E-Mail ist nach wie vor einer der häufigsten Angriffsvektoren für Unternehmen. Daher ist die Implementierung von Best Practices für die E-Mail-Sicherheit nach wie vor von großer Bedeutung. Zumal sich die meisten Unternehmen bei der täglichen Geschäftskommunikation stark auf diesen Kanal verlassen. Cyberkriminelle können die übersehenen Schwachstellen der E-Mail-Sicherheit in Unternehmen durch Distributed-Denial-of-Service- (DDoS) und Phishing-Angriffe, Malware und Ransomware sowie durch Fehler der Mitarbeiter leicht ausnutzen.
Statistik über Best Practices der E-Mail-Sicherheit
Laut dem EasyDMARC-Bericht zur E-Mail-Sicherheit 2020 gaben 70 % der Unternehmen an, dass ein E-Mail-Angriff im Jahr 2021 unvermeidlich oder wahrscheinlich ist. Laut dem Verizon Data Breach Report 2020 waren 22 % der Sicherheitsverletzungen auf Social Engineering zurückzuführen. Und 96 % dieser Verstöße erfolgten per E-Mail. Demselben Bericht zufolge waren weitere 22 % der Sicherheitsverletzungen auf menschliches Versagen zurückzuführen, bei dem sensible Daten versehentlich an den falschen Empfänger gesendet wurden. Die Kompromittierung von Geschäfts-E-Mails (Business Email Compromise, BEC), d. h. die Übernahme oder betrügerische Nutzung eines legitimen Kontos zur Abzweigung von Geldern, nimmt weiter zu.
Schlechte E-Mail-Sicherheit kann zu Datenverlusten und Ausfallzeiten führen. Ähnlich verhält es sich mit dem Verlust vertraulicher Informationen über die Finanzen eines Unternehmens, geistiges Eigentum, Mitarbeiter- und Kundendaten. Der Verlust der Kontrolle über solche sensiblen Dokumente kann auch zu Umsatz- und Marktanteilsverlusten, Geldstrafen und Rufschädigung führen. Dies gilt insbesondere für Unternehmen in stark regulierten Branchen wie dem Finanz-, Rechts-, Verlags-, Bildungs- und Gesundheitswesen.
Dennoch haben Unternehmen noch immer keine Strategie für die Ausfallsicherheit im Internet entwickelt, die den Schwerpunkt auf E-Mail-Sicherheit legt. Es gibt zwar spezialisierte, eigenständige E-Mail-Sicherheitslösungen, die jede Art von Angriff abwehren können. IT-Abteilungen benötigen jedoch einen umfassenden Überblick und die Kontrolle über die gesamte E-Mail-Sicherheitsstrategie und -abwehr des Unternehmens. Nur so können sie sicherstellen, dass sie gegen alle möglichen Arten von Angriffen geschützt sind.
4 Best Practices für E-Mail-Sicherheit, die in die allgemeine Cybersicherheitsstrategie eines Unternehmens integriert werden sollten
Best Practice Nr. 1 – Verbessern Sie Ihre Endpunkt- und E-Mail-Sicherheitshygiene
Endpunkt-E-Mail-Sicherheit umfasst eine Vielzahl von Tools und Prozessen, die die Geräte von Endbenutzern davor schützen, durch E-Mail-Angriffe kompromittiert zu werden. Mitarbeiter können mit Phishing-E-Mails, Spam und Malware angegriffen werden, die ihre Geräte infizieren und Hackern Einfallstore für den Zugriff auf das gesamte Unternehmensnetzwerk bieten können.
Um dem entgegenzuwirken, sollten Unternehmen E-Mail-Sicherheitssoftware für Endgeräte in Kombination mit Virenschutz-Tools installieren. Diese können Malware- oder Spam-E-Mails von verdächtigen Absendern und IP-Adressen filtern und blockieren. Außerdem können infizierte Systeme vom Versand ausgehender Spam-Mails abgehalten werden.
Die Endpunktsicherheitssoftware kann insbesondere bestätigen, ob ein Gerät die Sicherheitsrichtlinien erfüllt, bevor es Zugang zum Unternehmensnetzwerk erhält. Remote-Geräte, deren Betriebssysteme nicht aktualisiert wurden, deren Firewall deaktiviert ist oder die andere speziell erkannte Sicherheitslücken aufweisen, wird der Zugriff verweigert, so dass Bedrohungen von außen für das Netzwerk eingedämmt werden.
