehr als ein Drittel der Befragten angab, E-Mails nicht immer vor dem Versenden zu überprüfen. Noch alarmierender ist, dass achtundsechzig Prozent zugaben, dass "Eile" ein Faktor beim versehentlichen Versenden von E-Mails darstellt, während neuf Prozent ausdrücklich bestätigten, dass es in ihrer Erfahrung vorkam, sensible Inhalte wie Bankdaten oder Kundeninformationen versehentlich zu versenden.

Die finanziellen Konsequenzen gehen weit über anfängliche Peinlichkeit hinaus. Organisationen sehen sich regulatorischen Strafen, Litigation-Kosten, Benachrichtigungskosten und Rufschäden gegenüber. Ein echter Fall, in dem ein australisches Immobilienunternehmen betroffen war, veranschaulicht die konkreten finanziellen Auswirkungen: dreihundert E-Mail-Adressen wurden versehentlich im CC-Feld einer Gruppen-E-Mail offengelegt, was geschätzte Kosten von über 100.000 US-Dollar nach sich zog, wenn man die rechtliche Beratung, die Untersuchungsarbeit und die organisatorischen Reaktionen berücksichtigt.

Wie Weiterleitungsfehler tatsächlich auftreten

Die Mechanik von versehentlichen Weiterleitungsfehlern zeigt, wie schnell diese Vorfälle im normalen Arbeitsablauf auftreten können. Beim Verfassen oder Weiterleiten von E-Mails stehen Sie an einem kritischen Entscheidungspunkt bezüglich der Empfängerauswahl, doch diese Entscheidung erfolgt oft unter Bedingungen, die Fehler fördern. Die kognitive Belastung bei der Verwaltung großer Empfängerliste, das ähnliche visuelle Erscheinungsbild von E-Mail-Adressen und Autocomplete-Funktionen, die Adressen anhand unvollständiger Eingaben ausfüllen, tragen alle zu Auswahlfehlern bei.

Darüber hinaus erben Sie beim Weiterleiten von E-Mails die gesamte Nachrichtengeschichte einschließlich aller vorherigen Empfänger und potenziell sensibler Kontexte. Viele Nutzer überprüfen diesen übernommenen Inhalt nicht, bevor sie weiterleiten, und setzen wertvolle oder sensible Inhalte wie vertrauliche Anhänge, ausführliche Gesprächsverläufe und Kontaktinformationen für Anbieter und Kunden unbeabsichtigt einer Risiko aus.

Die Verwundbarkeit des BCC-Feldes

Das Blind Carbon Copy-Feld verdient besondere Aufmerksamkeit als eine der Hauptquellen für unabsichtliche Datenverletzungen. Während BCC legitime Zwecke zum Schutz der Empfängerdaten beim Versenden von Massennachrichten dient, ist das Feature aufgrund inhärenter Entwurfsmerkmale und häufiger Benutzerfehler problematisch geworden.

Nach der Sicherheitsforschung von DOQEX hat das UK Information Commissioner's Office seit 2019 fast eintausend Vorfälle dokumentiert, bei denen BCC missbräuchlich verwendet wurde, was zu meldepflichtigen Datenverletzungen führte. Der häufigste Fehler besteht darin, versehentlich Empfänger im CC-Feld zu carbon copy, während der Benutzer beabsichtigte, BCC zu verwenden, wodurch E-Mail-Adressen und potenziell sensible Informationen unbeabsichtigten Empfängern offengelegt werden.

Ein dramatisches Beispiel ereignete sich im März 2024, als das britische Verteidigungsministerium versehentlich die E-Mails und Identitäten von zweihundertfünfundvierzig afghanischen Dolmetschern offenbarte, weil diese E-Mail-Adressen nicht ordnungsgemäß im BCC-Feld platziert wurden. Dieser Fehler gefährdete das Leben von Personen, die versuchten, das Land nach der Besetzung durch die Taliban im Jahr 2021 zu verlassen. Das MOD sah sich letztendlich mit einer Geldstrafe von 350.000 £ konfrontiert, weil es identifizierbare Details über schutzbedürftige Personen preisgab, die Sicherheits- und Schutzmaßnahmen benötigten.

