Der Geschäftsalltag ist heute geprägt vom E-Mail-Verkehr. Wenngleich die Kommunikation in den vergangenen Monaten an vielen Orten durch unterschiedliche Kommunikationsmedien, Kollaborationstools und Videokonferenzen ergänzt wurde, ist die elektronische Korrespondenz für die meisten Betriebe und deren Mitarbeiter nach wie vor der entscheidende Kanal, um mit Partnern, Lieferanten, Kunden und Kollegen zu kommunizieren.
Während sich vor einigen Jahren die tagtäglichen Informationen auf ein paar Briefsendungen und Faxe beschränkten, werden die Unternehmen heute täglich von einer immensen E-Mail-Menge überrollt.
Laut einer Prognose des Instituts Radicati Group soll sich in diesem Jahr die Anzahl der täglich versendeten E-Mails weltweit auf ganze 319 Milliarden belaufen. Bis 2025 soll sich diese Zahl voraussichtlich auf 376 Milliarden erhöhen.
Folglich ist es kein Zufall, dass die meisten gelungenen Angriffe mit einer manipulierten E-Mail starten. Dabei geht es sich seit langem nicht mehr um schlecht formulierte Spamnachrichten, die vor Tippfehlern strotzen, sondern um hochprofessionelle, scheinbar professionell wirkende Phishing-E-Mails, die virenverseuchte E-Mail-Anhänge oder präparierten Website-Links im Gepäck haben, um insbesondere Malware-Angriffe zu starten, geschäftskritische Daten zu ergattern, Unternehmensnetzwerke zu infiltrieren und horrende Lösegeldforderungen zu stellen.
Im Visier der Datensammler
Phishing-E-Mails sind inzwischen zu einer ernsten Bedrohung für die IT-Sicherheit eines Unternehmens geworden. Jeden Tag erreichen rund 3,4 Milliarden betrügerische E-Mails die Postfächer global.
Das Besorgniserregende daran: Da nicht alle Phishing-Mails im Spam-Ordner landen, reicht häufig ein falscher Klick aus, um Internetkriminellen und riskanter Malware Tür und Tor ins Unternehmensnetzwerk zu öffnen – und damit Schäden in Millionenhöhe zu verursachen.
Gemäß einer aktuellen Studie des Digitalverbands Bitkom entsteht der deutschen Wirtschaft durch Sabotage, Datendiebstahl oder Spionage pro Jahr ein Gesamtschaden von 102,9 Milliarden Euro.
Allerdings gibt es einige Faktoren, an denen Phishing-E-Mails erkannt werden können:
Fremder Absender, kryptisch anmutende Versender-Adresse
Anonyme, unpersönliche oder allgemein gehaltene Anrede
Keinerlei Impressum; fragwürdige, unvollständige Firmenangaben
Grammatik- und Rechtschreibfehler, außergewöhnliche Wortwahl
Abgekürzte Weblinks oder anklickbare Bilder im E-Mail-Text
Zip-, Word- oder Excel-Dateien im Anhang
E-Mail-Sicherheit braucht ein Konzept!
Sowohl die Anzahl betrügerischer Phishing-Mails wie auch die Kosten für eine Datenverletzung steigen weiter an.
Vor diesem Hintergrund ist es ratsam, dass Firmen ein wirksames und ausgeklügeltes E-Mail-Sicherheitskonzept implementieren, das neben modernen und innovativen E-Mail-Sicherheitslösungen der nächsten Generation auch beständige Security Awareness Fortbildungen der Mitarbeiter umfasst.
Im Zuge dessen sollte jede E-Mail-Sicherheitsstrategie folgende Abwehrmechanismen enthalten:
1. E-Mail-Security-Gateways
Durch den Gebrauch von E-Mail-Security-Gateways können Firmen, E-Mail-Bedrohungen wie Schadsoftware, Phishing-Nachrichten oder Spam-Emails direkt am Gateway blockieren, womit die E-Mail-Sicherheit extrem optimiert und die Zahl erfolgreicher Angriffe deutlich verringert wird. Des Weiteren verfügen einige E-Mail-Security-Gateways-Lösungen über Funktionen zur Data Loss Prevention (DLP), sodass unabsichtliche oder absichtliche Datenlecks über E-Mail verhindert werden.
2. Antiviren-, Antispam- und Antiphishing-Lösungen der nächsten Generation:
Unternehmen sollten ihre E-Mail-Server und E-Mail-Clients durch schützende Software-Komponenten abrunden. Dazu gehören neben einer zeitgemäßen Antivirensoftware und wirksamen Firewall auch eine Anti-Spam- und Anti-Phishing-Lösung. Hierbei ist es wichtig, dass die Lösungen durch kontinuierliche Updates auf dem neuesten Stand gehalten werden.
3. Chiffrierung und Signatur:
Da die Inhalte von E-Mails ohne Chiffrierung etwa so geheim sind, wie der Inhalt einer Postkarte, sollte sowohl der Versand als auch die Archivierung der E-Mails verschlüsselt werden.
Bei der Übertragung von E-Mails sollten standardisierte Protokolle verwendet werden, die mittels SSL/TLS (Secure Socket Layer/Transport Layer Security) durch Authentisierung und Chiffrierung gesichert sind.
Für die Chiffrierung des eigentlichen Inhalts von E-Mails, stehen diverse Techniken zur Auswahl, wie das Standardverfahren S/MIME oder das PGP (Pretty Good Privacy).
Um die Unversehrtheit der elektronischen Korrespondenz sicherzustellen, sollten Firmen digitale Signaturen einführen.
4. Interne E-Mail-Vorgabe
Die interne E-Mail-Richtlinie enthält exakte Anordnungen für die dienstliche und private E-Mail-Nutzung im Unternehmen. In der E-Mail-Vorgabe können Firmen z. B. verbindlich festlegen, wie mit E-Mail-Anhängen umzugehen ist, welche Inhalte als „verdächtig“ einzuschätzen sind und wer für die Prüfung fragwürdiger E-Mails zuständig ist.
5. Kontinuierliche Security Awareness Schulungen
Da zielgerichtete E-Mail-Attacken wie Spear-Phishing selbst für vorsichtige Mitarbeiter kaum zu erkennen sind, sollten Betriebe regelmäßige Security Awareness Trainings zum Thema durchführen.
6. Phishing-Simulationen
Zusätzlich zu regelmäßigen Security Awareness Schulungen können Phishing-Simulationen umgesetzt werden, um Angestellte zu testen und weiter zu sensibilisieren.
SIE HABEN POST …
E-Mails sind Fluch und Segen gleichzeitig!
E-Mails sind aus dem Geschäftsalltag nicht mehr wegzudenken. Gleichzeitig sind sie ein besonders begehrter Angriffsvektor für Internetkriminelle. Daher ist es ratsam, eine umfängliche E-Mail-Sicherheitsstrategie zu nutzen. Schließlich bewahrt ein wirksames und ein ganzheitlich durchdachtes E-Mail-Sicherheitskonzept mit modernen E-Mail-Sicherheitslösungen der nächsten Generation und regelmäßigen Security Awareness Fortbildungen das Unternehmen vor Spam, Malware, Ransomware, Phishing- und Man-in-the-Middle-Angriffen.
Gerne beraten wir Sie als versiertes IT-Systemhaus bei Fragen rund um die Themen E-Mail-Sicherheit, IT-Sicherheit und Security Awareness. Ferner unterstützen wir Sie bei der Realisierung starker E-Mail-Sicherheitslösungen. Vereinbaren Sie noch heute einen Termin.