E-Mail wird auch von böswilligen Akteuren genutzt, um Zero-Day-Angriffe auszuführen, die bisher unbekannte Fehler in Software, Hardware oder Firmware ausnutzen. Eine grundlegende Gegenmaßnahme dagegen wäre, dass Ihr IT-Team alle Endgeräte regelmäßig updatet und patcht. Dadurch werden Zero-Day-Angriffe zwar nicht vollständig verhindert, aber ihre Erfolgschancen werden verringert. Oder Sie gewinnen zumindest mehr Zeit, bis der entsprechende Zero-Day-Patch verfügbar ist.
Die Schlüsselkomponente des Endpunkt-Schutzes
Eine weitere wichtige Komponente des Endpunkt-Schutzes ist die Implementierung unternehmensweiter Richtlinien für grundlegende Kennwort- und E-Mail-Sicherheitsverfahren. Sie können Ihre Mitarbeiter zum Beispiel anweisen,
- die Speicherung von Passwörtern auf Zetteln und an öffentlichen Orten zu vermeiden,
- die Duplizierung alter oder auf anderen Websites erstellter Passwörter zu vermeiden,
- sichere Passwörter mit Zeichen (@) anstelle von alphanumerischen Buchstaben (a) zu erstellen,
- keine Passwörter zu verwenden, die Fremde erraten können (Namen, Alter, Geburtsdatum, Unternehmen, Interessen in sozialen Medien usw. vermeiden).
Auch die Zwei-Faktor-Authentifizierung sollte für alle Mitarbeiter vorgeschrieben oder zumindest gefördert werden, sei es über ein Mobiltelefon, eine App auf einem Gerät oder über Authentifizierungstoken.
Es ist auch hilfreich, die Mitarbeiter kontinuierlich in den Best Practices der E-Mail-Sicherheit zu schulen und zu testen. Dazu gehört auch, wie man Phishing-E-Mails erkennt. So sind sie gut darauf vorbereitet, diese zu vermeiden und zu melden. Einige Unternehmen setzen sogar simulierte Phishing-Angriffe ein, um die Bereitschaft ihrer Mitarbeiter zu testen.
Best Practice Nr. 2 – Sichern Sie Ihre E-Mail-Inhalte mit Verschlüsselung
Um Ihre E-Mail-Inhalte vollständig zu schützen, müssen sowohl die Inhalte als auch die Anhänge während der Übertragung und im Posteingang verschlüsselt werden. Beliebte E-Mail-Plattformen wie Google Mail und Outlook verfügen in der Regel nicht über die erforderliche Verschlüsselung auf Unternehmensebene, um Unternehmen vollständig gegen alle Cyber-Bedrohungen zu schützen. Und soweit diese Plattformen Verschlüsselung unterstützen, funktioniert sie nur, wenn sowohl der Absender als auch der Empfänger bestimmte Erweiterungen aktiviert hat.
Add-in-Verschlüsselungsdienste von Drittanbietern können diese Sicherheitslücken in Unternehmen schließen. Beachten Sie jedoch, dass einige dieser Verschlüsselungsdienste die Benutzerfreundlichkeit erheblich einschränken können. Jedes Verschlüsselungstool ist nur dann effektiv, wenn die Benutzer es problemlos in ihren regulären Arbeitsablauf einbinden können. Wägen Sie also Ihre Optionen sorgfältig ab, indem Sie die Testversionen ausprobieren, bevor Sie Ihre endgültige Wahl treffen.
Dokumentensicherheitslösungen sind ebenfalls ein wirksames Mittel, um den unbefugten Zugriff auf Ihre vertraulichen Informationen zu verhindern, die Sie per E-Mail weitergeben. Mit diesen Lösungen haben Sie die Kontrolle darüber, wer Ihre Dokumente ansehen, drucken und herunterladen darf. Sie können dem Empfänger sogar den Zugriff verweigern, nachdem Sie Ihre E-Mails verschickt haben. Verfallseinstellungen, Wasserzeichen, Schutz vor Screenshots und Nachverfolgung geben Ihnen mehr Kontrolle darüber, dass Ihre vertraulichen Dokumente in den richtigen Händen bleiben und nicht nach außen dringen. Diese wichtigen Funktionen zur Dokumentensicherheit sollten Bestandteil jedes Verschlüsselungsdienstes von Drittanbietern sein, den Sie wählen.
Best Practice Nr. 3 – Schutz des E-Mail-Servers implementieren
Nicht nur die E-Mail-Dienste können gehackt werden. Auch die Server, auf denen die E-Mails gespeichert und versendet werden, können kompromittiert werden. Spam- und DDoS-Angriffe auf diese Server können die reguläre E-Mail-Übertragung und -Verarbeitung stören. Sie können auch von Hackern genutzt werden, um von Ihrem Server aus Spam-E-Mails zu versenden, die Ihrem Ruf schaden und Sie auf die schwarze Liste bringen können.
Aus diesem Grund ist es wichtig, Ihre E-Mail-Server zu schützen. Weisen Sie Ihr IT-Team an, solide Techniken zum Schutz von E-Mail-Servern durchzusetzen, angefangen bei den folgenden:
- Einschränkung der Mail-Relay-Parameter durch Angabe einer Liste von Domains und IP-Adressen, an die Ihre Mails sicher weitergeleitet werden können
- Begrenzung der Anzahl der Verbindungen, um die Gefahr von Spam und DDoS-Angriffen zu verringern
- Überprüfung des Absenders durch Reverse-DNS-Lookup, bevor eingehende Nachrichten angenommen werden
- Verwendung von Inhaltsfiltern, um Spammer vom Zugriff auf Ihren Server abzuhalten.
Es ist wichtig, dass Sie mit Ihrem IT-Team zusammenarbeiten, um ihm alle notwendigen Informationen für die Sicherung Ihrer E-Mail-Server zu geben. Die frühzeitige Unterscheidung echter E-Mails von Spam, Phishing-Angriffen und anderen Bedrohungen kann entscheidend dazu beitragen, Ihr geistiges Eigentum und vertrauliche Unternehmensdaten zu schützen.
Und schließlich können Sie Lösungen von Drittanbietern wie die Tools von EasyDMARC nutzen, um Hacker daran zu hindern, E-Mails von Ihrer Domain aus zu versenden: Sie schützen Ihr Unternehmen vor Phishing-Angriffen. EasyDMARC bietet eine einfach zu konfigurierende Komplettlösung zum Schutz Ihrer E-Mail-Domain.
Best Practice Nr. 4 – Verhinderung von Datenlecks und Verletzungen des Schutzes personenbezogener Daten
Vertrauliche Dokumente haben oft bestimmte Eigenschaften gemeinsam. Sie können ähnliche Schlüsselwörter, Datentypen oder Regeln haben, die diese Dokumente auf intelligente Weise erkennen können. Ihr Unternehmen kann das Durchsickern solcher sensiblen Daten in E-Mails verhindern, indem es sie auf der Grundlage von Schlüsselwörtern, Ausdrücken und Regeln filtert, blockiert oder zensiert. So kann Ihr IT-Team beispielsweise alle ausgehenden E-Mails mit personenbezogenen Daten wie Sozialversicherungsnummern, Kreditkarteninformationen und Dateien mit dem Schlüsselwort „vertraulich“ oder „nur für den internen Gebrauch“ blockieren. Eine gute Faustregel ist die Verwendung von Verschlüsselung, um ausgehende Daten zu schützen, während eingehende E-Mails gefiltert werden, um Malware, Viren und Phishing-Bedrohungen abzuwehren.
Tools zur Verhinderung von Datenverlusten (Data Loss Prevention, DLP) verhindern die Verbreitung sensibler Informationen außerhalb Ihres Unternehmens, indem sie Ihren IT-Administrator über Verstöße gegen Richtlinien für den Datenzugriff informieren. So kann Ihr IT-Team proaktiv auf Probleme reagieren, anstatt zu versuchen, den Schaden zu beheben, nachdem ein Datenleck bereits aufgetreten ist. Prädiktive Technologien wie maschinelles Lernen (ML) und künstliche Intelligenz (KI) werden zunehmend für die Echtzeitüberwachung eingesetzt, um ungewöhnliche Datenmuster zu erkennen, mit denen Datenlecks identifiziert und verhindert werden können.
Ohne wirksame DLP-Tools riskiert Ihr Unternehmen die unbeabsichtigte Offenlegung von Kundendaten. Dies kann zu Identitätsdiebstahl, Geldbetrug und dem Verlust des guten Rufs Ihres Unternehmens führen. Wenn Kunden und Mitarbeiter Ihrem Unternehmen so viel Vertrauen entgegenbringen, dass sie ihre privaten Daten weitergeben, haben Sie die Pflicht, diese zu schützen.
Fazit
Da die E-Mail für die meisten Unternehmen im Mittelpunkt der Geschäftskommunikation steht, ist es von größter Bedeutung, dass dieser Kanal gesichert ist. Die Umsetzung solider Best Practices für die E-Mail-Sicherheit im Unternehmen kann dazu beitragen, Angriffe und Datenlecks abzuwehren. Dies ist der Schlüssel zum Aufbau von Vertrauen in die Abläufe in Ihrem Unternehmen, in Ihre Mitarbeiter und in Ihre Kunden.
Der Autor
Armen Baghdasaryan