Abwesenheitsnotizen: Verbreitung organisatorischer Intelligenz

Eine Abwesenheitsnotiz vor dem Urlaub einzurichten, scheint eine einfache Höflichkeit zu sein – den Leuten mitzuteilen, dass Sie nicht verfügbar sind und wann Sie zurückkommen. Aber diese automatischen Nachrichten geben oft weit mehr preis, als Sie sich bewusst sind, und liefern Angreifern wertvolle Informationen für die Aufklärung, die gezielte Social-Engineering-Kampagnen ermöglichen.

Eine typische problematische Abwesenheitsnachricht enthält Ihren vollständigen Namen, Ihre Position, Ihre Bürotelefonnummer, Ihre Handynummer und Ihre E-Mail-Adresse. Viele erwähnen auch Ihren Vorgesetzten mit Namen und Titel sowie Kontaktdaten und beinhalten oft Ihren Standort, Ihre Destination oder eine Erklärung für Ihre Abwesenheit. Laut DirectDefense Sicherheitsforschung erhält ein Angreifer, der eine solche automatische Antwort erhält, beträchtliche Informationen über die Organisationsstruktur, die Hierarchie und die Kontaktmethoden der Mitarbeiter.

Angriffsvektoren, die durch Auto-Reply-Informationen ermöglicht werden

Die in Abwesenheitsnotizen offengelegten Informationen ermöglichen mehrere Angriffsvektoren. Erstens bestätigen Auto-Reply-Antworten, dass eine E-Mail-Adresse existiert und aktiv überwacht wird, und bieten Angreifern eine Bestätigung gültiger Ziele für nachfolgende Kampagnen. Zweitens schafft das Wissen um die Dauer Ihrer Abwesenheit ein bekanntes Angriffsfeld, in dem Sie Ihr Konto nicht aktiv überwachen oder auf Überprüfungsanfragen reagieren, was Angreifern einen längeren Zeitraum für bösartige Aktivitäten ohne sofortige Entdeckung ermöglicht.

Drittens ermöglicht detaillierte Standortinformation in Kombination mit der Abwesenheitsdauer physische Sicherheitsangriffe. Personen mit bösartigen Absichten können ausnutzen, dass bestimmte Mitarbeiter nicht an ihrem Arbeitsplatz oder Wohnort sind, was potenziell Einbruch oder andere körperliche Verbrechen ermöglicht. Viertens ermöglicht die Offenlegung des Namens, der Position und der Kontaktdaten Ihres Vorgesetzten Angreifern, sich als ranghöhere Personen auszugeben oder von Mitarbeitern, die bereits Beziehungen zu diesen Managern haben, Zugang zu erschleichen.

Die Praxis, allen Absendern – sowohl intern als auch extern – identische Nachrichten zu senden, verstärkt diese Risiken, indem sensible Organisationsinformationen an unbekannte externe Parteien verbreitet werden. Ein Angreifer, der Ihre Organisation anvisiert, kann einfach eine E-Mail an eine entdeckte Adresse senden und durch die automatische Antwort detaillierte organisatorische Informationen erhalten, wodurch Aufklärungsinformationen ohne jegliche Interaktion mit tatsächlichen Mitarbeitern bereitgestellt werden.

Compliance-Risiken im Gesundheitswesen

Gesundheitsorganisationen sind besonderen regulatorischen Risiken durch Abwesenheitsnotizen ausgesetzt, da spezifische Compliance-Anforderungen den Schutz von Gesundheitsinformationen regeln. Laut HIPAA Times Compliance-Richtlinien müssen Gesundheitsorganisationen sicherstellen, dass sie keine geschützten Gesundheitsinformationen in automatischen Antwortnachrichten teilen, um den regulatorischen Anforderungen zu genügen und die Vertraulichkeit der Patienten zu schützen.

Das Risiko, unwissentlich PHI (Protected Health Information) zu teilen, bleibt erheblich, insbesondere wenn Gesundheitsfachkräfte Abwesenheitsnotizen erstellen, ohne sorgfältig zu überlegen, welche Informationen offengelegt werden könnten. Eine automatisierte Antwort von einem Gesundheitsdienstleister, die einen Termin bestätigt, könnte unbeabsichtigt sensible Details über den Gesundheitszustand eines Patienten oder die spezifische Art seiner Behandlung offenbaren. Compliance-Rahmenbedingungen im Gesundheitswesen erfordern die Etablierung klarer Richtlinien für automatische Nachrichten, die Schulung des Personals zu bewährten E-Mail-Kommunikationspraktiken, die Konfiguration sicherer E-Mail-Systeme, um versehentliche Offenlegungen zu verhindern, und die regelmäßige Überprüfung der E-Mail-Praktiken zur Identifizierung und Behebung von Risiken.

