Risikofaktor E-Mail: Wie Unternehmen sich vor internen und externen Gefahren schützen
Dass die E-Mail zu Hackers Lieblingen gehört, ist hinlänglich bekannt. Trotzdem sind entsprechende Schutzmaßnahmen in erstaunlich vielen Unternehmen noch lückenhaft. Unser Autor erklärt die Grundlagen.
Jeder, der eine E-Mail-Adresse besitzt, wird wohl bereits die eine oder andere Phishing-E-Mail erhalten haben. Oft sind solche E-Mails leicht an Grammatik- und Orthografiefehlern, der fehlenden persönlichen Ansprache oder dem unbekannten Absender zu erkennen. Doch Kriminelle werden immer geschickter darin, Nachrichten zu kreieren, die nicht nur auf den ersten Blick täuschend echt aussehen.
Dafür sammeln die Betrüger Informationen über ihre späteren Opfer, etwa in öffentlich zugänglichen Bereichen wie der Unternehmenswebseite oder den Social-Media-Accounts von Unternehmen oder Mitarbeitenden, aber womöglich auch im Darknet. Auf Basis dieser Informationen können sie beispielsweise personalisierte Anreden an einzelne Mitarbeitende verfassen, auf aktuelle Ereignisse verweisen oder die Geschäftsbeziehung des Unternehmens zu seinen Partnern oder Lieferanten ausnutzen, indem sie etwa in deren Namen Rechnungen verschicken.
Ein mehrstufiger Sicherheitsansatz
Unternehmen dürfen diesem Treiben nicht tatenlos zuschauen und darauf hoffen, dass sie und ihre Angestellten nicht ins Visier von Cyberkriminellen geraten. Stattdessen müssen sie sich aktiv schützen – allerdings ohne dabei die Produktivität ihrer Mitarbeitenden durch zu viele oder zu große Hürden einzuschränken. Es braucht ein vernünftiges Gleichgewicht.
Dieses erreichen Unternehmen, indem sie Sicherheitsmaßnahmen implementieren, die von den Mitarbeitenden kein aktives Handeln erfordern und schädliche E-Mails von vornerein aussortieren. Dazu brauchen sie sowohl eine Lösung für die Erkennung von Inhalten sowie – darauf aufbauend – Anti-Malware-Scanner, die diese Inhalte auf Viren und andere Gefahren untersuchen. Dabei können Unternehmen auch mehrere Scanner parallel laufen lassen, um sicherzustellen, dass auch wirklich alle infizierten Dateien entdeckt werden. Zudem sollten als weitere Sicherheitsstufe auch Spam-Engines zum Einsatz kommen, die eingehende E-Mails mit bekannten Spam-Signaturen vergleichen.
Wird nichts gefunden, werden die E-Mails als sicher eingestuft und an die Mitarbeitenden weitergeleitet. Bei potenziell schädlichen Inhalten werden sie jedoch unter Quarantäne gestellt und die IT-Abteilung oder der Adressat selbst kann dann entscheiden, ob es sich tatsächlich um eine Gefahr handelt oder ob die E-Mail irrtümlich Alarm ausgelöst hat. Blockiert werden dagegen E-Mails, von denen ein eindeutiges Risiko ausgeht. Je nach Lösung können Unternehmen auch noch eine weitere Sicherheitsmaßnahme umsetzen: Alle eingehenden E-Mail-Anhänge werden in PDFs konvertiert, um jeglichen bösartigen Code zu entschärfen.
Doch Unternehmen sollten sich nicht allein auf technische Lösungen verlassen, sondern regelmäßig auch Trainings für ihre Angestellten durchführen. Das steigert ihr Bewusstsein für die Gefahr, zumal Betrüger auch auf anderen Wegen, etwa über das Telefon, versuchen könnten, sie zu manipulieren. Echte Beispiele können dabei eindrucksvoll aufzeigen, wie raffiniert Kriminelle inzwischen vorgehen.
Die Gefahr aus dem Inneren
Beim Thema E-Mail-Sicherheit gibt es aber noch einen weiteren Aspekt zu bedenken: ausgehende E-Mails. Unternehmen müssen sicherstellen, dass keine unautorisierten E-Mails mit geschäftskritischen Informationen und Daten verschickt werden – ob versehentlich oder absichtlich. Sicherheitslösungen können dies verhindern, indem sie auch die Inhalte ausgehender E-Mails auf sensible Daten überprüfen. Ist der Mitarbeiter nicht berechtigt, mit diesen Daten zu arbeiten, wird der Versand der E-Mail blockiert. Dafür können Regeln zentral implementiert und automatisiert werden, um so die volle Kontrolle zu behalten.
Gleichzeitig können sie auch das E-Mail-Verhalten von Mitarbeitenden analysieren, um beispielsweise einen sprunghaften Anstieg des Volumens oder den Versand ungewöhnlich großer E-Mails zu identifizieren. Dadurch lässt sich das Risiko der sogenannten Insider-Bedrohung reduzieren, da nicht nur verhindert wird, dass Mitarbeitende aus Unwissenheit oder Unaufmerksamkeit Daten an unberechtigte Dritte weitergeben, sondern auch aus böswilliger Absicht.
Fazit
Auch wenn sich Unternehmen heute immer mehr Kommunikationswege eröffnen, erfreut sich die E-Mail weiterhin großer Beliebtheit. Das gilt allerdings auch unter Cyberkriminellen. Entsprechend sollten Unternehmen sowohl auf technischer als auch auf menschlicher Ebene ansetzen, um die Sicherheit ihrer E-Mails zu erhöhen. Dazu gehören neben regelmäßigen Schulungen für Mitarbeitende auch Lösungen, die sowohl Viren und andere Gefahren erkennen und beseitigen als auch den Verlust von kritischen Daten verhindern. So können sich Unternehmen vor weitreichenden Konsequenzen schützen, die im schlimmsten Fall ihre Existenz bedrohen.