Eine E-Mail ist ein üblicher Einstiegspunkt für Angreifer, die auf der Suche nach einer Sicherheitslücke im Netzwerk eines Unternehmens sind, um an wertvolle Daten gelangen zu können. Wir geben Ihnen einen grundlegenden Überblick über E-Mail-Sicherheit und darüber, wie dieser Bereich zahlreiche Techniken einsetzt, um sensible Informationen in der E-Mail-Kommunikation und in E-Mail-Konten vor unbefugtem Zugriff, Verlust oder Kompromittierung zu schützen.

Probleme bei der E-Mail?

E-Mail steht für ein Internetprotokoll zum Senden und Empfangen von Nachrichten. Diese Technologie hat einige offene Lücken, vor allem, weil die E-Mail den gleichen Prozess nachahmt wie physische Post, mit dem Unterschied, dass Absender und Empfänger unterschiedliche «Postämter» und Paketversender benutzen.

Was das bedeutet:

  • Die Empfänger können nicht sicher sein, dass der Absender im Umschlag der tatsächliche Ursprung der Nachricht ist.
  • Die Empfänger können nicht sicher sein, dass das Erscheinungsbild und der Inhalt der Nachricht ihren wahren Absichten entsprechen, oder es handelt sich andererseits dabei um einen Betrug.
  • Die Empfänger können nicht sicher sein, ob die Nachricht nicht gelesen oder geändert wurde, bevor sie eingegangen ist.
  • Absender und Empfänger können nicht sicher sein, dass die Adresse korrekt ist, ob der Empfänger existiert und ob die Nachricht rechtzeitig ankommen wird.

Zusätzlich zu diesen Belastungen kommt dazu, dass Unternehmen stark von E-Mails abhängig sind (weltweit werden täglich Milliarden von E-Mails verschickt!) und jeder Mitarbeiter über 100 Nachrichten pro Tag bewältigen muss (in einem geschäftlichen Umfeld). Dazu kommt, dass jeder einen digitalen (und auch sozialen) Fußabdruck hat, der es leicht macht, die E-Mail-Adresse des Mitarbeiters sowie seine Gewohnheiten, seine Stellenbeschreibung und sogar die persönlichen und privaten Daten herauszufinden.

Angriffsformen

Durch die zuvor genannten Gründe ist die E-Mail das Haupteinfallstor für Cyber-Angriffe. Tatsache ist, dass jeder E-Mails für so gut wie alles benutzt. Was die kriminelle Ökonomie betrifft, so kann ein kleiner Prozentsatz von Erfolg für die Angreifer leicht zu einem Gewinn (wirtschaftlich oder informationstechnisch) werden.

Eine E-Mail ist entweder gut (rechtmäßig, erwartet und/oder autorisiert) oder schlecht. Für die «schlechten E-Mails» werden Sie von vielen Begriffen hören, wie z. B. Lösegeld, Spam, Phishing oder Kompromittierung von geschäftlichen E-Mails. Unabhängig von den Begriffen können Sie die Dinge vereinfachen:

  • E-Mails können Spam sein (wie in Newslettern oder anderen kommerziellen Informationen), die Ihnen keinen Schaden zufügen. Sondern möchte Ihnen einfach etwas «verkaufen», ohne Ihre Zustimmung oder Ihr Interesse.
  • E-Mails können (auch) betrügerisch sein (mittels sogenannten Social Engineering, wird mit solchen E-Mails versucht Sie zu täuschen (z.B. eine Überweisung zu tätigen). Manchmal wird es auch als Phishing, Spoofing oder Spearphishing bezeichnet (dann richtet sich der Betrug an eine Person, was die Aufdeckung wesentlich erschwert).
  • E-Mails können (auch) infiziert sein (mit Malware-Inhalten (in den Anhängen) oder mit Links (über Internetadressen) zu Malware-Webseiten). Diese E-Mails sind in der Regel auch betrügerisch in dem Sinne, dass sie Sie «dazu bringen», auf einen Link oder Anhang zu klicken. Ransomware ist nur eine Art von Malware.

Es gibt 4 Hauptteile einer E-Mail-Nachricht, die kompromittiert oder manipuliert werden können: Der Inhalt einer E-Mail, die E-Mail-Anhänge, die in der E-Mail enthaltenen Internetadressen und die Informationen des Absenders, konkret seine E-Mail-Adresse.

Was sind die besten E-Mail Empfehlungen für Unternehmen?

Die Maßnahmen, die Ihr Unternehmen ergreifen kann, um sich vor Mitarbeitern zu schützen, die sich mit Phishing-E-Mails, Malware/Spam und anderen bösartigen Nachrichten auseinandersetzen müssen:

