YB - stock.adobe.com
E-Mail-Sicherheit: Gründe für eine Security-Richtlinie
Es gibt viele gute Gründe, die für eine sorgsam aufgebaute E-Mail-Security-Policy sprechen: Sie kann Datenverluste verhindern und vertrauliche Informationen besser absichern.
Selbst in Anbetracht der enormen Fortschritte bei Collaboration-Lösungen, die auf Voice-over-IP (VoIP), Videokonferenzen, Instant Messaging (IM) oder Gruppen-Chats setzen, sind und bleiben E-Mails in den meisten Firmen das beliebteste Mittel zur Kommunikation.
Das haben auch die meisten Cyberangreifer gemerkt. Wie schon in den vergangenen Jahren werden sie ihre Phishing- und Ransomware-Kampagnen deshalb weiterhin vor allem auf Basis von E-Mail-Nachrichten durchführen. In ihrem Fokus steht meist der Diebstahl von vertraulichen Informationen oder die Verschlüsselung von geschäftsrelevanten Daten. Nicht selten müssen sich die betroffenen Unternehmen dann mit einem Erpressungsversuch auseinandersetzen. Die Sicherheit der betrieblichen E-Mail-Kommunikation ist deshalb auch in Zukunft von besonders hoher Priorität für alle mit dem Thema IT-Sicherheit befassten Teams.
Eine unternehmensweite E-Mail-Sicherheitsrichtlinie hilft dabei, den Posteingang des Unternehmens vor Bedrohungen zu schützen - sowohl vor böswilligen als auch vor fahrlässigen - und stellt sicher, dass die Mitarbeiter wissen, wie sie E-Mails verwenden dürfen und wie sie Datenverluste und Datenschutzverletzungen per E-Mail verhindern können.
Grund genug, einmal näher zu betrachten, was eine E-Mail-Sicherheitsrichtlinie ist, warum sie wichtig ist, welche E-Mail-Sicherheitsbedrohungen es gibt und wie Sie eine E-Mail-Sicherheitsrichtlinie erstellen und implementieren, die Ihr Unternehmen vor Bedrohungen schützt.
Was ist eine E-Mail-Sicherheitsrichtlinie?
Mit unternehmensweiten Technologierichtlinien können Unternehmen festlegen, wie Mitarbeiter verschiedene unternehmenseigene, Cloud-basierte und verwaltete digitale Dienste nutzen dürfen. Solche Richtlinien umfassen unter anderem die Reaktion auf Vorfälle, die zulässige Nutzung, das Lieferantenmanagement und den Fernzugriff.
Eine E-Mail-Sicherheitsrichtlinie legt Regeln und Empfehlungen für die Nutzung geschäftlicher E-Mail-Konten fest. Ihr Ziel ist es, die akzeptable Nutzung zu definieren und interne und externe Bedrohungen zu vermeiden, die dem Unternehmen Schaden zufügen könnten.
Bevor sie Zugang zu ihren geschäftlichen E-Mail-Konten erhalten, müssen die Mitarbeiter im Rahmen des Einführungsprozesses eine E-Mail-Sicherheitsrichtlinie lesen und unterschreiben. Damit erklären sie sich damit einverstanden, die dargelegten Regeln und Richtlinien für die E-Mail-Nutzung im Unternehmen nach bestem Wissen und Gewissen zu befolgen, und erkennen alle Konsequenzen an, die ihnen bei einem Verstoß gegen die Richtlinie drohen.
Typische E-Mail-Sicherheitsbedrohungen
E-Mail-Sicherheitsrichtlinien sollen die Benutzer vor allem über interne und externe Bedrohungen informieren und ihnen zeigen, wie sie diese erkennen können, bevor sie Schaden anrichten.
Definieren Sie die folgenden E-Mail-Sicherheitsbedrohungen eindeutig und nehmen Sie sie in das Strategiedokument auf:
- Schadsoftware. Malware ist die Abkürzung für bösartige Software und dient dazu, ein System zu infiltrieren und Schaden anzurichten. Angreifer versenden E-Mails mit bösartigen Anhängen oder Links, die Benutzer auf mit Malware verseuchte Websites leiten, auf denen verschiedene Arten von Malware installiert werden, darunter Viren, Trojaner, Spyware, Keylogger, Würmer und Ransomware. Wenn Malware installiert und nicht von E-Mail-Sicherheits-Tools abgefangen wird, kann sie zu Datenverlust oder -diebstahl führen.
- Phishing. Phishing-E-Mails sind eine Form des Social Engineering und zielen darauf ab, Benutzer zur Installation von Malware zu verleiten. Böswillige Hacker erstellen E-Mails, um Benutzer davon zu überzeugen, kompromittierte E-Mail-Anhänge zu öffnen oder auf mit Malware verseuchte Links zu klicken, um Anmeldedaten, Kontodaten und sensible Informationen zu stehlen. Zu den Arten von Phishing-Angriffen gehören Spear Phishing, wie beispielsweise die Kompromittierung von Geschäfts-E-Mails und Whaling, Vishing, Smishing, Quishing und Social Media Phishing.
- Übernahme von E-Mail-Konten und kontoübergreifende Übernahmen. Böswillige Akteure greifen aus verschiedenen Gründen auf E-Mail-Konten von Benutzern zu. Einer davon ist, den Inhalt eines Kontos zu scannen, um private Informationen wie Anmeldedaten, Bankdaten oder geistiges Eigentum zu identifizieren. Cyberkriminelle nutzen diese Informationen für Identitätsdiebstahl oder Erpressungsversuche. Bei kontoübergreifenden Übernahmen verschaffen sich böswillige Akteure über ein ungeschütztes E-Mail-Konto Anmeldeinformationen für andere Systeme und greifen auf diese anderen Konten zu, um den Diebstahl oder Datenverlust bei anderen Anwendungen, wie zum Beispiel Bankkonten, die sich außerhalb des E-Mail-Systems befinden, zu erleichtern.
- E-Mail-Spoofing. Beim Spoofing senden Angreifer legitim aussehende, aber betrügerische E-Mails an Benutzer, wobei sie die Absenderadresse verschleiern, um den Eindruck zu erwecken, dass die E-Mail von einer bekannten Quelle stammt. Antispoofing-Technologien können E-Mail-Spoofing-Versuche erkennen, aber nicht verhindern.
- Spam. Auch wenn sie nicht immer bösartig sind, kann eine übermäßige Menge an Massen-Spam-E-Mails die Produktivität der Mitarbeiter drastisch verringern. Böswillige Akteure können Spam auch als Botnet verwenden, das zu einem DoS-Angriff auf die E-Mail-Server des Unternehmens führen kann.
Nehmen Sie auch Informationen über Insider-Risiken in das Dokument auf. Nicht alle Angriffe kommen von außen. Insider-Bedrohungen - böswillig oder fahrlässig - bedrohen ebenfalls die E-Mail-Sicherheit. Das können böswillige aber auch fahrlässige Aktionen sein, beispielsweise Mitarbeiter, die ihre Firmen-E-Mails geöffnet lassen, wenn sie nicht an ihrem Notebook sitzen, oder die versehentlich die falsche Datei an eine E-Mail anhängen und diese an den falschen Empfänger senden, in die Richtlinie auf.
Warum Unternehmen eine E-Mail-Security-Richtlinie benötigen
Obwohl es E-Mails bereits seit Jahrzehnten gibt, neigen manche Anwender immer noch zu riskanten Gewohnheiten, wenn es um ihre Nutzung geht. Viele unterschätzen die Gefahren, die mit der E-Mail-Kommunikation einhergehen. Nicht selten glauben sie auch heute noch an das Mantra „mir wird schon nichts passieren“. Jeder E-Mail-Nutzer sollte sich der potenziellen Gefahren der Technik bewusst sein. So können darüber nicht nur vertrauliche Daten gestohlen werden. Schnell ist auch ein hoher finanzieller Schaden entstanden. Jedes Unternehmen sollte daher Leitlinien definieren, in denen festgelegt ist, wie E-Mails genutzt, aber auch wie sie nicht genutzt werden dürfen.
Für IT-Verantwortliche ist die Erstellung einer E-Mail-Security-Richtlinie eine zentrale Maßnahme zur Risikovermeidung. Sie sollte aber so formuliert werden, dass sie kurz und bündig gehalten und einfach zu verstehen ist. Sie darf also nur genau die Informationen enthalten, die die Mitarbeiter tatsächlich benötigen, um ihre persönliche Verantwortung für eine sichere Kommunikation zu verstehen. So sollte sie auch jedes falsche Gefühl von Sicherheit zerstreuen, dass der eine oder andere Nutzer noch pflegt.
Was in einer E-Mail-Security-Richtlinie enthalten sein sollte
Eine E-Mail-Security-Richtlinie muss so aufgesetzt werden, dass alle Mitarbeiter – also sowohl die technisch versierten als auch die nicht versierten – ihre Ziele verstehen können. Außerdem sollte in einfachen Worten dargelegt werden, welche Verantwortung sie als Nutzer beim Umgang mit E-Mails im beruflichen Alltag haben und an wen sie sich bei Fragen oder Problemen wenden können.
Eine E-Mail-Security-Policy sollte die folgenden sieben Aspekte enthalten:
- Ein Überblick über den Zweck und den Geltungsbereich der Richtlinie. Erklären Sie, warum das Dokument existiert und warum das Unternehmen es benötigt.
- Informationen aus rechtlicher Sicht, die sich mit dem geistigen Eigentum der Daten in E-Mails sowie den Themen Datenschutz und Privatsphäre befassen.
- Einzelheiten zu den E-Mail-Aufbewahrungs- und Sicherungsrichtlinien des Unternehmens. Skizzieren Sie Regeln für die Aufbewahrung und Löschung von Daten sowie für die Sicherung und Archivierung von E-Mails.
- Die Einschränkungen, Erwartungen und Konsequenzen des Unternehmens in Bezug auf die Nutzung oder den Missbrauch des E-Mail-Systems durch Mitarbeiter und Benutzer. Legen Sie klar und deutlich fest, was Mitarbeiter mit dem E-Mail-System tun dürfen und was nicht. Beachten Sie Folgendes:
Schränken Sie ein, wer die E-Mail nutzen darf, zum Beispiel nur Mitarbeiter und nicht deren Familienangehörige.
Definieren Sie eine akzeptable Sprachregelung, zum Beispiel nichts Beleidigendes oder Diskriminierendes, etc.
Regeln Sie etwa gemäß einer Betriebsvereinbarung die private Nutzung des E-Mails-Accounts. Dies kann auch rechtliche Folgen für die Archivierung haben.
Verzichten Sie gegebenenfalls auf die Weiterleitung von E-Mails an Dritte.
Verbieten Sie die Verwendung von E-Mail- und Speichersystemen von Drittanbietern, wie Gmail oder Box.
Untersagen Sie das Versenden von Ketten-E-Mails oder von Scherznachrichten.
Liefern Sie Informationen über technische Maßnahmen des Unternehmens, auch hinsichtlich des Monitorings. - Informationen über geeignete Sicherheitsmaßnahmen für E-Mails sowie über potenzielle Gefahren wie Malware, Spam und Phishing und zu riskantem Verhalten, die allesamt zum Verlust oder zum Diebstahl von Daten führen können.
- Tipps, wie sich der Nutzer und das Unternehmen am besten vor Sicherheitsgefahren beim Senden und Empfangen von E-Mails schützen können.
- Hinweise darauf, wo die Mitarbeiter weitere Informationen zum Thema E-Mail-Sicherheit finden und an wen sie sich mit sicherheitsrelevanten Fragen bei der E-Mail-Nutzung wenden können.
Schritt für Schritt eine E-Mail-Security-Richtlinie erstellen
Auch wenn jedes Unternehmen und jede damit zusammenhängende Firmenkultur einzigartig sind, gilt dies nicht für E-Mail-Security-Richtlinien. Der Grund dafür ist einfach: Die verwendeten Technologien und Risiken sind weitgehend identisch, egal wie groß ein Unternehmen, in welcher Branche es tätig ist oder welchen digitalen Reifegrad es erreicht hat. Natürlich gibt es trotzdem Unterschiede darin, wie Ihre Richtlinie formuliert sein sollte. Es hängt zum Beispiel viel von der Zielgruppe ab, für die sie geschrieben wird. Die Besonderheiten liegen also im Detail. Der im Folgenden Schritt für Schritt beschriebene Prozess hilft Ihnen daher bei der Erstellung einer eigenen E-Mail-Security-Richtlinie:
- Starten Sie mit einer bereits existierenden Vorlage für Ihre E-Mail-Security-Richtlinie. So bietet etwa das Bundesamt für Sicherheit in der Informationstechnik (BSI ) mit seinem IT-Grundschutz-Werk viele Informationen und Vorlagen, die Sie für Ihre Zwecke verwenden können. Auch beim amerikanischen SANS Institute finden Sie Templates, die Sie als Blaupausen für Ihre eigenen Security-Richtlinien nutzen können. Einige dieser Vorlagen befassen sich auch mit dem sicheren Einsatz von E-Mails in Unternehmen.
- Passen Sie die ausgewählte Vorlage nun an Ihre Bedürfnisse an. Auf Basis der Firmenkultur in Ihrem Unternehmen, der Größe und dem digitalen Reifegrad sollten die Autoren der Richtlinie die Vorlage nach den Bedürfnissen und Anforderungen des Unternehmens ausrichten. Dabei müssen bei erforderlichen Änderungen der Messaging-Systeme auch die Auswirkungen auf die Endnutzer berücksichtigt werden.
- Stellen Sie sicher, dass die ausgewählten Security-Lösungen und -Einstellungen für Ihr E-Mail-System an den definierten Richtlinien ausgerichtet sind. Es gibt eine Vielzahl geeigneter E-Mail-Security-Tools, die Sie integrieren können, um Ihre Anwender vor Gefahren zu schützen. Beispiele dafür sind Spam-Filter, Sandboxen, Lösungen zum Schutz vor Malware und zur Ver- und Entschlüsselung der Nachrichten. Die Lösungen müssen auf Basis der schriftlich festgelegten Richtlinien eingerichtet werden.
- Stellen Sie einen Plan auf, wie die Nutzer die Vorgaben akzeptieren können. Jede Form von Richtlinien muss eine Möglichkeit bieten, damit die Mitarbeiter und Nutzer bestätigen können, dass sie sie gelesen haben und damit einverstanden sind. Meist ist dafür eine Unterschrift am Ende der Richtlinie vorgesehen. Außerdem sollte kontrolliert werden, ob die Mitarbeiter auch wirklich an angebotenen Schulungsmaßnahmen zur E-Mail-Sicherheit teilnehmen.
- Entwickeln Sie nicht nur Prozesse zum Training der Mitarbeiter, sondern auch zur Incidence Response (Vorfallsreaktion). So sollten Prozeduren definiert werden, die die Anwendung der Security-Maßnahmen beim Senden und Empfangen von E-Mails sicherstellen. Auch sollte geregelt werden, wie möglichst schnell auf Fragen der Anwender oder auf sicherheitsrelevante Vorfälle reagiert werden kann.
Eine eigene Sicherheitsrichtlinie für E-Mails implementieren
Abhängig vom digitalen Reifegrad eines Unternehmens gibt es wesentliche Unterschiede bei der Einführung und Nutzung von E-Mail-Security-Richtlinien. IT-Abteilungen mit einem umfangreichen Erfahrungsschatz wird die Kommunikation mit den Kollegen meist leichter fallen, da die meisten Mitarbeiter in einem solchen Unternehmen schon vergleichbare Sicherheitsrichtlinien kennen und bereits früher akzeptiert haben.
Jüngere Firmen mit einer eher lockereren Startup-Mentalität werden dagegen meist etwas vorsichtiger vorgehen und daher mehr Zeit aufbringen müssen, um für die Einhaltung ihrer Sicherheitsrichtlinien zu sorgen. Die Durchführung regelmäßiger Sicherheitstrainings, deren Teilnahme vorgeschrieben ist, hat sich gerade in Umgebungen als sehr erfolgreich erwiesen, in denen es viele Nutzer gibt, die sich nicht streng an Sicherheitsrichtlinien halten. Wenn es dort überhaupt schon welche gibt.