Versteckte Metadaten und technische Informationen in weitergeleiteten E-Mails

Über den sichtbaren Nachrichteninhalt hinaus legen E-Mail-Weiterleitungsoperationen umfangreiche Metadaten und Headerinformationen offen, die die meisten Benutzer weder verstehen noch vorhersehen, dass sie mit weitergeleiteten Nachrichten übertragen werden. Jede E-Mail enthält erhebliche technische Metadaten, die die Reise der Nachricht durch die E-Mail-Systeme, ihren Ursprungsort und verschiedene Verarbeitungsattribute beschreiben.

Wenn E-Mails weitergeleitet werden, reisen diese Metadaten normalerweise mit der Nachricht, wodurch eine detaillierte technische Spur entsteht, auf die weitergeleitete Empfänger über die Funktionen des E-Mail-Clients zugreifen können. Laut der Metadatenforschung von Reveal Data umfasst E-Mail-Metadaten Systemmetadaten, die beschreiben, wann Nachrichten erstellt, abgerufen oder geändert wurden; Dokumentmetadaten, einschließlich Titel, Autor und Änderungshistorie; sowie Benutzermetadaten, die Tags, Bewertungen und Kommentare darstellen, die von E-Mail-Benutzern hinzugefügt wurden.

Was bei der Weiterleitung offengelegt wird

E-Mail enthält spezifisch eingebettete Header, die Informationen zur Sendestation, Empfängern, Zeitstempeln, Serverinformationen, IP-Adressen und Serverprotokollen bereitstellen. Der Weiterleitungsprozess bringt besondere Komplexität in Bezug auf die Offenlegung von Metadaten mit sich, da weitergeleitete Nachrichten ihre ursprünglichen Metadaten behalten und zusätzliche Schichten von Verarbeitungsinformationen von jedem Weiterleitungsereignis anhäufen.

Wenn eine E-Mail weitergeleitet wird, bleiben die Header der ursprünglichen Nachricht für die Empfänger der weitergeleiteten Nachricht sichtbar, was potenziell sensible Informationen über den ursprünglichen Weg der Nachricht durch die E-Mail-Systeme, die E-Mail-Adressen der ursprünglichen Empfänger und organisatorische Details zur E-Mail-Infrastruktur der sendenden Organisation offenlegt. Erweiterte E-Mail-Nachrichtshistorien, die durch mehrere Weiterleitungen und Antworten erstellt werden, sammeln umfangreiche Metadaten, die jeden Verarbeitungsschritt, jede Interaktion und Teilnahme beschreiben.

Betrachten Sie folgendes Szenario: Ein Mitarbeiter erhält eine sensible E-Mail von seinem Vorgesetzten, leitet sie an einen Kollegen zur Rückmeldung weiter, der sie anschließend an einen externen Berater weiterleitet. Dies schafft eine Metadatenspur, die die Beteiligung all dieser Parteien und deren Rolle in der Kommunikation offenbart. Empfänger von weitergeleiteten E-Mails können E-Mail-Header und Metadaten über die Standardfunktionen von Outlook oder Gmail einsehen, die technische Nachrichteninformationen anzeigen, wobei Routinginformationen, Serverdetails und IP-Adressen abgerufen werden, die die Benutzer nicht offenlegen wollten.

Implikationen für die Sicherheit von Organisationen

Die Praxis des Weiterleitens von E-Mails beinhaltet daher die unbeabsichtigte Übertragung umfangreicher technischer Informationen über den Nachrichteninhalt hinaus, was zusätzliche Expositionsvektoren für sensible organisatorische Informationen schafft. Organisationen sollten Richtlinien und Schulungen einführen, die festlegen, welche Metadaten in weitergeleiteten E-Mails übertragen werden, insbesondere beim Weiterleiten externer Kommunikationen oder Nachrichten, die sensible Geschäftsdiskussionen enthalten.

GDPR-Compliance-Verpflichtungen und E-Mail-Weiterleitung

Wenn Ihre Organisation in Europa tätig ist oder Daten von EU-Bürgern verarbeitet, tragen die E-Mail-Weiterleitungspraktiken spezifische gesetzliche Verpflichtungen gemäß der Datenschutz-Grundverordnung (DSGVO). Die Compliance-Anforderungen gehen über den allgemeinen Datenschutz hinaus und schaffen spezifische Einschränkungen dafür, wie Sie E-Mails mit personenbezogenen Daten weiterleiten können.

