In unserem digitalen Zeitalter kommt kein Unternehmen, ganz gleich ob groß oder klein, an E-Mails als Hauptkommunikationsmittel vorbei. Aber gerade für kleinere Unternehmen stellen E-Mails auch eine enorme Herausforderung für die Sicherheit dar. Angesichts einer sich ständig entwickelnden Bedrohungslandschaft und immer raffinierteren Angriffsszenarien ist der Schutz sensibler Informationen wichtiger denn je, um zu gewährleisten, dass alles, was per E-Mail ausgetauscht wird, vertraulich bleibt.
In den letzten Jahren ist die Zahl der Cyberangriffe auf die E-Mail-Server von Unternehmen dramatisch gestiegen. Diese Entwicklung kann kaum überraschen, wenn man den weltweiten Trend zum Homeoffice bedenkt. Was die meisten Cybersicherheitsexperten tatsächlich überrascht hat, ist die Tatsache, dass viele Unternehmen (vor allem kleinere, die für diese Art des Angriffs besonders anfällig sind) noch nicht einmal einen Basisschutz implementiert haben, um ihre Systeme gegen Business Email Compromise (BEC) und andere mittlerweile gängige Formen von Cyberangriffen auf die E-Mail-Korrespondenz abzusichern.
Business Email Compromise ist eine schwerwiegende Form von digitalem Betrug und Erpressung, die speziell auf die tägliche E-Mail-Flut in Unternehmen abzielt. In einem hochkomplexen Social Engineering-Prozess geben sich Cyberkriminelle als Kollegen oder vertrauenswürdige Geschäftspartner aus und bringen die Opfer im selben Unternehmen dazu, vertrauliche Informationen weiterzuleiten oder Gelder auf ein verstecktes Konto zu überweisen. Nicht alle diese Angriffe wiegen gleich schwer, kommen das Unternehmen aber in jedem Fall teuer zu stehen. Aus diesem Grund haben wir uns entschlossen, diesen Leitfaden zusammenzustellen, in dem Best Practices für den Umgang mit E-Mails, Leitlinien, Protokolle und Richtlinien vorgestellt werden, die speziell auf kleine Unternehmen zugeschnitten sind (nichtsdestotrotz sind diese Praktiken auf Unternehmen jeglicher Größe anwendbar). Es ist an der Zeit sicherzustellen, dass die E-Mails in Ihrem kleinen Unternehmen und sensible Informationen vor unerwünschten Blicken geschützt werden.
Best Practices für den sicheren E-Mail-Verkehr in kleinen Unternehmen
Im Wesentlichen gelten für kleine Unternehmen dieselben Best Practices wie für die großen. Sie sollen vor allem Schutz vor den drei Hauptarten von Cyberangriffen per E-Mail bieten: Phishing-Betrug, Speer-Phishing-Angriffe und gefälschte Rechnungen. Beginnen wir mit den wichtigsten grundlegenden Sicherheitsmaßnahmen für E-Mails:
Berufliche E-Mail-Konten sind für berufliche Zwecke gedacht
Auch wenn das selbstverständlich erscheint, lohnt sich der Hinweis durchaus. Schließlich ist die Arbeit für jeden von uns ein wichtiger Teil des Lebens und manchmal ist es einfach sehr bequem, sich bei bestimmten Diensten mit seiner beruflichen E-Mail zu registrieren oder anzumelden, auf die man mit einem privaten Konto keinen Zugriff hätte. Die Gefahr dabei ist, dass ein Betrüger leichter ein Profil von Ihnen erstellen kann, wenn Sie Ihre berufliche E-Mail-Adresse für persönliche Online-Aktivitäten verwenden. Denn je mehr Informationen er über Sie hat, desto gezielter kann der Angriff erfolgen. Aber auch umgekehrt gilt: Wenn Sie Ihren privaten Computer oder Ihr WLAN zu Hause nutzen, die beide in der Regel nicht so gut gesichert sind wie im Büro, steigen die Chancen für einen Hacker, an Ihre beruflichen Anmeldeinformationen zu kommen. Derselbe Gedanke bringt uns auch zur nächsten Best Practice.