  • Verwenden Sie mehrschichtigen Schutz – die in Ihrem E-Mail-Server eingebettete Sicherheit ist in der Regel nie ausreichend, insbesondere weil Server wie Office 365 zahlreichen Angriffen und Bedrohungen ausgesetzt sind. Deren Verteidigungsmechanismen sind jedem Angreifer bekannt. Wenn Sie Systeme vor Ihren E-Mail-Servern implementiert haben, (ein E-Mail-Sicherheits-Gateway), mit größeren und ausgeprägteren Sicherheits- und Kontrollmethoden, wird der Schutzmechanismus verstärkt. Es ist auch eine gute Idee, Antiviren Lösungen an den Endgeräten laufen zu lassen.
  • Führen Sie regelmäßig Phishing-Übungen und Schulungen durch – Bei entsprechender Schulung können Ihre Mitarbeiter Ihre größte Verteidigung gegen Phishing-Angriffe sein. Wenn sie Bedrohungen sofort erkennen, können sie die meistgenutzte Stelle bei der Kompromittierung von Endgeräten stoppen.
  • Menschen und Prozesse abgestimmt – Im Zweifelsfall sollten Sie die Spezialisten in Ihrem Unternehmen oder die Dienste Dritter in Anspruch nehmen. Der Unterschied zwischen einer Lösegeldforderung, die Ihre Daten unbrauchbar macht, mag darin bestehen, wie vorsichtig Sie sind. Und wenn Ihr Unternehmen über Prozesse sowohl zur Überprüfung von E-Mails als auch zur Reduzierung von solchen Vorfällen verfügt, kann es sein, dass Sie am Ende in der ruhigeren Lage sind als Ihre Mitbewerber.
  • Verwenden Sie Mehrfaktor-Authentifizierung in Ihren Systemen – Wenn die Zugangsdaten von E-Mail-Konten aus Unternehmen gestohlen werden, kann die Mehrfaktor-Authentifizierung einen Angreifer daran hindern, auf Daten zugreifen zu können.
  • Stellen Sie sicher, dass Sie eine Quarantäne und Bereinigung ergreifen können – Mit der Funktion der Quarantäne, kann eine E-Mail isoliert und analysiert werden, sodass der bösartige Anhang entfernt oder vollständig gelöscht werden kann. Mit der E-Mail-Bereinigung kann eine Datei welche nach der Zustellung als bösartig erkannt wurde, von einem Postfach aus unter Quarantäne gestellt werden.
  • Fokus auf der Sicherheit auf Bedrohungsintelligenz und Betrugsbekämpfung – Globale Quellen die sich der neuen Formen von Spam und Malware (passiert täglich!) bewusst sind, sollten in Ihrem E-Mail-Security-Gateway enthalten sein, ebenso wie strenge Richtlinien für die Annahme von E-Mails in Bezug auf die verfügbare Authentifizierung (z.B. DMARC und SPF), die sicherstellen, dass Absender keine E-Mails über nicht autorisierte Quellen versenden (und vortäuschen jemand anderes zu sein).
  • Integrierte Cybersicherheitslösung – Hilft festzustellen, ob fortgeschrittene Malware an Benutzer ausgeliefert wurde.

Ist mein Office 365 oder Google-Suite nicht ausreichend?

Diese Werkzeuge sind heutzutage die Standardpattform in Unternehmen jeder Größe. Es handelt sich um eine kostengünstige Lösung, die auch einen grundlegenden Cloud-E-Mail-Schutz bietet. Doch mit zunehmender globaler Nutzung sind verschiedene Risiken verbunden und diese Werkzeuge wurden zu einem attraktiven Ziel für Cyberattacken. Dadurch sind Unternehmen dazu gezwungen, nach zusätzlichem Cloud-E-Mail-Schutz zu suchen, was wiederum gegenüber kleineren Unternehmen einen Vorteil verschafft (Angreifer wählen gewöhnlich den Weg des geringsten Widerstands, auch wenn die Gewinne geringer sind).

Office 365 bietet erweitere Funktionen zu ihrer marktführenden Lösung, die unabhängig von ihrer Infrastruktur bereits vorhanden sind. Nichtsdestotrotz, wenn Sie nicht das Budget dazu haben, um Ihre Sicherheit zu verbessern, sollten Sie folgende Schritte anwenden:

  • Verwenden Sie empfohlene Methoden, wie z.B. Sicherheitsbewertung (Secure Score) – Dieses Werkzeug verwendet Analysen, empfiehlt Maßnahmen die Sie ergreifen können, um digitale Inhalte sicherer zu machen.
  • Erstellen Sie Anti-Ransomware-Regeln für den E-Mail Nachrichtenfluss – Sie können bösartige Anhänge blockieren und Angreifer daran hindern, Sie von Ihren Datensystemen oder Geräten auszusperren.
  • Verwenden Sie die Office-Nachrichtenverschlüsselung – Als erste Sicherheitsebene blockiert es die Einsicht von E-Mails durch Außenstehende.

Was ist mit ausgehenden E-Mails?

Es ist wichtig, den ausgehenden Datenverkehr für den Datenschutz und Sicherheit zu berücksichtigen. Mit anderen Worten, es müssen Maßnahmen ergriffen werden, um zu verhindern, dass Benutzer sensible Daten per E-Mail an externe Parteien senden. Es geht nicht nur um Datenlecks – Wenn Ihr Unternehmen infiziert ist, kann sie für Angriffe gegen Ihre Partner verwendet werden, was Sie in vielerlei Hinsicht haftbar macht.

Über die Sicherheitsgrundlagen hinausgehen

Cybersicherheit ist eine Investition, bei der das Ergebnis nur das Nicht-Eintreten von Problemen ist – Das ist schwer zu messen, aber leicht zu erklären, wenn man bedenkt, dass wir jedes Jahr von den Millionen von Umsatz für Angreifer, und den Hunderten von Datenverstößen erfahren, über die sich Unternehmen beschweren. Es ist somit am besten, auf der fortschrittlichen Seite Ihrer Branche zu bleiben und über die Grundfunktionen hinauszugehen. Insbesondere heutzutage, wo Unternehmen mit rechtlichen Problemen konfrontiert werden können, wenn sie sich nicht mit allen Mitteln bemühen die DSGVO und ähnliche Vorschriften zu erfüllen.

Alle Kategorien