Laut den Compliance-Richtlinien von GDPR.eu verlangt die Verordnung von Organisationen, personenbezogene Daten durch geeignete technische Maßnahmen sicher aufzubewahren, wobei die E-Mail-Weiterleitung einen Vektor für die unbefugte Offenlegung personenbezogener Daten darstellt, die den regulatorischen Anforderungen unterliegen. Artikel 5 der DSGVO spezifiziert, dass personenbezogene Daten rechtmäßig, fair und transparent verarbeitet werden müssen, mit Datenschutz durch Design und Standard.

E-Mail-Weiterleitungskonfigurationen und Compliance

Dieses Prinzip erfordert von Organisationen, die datenschutzrechtlichen Auswirkungen zu berücksichtigen, wenn sie Regeln und Richtlinien zur E-Mail-Weiterleitung implementieren, um sicherzustellen, dass personenbezogene Daten nicht versehentlich an unbefugte Empfänger weitergeleitet werden. E-Mail-Weiterleitungskonfigurationen, die eine automatische Weiterleitung an externe Empfänger ermöglichen, stellen besondere Compliance-Herausforderungen gemäß der DSGVO dar.

Ein Mitarbeiter, der sein E-Mail-Konto so konfiguriert, dass alle eingehenden Nachrichten automatisch an eine persönliche E-Mail-Adresse, die bei einem öffentlichen E-Mail-Dienst geführt wird, weitergeleitet werden, kann versehentlich Nachrichten weiterleiten, die personenbezogene Daten von EU-Bürgern enthalten, an Cloud-Infrastrukturen, die von Unternehmen betrieben werden, die unterschiedlichen Datenschutzrahmen unterliegen. Solche Konfigurationen können gegen die Anforderungen der DSGVO hinsichtlich internationaler Datenübertragungen und der Verantwortlichkeit von Datenverarbeitern verstoßen, wodurch die Organisation potenziell erheblichen regulatorischen Geldstrafen ausgesetzt wird.

Aufbewahrungspflichten und Weiterleitungspraktiken

Die Aufbewahrungspflichten für E-Mails gemäß der DSGVO überschneiden sich ebenfalls mit den Praktiken der E-Mail-Weiterleitung. Artikel 5 der DSGVO spezifiziert, dass personenbezogene Daten "nicht länger als notwendig für die Zwecke, für die die personenbezogenen Daten verarbeitet werden, gespeichert werden dürfen." Dieses Prinzip steht im Spannungsverhältnis zur gängigen Praxis, Kopien von weitergeleiteten E-Mails unbegrenzt aufzubewahren, da jede weitergeleitete Kopie eine zusätzliche Speicherung personenbezogener Daten darstellt, die die erforderliche Mindestaufbewahrung für legitime Geschäftszwecke überschreiten kann.

Organisationen sollten Richtlinien zur E-Mail-Aufbewahrung einführen, die legitime Geschäftsanforderungen mit den Compliance-Verpflichtungen der DSGVO in Einklang bringen, möglicherweise die Dauer beschränken, für die weitergeleitete E-Mails mit personenbezogenen Daten aufbewahrt werden. Fortschrittliche E-Mail-Management-Lösungen können die DSGVO-Compliance erleichtern, indem sie granulare Kontrollen zur E-Mail-Weiterleitung basierend auf den Eigenschaften des Nachrichteninhalts implementieren, die es Organisationen ermöglichen, E-Mails, die mit personenbezogenen Daten assoziierte spezifische Schlüsselwörter enthalten, automatisch an designated Compliance Officers oder Archivierungssysteme weiterzuleiten.

Erkennen und Verhindern von böswilligen E-Mail-Weiterleitungsregeln

Zu verstehen, wie man nicht autorisierte Weiterleitungsregeln erkennt, ist eine kritische Verteidigung gegen angreifende E-Mails. Die meisten Organisationen erstellen detaillierte Protokolle über die Erstellung und Änderung von E-Mail-Regeln, viele verfügen jedoch nicht über die analytische Infrastruktur, um diese Protokolle systematisch zu überprüfen oder Ereignisse zur Regelcreation mit verdächtigen Anmeldeaktivitäten zu korrelieren.

Für Organisationen, die Office 365 verwenden, bietet das einheitliche Auditprotokoll umfassende Einsicht in die Erstellung, Änderung und Löschung von Postfachregeln und erfasst den Kontext darüber, wer die Regel erstellt hat, wann die Regel erstellt wurde und welche Parameter konfiguriert wurden. Laut Microsofts offizieller Sicherheitsdokumentation kann spezifische Erkennungslogik verdächtige E-Mail-Weiterleitungsregeln identifizieren, indem die Eigenschaften von Regelcreationsevents und die Konfigurationen, die sie festlegen, untersucht werden.

Technische Erkennungsansätze

Die Operation "UpdateInboxRules" in Kombination mit Eigenschaften wie "Forward" und "Recipients" identifiziert Posteingangsregeln, die Nachrichten an externe Empfänger weiterleiten. Ebenso identifiziert die Operation "Set-Mailbox" mit Parametern wie "ForwardingSmtpAddress" oder "ForwardingAddress" die Auto-Forwarding-Konfigurationen, die über administrative Schnittstellen erstellt wurden. Organisationen sollten Alarme für diese spezifischen Operationen implementieren, insbesondere wenn sie außerhalb der normalen Geschäftszeiten auftreten, von ungewöhnlichen Geolokationen stammen oder mit verdächtigen IP-Adressen verbunden sind.

Die Bedrohungserkennungsforschung von Red Canary identifizierte spezifische Muster, die für von Gegnern erstellte Weiterleitungsregeln charakteristisch sind und die Genauigkeit der Erkennung verbessern können. Gegner erstellen häufig Postfachregeln mit absichtlich minimalen oder verschleierten Namen, die aus einzelnen Zeichen oder sich wiederholenden Zeichen wie Punkten bestehen, die sich erheblich von rechtmäßig erstellten Benutzerregeln unterscheiden, die typischerweise beschreibende Namen tragen, die ihre Funktion widerspiegeln. Darüber hinaus enthalten verdächtige Regeln häufig Filterbedingungen, die auf sensible Geschäftskommunikationen abzielen, wie Nachrichten, die Schlüsselwörter wie "Rechnung", "Lohnabrechnung" oder "Passwort zurücksetzen" enthalten.

Prävention durch Administrative Kontrollen

Die Verhinderung von externem E-Mail-Weiterleiten stellt einen robusteren Sicherheitsansatz dar als nur Erkennung. Microsoft 365-Administratoren können Richtlinien für ausgehende Spam-Filter konfigurieren, um automatische Weiterleitungen an externe Empfänger einzuschränken, mit Optionen wie "Automatisch - vom System gesteuert", "Ein - Weiterleitung ist aktiviert" und "Aus - Weiterleitung ist deaktiviert." Die Standardeinstellung "Automatisch - vom System gesteuert" funktioniert jetzt wie "Aus" und deaktiviert automatische externe Weiterleitungen für alle Organisationen und sendet Nicht-Zustellberichte an Absender zurück, die versuchen, an externe Adressen weiterzuleiten.

Organisationen können diese Standards überschreiben, indem sie die Einstellung explizit auf "Ein" konfigurieren, wenn geschäftliche Anforderungen die Aktivierung externer Weiterleitungen rechtfertigen, jedoch sollten solche Konfigurationen von umfangreicher Protokollierung und Überwachungsinfrastruktur begleitet sein. Google Workspace-Administratoren können automatische Weiterleitungen über administrative Kontrollen deaktivieren, die einschränken, welche Benutzer Weiterleitungsregeln konfigurieren können und an welche Ziele das Weiterleiten erlaubt ist.

Einrichtung sicherer E-Mail-Weiterleitungspraktiken

Organisationen benötigen formale Richtlinien zur Regelung der E-Mail-Weiterleitung, die betriebliche Anforderungen und Sicherheitsrisiken ausbalancieren. Eine effektiv gestaltete E-Mail-Weiterleitungsrichtlinie sollte festlegen, dass eine automatische Weiterleitung eingeschränkt ist, es sei denn, sie wurde ausdrücklich von einem Vorgesetzten und den für Informationssicherheit zuständigen Personen genehmigt.

