Anzeige

Email Security

Viele haben gedacht, die E-Mail würde aussterben und durch Messenger & Co. ersetzt. Doch wie sich gezeigt hat, sind Mails nach wie vor der wichtigste Kommunikationskanal im Geschäftsalltag.

Gleichzeitig zählen sie jedoch zu einem der beliebtesten Angriffswege für Cyberkriminelle und werden immer wieder verwendet, um Malware zu verbreiten oder sensible Daten abzugreifen. Gerade die aktuelle Situation wird genutzt, um Phishing-Mails mit Bezug zu COVID-19 zu versenden. Da die Phishing-Angriffe teilweise so gezielt und gut gemacht sind, fallen Mitarbeiter trotz regelmäßiger Awareness-Schulungen oft darauf herein. Hier sind die Unternehmen gefordert, sich und die Arbeitnehmer mit entsprechenden technischen Maßnahmen vor solchen Attacken zu schützen.


Die Corona-Pandemie beeinflusst das allgemeine Leben weltweit. Während im privaten Bereich viele Freizeitaktivitäten wegfallen und immer stärkere Kontaktbeschränkungen hinzukommen, macht die Situation auch vor dem Unternehmensalltag keinen Halt. In vielen Unternehmen wird auf jeden möglichen persönlichen Kontakt verzichtet, indem die Mitarbeiter nicht mehr zusammen im Büro sind, sondern im Home-Office arbeiten. Hier wird sowohl mit Kollegen und Partnern als auch mit Kunden nochmals mehr über E-Mails kommuniziert. Das wissen natürlich auch Hacker, die versuchen, sich über Phishing-Mails Zugang zum Unternehmen zu verschaffen, an schützenswerte Daten wie Passwörter zu gelangen oder eine Schadsoftware, beispielsweise Ransomware, zu installieren.

Die meisten Unternehmen sind sich dieser Gefahr zwar inzwischen bewusst und wissen, wie wichtig E-Mail-Sicherheit ist. Trotzdem treffen viele von ihnen nach wie vor keine notwendigen und zeitgemäßen Gegenmaßnahmen. Dies ist aber äußerst wichtig, denn die Phishing-Mails werden immer perfider und sehen teilweise täuschend echt aus. Problematisch wird es gerade dann, wenn die gefälschten E-Mails mit emotionalen oder medienbeherrschenden Themen eine Vielzahl von Menschen ansprechen. So haben Cyberkriminelle in der letzten Zeit vermehrt die Angst der Menschen vor dem Coronavirus ausgenutzt und gefälschte News über Impfstoffe per E-Mail verbreitet. Da positive Nachrichten zu COVID-19-Vakzinen förmlich herbeigesehnt werden, hat man schnell einmal auf einen Link geklickt und sich damit möglicherweise unbemerkt bereits einen schadhaften Code heruntergeladen. Selbst geschulte Mitarbeiter mit einem Verständnis für IT und IT-Security können sich nicht komplett davon freisprechen, auf sehr gut imitierte Mails hereinzufallen.

Sicherheitsmaßnahmen stets aktuell halten

Um die Cybersecurity gewährleisten zu können, sollten Unternehmen zunächst Richtlinien festlegen. Es empfiehlt sich, darin das IT-Sicherheitsziel zu definieren und zu bestimmen, wie dieses umgesetzt werden soll. In nahezu allen Fällen ergibt sich aus den Richtlinien das Erfordernis eines geeigneten Malware- und Phishing-Schutzes. Bezüglich des Malware-Schutzes sollten Unternehmen nicht nur auf klassische Anti-Viren-Systeme setzen. Um sich ganzheitlich vor Malware zu schützen, sind entsprechende Next-Gen-Lösungen erforderlich. Diesbezüglich ist es ratsam, dass sich Unternehmen von Security-Fachleuten beraten lassen, die über die jeweils aktuelle Sicherheitslage informiert sind und geeignete Methoden aufzeigen können.

In puncto E-Mail-Sicherheit bietet es sich an, eine End-to-End-Verschlüsselung zu integrieren. Auf diese Weise werden E-Mails inklusive der transportierten Daten und Dokumente auf dem gesamten Weg vom Absender bis zum Empfänger vor unbefugten Zugriffen durch Dritte geschützt. Ebenso kann damit die Identität eines Absenders zweifelsfrei festgestellt werden.

Moderne E-Mail-Security-Lösungen können Hyperlinks in E-Mails bewerten und so prüfen, ob sie sicher sind – sowohl zum aktuellen Zeitpunkt als auch in dem Moment, in dem der Anwender den Link anklickt. Zudem lassen sich alle E-Mails, die von außen hereinkommen, mit dem kurzen Hinweis „extern“ ergänzen und erhöhen damit gerade bei gefälschten Absendern die Aufmerksamkeit.

Hinsichtlich der Corona-Situation ist es für Unternehmen essenziell zu wissen, dass diese Sicherheitsmaßnahmen auch bei der Remote-Arbeit – entweder in einer Cloud oder lokal – eingesetzt werden können. Des Weiteren sollten Arbeitnehmer im Bereich E-Mail-Sicherheit regelmäßig geschult werden, da jeder einzelne täglich zahlreiche E-Mails versendet und empfängt und deshalb wissen sollte, wann eine E-Mail als bedenklich einzuschätzen ist. Nur das Zusammenspiel aus Technologie und regelmäßigen Schulungen kann allerdings das Risiko auf ein Minimum reduzieren.

E-Mail-Sicherheit datenschutzkonform überwachen

Was bei den einzelnen Sicherheitsmaßnahmen nicht außer Acht gelassen werden darf, ist das Thema Datenschutz. Dem gesetzlich vorgeschriebenen Datenschutz kommen Unternehmen sehr nahe, wenn Maßnahmen eingesetzt werden, die dem aktuellen Stand der Technik entsprechen. Denn moderne Sicherheitsmaßnahmen orientieren sich für gewöhnlich an der gültigen Datenschutz-Grundverordnung.

Möglicherweise gibt es Bedenken, wenn die E-Mail-Sicherheit in Unternehmen überwacht wird. Dies ist aber ein absolutes Muss und zudem unbedenklich, da die Überwachung der E-Mail-Sicherheit weitestgehend automatisiert laufen kann. Lediglich für Ausnahmen – falls dem Administrator zum Beispiel ein Angriff auf ein bestimmtes Benutzerkonto gemeldet wird – sollte mit jedem Mitarbeiter eine Vereinbarung getroffen werden, die es den Administratoren erlaubt, auf das Benutzerkonto zuzugreifen und entsprechend zu handeln. Auch wenn es eine sehr unpopuläre Maßnahme ist, so sollte die private Nutzung von E-Mails und Internet in Unternehmen grundsätzlich untersagt sein, um datenschutzrechtliche Risiken zu vermeiden. Moderne Arbeitgeber bieten ihren Mitarbeitern dafür zum Beispiel ein separates WLAN zur freien Nutzung an.

Wie sich Unternehmen vor E-Mail-Angriffen schützen können

Insgesamt lässt sich sagen, dass sich im Hinblick auf die Corona-Pandemie und den damit einhergehenden Anstieg der Arbeit aus dem Home-Office die Cyberrisiken durch die noch häufigere Nutzung von E-Mails verschärft haben. Vor diesem Hintergrund ist es umso wichtiger, dass Unternehmen erprobte Sicherheitsmaßnahmen treffen, die auf dem neuesten Stand der Technik sind. Im Zentrum des Ganzen muss immer auch die Einhaltung der Datenschutzrichtlinien stehen, deren Erfüllung bei der Implementierung derartig zeitgemäßer Methoden aber vorauszusetzen ist.

Autor: Marco Rossi, Senior Sales Engineer bei Trustwave


Artikel zu diesem Thema

Digitale Identität
Mär 04, 2021

Digitale Identität: Vertrauenswürdiger Garant für die Sicherheit

Digitalisierung auf dem Vormarsch: Mit der vermehrten Nutzung von Online-Diensten ist…
Trojaner
Mär 02, 2021

Gemeinsam gegen Verschlüsselungstrojaner

Funktionierende und sichere IT-Infrastrukturen sind von grundlegender Bedeutung für…
Cybercrime
Mär 02, 2021

Phishing- und Malware-Kampagnen mit COVID-19-Bezug

Das IT-Sicherheitsunternehmen Tenable veröffentlichte vor Kurzem eine fundierte Analyse…

Weitere Artikel

Cyber-Lockdown

Ein Jahr im Cyber-Lockdown. Was haben wir gelernt?

Als die aktuelle Pandemie Anfang letzten Jahres aufkam, fühlte sich nicht jeder Arbeitnehmer wohl bei der Umstellung auf eine digitalisierte Arbeitswelt – besonders da dieser Wechsel praktisch von heute auf Morgen passierte.
Phishing

Nutzer sind besser gegen COVID-19-bezogene Phishing-Angriffe gewappnet

KnowBe4, Anbieter der Plattform für Security Awareness Training und Phishing-Simulationen, gab die Ergebnisse seiner Phishing-Untersuchungen für das 1. Quartal 2021 bekannt.
Cyber Security

Nur zwölf Prozent der Unternehmen haben SASE vollständig eingeführt

NetMotion, ein Anbieter von Sicherheitslösungen für die weltweit wachsende Zahl mobiler und aus der Ferne tätiger Arbeitskräfte, hat die Ergebnisse seiner ersten globalen SASE-Studie bekannt gegeben.
Asset Management

Wie Sicherheitsteams nicht sichtbare Assets aufdecken können

Fünf Fragen und Antworten wie Sicherheitsteams nicht sichtbare Assets aufdecken können, beantwortet von Todd Carroll, CISO/VP CyberOperations bei CybelAngel.

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.