Abschaltung der Zustellung von E-Mails mit Makro-fähigen Anlagen

Abschaltung der Zustellung von E-Mails mit Makro-fähigen Anlagen

April 1, 2020, 4:40 p.m.

Ab dem 01.06.2020 werden E-Mails mit makro-fähigen Dateianlagen, durch unsere Mailserver abgelehnt. Der Absender erhält eine entsprechende Fehlermeldung.

Die folgende Änderungsmitteilung wurde am 31.03.2020 im IT-Projektausschuss verabschiedet:

In den letzten 9 Monaten hat die Bedrohungslage für Hochschulen durch den Anstieg an per E-Mail verbreiteter Schadsoftware, wie zum Beispiel Emotet oder Trickbot, stark zugenommen. Um den Opfern dieser E-Mail-Kampagnen glaubhaft zu machen, dass es sich bei den angehängten Dateien um ein wichtiges Dokument handle, werden oft Texte aus bestehenden Konversationen verwendet, welche die Angreifer im Rahmen vorheriger Angriffe erbeuten konnten.

Am 03.06.2019 hat die Hochschul-IT damit begonnen, E-Mails mit Makro-fähigen Dateianhängen zu markieren, um die Wahrscheinlichkeit einer unbeabsichtigten Ausführung von Schadsoftware entgegen zu wirken. Durch diese zusätzliche Aufklärungsarbeit wurde im Rahmen von Supportanfragen allen betroffenen Personen nahegelegt, sich gemeinsam mit den Absendern betroffener E-Mails auf alternative Dateiformate zu einigen. Im September zeichnet sich ab, dass Hochschulen zunehmend in das Visier von Angreifern geraten: Am 30.09.2019 veröffentlichte die Hochschul-IT eine Meldung, die auf Gefahren durch E-Mail-Anhänge erneut aufmerksam machen soll [1]. Der am 17.10.2019 veröffentlichte Lagebericht des BSI schätzt die Bedrohungslage als anhaltend hoch ein [2]. Am 07.11.2019 beginnt die Hochschul-IT damit, Makro-fähige E-Mail-Anhänge in Quarantäne zu verschieben. Erneut wird im Rahmen der daraus resultierenden Supportanfragen den betroffenen Personen nahegelegt, ihre Absender über die Benutzung potentiell gefährlicher Dateiformate in Kenntnis zu setzen. Insbesondere für die Kommunikation der Bibliothek mit Dritten wurde durch das Ausweichen auf alternative Dateiformate ein großer Fortschritt erzielt. Gegen Anfang Dezember 2019 geht die Uni Gießen aufgrund eines schwerwiegenden Sicherheitsvorfalls offline [3]. Am 18.12.2019 warnt das BSI vor "schadhaften SPAM-Mails im Namen mehrerer Bundesbehörden", und empfiehlt die zentrale Unterbindung der Ausführung von Makros in Office-Dokumenten [4]. Am 20.12.2019 erreicht uns der vom BSI verschickte "Maßnahmenkatalog Emotet", welcher unter anderem die Filterung von E-Mails mit Office-Dokumenten empfiehlt. Am 07.01.2020 berichtet der Heise-Verlag: "Niedersächsische Finanzbehörden blockieren E-Mails mit enthaltenen Links" [5]

Aus dem IT-Sicherheitslagebild für Februar 2020 vom N-CERT geht hervor, dass neue Kampagnen von Emotet zunehmend auf verschlüsselte Dokumente und Links setzen, um einer möglichen Erkennung durch Spamfilter zu entgehen.

Insgesamt sind seit der Kennzeichnung und späteren Quarantänisierung von E-Mails mit Makro-fähigen Dateianhängen mehr als 9 Monate vergangen, in denen sich in der Hochschule ein Bewusstsein für diese Problematik entwickelt hat. Auch die Anzahl an Supportanfragen in Bezug auf Dateianhängen, die in die Quarantäne verschoben wurden, ist insbesondere in den letzten 2 Monaten gesunken.


Deshalb kündigen wir zum 01.06.2020 die Zustellung von E-Mails mit Makro-fähigen Anlagen ab.

Ab dem 01.06.2020 sollen derartige E-Mails durch unsere Mailserver mit einer selbsterklärenden Fehlermeldung abgelehnt werden.

[1] https://service.it.hs-hannover.de/meldungen/besondere-vorsicht-bei-mailanh%C3%A4ngen-emotet/

[2] https://www.bsi.bund.de/DE/Presse/Pressemitteilungen/Presse2019/Lagebericht_171019.html

[3] https://www.giessener-allgemeine.de/giessen/giessen-offline-wichtigsten-antworten-nach-mutmasslichen-hackerangriff-13300765.html

[4] https://www.bsi.bund.de/DE/Presse/Pressemitteilungen/Presse2019/Spam-Bundesbehoerden_181219.html

[5] https://www.heise.de/newsticker/meldung/Niedersaechsische-Finanzbehoerden-blockieren-E-Mails-mit-enthaltenen-Links-4629877.html