Laut Staff.Wiki-Richtlinienrahmenforschung sollte die Richtlinie festlegen, dass sensible Informationen, wie sie in den Richtlinien zur Datenklassifizierung der Organisation definiert sind, nicht auf irgendeinem Weg weitergeleitet werden, es sei denn, die E-Mail ist für die Geschäftsabläufe kritisch und ist gemäß den festgelegten Verschlüsselungsstandards verschlüsselt. Organisationen sollten die geschäftliche Rechtfertigung für jede genehmigte Weiterleitungskonfiguration dokumentieren, zentrale Aufzeichnungen über genehmigte Weiterleitungsziele führen und periodische Prüfungen durchführen, um zu bestätigen, dass die Weiterleitungskonfigurationen mit den dokumentierten Geschäftsanforderungen übereinstimmen.

Schulung und Sensibilisierung der Mitarbeiter

Die Schulung der Mitarbeiter stellt einen kritischen Bestandteil der Sicherheit bei der E-Mail-Weiterleitung dar, insbesondere in Situationen, die menschliches Urteilsvermögen darüber erfordern, welche Informationen weitergeleitet werden sollen und an welche Empfänger. Die Schulung sollte die versehentlichen Risikos der Offenlegung von Informationen im Zusammenhang mit den Metadaten und der Gesprächshistorie weitergeleiteter E-Mails, das Potential, dass weitergeleitete E-Mails von unbefugten Dritten abgefangen oder eingesehen werden, und die regulatorischen oder vertraglichen Verpflichtungen, die die weitergeleiteten Informationen betreffen, betonen.

Die Mitarbeiter sollten geschult werden, den Nachrichteninhalt und die Empfängerliste vor der Durchführung von Weiterleitungen zu überprüfen, zu überlegen, ob alternative Kommunikationsmethoden für sensible Mitteilungen geeigneter sein könnten, und sich bei Unsicherheiten über die Angemessenheit der Weiterleitung an die für Informationssicherheit zuständigen Personen zu wenden.

Best Practices für Abwesenheitsnachrichten

Organisationen sollten standardisierte Prozesse zur Erstellung von Abwesenheitsnachrichten einführen, die die Offenlegung von Informationen minimieren und gleichzeitig höflich bleiben. Empfohlene Best Practices beinhalten, Abwesenheits-Autoresponder nur für interne Absender zu aktivieren oder separate Auto-Antworten für externe Absender mit erheblich reduzierten Informationen zu implementieren.

Abwesenheitsnachrichten sollten vermeiden, die genaue Dauer der Abwesenheit anzugeben, sollten keine spezifischen Standortdetails über allgemeine geografische Regionen hinaus erwähnen und sollten keine Kontaktinformationen für alternative Mitarbeiter enthalten, es sei denn, es ist für den operativen Fortlauf unbedingt erforderlich. Eine konforme Abwesenheitsnachricht sollte einfach den Erhalt der Nachricht bestätigen und allgemeine Informationen zu den Reaktionszeiten bereitstellen, ohne sensible Details über Bewegungen von Mitarbeitern oder die Organisationsstruktur offenzulegen.

Auswahl des E-Mail-Clients und Datenschutzüberlegungen

Der E-Mail-Client, den Sie wählen, hat einen erheblichen Einfluss auf Ihre Exposition gegenüber Sicherheitsrisiken beim Weiterleiten. Das Verständnis, wie unterschiedliche Ansätze zur Datenspeicherung und -verarbeitung die Sicherheit beim Weiterleiten beeinflussen, hilft Ihnen, informierte Entscheidungen darüber zu treffen, welche Tools Ihre Privatsphäre und Daten Ihres Unternehmens am besten schützen.

Cloudbasierte E-Mail-Dienste wie Gmail und Microsoft Outlook speichern Nachrichten auf entfernten Servern, die von E-Mail-Anbietern betrieben werden. Dies bietet Zugriff von mehreren Geräten, kann jedoch dazu führen, dass Daten dem Zugriff von Dienstanbietern und serverseitigen Kompromittierungen ausgesetzt sind. Lokale E-Mail-Clients speichern Daten direkt auf Ihrem Gerät, was verbesserte Privatsphäre durch lokale Datenspeicherung bietet und die Exposition gegenüber serverseitigen Sicherheitsverletzungen oder dem Datenzugriff durch Dienstanbieter verringert.

