Wie McLaren Racing sich gegen komplexe E-Mail-Bedrohungen wappnet

Ed Green, Principal Digital Architect at McLaren Racing (Gastbeitrag) | Mittwoch, 06. Januar 2021

Der Schutz der E-Mail-Kommunikation unseres Teams stellte in der Vergangenheit eine große Herausforderung für McLaren Racing dar. Bereits vor COVID-19 war unsere Belegschaft unglaublich dynamisch. Seit 30 Jahren ist es für uns ganz normal, unsere Remote-Büros Wochenende für Wochenende an den Rennstrecken der Welt einzurichten. Das E-Mail-Aufkommen ist seit jeher enorm hoch, wurde aber nicht immer zentral verwaltet.

Zusammenarbeit ist sehr wichtig für das Team, sowohl mit unseren Partnern als auch mit wichtigen Zulieferern. Jeden Tag werden auf vielfältigen Wegen Daten ausgetauscht – von geheimen Fahrzeugdesigns bis hin zu vertraulichen Daten von den Rennstrecken.

E-Mail-Angriffe auf unsere Nutzer haben in den letzten ein bis zwei Jahren stark zugenommen. Die Angreifer versuchen, sich Zahlungen zu erschleichen oder sich Zugang zu unserem geistigen Eigentum zu verschaffen. Social-Engineering-Angriffe werden immer raffinierter, sodass unsere Nutzer immer wieder auf Phishing- und Spoofing-E-Mails reagierten, obwohl wir Tools und Verfahren für deren Abwehr hatten.

Im letzten Jahr erweiterten wir das Darktrace Immune System auf unsere Posteingänge. Damit haben wir eine intelligente KI-gestützte Sicherheitslösung, die die normalen Verhaltensmuster – die sogenannten „Patterns of Life“ – jedes Microsoft 365-Nutzers kennt und auf dieser Grundlage Angriffe erkennt. Mit Darktrace kann das Sicherheitsteam selbst hochkomplexe E-Mail-Bedrohungen sofort abwehren, anstatt nur retrospektiv auf Angriffe zu reagieren, die es an traditionellen Abwehrmechanismen vorbeigeschafft haben.

Sensibilisierung unserer Mitarbeiter zur Erkennung von Angriffen

In der Vergangenheit verließen wir uns auf Bedrohungsdatenfeeds und retrospektive Sicherheitstools, die schädliche Adressen, Domains und URLs blockierten. Es gelangten aber immer noch einige Phishing-E-Mails in die Posteingänge der Nutzer. In der Regel waren diese E-Mails sorgfältig und mit Hintergrundwissen verfasst und richteten sich gezielt an den Empfänger. Mitunter waren sie nicht von echter Kommunikation zu unterscheiden. Obwohl wir Sensibilisierungsprogramme für die Mitarbeiter haben, reagierten einige Nutzer auf diese schädlichen E-Mails, was zu kompromittierten Benutzerkonten und Betrugsversuchen führte. Unsere Sicherheitsressourcen waren dann damit beschäftigt, diese Vorfälle zu beheben, anstatt proaktiv die Sicherheit bei McLaren Racing zu verbessern.

Wir organisierten in Zusammenarbeit mit vielen unserer Partner Cyber-Awareness-Wochen und simulierten selbst Phishing-Kampagnen, um unsere Mitarbeiter für mögliche Angriffe zu sensibilisieren. Allerdings waren diese Sensibilisierungsprogramme aufgrund von zunehmendem Remote Working immer schwerer umzusetzen. Die Empfänglichkeit der Mitarbeiter für solche Angriffe war schon immer ein Problem, deshalb hatte unser Sicherheitsteam alle Hände voll zu tun, unseren wichtigsten Stakeholdern zu helfen, Spoofing-E-Mails zu erkennen und gemeinsam geeignete Geschäftsprozesse zu entwickeln und einzurichten.

Das war ein langwieriger Prozess und wir können von unseren Mitarbeitern kaum erwarten, dass sie die immer subtileren Anzeichen eines E-Mail-Angriffs erkennen. Angesichts der zunehmenden Komplexität moderner E-Mail-Angriffe, der gut recherchierten Inhalte und der immer raffinierteren Social-Engineering-Methoden lässt es sich kaum verhindern, dass Menschen und rudimentäre Schutzmechanismen weiterhin von Phishing-Angriffen überlistet werden.

Der Umstieg auf Cyber-KI

In Zusammenarbeit mit unserem Partner Darktrace haben wir dessen E-Mail-Sicherheitstechnologie Antigena Email eingeführt und gemeinsam konfiguriert und installiert. Schon nach wenigen Tagen sahen wir erste Ergebnisse. Das Volumen der von Nutzern gemeldeten Phishing-E-Mails ging stark zurück, und mithilfe der Autonomous Response und der regelmäßigen Analyse der von Antigena Email ergriffenen Maßnahmen entdeckten wir viele bisher unbemerkte Phishing-Kampagnen.

Antigena berücksichtigt bei den ergriffenen Maßnahmen den Kontext des Unternehmens und hält E-Mails nur dann zurück, wenn dies unvermeidlich ist (<1% in unserer Umgebung). Es werden nur die wirklich schädlichen E-Mails abgefangen und keine Flut von Fehlalarmen produziert. Zudem sind die Maßnahmen gezielt und verhältnismäßig und reichen vom Verschieben der E-Mails in den Spam-Ordner bis hin zur Konvertierung von Anhängen und einer Sperrung von Links. Das gibt uns genau die Flexibilität, die wir brauchen.

Da Antigena Email kontinuierlich lernt und hochkomplexe E-Mail-Angriffe abwehrt, wird das Sicherheitsteam entlastet und kann sich auf die Entwicklung neuer Initiativen und neue Innovationsbereiche konzentrieren.

Abwehr eines gezielten Angriffs auf die Unternehmensführung, um Zugangsdaten abzugreifen

Wie bei vielen Unternehmen ist häufig unsere Führungsetage das Ziel von schädlichen E-Mails. Antigena Email entdeckte vor kurzem eine E-Mail, die an einen unserer leitenden Manager geschickt wurde und ihn aufforderte, ein Finanzdokument zu unterzeichnen. Die E-Mail schien von DocuSign zu kommen und enthielt einen schädlichen Link, der hinter dem Text „Dokument prüfen“ verborgen war.

100%
Sat Oct 31 2020, 00:57:21
From:DocuSign on Behalf of Accounting Department
Recipient:<[email protected]>
Please DocuSign: Accounting sent you a document to review and sign
Email Tags
Suspicious Link
New Contact
Actions on Email
Move to Junk
Lock Link
Double Lock Link

Abbildung 1: Interaktiver Snapshot der Benutzeroberfläche von Antigena Email nach der Entdeckung der E-Mail

Abbildung 2: Screenshot der betreffenden E-Mail

Wenn der Link angeklickt wird, kommt es bei derartigen E-Mail meist zu einem von zwei Szenarien: Entweder wird der Nutzer auf eine gefälschte (und häufig sehr überzeugende) Anmeldeseite weitergeleitet, wo Zugangsdaten abgegriffen werden, oder das Dokument selbst enthält eine echt aussehende Rechnung, auf der ein wichtiges Detail verändert wurde – nämlich die Bankverbindung. Die Buchhaltung und das Finanzmanagement sind regelmäßig Ziel solcher Angriffe, aber in diesem Fall hatten es die Angreifer auf die Zugangsdaten des Managers abgesehen.

Hätte der Manager den Link angeklickt und versucht, sich anzumelden, hätte er, ohne es zu merken, seine Zugangsdaten an den Angreifer geschickt. Dieser hätte die Informationen dann verwenden können, um sensible Daten aus seinem Posteingang oder anderen SaaS-Konten abzugreifen oder um von dem Konto aus weitere schädliche E-Mails zu senden. Auf diese Weise hätte er noch weiter in unser Unternehmen eindringen können.

Die E-Mail wurde an dem Wochenende geschickt, an dem der Große Preis von Imola stattfand. Die 48 Stunden waren extrem fordernd für das gesamte Team, weil das neue Format ohne Freitagstraining uns alles abverlangte. Zum Glück passte Antigena Email auf und erkannte den Absender als neuen Kontakt und stufte den Link als schädlich ein. Die Darktrace KI sperrte den Link doppelt und verschob die E-Mail in den Spam-Ordner des Managers. Das Sicherheitsteam musste an dem Wochenende nicht damit behelligt werden.

Da solche Angriffe an der Tagesordnung sind, wäre das Team von McLaren allein nicht imstande, echte E-Mails von gefälschten zu unterscheiden und uns vor jeder einzelnen Bedrohung zu schützen. Die Entwendung von Zugangsdaten und Kontoübernahmen nehmen zu. Es schien daher nur eine Frage der Zeit zu sein, bis eine Phishing-E-Mail ihr Ziel erreicht und Angreifern Tür und Tor öffnet. Mit Antigena Email können wir uns darauf verlassen, dass wir durch eine leistungsstarke KI-Lösung geschützt werden – auf der Strecke und auch sonst überall.

Erfahren Sie mehr über Antigena Email

Ed Green

Ed Green works in the Architecture practice within the Information Technology function at McLaren Technology Group, as well as being responsible for the successful integration of their Technology Partners into the McLaren ecosystem. Ed joined McLaren in March 2018 after spending 5 years working for Block Solutions, a specialist network consultancy. In previous roles, he led the Consultancy division at a UK Solution Integrator operating across the public, enterprise, and commercial sectors. Ed has driven innovative engagements with organisations such as Harrods, intu, The Francis Crick Institute, and Barts Health NHS Trust. He has also spent seven years on the council at Great Ormond Street Hospital representing the views of patients at a Board level, and he continues his work at the Hospital School as a Governor and supports the school with STEM initiatives.