Ransomware: Euer Umgang damit

[PowerShellAdmin 169]

Deswegen gleich Spam blocken ;)

[martins 11]

Es gibt dazu ein Urteil. Dabei ging es um einen RA, der einen Termin für einen Mandanten versäumte weil die Mail vom Mandanten in seinem Junk Mail Ordner lag. Das Gericht gab dem Kläger recht, der hatte den RA auf Schadenersatz verklagt. Jeder muss einmal täglich in den Junk Mail Ordner schauen und die Mails dort sichten, das war das Resultat und die Begründung des Gerichtes für das Urteil. D.h. für mich heißt das, die MAs müssen einmal täglich den Junk Mail Ordner öffnen und die Mails sichten.

 

Frag mal nach wieviele mit dem Begriff Junk Mail Ordner etwas anfangen können. ;)

 

Müsste das Urteil (LG Bonn, 15 O 189/13) hier sein: http://www.justiz.nrw.de/nrwe/lgs/bonn/lg_bonn/j2014/15_O_189_13_Urteil_20140110.html 

 

 

Es kommt allerdings - wie immer - auf den Einzelfall an, z.B. darauf, an welche Mailadresse denn überhaupt der vermeintliche Spam geschickt wurde. Das LG führt dazu u.a. folgendes aus:

(...) Der Beklagte kann sich nicht damit entlasten, dass die Email vom 23.05.2011 angeblich nicht in seinem Email-Postfach einging, sondern durch den Spam-Filter aussortiert wurde. Der Beklagte hat die im Verkehr erforderliche Sorgfalt nicht beachtet, weil er seinen Spam-Filter nicht täglich kontrolliert hat. Die Emailadresse ####@##.## führt der Beklagte auf seinem Briefkopf auf und stellt sie dadurch als Kontaktmöglichkeit zur Verfügung. Es liegt im Verantwortungsbereich des Beklagten, wenn er eine Emailadresse zum Empfang von Emails zur Verfügung stellt, dass ihn die ihm zugesandten Emails erreichen. Bei der Unterhaltung eines geschäftlichen Email-Kontos mit aktiviertem Spam-Filter muss der Email-Kontoinhaber seinen Spam-Ordner täglich durchsehen, um versehentlich als Werbung aussortierte Emails zurück zu holen. (...)

 

Können wir ja im Off-topic weiter diskutieren! ;)

 

bye

Martin

bearbeitet 7. Dezember 2016 von martins

[Sunny61 806]

Korrektur der URL: http://www.justiz.nrw.de/nrwe/lgs/bonn/lg_bonn/j2014/15_O_189_13_Urteil_20140110.html

[WalterB 0]

Wir blocken alle Office Dokumente mit Macros oder VBS. Der ganze ausführbare Kram wird ebenfalls geblockt.

Die User bekommen vom AntiVirus die Benachrichtigung, dass der Anhang geblockt wurde (der normale Mailbody kommt durch).

Wenn der Empfänger den Anhang braucht schickt er die Quarantänebenachrichtigung ans Helpdesk. Dann schauen wir uns die Mail an (Headerüberprüfung, passt der MX, Sendeweg, etc. ) und geben diese ggf. frei

 

Restrisiko besteht natürlich immer - bisher hatten wir noch keinen Vorfall (Gott sei Dank)

 

Wir blockieren auch alle relvanten Anhänge und begutachten diese allerdings individuell. Bisher konnten wir alles abwehren!

 

Im November: 62000 Spams, 541 versuche Schadsoftware einzuschleusen und 252 Mails mit Anhängen in der Quarantäne.

 

WalterB

[martins 11]

Moin,

 

bei uns werden die Empfänger benachrichtigt, dass eine an sie gerichtete Mail aus diesem oder jenem Grund (Häufigster Grund: Ausführbare Inhalte ;) ) in Quarantäne gelandet ist.

Wird die Mail vom Anwender als wichtig erachtet, können sie sich ans Helldesk wenden. Nur dann wird die Mail manuell geprüft.

 

 

Machen wir auch so. Anlagen mit ausführbarem Code wandern generell erstmal in die Quarantäne, zusätzlich Applocker und verschiedene Antiviren-Engines auf Gateway, Mailserver und RDS-Server.

 

Hier gibt's noch interessantes Lesefutter zum Thema: https://www.bsi.bund.de/DE/Themen/Cyber-Sicherheit/Empfehlungen/Ransomware/Ransomware_node.html ;)

[magheinz 110]

Jeder muss einmal täglich in den Junk Mail Ordner schauen und die Mails dort sichten, das war das Resultat und die Begründung des Gerichtes für das Urteil.

Naja. Das Unternehmen muss sicherstellen das nichts verschüttet geht. Eine gesetzliche Verpflichtung für den Arbeitnehmer kann ich daraus nicht ablesen.

Wir blockieren auch alle relvanten Anhänge und begutachten diese allerdings individuell. Bisher konnten wir alles abwehren!

 

Im November: 62000 Spams, 541 versuche Schadsoftware einzuschleusen und 252 Mails mit Anhängen in der Quarantäne.

 

WalterB

bei den Zahlen kann durchaus mal reinschauen. In gößeren Umgebungen wie z.B: bei uns wo am Tag ca 2.000-10.000 E-Mails alleine wegen Anhängen abgelehnt werden geht das nicht mehr wirklich. Und ich sehe uns noch nicht mal als groß an.

Spätestens wenn dann noch private E-Mails geduldet oder sogar erlaubt sind funktioniert der Ansatz ja eh nicht mehr.

[WalterB 0]

Da hast du vollkommen recht. Unsere Vorgehensweise funktioniert nur bis zu einer gewissen Größe und auch nur mit einer Software die brauchbar vorsortiert.

Und private Mails sind bei uns zum Glück verboten.