Vorteile der lokalen Speicherarchitektur

Lokale Speicherlösungen bedeuten, dass der Anbieter des E-Mail-Clients nicht auf E-Mail-Inhalte oder Metadaten zugreifen kann, da alle Daten ausschließlich auf Ihrem Gerät und nicht auf entfernten Servern verbleiben. Mailbird ist ein Beispiel für diesen Ansatz der lokalen Speicherung im Design von E-Mail-Clients, da es als lokale Anwendung auf Windows- und macOS-Computern funktioniert und alle sensiblen Daten ausschließlich auf Ihrem Gerät gespeichert sind.

Laut der Sicherheitsarchitekturdokumentation von Mailbird bleiben E-Mail-Inhalte ausschließlich auf dem lokalen Rechner des Nutzers und werden nicht auf Mailbird-Servern gespeichert, wodurch der Anbieter der Anwendung daran gehindert wird, auf E-Mail-Kommunikationen zuzugreifen oder diese zu analysieren. Die Datenübertragung zwischen Mailbird und dem Lizenzserver von Mailbird erfolgt über sichere HTTPS-Verbindungen, die Transport Layer Security-Verschlüsselung implementieren und die Daten im Transit vor Abfangung und Manipulation schützen.

Mailbird sammelt nur minimale Benutzerdaten für Kontozwecke – spezifisch den Benutzernamen und die E-Mail-Adresse – und erhebt anonymisierte Daten zur Nutzung von Funktionen, die an Analysedienste gesendet werden, wobei diese anonymisierte Telemetrie ausdrücklich keine personenbezogenen Daten enthält. Dieser datenschutzorientierte Ansatz stellt sicher, dass Ihre Aktivitäten beim E-Mail-Weiterleiten, der Nachrichteninhalt und Metadaten unter Ihrer exklusiven Kontrolle bleiben.

Umfassende Integration von E-Mail-Konten

Mailbird unterstützt eine umfassende Integration von E-Mail-Konten über IMAP- und SMTP-Protokolle, sodass Benutzer praktisch jeden E-Mail-Anbieter, einschließlich Gmail, Microsoft Outlook und zahlreicher anderer, über branchenspezifische Protokolle verbinden können. Nach dem Hinzufügen mehrerer E-Mail-Konten können Benutzer entweder alle Konten in einem einheitlichen Posteingang anzeigen oder mit einem Klick zwischen einzelnen Konten wechseln, was die Verwaltung persönlicher und beruflicher Kommunikation über eine einzige Schnittstelle erleichtert.

Die Anwendung umfasst zahlreiche Sicherheits- und Produktivitätsfunktionen, einschließlich E-Mail-Tracking, mit dem Benutzer feststellen können, ob Empfänger gesendete E-Mails geöffnet haben, eine Geschwindigkeitslesefunktion für die schnelle Verarbeitung von E-Mails und erweiterte Filter- und Regelmöglichkeiten. Diese Funktionen ermöglichen es Ihnen, die Kontrolle über Ihre Praktiken beim E-Mail-Weiterleiten zu behalten und gleichzeitig von modernen Produktivitätswerkzeugen zu profitieren.

Alternative, Datenschutzorientierte E-Mail-Anbieter

Für Benutzer, die maximale Verschlüsselung und Datenschutz benötigen, bieten dedizierte verschlüsselte E-Mail-Anbieter zusätzliche Sicherheitsebenen. ProtonMail implementiert eine Zero-Knowledge-Architektur und stellt sicher, dass selbst ProtonMail nicht auf die E-Mail-Daten der Benutzer zugreifen kann, aufgrund der Ende-zu-Ende-Verschlüsselung aller Kommunikationen. ProtonMail-Server in der Schweiz profitieren von strengen Schweizer Datenschutzgesetzen, die regulatorische Schutzmaßnahmen bieten, die in vielen Rechtsordnungen über die verfügbaren hinausgehen.

Tutanota stellt einen weiteren datenschutzorientierten, verschlüsselten E-Mail-Anbieter dar, der quantensichere Ende-zu-Ende-Verschlüsselung und umfassende Verschlüsselung von Postfachdaten einschließlich Betreffzeilen bietet, die von vielen anderen Anbietern nicht geschützt werden. Der Dienst betreibt Server in Deutschland, die den Anforderungen der DSGVO entsprechen, bietet sowohl Web- als auch mobile Anwendungen mit verschlüsselter Kalender- und Kontaktverwaltung und ermöglicht es Benutzern, verschlüsselte E-Mails an Nichtbenutzer über passwortgeschützten gemeinsamen Zugriff zu senden.

