Der Geschäftsalltag in vielen Unternehmen wäre ohne den E-Mail-Versand kaum denkbar. E-Mails stellen in Unternehmen allerdings einen besonders beliebten Angriffspunkt für Hacker und Cyberkriminelle dar. Verwunderlich ist dies kaum, denn hier haben sie besonders häufig Erfolg.
Dies lässt sich darauf zurückführen, dass heute leider noch immer viele Unternehmen ihre E-Mail Sicherheit vernachlässigen. Auf welche Punkte es in besonders hohem Maße ankommt, um die Sicherheitsstandards im Umgang mit E-Mails in Unternehmen zu erhöhen, erklärt der folgende Beitrag.
Verwendung sicherer Passwörter
Wie in anderen IT-Bereichen auch, kommt es bei der E-Mail-Sicherheit vor allem auf die Verwendung von sicheren Passwörtern an.
In diesem Zusammenhang wird heutzutage jedoch nicht mehr geraten, dass sich die Passwörter als möglichst komplex zeigen sollten. Zu komplizierte Passwörter werden schließlich von den Mitarbeitern gerne auf einem Zettel auf ihrem Schreibtisch oder in einer Datei auf ihrem Desktop aufbewahrt.
Aktuell lauten die NIST-Empfehlungen vielmehr, dass eine wesentlich bessere Methode in der Nutzung von Passphrasen besteht. Bei diesen werden verschiedene Wörter aneinandergereiht. Diese Passwörter zeigen sich als schwer zu erraten, jedoch als leicht zu merken.
Wichtig ist zudem, dass die gleichen Passwörter nicht bei mehreren Diensten verwendet werden. Verschaffen sich die Hacker Zugriff zu einem System, erhalten sie in so einem Fall gleich auch alle anderen Zugänge.
Die Grundlage für die E-Mail-Sicherheit in Unternehmen stellt neben den Passwörtern natürlich auch der gewählte E-Mail-Anbieter dar. Hier sollten Firmen auf spezialisierte E-Mail Anbieter für das geschäftliche Umfeld setzen, welche die besonderen Sicherheitsrisiken für Unternehmen berücksichtigen.
Nutzung von Multi-Faktor-Authentifizierung
Die Multi-Faktor-Authentifizierung, kurz MFA, meint, dass der Benutzer seine Identität gleich auf mehreren Wegen nachweisen muss. Ein Beispiel dafür ist, dass Benutzername und Passwort zur Anmeldung eingegeben werden müssen, daneben aber auch noch ein biometrischer Fingerabdruck oder ein Einmalpasswort, das an ein anderes Gerät gesendet wird, verlangt wird.
Wird dem E-Mail-Anmeldungsprozess ein weiterer Faktor hinzugefügt, sorgt dies für eine weitere Hürde für Cyberkriminelle. Die MFA bietet bereits einen umfassenden Schutz vor weit verbreiteten Sicherheitsproblemen, wie etwa Brute-Force-Angriffe.
Nicht auf Sicherheitsprotokolle verzichten
Um Spam-Nachrichten aus dem E-Mail-Eingang zu verbannen, sind drei Standards im Hinblick auf die Sicherheitsprotokolle zu nennen. Diese bestehen in der Domain-based Message Authentication, Reporting and Conformance, kurz DMARC, dem Sender Policy Framework, kurz SPF, und der DomainKeys Identified Mail, kurz DKIM.
Der Standard DKIM nutzt asymmetrische Kryptographie für die Verhinderung von E-Mail-Spoofing. Der E-Mail wird eine digitale Signatur hinzugefügt, die der Überprüfung dient, ob Veränderungen an der Nachricht nach ihrem Versand vorgenommen wurden.
Mit Hilfe von SPF findet dagegen die Prüfung statt, aus welcher Quelle eine E-Mail stammt und ob eine Berechtigung für den Versand von der jeweiligen Domain besteht.
Als Erweiterung von SPF und DKIM ist das DMARC-Protokoll anzusehen. Domain-Besitzer haben mit diesem die Möglichkeit, ihre entsprechenden Anforderungen an SPF und DKIM zu veröffentlichen und zu definieren, welche Prozesse ausgeführt werden sollen, wenn die Anforderungen durch eine E-Mail nicht erfüllt werden. Diese technischen Überprüfungen können zwar verhindern, dass viele gefälschte Mails im Posteingang landen − alle unerwünschten Nachrichten lassen sich mit diesen allein jedoch nicht abhalten