[Sunny61 806]

Naja. Das Unternehmen muss sicherstellen das nichts verschüttet geht. Eine gesetzliche Verpflichtung für den Arbeitnehmer kann ich daraus nicht ablesen.

Falls aber mal ein wichtige Mail im Spamfolder liegen bleibt, und ihr euch vor Gericht austauschen dürft, weißt Du weshalb ihr das hättet machen sollen. Ist ja nur als Hinweis gedacht gewesen, was ihr dann macht ist natürlich euer Bier. ;)

[magheinz 110]

ich geb dir recht, sowas gehört in eine Benutzerordnung-E-Mail.

Vor Gericht streitet sich der Kunde aber mit dem Chef, nicht mit mir.

Ob es grob fahrlässig ist den Spamordner nicht tägluxh sondwrn eventuell nur wöchentlich zu sichten ist dann die Frage.

Wenns so wichtig ist kann der Chef das ja in eine Arbeitsanweisung, Benutuerordnung etc packen.

[peter999 24]

Seitdem wir unsere GP rausgeworfen haben und eine Securepoint im Einsatz haben gibt es nahezu keine Mails mehr die durchkommen.

Greylisting in Verbindung mit richtig konfigurierten Spamfiltern. Wichtig in diesem Zuge, korrekte zustellung der Mails und keine POP Connectoren....

Dann auf dem Exchange noch Antispam mit Sperrlisten von Spamhous und Spamcop aktiv.

 

Es kommt tatsächlich wenn es hoch kommt am Tag 1 Mail durch in der ganzen Organisation, bei 1000enden Mails am Tag ein akzeptabler Wert ;)

 

Sollte sich doch mal ein xls oder sonstwas dran vorbei schlechen wird der Anhang rausgefiltert von der Securepoint. Wer sowas im Moment einfach so versendet gehört eh geschlagen.

 

Gruß aus Bremen

Peter

[NorbertFe 2.034]

Auf dem Exchange mit DNS blacklisten zu arbeiten ist überflüssig, weil du das nur sinnvoll an vorderster Stelle regeln kannst.

[PowerShellAdmin 169]

ich geb dir recht, sowas gehört in eine Benutzerordnung-E-Mail. Vor Gericht streitet sich der Kunde aber mit dem Chef, nicht mit mir. Ob es grob fahrlässig ist den Spamordner nicht tägluxh sondwrn eventuell nur wöchentlich zu sichten ist dann die Frage. Wenns so wichtig ist kann der Chef das ja in eine Arbeitsanweisung, Benutuerordnung etc packen.

Eine Arbeitsanweisung gut und schön, aber praktisch schaut selbst der Chef kaum in den Junkmail und diverse Mitarbeiter sind selbst bei der Pflege von 2 bis 3 Postfächern schon überfordert.

Bedeuetet in der Konsequenz würde ich mich bemühen, JunkMail weitesgehend durch Reject zu umgehen, eine Abmahnung seitens der Geschäftsführung wird hier auch schwer einer Prüfung standhalten und dient der Sache ja auch nicht.

Wichtiger ist hier eine Schulung und regelmäßige Mitarbeiter Sensibilisierung.

 

Quarantäne ist auch nur ein Nischenprodukt und sollte ausschließlich unter Betrachtung bestimmter Konstellationen (z.B. aus Empfänger, Dateityp und optional auch Absender Domäne) verwendet werden.

Die Pflege ist nunmal sehr zeitaufwändig und je nach Umgebung garnicht gewährleistbar.

Allerdings würde ich wohl immer, falls in der Lösung möglich, den Versender informieren. Das ging damals mit Forefront for Exchange alles wunderbar... hier bin ich mit der jetzigen Lösung nicht zufrieden. Ein Reject werden die meisten im Detail nicht verstehen, wenn auch aber dass die Email nicht zugestellt wurde.

 

In der heutigen Zeit haben nunmal Doc & co, als auch Docm nichts mehr verloren. Das sind nunmal höchstgefährliche und ersteres auch veraltete Dateiformate.

Möchte ich wirklich solche Dateien zustellen, muss ich hier entsprechende Verfahren entwickeln, z.B. über entsprechende Exceptions für ausgewählte Versender, über ein entsprechendes Upload Portal usw..

 

Insgesamt gibt es hier keine Pauschale Lösung, sondern man muss das Ganze immer sehr individuell betrachten.

 

bearbeitet 8. Dezember 2016 von PowerShellAdmin

[scirocco790 11]

Die Funktionalität was Spam angeht ist bei der Gateprotect wirklich etwas mager. Auch das integrierte Antivirensystem ist eher dürftig. Die Erkennungsrate ist einfach mieß.

Die Teile haben immer gut funktioniert, aber den aktuellen Anforderungen sind die nicht mehr gewachsen.

Wir haben dahinter noch Sophos PureMessage, das geht echt gut.

Ich werd mich da definitv mal nach Alternativen zur GP umsehen.

[Marxxx 0]

Neue ransomware greift Personalabteilungen an. Hacker senden gefälschte Lebensläufe. Manchmal verwenden sie MS Word mit Makros. [ Werbe-Link entfernt ] Es ist ein sehr gezielter Angriff Wie werden Sie schützen?

[martins 11]

Neue ransomware greift Personalabteilungen an. Hacker senden gefälschte Lebensläufe. Manchmal verwenden sie MS Word mit Makros. [ Werbe-Link entfernt ] Es ist ein sehr gezielter Angriff Wie werden Sie schützen?

 

1. Beitrag und dann auf unbekannte Seite zu linken, mit dem Hinweis zum Schluss, sich den "Goldeneye Ransomware Entferner" herunterzuladen? Naja, muss jeder selbst wissen, wohin er klickt!  :suspect: