E-Mail-Sicherheit: Schluss mit Phishing-Angriffen und ereignisbasierten E-Mail-Attacken!
E-Mails sind omnipräsent und immer noch das bedeutendste Kommunikationsmittel im Geschäftsalltag. Zeitgleich ist die elektronische Korrespondenz ein äußerst gefragter Angriffsvektor für Internetkriminelle. Inzwischen werden längst nicht mehr nur schlecht formulierte Spamnachrichten versendet, sondern hochprofessionelle und scheinbar seriös wirkende Phishing-Mails mit Malware oder präparierte Website-Hyperlinks im Gepäck. Es rechnet sich also, ein wirkungsvolles und ganzheitliches E-Mail-Sicherheitskonzept zu implementieren.
Der Geschäftsalltag ist heute gezeichnet vom E-Mail-Verkehr. Obwohl die Kommunikation in den vergangenen Monaten vielerorts durch unterschiedliche Kommunikationsmedien, Kollaborationstools und Videokonferenzen ergänzt wurde, ist die elektronische Korrespondenz für die meisten Firmen und deren Angestellten nach wie vor der wichtigste Kanal, um mit Partnern, Zulieferern, Auftraggebern und Arbeitskollegen zu kommunizieren.
Während sich vor ein paar Jahren die tagtäglichen Informationen auf ein paar Briefe und Faxe beschränkten, werden die Betriebe heute täglich von einer großen E-Mail-Flut überrollt.
Laut einer Prognose des Forschungsinstituts Radicati Group soll sich in diesem Jahr die Anzahl der täglich versendeten E-Mails global auf ganze 319 Milliarden belaufen. Bis 2025 soll sich diese Zahl aller Voraussicht nach auf 376 Milliarden erhöhen.
Folglich ist es kein Wunder, dass die meisten erfolgreichen Angriffe mit einer manipulierten E-Mail beginnen. Dabei handelt es sich längst nicht mehr um mangelhaft formulierte Spamnachrichten, die vor Tippfehlern strotzen, sondern um hochprofessionelle, augenscheinlich seriös wirkende Phishing-Mails, die virenverseuchte E-Mail-Anhänge oder präparierten Website-Links im Gepäck haben, um vor allem Malware-Angriffe zu beginnen, geschäftskritische Daten zu ergattern, Unternehmensnetzwerke zu infiltrieren und horrende Lösegeldforderungen zu stellen.
Im Visier der Datenfischer
Phishing-E-Mails sind mittlerweile zu einer ernsten Bedrohung für die IT-Sicherheit eines Betriebes geworden. Jeden Tag erreichen rund 3,4 Milliarden betrügerische E-Mails die Postfächer weltweit.
Das Besorgniserregende daran: Da nicht alle Phishing-E-Mails im Spam-Ordner landen, reicht
häufig ein falscher Klick aus, um Internetkriminellen und riskanter Schadsoftware Tür und Tor ins Unternehmensnetzwerk zu öffnen – und damit Schäden in Millionenhöhe zu bewirken.
Laut einer aktuellen Studie des Digitalverbands Bitkom entsteht der heimischen Wirtschaft durch Sabotage, Datendiebstahl oder Spionage jährlich ein Gesamtschaden von 102,9 Milliarden Euro.
Allerdings gibt es einige Gesichtspunkte, an denen Phishing-E-Mails erkannt werden können:
• Fremder Versender, kryptisch wirkende Absender-Adresse
• Anonyme, unpersönliche oder allgemein gehaltene Anrede
• Keinerlei Impressum; merkwürdige, unvollständige Firmenangaben
• Grammatik- und Rechtschreibfehler, ungewöhnliche Wortwahl
• Abgekürzte Weblinks oder anklickbare Bilder im E-Mail-Text
• Zip-, Word- oder Excel-Dateien im Anhang
E-Mail-Sicherheit braucht ein Konzept!
Sowohl die Menge betrügerischer Phishing-Mails als auch die Kosten für eine Datenverletzung steigen weiter an.
Vor diesem Hintergrund ist es sinnvoll, dass Firmen ein wirkungsvolles und durchdachtes E-Mail-Sicherheitskonzept implementieren, das neben modernen und fortschrittlichen E-Mail-Sicherheitslösungen der nächsten Generation auch beständige Security Awareness Fortbildungen der Kollegen umfasst.
Im Zuge dessen sollte jede E-Mail-Sicherheitsstrategie folgende Abwehrmechanismen enthalten:
1. E-Mail-Security-Gateways
Durch den Gebrauch von E-Mail-Security-Gateways können Betriebe, E-Mail-Bedrohungen wie Malware, Phishing-Nachrichten oder Spam-Emails direkt am Gateway blockieren, womit die E-Mail-Sicherheit erheblich optimiert und die Zahl erfolgreich getätigter Angriffe spürbar reduziert wird. Ferner verfügen einige E-Mail-Security-Gateways-Lösungen über Funktionen zur Data Loss Prevention (DLP), sodass unabsichtliche oder absichtliche Datenlecks über E-Mail verhindert werden.
2. Antiviren-, Antispam- und Antiphishing-Lösungen der nächsten Generation:
Unternehmen sollten ihre E-Mail-Server und E-Mail-Clients durch schützende Software-Maßnahmen ergänzen. Dazu gehören neben einer zeitgemäßen Antivirensoftware und effektiven Firewall auch eine Anti-Spam- und Anti-Phishing-Lösung. Hierbei ist es entscheidend, dass die Konzepte durch regelmäßige Updates auf dem neuesten Level gehalten werden.
3. Verschlüsselung und Signatur:
Da die Inhalte von E-Mails ohne Chiffrierung ungefähr so geheim sind, wie der Text einer Postkarte, sollte sowohl der Versand als auch die Archivierung der E-Mails chiffriert werden.
• Bei der Übermittlung von E-Mails sollten standardisierte Protokolle benutzt werden, die mittels SSL/TLS (Secure Socket Layer/Transport Layer Security) durch Authentisierung und Verschlüsselung abgesichert sind.
• Für die Verschlüsselung des ursprünglichen Inhalts von E-Mails, stehen verschiedene Vorgehensweisen zur Auswahl, wie das Standardverfahren S/MIME oder das PGP (Pretty Good Privacy).
Um die Integrität der elektronischen Korrespondenz sicherzustellen, sollten Unternehmen digitale Signaturen einführen.
4. Interne E-Mail-Richtlinie
Die interne E-Mail-Richtlinie enthält genaue Anweisungen für die dienstliche und private E-Mail-Nutzung im Unternehmen. In der E-Mail-Richtlinie können Betriebe z. B. verbindlich festlegen, wie mit E-Mail-Anhängen umzugehen ist, welche Inhalte als „verdächtig“ einzuschätzen sind und wer für die Überprüfung fragwürdiger E-Mails zuständig ist.
5. Kontinuierliche Security Awareness Fortbildungen
Da gezielte E-Mail-Attacken wie Spear-Phishing selbst für vorsichtige Mitarbeiter nur schwer zu erkennen sind, sollten Betriebe regelmäßige Security Awareness Fortbildungen zum Thema durchführen.
6. Phishing-Simulationen
Zusätzlich zu regelmäßigen Security Awareness Schulungen können Phishing-Simulationen durchgeführt werden, um Beschäftigte zu prüfen und weiter zu sensibilisieren.
E-Mails sind Fluch und Segen zugleich!
E-Mails sind aus dem Geschäftsalltag nicht mehr wegzudenken. Zeitgleich sind sie ein äußerst begehrter Angriffsvektor für Internetkriminelle. Folglich ist es empfehlenswert, eine umfängliche E-Mail-Sicherheitsstrategie zu nutzen. Schließlich bewahrt ein wirksames und ein ganzheitlich durchdachtes E-Mail-Sicherheitskonzept mit innovativen E-Mail-Sicherheitslösungen der nächsten Generation und regelmäßigen Security Awareness Fortbildungen das Unternehmen vor Spam, Malware, Ransomware, Phishing- und Man-in-the-Middle-Angriffen.
Gerne beraten wir Sie als versiertes IT-Systemhaus bei Fragen rund um die Themen E-Mail-Sicherheit, IT-Sicherheit und Security Awareness. Darüber hinaus unterstützen wir Sie bei der Implementierung starker E-Mail-Sicherheitslösungen. Vereinbaren Sie noch heute einen Termin.