Keine beruflichen E-Mails über öffentliche WLAN-Netze
Selbst wenn Sie E-Mails mit Ihrem gesicherten Unternehmensrechner abrufen, ist ein öffentliches WLAN das perfekte Einfallstor für Cyberkriminelle, um sich in Ihren Rechner zu hacken und vertrauliche Daten zu stehlen. Lässt sich eine öffentliche Verbindung nicht vermeiden, empfehlen wir im Sinne der Endpoint-Sicherheit, ein VPN zu aktivieren, bevor Sie sich mit wichtigen Unternehmensservern verbinden. Mit einem virtuellen privaten Netzwerk (VPN) läuft die Kommunikation zwischen dem Remote-Computer des Benutzers und dem Unternehmensserver über eine Art verschlüsselten privaten Tunnel. So schützt es alle Daten, die Sie über ein ungesichertes Netzwerk senden, durch Echtzeitverschlüsselung. Weitere Informationen zu VPNs und wie sie funktionieren finden Sie in unserem Artikel „Was ist ein VPN?“.
Starke Passwörter und Passphrasen
Der erste Schritt bei einem Hackerangriff auf eine Unternehmens-E-Mail besteht meist in einem Brute-Force-Angriff, bei dem einfach alle erdenklichen Passwörter oder Passphrasen durchprobiert werden. Deshalb empfehlen wir allen Mitarbeitern, „starke“ Passwörter oder Passphrasen zu verwenden. Ein Passwort gilt dann als stark, wenn es ausreichend lang ist (12 – 14 Zeichen) und eine Mischung aus Sonderzeichen, Zahlen, Groß- und Kleinbuchstaben enthält. Der einzige Unterschied für Passphrasen besteht darin, dass sie zwischen 15 und 20 Zeichen lang sein und (wenn möglich) Buchstaben aus anderen Sprachen enthalten sollten.
Vor allem aber dürfen beide niemals für mehr als eine Anwendung verwendet bzw. vergeben werden. Das bedeutet natürlich, dass Sie je nach Anzahl der Systeme, die Sie an Ihrem Arbeitsplatz verwenden, eine ganze Reihe unterschiedlicher Passwörter oder Passphrasen benötigen. Dafür empfiehlt sich ein Kennwort-Manager bzw. Passwortspeicher mit Passwort-Generator, der alle Ihre starken Passwörter und -phrasen erstellt und sicher verwahrt. Selbst wenn Passwort-Speicher und -Manager gehackt werden, sind die Passwörter sicher, weil sie verschlüsselt sind. Denn eine Entschlüsselung von Industriestandards wie dem 256-Bit-AES (Advanced Encryption Standard) ist nahezu unmöglich. Selbst wenn es also einem Hacker gelingt, in den sicheren Speicher einzudringen, bedeutet das nicht, dass er dort etwas mit Ihren verschlüsselten Daten anfangen kann.
Phishing-Betrug und ein wachsamer Umgang mit Anhängen
Eine sehr einfache Möglichkeiten, Ihr Unternehmen zu schützen, besteht darin, Ihre Mitarbeiter in einfachen Cybersicherheitsschulungen für das Thema zu sensibilisieren. Wenn das für Ihr Unternehmen keine Option ist, können Sie Ihre Mitarbeiter zumindest über die Gefahren durch Phishing und schädliche Anhänge, die auch als HTML-Schmuggel bezeichnet werden, aufklären. Folgende Punkte sollten vermittelt werden:
- Ein Bewusstsein für weit verbreitete Phishing-Methoden, wie betrügerische Websites und Anmeldefenster, in denen die Anmeldeinformationen eines Benutzers abgefangen werden und die geläufigen Popup-Fenstern, wie dem Anmeldefenster von Microsoft Outlook, nachempfunden sind.
- Kenntnis der häufigsten Angriffsvektoren, wie in E-Mail-Anhängen versteckte Malware im DOCX-, HTML- und EXE-Format Dazu gehört auch eine neue und beliebte Form von Cyberangriffen auf E-Mails, die als HTML-Schmuggel bezeichnet wird.
- Trichtern Sie Ihren Mitarbeitern ein, dass sie niemals auf einen Link klicken dürfen, der irgendwie verdächtig aussieht oder dessen Absender sie nicht kennen. Schädliche Links, in der Regel über eine Art Phishing-Website, sind für Betrüger die einfachste Form des Angriffs gegen Ihre Mitarbeiter und Ihr Unternehmen.
Aktivierung der Multifaktor-Authentifizierung
Eine Praxis, die sich aufgrund ihrer Wirksamkeit immer größerer Beliebtheit erfreut, ist die Multi-Faktor-Authentifizierung. Manchmal auch als MFA, Zwei-Faktor-Authentifizierung oder 2FA bezeichnet, sorgt sie dafür, dass ein Mitarbeiter erst dann Zugriff auf seine Nachrichten erhält, nachdem er mehrere Sicherheitsüberprüfungen durchlaufen hat. Beispiele für eine solche Überprüfung sind ein zusätzliches Passwort, ein Code aus einer sicheren SMS oder eine Antwort auf eine vorher festgelegte Sicherheitsfrage.
Nach jeder Sitzung abmelden
Auch dieser Hinweis mag naheliegend erscheinen, man darf aber nicht vergessen, dass zahlreiche Cyberangriffe von verärgerten Mitarbeitern ausgehen, die ihrem ehemaligen Arbeitgeber eins auswischen wollen. Dafür das Konto eines Kollegen zu übernehmen und in dessen Namen zu handeln, ist eine der einfachsten Möglichkeiten, eine Cyberstraftat zu begehen, ohne dafür belangt werden zu können. Sorgen Sie daher lieber dafür, dass weder Sie noch Ihre Mitarbeiter in Verdacht geraten, indem sich jeder in Ihrer Firma nach Beendigung einer Sitzung sorgfältig abmeldet und niemand seine Anmeldeinformationen an andere weitergibt.
Untersuchungstools und Schutzmechanismen für E-Mails
Angesichts der zunehmenden Komplexität von Social Engineering-Bedrohungen und Cyberangriffen per E-Mail bietet ein speziell dafür entwickeltes System, das alle E-Mails untersucht, den besten Schutz vor schädlichen E-Mail-Anhängen und eingebetteten Skriptangriffen. Wir empfehlen eine automatisierte Antiviren-Lösung auf Basis von lernfähigen Systemen und statischer Codeanalyse, die auf den tatsächlichen Inhalt einer E-Mail und nicht nur auf den Dateityp des Anhangs schaut. Als besonders fortschrittliche Online-Cybersicherheitslösung empfehlen wir Kaspersky Security for Microsoft Office 365. Dieses preisgekrönte Premium-Paket bietet sowohl für Unternehmen als auch für Privatanwender neben Remote-Unterstützung auch Support rund um die Uhr.
E-Mail-Sicherheitsprotokolle und -standards
Eine der zentralen Möglichkeiten zum Schutz Ihrer geschäftlichen E-Mails besteht darin, die richtigen E-Mail-Sicherheitsprotokolle zu implementieren. E-Mail-Protokolle bilden in der Regel den ersten Schutzwall gegen Cyberangriffe, wenn Ihre E-Mails die Webmail-Dienste durchlaufen. Sie sind erforderlich, damit die Mailserver E-Mail-Nachrichten von einem Mail-Client zum nächsten übertragen können. Von ihnen erfährt der Server, wie er die Nachrichten verarbeiten und zustellen soll. Die Sicherheitsprotokolle sind in diesem Prozess für die Verifizierung und Autorisierung zuständig.
Es gibt eine Reihe von Protokollen, mit denen Sie Ihre geschäftlichen E-Mails absichern können:
- SPF: Die Inhaber von E-Mail-Domänen können erkennen und überprüfen, wer berechtigt ist, ihren Domänennamen beim Versand von E-Mails zu verwenden.
- DMARC: Der Inhaber einer Domäne wird benachrichtigt und kann reagieren, wenn eine Nachricht nicht authentifiziert werden konnte.
- SMTPS und STARTTLS: Verschlüsseln die E-Mails, die zwischen Clients und Servern ausgetauscht werden.
- DKIM: Zur Autorisierung kann der Benutzer mit einer digitalen Signatur verknüpft werden.
- S/MIME: Definiert, wie Daten im MIME-Format verschlüsselt und authentifiziert werden.
- OpenPGP: Ein Verschlüsselungs- und Autorisierungsstandard für E-Mails, der auf dem Pretty Good Privacy-Framework basiert.
- Digitale Zertifikate: Zur Verifizierung des Absenders muss dieser im Besitz eines öffentlichen Schlüssels sein.
- SSL/TLS: Wird nicht direkt für die E-Mail-Sicherheit verwendet, verschlüsselt aber den Netzwerkverkehr zwischen Servern (einschließlich Webmail-Nachrichten), da es für HTTPS verwendet wird.
Viele beliebte E-Mail-Client-Anbieter schützen die Privatsphäre ihrer Benutzer mittels SPF, DKIM und DMARC (über DNS-Einträge konfiguriert). Wir empfehlen, zumindest diese drei bei den E-Mails in Ihrem Unternehmen anzuwenden.
E-Mail-Sicherheitsrichtlinien, Leitlinien und Compliance
In den E-Mail-Sicherheitsrichtlinien, Leitlinien und Compliance ist festgelegt, wie geschäftliche E-Mail-Konten am Arbeitsplatz korrekt genutzt werden. Jeder der oben aufgeführten Punkte sollte ein unverrückbarer Bestandteil der E-Mail-Sicherheitsrichtlinien Ihres Unternehmens sein. Darüber hinaus sollten die Leitlinien auch folgende Punkte regeln:
- Benutzerzugang und Gerätenutzung.
- Umgang mit und Speicherung von Daten.
- Regeln für das Weiterleiten, Löschen und Aufbewahren von E-Mails.
- Geltungsbereich der Richtlinien, auch für die Netzwerk- und Systemnutzung.
- Ethisch vertretbares und angemessenes Verhalten.
- In E-Mail-Programmen verwendete Passwortverschlüsselung und andere Sicherheitstools.
- Schulungsmaterial zum Thema Cybersicherheit in Bezug auf E-Mail-Malware und woran man betrügerische Anhänge, Links oder Nachrichten erkennt.
- E-Mail-Überwachung und Aufzeichnungspraktiken gegenüber den Mitarbeitern in Ihrem Unternehmen.
- Meldestelle für per E-Mail erhaltene Malware, Drohnachrichten oder illegale Inhalte.
Kurz gesagt, jede Organisation, vom Kleinunternehmen bis hin zum Großkonzern, sollte über ein Security Compliance Model (SCM) verfügen, in dem die oben genannten Punkte klar dargelegt und definiert sind. Diese Leitlinien bilden einen (von der nationalen Regierung durchsetzbaren) Rechtsrahmen zum Schutz der Privatsphäre und der Sicherheit aller in den E-Mails des Unternehmens versendeten Inhalte. Dies ist besonders wichtig, da Kunden und Partner kritischer gegenüber Unternehmen sind, bei denen es zu Sicherheitsverstößen in der digitalen Kommunikation gekommen ist.
In der digitalen Landschaft von heute sind E-Mails für kleine und große Unternehmen unverzichtbar geworden, aber auch ein bevorzugtes Ziel für Cyberangriffe. Mit der zunehmenden Verbreitung des Homeoffice steigt auch das Risiko von Cyberangriffen auf E-Mails. Schützen Sie Ihr kleines Unternehmen mühelos mit Small Business Security von Kaspersky, das speziell auf die Bedürfnisse kleiner Unternehmen zugeschnitten ist.
Verwandte Artikel:
- Was sind Kennwort-Manager und sind sie sicher?
- So verschlüsseln Sie E-Mails in Outlook, Gmail, iOS und Yahoo
- So stoppen Sie Spam-Mails: Ratschläge und Tipps
- Phishing-E-Mails: So lassen sie sich erkennen und vermeiden
Produktempfehlungen: