Gezielte Attacken per E-Mail – so genanntes Spear Phishing – ist nichts Neues. Ein Sicherheitsspezialist von Symantec trägt jetzt in einem Blog-Beitrag interessante Fakten rund um diese Angriffsart zusammen. Grundsätzlich gilt: Je sensibler die Informationen sind, die von einer bestimmten Organisation gehandhabt werden, desto wahrscheinlicher ist es, dass diese Organisation Opfer eines gezielten E-Mail-Angriffs wird.

Symantec konnte die Spur der versandten E-Mails zu insgesamt 6391 eindeutigen IPs in 91 verschiedenen Ländern zurückverfolgen. Knapp zwei Drittel (62,15 Prozent) kommen aus Nord- und Südamerika, ein gutes Viertel (26,04 Prozent) aus dem asiatisch-pazifischen Raum und knapp über 10 Prozent kommen aus der EMEA-Region.

Bevorzugtes Ziel waren die öffentliche Hand und Regierungsapparate (21 Prozent), produzierende Unternehmen (19 Prozent), die Finanzwirtschaft (zwölf Prozent) und IT-Dienstleister (neun Prozent). Drei der Top-10-Empfängeradressen gehören Regierungsbehörden. Vier weitere stehen in enger Beziehungen zu lokalen oder internationalen Regierungsstellen und die Geschäfte zweier weiterer Unternehmen werden stark reguliert.

Malware-E-Mails werden zudem nicht blind gestreut: Bestimmte Individuen – Vorstände, Geschäftsführer, leitende Angestellte – mit öffentlichen Profilen mit Job-Bezeichnung und E-Mail-Adresse werden deutlich intensiver attackiert als andere Angestellte. Gern wird aber auch IT-Personal adressiert, da dieser Personenkreis oft genug Administratorrechte in einem Teil oder gar der kompletten IT-Infrastruktur des betroffenen Unternehmens hat – da ist ein  befallener Rechner schnell der sprichwörtliche Fuß in der Tür.

In praktisch allen Fällen berichten Anwender laut Symantec von einer Varianz der E-Mail-Angriffe: Auf ein Hoch folgt in der Regel eine Phase der Ruhe, die den User vermutlich in Sicherheit wiegen. Gleichzeitig konnten die Symantec-Forscher bei diversen Opfern die gleichen Verteilungsmuster hinsichtlich der Anzahl empfangener Schad-E-Mails pro Monat feststellen, was auf den gleichen Angreifer schließen lässt.

Laut dem von Symantec betrachteten Datenmaterial empfingen 23.529 Anwender zehn oder weniger maßgeschneiderte Schad-E-Mails (69,44 Prozent aller bösartigen E-Mail), die verbleibenden 30,56 Prozent gingen an nur 833 Anwender. Rund ein Drittel aller versendeten Malware-E-Mails war auf lediglich drei Prozent aller User konzentriert. Im Vergleich zu den Milliarden von Spam-Nachrichte, die tagtäglich versandt werden, ein unglaublich kleiner Anteil.

Die beliebtesten Anhänge in Schad-Mails sind laut Symantec die Formate PDF (38 Prozent), DOC (29 Prozent), EXE (zehn Prozent), XLS (acht Prozent) und PPT (vier Prozent). Eine Überraschung ist der recht hohe Anteil an ausführbaren Dateien: Da die meisten Organisationen diesen Datei-Typ bereits am Gateway herausfiltern, ist er eigentlich eine schlechte Wahl.

Angriffe via PDF- und MS-Office-Dateien folgen in der Regel dem gleichen Schema: Sie nutzen entweder eine Sicherheitslücke in der entsprechenden Anwendung oder enthalten eine eingebettete schädliche Datei. In beiden Fällen muss der Anwender das Dokument aber öffnen. Das Problem der Sicherheitslücken kann durch schnellstmögliche Installation von Patches gelöst werden. Das unbedachte Öffnen unbekannter Dateien kann dagegen nur durch Schulungen und eine Sensibilisierung der Anwender gekontert werden.

Gastbeitrag von Michael Kranawetter, Chief Security Advisor (CSA) bei Microsoft in Deutschland. In seinem eigenen Blog veröffentlicht Michael alles Wissenswerte rund um Schwachstellen in Microsoft-Produkten und die veröffentlichten Softwareupdates.