E-Mail-Security: Wie erkennen Sie das schwächste Glied in der Kette?

Dubiose Zahlungsaufforderungen, Zero-Day-Attacken, Phishing-Angriffe, „Advanced Threats“ – diese Betrugstaktiken sind jedem Internetnutzer bekannt. Dennoch sind rund 90% aller Cyberangriffe auf eine einzige E-Mail zurückzuführen. Der Grund: E-Mail-Sicherheit erhält keine hohe Priorität in Unternehmen. Dabei gilt es E-Mail-Security als komplexes Konstrukt zu betrachten.

Gut getarnt als gefälschte E-Mails von Geschäftspartnern können Angriffe zum vollständigen Stillstand des Betriebes führen und Schaden im sechsstelligen Bereich verursachen. Unzureichender Schutz Ihrer sensiblen Daten durch unverschlüsselte E-Mail-Kommunikation haben außerdem Reputationsschäden und Rechtsstreite zur Folge.

Für eine sichere und reibungslose E-Mail-Kommunikation in Ihrer Organisation empfiehlt es sich, den Stand Ihrer gesamten E-Mail-Infrastruktur zu analysieren.

Fünf Bausteine der sicheren E-Mail-Kommunikation

E-Mail-Security ist wie eine Kette, die aus mehreren Gliedern besteht: Dabei sind alle gleich wichtig. Sollte eins nicht berücksichtigt werden, kann dies Auswirkungen auf das gesamte System haben – egal wie gut das Unternehmen in anderen Bereichen aufgestellt ist.

Schutz von Malware & Advanced Threats

Moderne E-Mail-Angriffe zielen immer häufiger auf einzelne Mitarbeiter und die menschliche Interaktion ab. Advanced Threats entwickeln sich weiter und perfektionieren den Inhalt der echt wirkenden Phishing-E-Mails, wie etwa die von Emotet.

Nicht zuletzt ist der mangelnde Wissenstand der Endanwender der Grund für erfolgreiche Cyber-Angriffe – das belegt der Beyond-the-Phish-Report 2019.

E-Mail-Fraud-Prevention

Besonders problematisch wird es, wenn außer Phishing-Versuchen der gesamte Inhalt und die E-Mail-Adresse des Absenders gefälscht wird. Mittlerweile sind 3 von 5 deutschen Unternehmen im DAX30 dem Risiko von E-Mail-Betrug ausgesetzt. Im Namen großer bekannter Marken werden massenhalf verfälschte E-Mails verschickt mit dem Ziel auf persönliche Daten sowie Zahlungsdaten der Nutzer zu gelangen.

So werden Phishing-E-Mails unter dem Deckmantel von Amazon mit der Aufforderung zur Datenbestätigung versendet. Fake E-Mails im Namen von Sparkasse laden ein zur Daten-Aktualisierung, Bestätigung des Sicherheitsupdates oder Bankdaten. Auch Paypalwarnt seine Kunden vor einer Phishing-Welle.

E-Mail-Kontinuität

Selbst wenn die Unternehmensdaten bei einem Cyberangriff nicht betroffen sind, können diese zu dauerhaften Ausfällen des E-Mail-Systems führen. Dies verdeutlicht das Beispiel von der Porr AG: Der im Mai stattgefundene Angriff hat die gesamte Organisation lahmgelegt: betroffen waren die Telefonie und der Mailverkehr. E-Mail-Kontinuität war in diesem Fall das schwächste Glied der Kette.

Neben Produktivitätseinbußen, die mit dem Ausfall des E-Mail-Systems einhergeht, leidet auch die Außenwirkung. 100-prozentige Verfügbarkeit des E-Mail-Systems und Datenintegrität sind von daher unabdingbar.

E-Mail-Verschlüsselung

Auf E-Mail-Verschlüsselung einfach zu verzichten ist lange schon keine Lösung mehr. Diese wird im Blick auf die geltende Gesetzgebung und sich verändernde Erwartungshaltung von Kommunikationspartnern öfter vorausgesetzt.

Früher für ausreichend angesehene Methoden wie z.B TSL können mit neuen Anforderungen an die Datensicherheit nicht mehr Schritt halten. Die Angriffe gegen verschlüsselt verschickte E-Mails verdeutlichen, dass auch S/MIME und OpenPGP nicht mehr als One-size-fit-all-Lösung anzusehen sind. So hängt die Vertraulichkeit der verschlüsselten E-Mail-Kommunikation neben der eingesetzten Verschlüsselungsmethode immer auch vom praktischen Einsatz ab.

E-Mail-Archivierung

Mit dem Inkrafttreten der DSGVO stellen sich gerade diverse Fragen von der Zulässigkeit einer Vollarchivierung unternehmensbezogener E-Mails bis hin zum Aussortieren der privaten E-Mails und dem Recht auf Vergessenwerden.

Eine automatische E-Mail-Archivierung stößt demnach an rechtliche Grenzen. Auf der einen Seite kann selektive Archivierung einzelner E-Mails großen Aufwand verursachen. Im Falle der Archivierung des gesamten E-Mail-Verkehrs ist davon auszugehen, dass auch private personenbezogene Daten der Mitarbeiter gespeichert werden, was eine ausdrückliche Einwilligung erfordert.

Sicherheit Ihrer E-Mails überprüfen: So legen Sie los

Wie steht es um die E-Mail-Security in Ihrem Unternehmen? Welche Bereiche sollten in Ihrer Organisation optimiert werden? Finden Sie heraus in unserem kostenlosen CYQUEO-Audit.

Für ca. eine Stunde stehen Ihnen unsere hochqualifizierten Security Engineers zur Verfügung, um eine Analyse Ihrer E-Mail Infrastruktur vorzunehmen und Verbesserungen zu empfehlen. Erfahren Sie, welche Bereiche Optimierungspotenzial aufweisen und leiten Sie gemeinsam mit uns konkrete Handlungsempfehlungen ab. Und das komplett kostenlos.

Melden Sie sich hier an und heben Sie Ihre E-Mail-Security auf ein neues Niveau.