Aufbau einer umfassenden E-Mail-Sicherheitsstrategie

Der Schutz vor Sicherheitsrisiken beim E-Mail-Weiterleiten erfordert einen mehrschichtigen Ansatz, der technische Schwachstellen, menschliche Faktoren und organisatorische Prozesse berücksichtigt. Die Grundlage effektiver E-Mail-Sicherheit besteht darin, die Multi-Faktor-Authentifizierung für alle E-Mail-Konten zu aktivieren, um das Risiko einer Kontoübernahme erheblich zu reduzieren, selbst wenn Passwörter kompromittiert werden.

Laut der Forschung zu Best Practices der E-Mail-Sicherheit von Rippling zeigt Microsofts Forschung, dass die Aktivierung von MFA über 99,9% der Angriffe auf Kontoübernahmen blockieren kann, was eine außergewöhnliche Rendite bei relativ einfacher Umsetzung darstellt. Die Anforderungen an die Multi-Faktor-Authentifizierung beseitigen den primären Angriffsvektor, über den Angreifer Zugriff auf E-Mail-Konten erhalten und anschließend Weiterleitungsregeln erstellen.

Authentifizierungs- und Verschlüsselungsprotokolle

Organisationen sollten E-Mail-Authentifizierungsprotokolle wie DMARC, DKIM und SPF implementieren, um die Authentizität von E-Mails zu überprüfen und Domain-Spoofing zu verhindern. Diese Protokolle arbeiten zusammen, um E-Mail-Absender zu authentifizieren und die unbefugte Nutzung von Domainnamen zu verhindern, wodurch Organisationen ihre Marke schützen und die Effektivität von Phishing-Kampagnen, die sich als legitime Absender ausgeben, verringern können.

Die Verschlüsselung sensibler E-Mails über S/MIME oder PGP bietet zusätzlichen Schutz, wenn der E-Mail-Inhalt hochsensiblere Informationen enthält. Allerdings kann die Verschlüsselung allein keine E-Mail-Weiterleitungsangriffe verhindern, die auf der Ebene des Kontozugriffs operieren. Organisationen sollten umfassende E-Mail-Sicherheitsrichtlinien festlegen, die die akzeptable Nutzung von E-Mails definieren, das Teilen sensibler Informationen ohne vorherige Genehmigung verbieten und Verfahren für die Meldung verdächtiger E-Mail-Aktivitäten festlegen.

Technische Kontrollen und Überwachung

Technische Kontrollen sollten Systeme zur Verhinderung von E-Mail-Datenverlust einschließen, die in der Lage sind, ausgehende E-Mails auf Muster sensibler Informationen zu analysieren und die Übertragung von Nachrichten, die Richtlinien entsprechen, zu verhindern. Moderne DLP-Systeme, die Verhaltensanalysen und maschinelles Lernen verwenden, können erkennen, wenn Mitarbeiter sensible Informationen an unbefugte Konten senden und zwischen legitimen Homeoffice-Aktivitäten und böswilligen Exfiltrationsversuchen unterscheiden.

Organisationen sollten diese Systeme so konfigurieren, dass sie in Echtzeit Warnmeldungen anzeigen, die die Benutzer alarmieren, wenn verdächtiges Verhalten erkannt wird, sodass die Benutzer vor der Übertragung der Nachricht überprüfen können, ob sie die Aktion beabsichtigt haben. Systeme zur Archivierung von E-Mails und zur Protokollierung von Audits sollten umfassende Einblicke in die Übertragung, Weiterleitung und Aufbewahrung von E-Mails bieten, um Sicherheitsuntersuchungen und Vorfallreaktionen bei Bedarf zu ermöglichen.

Organisationen sollten regelmäßige Prüfungen der E-Mail-Konfigurationen, Weiterleitungsregeln und Einstellungen von Verteilerlisten durchführen, um die Übereinstimmung mit den festgelegten Richtlinien sicherzustellen und potenziell bösartige Konfigurationen zu identifizieren. Audits sollten mindestens vierteljährlich geplant werden und speziell E-Mail-Konten von Führungskräften und anderen wertvollen Zielen untersuchen, da diese Konten hochpriorisierte Ziele für anspruchsvolle Bedrohungsakteure darstellen.

Häufig gestellte Fragen