Viele haben gedacht, die E-Mail würde aussterben und durch Messenger & Co. ersetzt. Doch wie sich gezeigt hat, sind Mails nach wie vor der wichtigste Kommunikationskanal im Geschäftsalltag.
Gleichzeitig zählen sie jedoch zu einem der beliebtesten Angriffswege für Cyberkriminelle und werden immer wieder verwendet, um Malware zu verbreiten oder sensible Daten abzugreifen. Gerade die aktuelle Situation wird genutzt, um Phishing-Mails mit Bezug zu COVID-19 zu versenden. Da die Phishing-Angriffe teilweise so gezielt und gut gemacht sind, fallen Mitarbeiter trotz regelmäßiger Awareness-Schulungen oft darauf herein. Hier sind die Unternehmen gefordert, sich und die Arbeitnehmer mit entsprechenden technischen Maßnahmen vor solchen Attacken zu schützen.
Die Corona-Pandemie beeinflusst das allgemeine Leben weltweit. Während im privaten Bereich viele Freizeitaktivitäten wegfallen und immer stärkere Kontaktbeschränkungen hinzukommen, macht die Situation auch vor dem Unternehmensalltag keinen Halt. In vielen Unternehmen wird auf jeden möglichen persönlichen Kontakt verzichtet, indem die Mitarbeiter nicht mehr zusammen im Büro sind, sondern im Home-Office arbeiten. Hier wird sowohl mit Kollegen und Partnern als auch mit Kunden nochmals mehr über E-Mails kommuniziert. Das wissen natürlich auch Hacker, die versuchen, sich über Phishing-Mails Zugang zum Unternehmen zu verschaffen, an schützenswerte Daten wie Passwörter zu gelangen oder eine Schadsoftware, beispielsweise Ransomware, zu installieren.
Die meisten Unternehmen sind sich dieser Gefahr zwar inzwischen bewusst und wissen, wie wichtig E-Mail-Sicherheit ist. Trotzdem treffen viele von ihnen nach wie vor keine notwendigen und zeitgemäßen Gegenmaßnahmen. Dies ist aber äußerst wichtig, denn die Phishing-Mails werden immer perfider und sehen teilweise täuschend echt aus. Problematisch wird es gerade dann, wenn die gefälschten E-Mails mit emotionalen oder medienbeherrschenden Themen eine Vielzahl von Menschen ansprechen. So haben Cyberkriminelle in der letzten Zeit vermehrt die Angst der Menschen vor dem Coronavirus ausgenutzt und gefälschte News über Impfstoffe per E-Mail verbreitet. Da positive Nachrichten zu COVID-19-Vakzinen förmlich herbeigesehnt werden, hat man schnell einmal auf einen Link geklickt und sich damit möglicherweise unbemerkt bereits einen schadhaften Code heruntergeladen. Selbst geschulte Mitarbeiter mit einem Verständnis für IT und IT-Security können sich nicht komplett davon freisprechen, auf sehr gut imitierte Mails hereinzufallen.
Sicherheitsmaßnahmen stets aktuell halten
Um die Cybersecurity gewährleisten zu können, sollten Unternehmen zunächst Richtlinien festlegen. Es empfiehlt sich, darin das IT-Sicherheitsziel zu definieren und zu bestimmen, wie dieses umgesetzt werden soll. In nahezu allen Fällen ergibt sich aus den Richtlinien das Erfordernis eines geeigneten Malware- und Phishing-Schutzes. Bezüglich des Malware-Schutzes sollten Unternehmen nicht nur auf klassische Anti-Viren-Systeme setzen. Um sich ganzheitlich vor Malware zu schützen, sind entsprechende Next-Gen-Lösungen erforderlich. Diesbezüglich ist es ratsam, dass sich Unternehmen von Security-Fachleuten beraten lassen, die über die jeweils aktuelle Sicherheitslage informiert sind und geeignete Methoden aufzeigen können.
In puncto E-Mail-Sicherheit bietet es sich an, eine End-to-End-Verschlüsselung zu integrieren. Auf diese Weise werden E-Mails inklusive der transportierten Daten und Dokumente auf dem gesamten Weg vom Absender bis zum Empfänger vor unbefugten Zugriffen durch Dritte geschützt. Ebenso kann damit die Identität eines Absenders zweifelsfrei festgestellt werden.
Moderne E-Mail-Security-Lösungen können Hyperlinks in E-Mails bewerten und so prüfen, ob sie sicher sind – sowohl zum aktuellen Zeitpunkt als auch in dem Moment, in dem der Anwender den Link anklickt. Zudem lassen sich alle E-Mails, die von außen hereinkommen, mit dem kurzen Hinweis „extern“ ergänzen und erhöhen damit gerade bei gefälschten Absendern die Aufmerksamkeit.
Hinsichtlich der Corona-Situation ist es für Unternehmen essenziell zu wissen, dass diese Sicherheitsmaßnahmen auch bei der Remote-Arbeit – entweder in einer Cloud oder lokal – eingesetzt werden können. Des Weiteren sollten Arbeitnehmer im Bereich E-Mail-Sicherheit regelmäßig geschult werden, da jeder einzelne täglich zahlreiche E-Mails versendet und empfängt und deshalb wissen sollte, wann eine E-Mail als bedenklich einzuschätzen ist. Nur das Zusammenspiel aus Technologie und regelmäßigen Schulungen kann allerdings das Risiko auf ein Minimum reduzieren.
E-Mail-Sicherheit datenschutzkonform überwachen
Was bei den einzelnen Sicherheitsmaßnahmen nicht außer Acht gelassen werden darf, ist das Thema Datenschutz. Dem gesetzlich vorgeschriebenen Datenschutz kommen Unternehmen sehr nahe, wenn Maßnahmen eingesetzt werden, die dem aktuellen Stand der Technik entsprechen. Denn moderne Sicherheitsmaßnahmen orientieren sich für gewöhnlich an der gültigen Datenschutz-Grundverordnung.
Möglicherweise gibt es Bedenken, wenn die E-Mail-Sicherheit in Unternehmen überwacht wird. Dies ist aber ein absolutes Muss und zudem unbedenklich, da die Überwachung der E-Mail-Sicherheit weitestgehend automatisiert laufen kann. Lediglich für Ausnahmen – falls dem Administrator zum Beispiel ein Angriff auf ein bestimmtes Benutzerkonto gemeldet wird – sollte mit jedem Mitarbeiter eine Vereinbarung getroffen werden, die es den Administratoren erlaubt, auf das Benutzerkonto zuzugreifen und entsprechend zu handeln. Auch wenn es eine sehr unpopuläre Maßnahme ist, so sollte die private Nutzung von E-Mails und Internet in Unternehmen grundsätzlich untersagt sein, um datenschutzrechtliche Risiken zu vermeiden. Moderne Arbeitgeber bieten ihren Mitarbeitern dafür zum Beispiel ein separates WLAN zur freien Nutzung an.
Wie sich Unternehmen vor E-Mail-Angriffen schützen können
Insgesamt lässt sich sagen, dass sich im Hinblick auf die Corona-Pandemie und den damit einhergehenden Anstieg der Arbeit aus dem Home-Office die Cyberrisiken durch die noch häufigere Nutzung von E-Mails verschärft haben. Vor diesem Hintergrund ist es umso wichtiger, dass Unternehmen erprobte Sicherheitsmaßnahmen treffen, die auf dem neuesten Stand der Technik sind. Im Zentrum des Ganzen muss immer auch die Einhaltung der Datenschutzrichtlinien stehen, deren Erfüllung bei der Implementierung derartig zeitgemäßer Methoden aber vorauszusetzen ist.
Autor: Marco Rossi, Senior Sales Engineer bei Trustwave