Jump to content

Ransomware: Euer Umgang damit


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Es gibt dazu ein Urteil. Dabei ging es um einen RA, der einen Termin für einen Mandanten versäumte weil die Mail vom Mandanten in seinem Junk Mail Ordner lag. Das Gericht gab dem Kläger recht, der hatte den RA auf Schadenersatz verklagt. Jeder muss einmal täglich in den Junk Mail Ordner schauen und die Mails dort sichten, das war das Resultat und die Begründung des Gerichtes für das Urteil. D.h. für mich heißt das, die MAs müssen einmal täglich den Junk Mail Ordner öffnen und die Mails sichten.

 

Frag mal nach wieviele mit dem Begriff Junk Mail Ordner etwas anfangen können. ;)

 

Müsste das Urteil (LG Bonn, 15 O 189/13) hier sein: http://www.justiz.nrw.de/nrwe/lgs/bonn/lg_bonn/j2014/15_O_189_13_Urteil_20140110.html 

 

 

Es kommt allerdings - wie immer - auf den Einzelfall an, z.B. darauf, an welche Mailadresse denn überhaupt der vermeintliche Spam geschickt wurde. Das LG führt dazu u.a. folgendes aus:

(...) Der Beklagte kann sich nicht damit entlasten, dass die Email vom 23.05.2011 angeblich nicht in seinem Email-Postfach einging, sondern durch den Spam-Filter aussortiert wurde. Der Beklagte hat die im Verkehr erforderliche Sorgfalt nicht beachtet, weil er seinen Spam-Filter nicht täglich kontrolliert hat. Die Emailadresse ####@##.## führt der Beklagte auf seinem Briefkopf auf und stellt sie dadurch als Kontaktmöglichkeit zur Verfügung. Es liegt im Verantwortungsbereich des Beklagten, wenn er eine Emailadresse zum Empfang von Emails zur Verfügung stellt, dass ihn die ihm zugesandten Emails erreichen. Bei der Unterhaltung eines geschäftlichen Email-Kontos mit aktiviertem Spam-Filter muss der Email-Kontoinhaber seinen Spam-Ordner täglich durchsehen, um versehentlich als Werbung aussortierte Emails zurück zu holen. (...)

 

Können wir ja im Off-topic weiter diskutieren! ;)

 

bye

Martin

bearbeitet von martins
Link zu diesem Kommentar

Wir blocken alle Office Dokumente mit Macros oder VBS. Der ganze ausführbare Kram wird ebenfalls geblockt.

Die User bekommen vom AntiVirus die Benachrichtigung, dass der Anhang geblockt wurde (der normale Mailbody kommt durch).

Wenn der Empfänger den Anhang braucht schickt er die Quarantänebenachrichtigung ans Helpdesk. Dann schauen wir uns die Mail an (Headerüberprüfung, passt der MX, Sendeweg, etc. ) und geben diese ggf. frei

 

Restrisiko besteht natürlich immer - bisher hatten wir noch keinen Vorfall (Gott sei Dank)

 

Wir blockieren auch alle relvanten Anhänge und begutachten diese allerdings individuell. Bisher konnten wir alles abwehren!

 

Im November: 62000 Spams, 541 versuche Schadsoftware einzuschleusen und 252 Mails mit Anhängen in der Quarantäne.

 

WalterB

Link zu diesem Kommentar

Moin,

 

bei uns werden die Empfänger benachrichtigt, dass eine an sie gerichtete Mail aus diesem oder jenem Grund (Häufigster Grund: Ausführbare Inhalte ;) ) in Quarantäne gelandet ist.

Wird die Mail vom Anwender als wichtig erachtet, können sie sich ans Helldesk wenden. Nur dann wird die Mail manuell geprüft.

 

 

Machen wir auch so. Anlagen mit ausführbarem Code wandern generell erstmal in die Quarantäne, zusätzlich Applocker und verschiedene Antiviren-Engines auf Gateway, Mailserver und RDS-Server.

 

Hier gibt's noch interessantes Lesefutter zum Thema: https://www.bsi.bund.de/DE/Themen/Cyber-Sicherheit/Empfehlungen/Ransomware/Ransomware_node.html ;)

Link zu diesem Kommentar

Jeder muss einmal täglich in den Junk Mail Ordner schauen und die Mails dort sichten, das war das Resultat und die Begründung des Gerichtes für das Urteil.

Naja. Das Unternehmen muss sicherstellen das nichts verschüttet geht. Eine gesetzliche Verpflichtung für den Arbeitnehmer kann ich daraus nicht ablesen.

Wir blockieren auch alle relvanten Anhänge und begutachten diese allerdings individuell. Bisher konnten wir alles abwehren!

 

Im November: 62000 Spams, 541 versuche Schadsoftware einzuschleusen und 252 Mails mit Anhängen in der Quarantäne.

 

WalterB

bei den Zahlen kann durchaus mal reinschauen. In gößeren Umgebungen wie z.B: bei uns wo am Tag ca 2.000-10.000 E-Mails alleine wegen Anhängen abgelehnt werden geht das nicht mehr wirklich. Und ich sehe uns noch nicht mal als groß an.

Spätestens wenn dann noch private E-Mails geduldet oder sogar erlaubt sind funktioniert der Ansatz ja eh nicht mehr.

Link zu diesem Kommentar

Naja. Das Unternehmen muss sicherstellen das nichts verschüttet geht. Eine gesetzliche Verpflichtung für den Arbeitnehmer kann ich daraus nicht ablesen.

Falls aber mal ein wichtige Mail im Spamfolder liegen bleibt, und ihr euch vor Gericht austauschen dürft, weißt Du weshalb ihr das hättet machen sollen. Ist ja nur als Hinweis gedacht gewesen, was ihr dann macht ist natürlich euer Bier. ;)

Link zu diesem Kommentar

ich geb dir recht, sowas gehört in eine Benutzerordnung-E-Mail.

Vor Gericht streitet sich der Kunde aber mit dem Chef, nicht mit mir.

Ob es grob fahrlässig ist den Spamordner nicht tägluxh sondwrn eventuell nur wöchentlich zu sichten ist dann die Frage.

Wenns so wichtig ist kann der Chef das ja in eine Arbeitsanweisung, Benutuerordnung etc packen.

Link zu diesem Kommentar

Seitdem wir unsere GP rausgeworfen haben und eine Securepoint im Einsatz haben gibt es nahezu keine Mails mehr die durchkommen.

Greylisting in Verbindung mit richtig konfigurierten Spamfiltern. Wichtig in diesem Zuge, korrekte zustellung der Mails und keine POP Connectoren....

Dann auf dem Exchange noch Antispam mit Sperrlisten von Spamhous und Spamcop aktiv.

 

Es kommt tatsächlich wenn es hoch kommt am Tag 1 Mail durch in der ganzen Organisation, bei 1000enden Mails am Tag ein akzeptabler Wert ;)

 

Sollte sich doch mal ein xls oder sonstwas dran vorbei schlechen wird der Anhang rausgefiltert von der Securepoint. Wer sowas im Moment einfach so versendet gehört eh geschlagen.

 

Gruß aus Bremen

Peter

Link zu diesem Kommentar

ich geb dir recht, sowas gehört in eine Benutzerordnung-E-Mail. Vor Gericht streitet sich der Kunde aber mit dem Chef, nicht mit mir. Ob es grob fahrlässig ist den Spamordner nicht tägluxh sondwrn eventuell nur wöchentlich zu sichten ist dann die Frage. Wenns so wichtig ist kann der Chef das ja in eine Arbeitsanweisung, Benutuerordnung etc packen.

Eine Arbeitsanweisung gut und schön, aber praktisch schaut selbst der Chef kaum in den Junkmail und diverse Mitarbeiter sind selbst bei der Pflege von 2 bis 3 Postfächern schon überfordert.

Bedeuetet in der Konsequenz würde ich mich bemühen, JunkMail weitesgehend durch Reject zu umgehen, eine Abmahnung seitens der Geschäftsführung wird hier auch schwer einer Prüfung standhalten und dient der Sache ja auch nicht.

Wichtiger ist hier eine Schulung und regelmäßige Mitarbeiter Sensibilisierung.

 

Quarantäne ist auch nur ein Nischenprodukt und sollte ausschließlich unter Betrachtung bestimmter Konstellationen (z.B. aus Empfänger, Dateityp und optional auch Absender Domäne) verwendet werden.

Die Pflege ist nunmal sehr zeitaufwändig und je nach Umgebung garnicht gewährleistbar.

Allerdings würde ich wohl immer, falls in der Lösung möglich, den Versender informieren. Das ging damals mit Forefront for Exchange alles wunderbar... hier bin ich mit der jetzigen Lösung nicht zufrieden. Ein Reject werden die meisten im Detail nicht verstehen, wenn auch aber dass die Email nicht zugestellt wurde.

 

In der heutigen Zeit haben nunmal Doc & co, als auch Docm nichts mehr verloren. Das sind nunmal höchstgefährliche und ersteres auch veraltete Dateiformate.

Möchte ich wirklich solche Dateien zustellen, muss ich hier entsprechende Verfahren entwickeln, z.B. über entsprechende Exceptions für ausgewählte Versender, über ein entsprechendes Upload Portal usw..

 

Insgesamt gibt es hier keine Pauschale Lösung, sondern man muss das Ganze immer sehr individuell betrachten.

 

bearbeitet von PowerShellAdmin
Link zu diesem Kommentar

Die Funktionalität was Spam angeht ist bei der Gateprotect wirklich etwas mager. Auch das integrierte Antivirensystem ist eher dürftig. Die Erkennungsrate ist einfach mieß.

Die Teile haben immer gut funktioniert, aber den aktuellen Anforderungen sind die nicht mehr gewachsen.

Wir haben dahinter noch Sophos PureMessage, das geht echt gut.

Ich werd mich da definitv mal nach Alternativen zur GP umsehen.

Link zu diesem Kommentar

Neue ransomware greift Personalabteilungen an. Hacker senden gefälschte Lebensläufe. Manchmal verwenden sie MS Word mit Makros. [ Werbe-Link entfernt ] Es ist ein sehr gezielter Angriff Wie werden Sie schützen?

 

1. Beitrag und dann auf unbekannte Seite zu linken, mit dem Hinweis zum Schluss, sich den "Goldeneye Ransomware Entferner" herunterzuladen? Naja, muss jeder selbst wissen, wohin er klickt!  :suspect:

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...