RerF - stock.adobe.com
Risiko Mensch - oder warum E-Mails die Compliance gefährden
E-Mails sind ein Compliance-Risiko. Unverschlüsselte Inhalte und menschliche Fehler gefährden Datenschutz und Governance. Add-Ins helfen, Sicherheit automatisiert zu gewährleisten.
Nach wie vor zählen E-Mails zu den wichtigsten Kommunikationskanälen im Geschäftsalltag. Und so stecken sie auch voller Informationen, wie beispielsweise Kundendaten, Details zu Verträgen, Rechnungen und anderen sensiblen Inhalten. Werden diese E-Mails unverschlüsselt weitergeleitet, in persönlichen Ordnern gespeichert oder auf nicht überwachten Geräten abgerufen, stellen sie ein akutes Compliance-Problem dar, das nur darauf wartet, einzutreten. Denn bereits eine E-Mail, die persönliche Daten offenlegt, könnte Bußgelder gemäß der DSGVO nach sich ziehen. Im schlimmsten Fall können vertrauliche Informationen in falsche Hände geraten, wenn eine Phishing-E-Mail die Sicherheitsvorkehrungen überwindet.
Für Unternehmen wird es immer wichtiger, mögliche Risiken zu bedenken und zu minimieren. Für IT- und Compliance-Verantwortliche besteht die Herausforderung daher längst nicht mehr nur darin, Phishing oder Malware zu verhindern, sondern darüber hinaus auch sicherzustellen, dass die tägliche Kommunikation mit den strengen Governance-Anforderungen übereinstimmt. Denn ein Nichteinhalten dieser Vorschriften wie beispielsweise der DSGVO kann gravierende Folgen für ein Unternehmen haben: Vom Verlust des Kundenvertrauens bis hin zu hohen Strafen.
Beispiele für Risiken durch E-Mails gibt es viele. So kann zum Beispiel jemand, der einen Vertrag unverschlüsselt versendet, damit gegen Branchenvorschriften verstoßen – was fatale Folgen im Rechtswesen oder Finanzsektor haben kann. Generell ist das Risiko Mensch hoch: Schließlich nutzen Mitarbeitende ihre E-Mails täglich, und schon ein unbedachter Klick oder eine vergessene Einstellung können zu Sicherheitslücken führen, die von Aufsichtsbehörden nicht übersehen werden.
Für Unternehmen, die bereits Microsoft 365 nutzen, gibt es integrierte Sicherheitsvorkehrungen wie Verschlüsselung, Aufbewahrungsrichtlinien und Archivierung. Diese sind zwar hilfreich, aber nicht perfekt. Datenverlustprävention (DLP), Informationsrechteverwaltung (IRM), Nachrichtenverschlüsselung und Protokollierung sind einige der Sicherheitsfunktionen, die Microsoft bietet. Sie helfen dabei, den Zugriff einzuschränken, die Nutzung zu überwachen und Regeln in Microsoft 365 durchzusetzen.
Doch diese Mechanismen reichen nicht aus. Zwar sind DLP-Richtlinien wirksam, aber auch schwierig einzurichten und, wenn sie nicht durchgesetzt werden, leicht zu umgehen. Ein weiteres Handicap ist die Verschlüsselung. Damit diese wirksam ist, müssen sich die Mitarbeitenden auch bewusst dafür entscheiden. Zudem entstehen Blindstellen, die von den nativen Funktionen nicht abgedeckt werden, häufig auch durch externe Empfänger, Auftragnehmer oder grenzüberschreitende Arbeitsabläufe.
„Ein sicheres Software-Tool oder -Add-on kann zudem dazu beitragen, Datenschutz- und Compliance-Risiken in regulierten Branchen zu reduzieren, indem es die ordnungsgemäße Identifizierung, den Schutz und die Überwachung sensibler Informationen gewährleistet.“
Gaurav Tiwari, Konnect eMail
Zugleich gilt es bei den Sicherheitsmaßnahmen darauf zu achten, dass Mitarbeitende ihrer Arbeit weiterhin uneingeschränkt nachgehen können – ohne, dass sie durch Regularien gebremst werden.
Hier setzen Organisationen mit Systemen zur Verwaltung der Dokumente an, um Abwehrmaßnahmen zu verstärken. Indem sie die Einhaltung von Vorschriften direkt im Posteingang ermöglichen, schließen diese Tools die Lücke zwischen menschlichem Verhalten und der Durchsetzung von Richtlinien.
Outlook-Add-Ins können die Sicherheit optimieren
Ein sicheres E-Mail-Add-on für Microsoft 365 geht über die Standardfunktionen von Microsoft hinaus, indem es die Einhaltung von Sicherheitsrichtlinien in den Arbeitsablauf der Nutzer integriert – ohne dass die Mitarbeitenden hier selbst aktiv werden müssen. Anstatt zu erwarten, dass sich die Anwender Verschlüsselungsschritte oder Richtlinienregeln merken, werden diese automatisch durchgesetzt. Durch die Erfassung von Metadaten und die Zentralisierung von Datensätzen lässt sich das Risiko vermindern, dass sensible Daten in nicht verwalteten Posteingängen landen. Revisionssichere E-Mail- und Dokumentenprotokolle werden erstellt, indem E-Mails mit Metadaten automatisch in SharePoint gespeichert werden. Das sorgt für eine reibungslose Nutzerakzeptanz. Es sind keine zusätzlichen Schulungen erforderlich, denn die Richtlinien werden im Hintergrund angewendet.
Aus der Praxis: Wie lassen sich E-Mail-Richtlinien in unterschiedlichen Branchen einhalten
In sensiblen Bereichen wie Anwaltskanzleien muss eine sichere Kommunikation gewährleistet sein, beispielsweise durch Prüfprotokolle, die den Vorschriften entsprechen und dabei Finanzdaten und vertrauliche Informationen verschlüsseln.
Ein sicheres Software-Tool oder -Add-on kann zudem dazu beitragen, Datenschutz- und Compliance-Risiken in regulierten Branchen zu reduzieren, indem es die ordnungsgemäße Identifizierung, den Schutz und die Überwachung sensibler Informationen gewährleistet. Im Finanzwesen hilft es, Insiderrisiken zu minimieren, indem es Berichte zentralisiert und den Zugriff auf autorisierte Empfänger beschränkt.
Auch internationale Unternehmen benötigen spezielle Tools. Denn hier versenden Mitarbeitende E-Mails über Ländergrenzen hinweg, in denen unter Umständen unterschiedliche Datenschutzbestimmungen gelten, die natürlich entsprechend eingehalten werden müssen. Bei der Auswahl der richtigen Tools ist daher darauf zu achten, dass die Kommunikation geschützt ist, auch wenn externe Partner oder Aufsichtsbehörden beteiligt sind.
Die Einführung von Produkten in multinationalen Konzernen erfordert ebenso eine einheitliche E-Mail-Governance über alle Abteilungen hinweg. Jedes Teammitglied, ob im Vertrieb, im Compliance-Bereich oder im Personalwesen, kann sich so automatisch an dasselbe sichere Verfahren halten, ohne dass Regeln manuell angewendet werden müssen.
Was bei der Installation entsprechender Tools zu beachten ist
Die Einführung von entsprechenden Add-ons ist nicht so einfach wie das Umlegen eines Schalters. Hier sind einige Tipps:
- Leichte Integration: Das Add-on sollte sich in Microsoft 365 nahtlos integrieren und von einem zertifizierten Hersteller sein, der seine Produkte über den Microsoft App Store oder Azure anbietet.
- Test im Kleinen: Immer empfehlenswert sind Pilotprojekte in einzelnen Teams, bevor das Projekt auf das komplette Unternehmen ausgeweitet wird.
- Die Vorteile kommunizieren: Das Tool soll das Unternehmen und seinen Ruf schützen ohne die Mitarbeitenden durch komplizierte Vorschriften zu belasten.
- Leichtes Training ist der Schlüssel: Einfache Erinnerungen wie „Erst denken, dann klicken“ genügen oft, wenn Richtlinien im Hintergrund laufen.
- Überwachen und optimieren: Durch die Nutzung von Compliance-Dashboards lassen sich Probleme erkennen und Richtlinien im Laufe der Zeit verfeinern.
Nach wie vor ist der Mensch das größte Sicherheitsrisiko in der IT. Das gilt grade auch für E-Mails. Doch die Compliance lässt sich verbessern, ohne Mitarbeitende zusätzlich regulatorisch zu belasten. Mit einem sicheren Outlook- oder Microsoft 365-Add-in lassen sich Sicherheitslücken schließen, Mails und Metadaten Compliance-konform speichern, so dass sich Datensätze eindeutig identifizieren, archivieren und schnell wiederfinden lassen.
Über den Autor:
Gaurav Tiwari, Product Director bei Konnect eMail. Konnect eMail stellt Unternehmen eine leistungsstarke Plattform beziehungsweise ein plattformübergreifendes Outlook-Add-in zur Verfügung. Die Produkte von Konnect eMail integrieren sich nahtlos in Microsoft 365 und ermöglichen Unternehmen E-Mails und Anhänge direkt aus Outlook in SharePoint, Microsoft Teams oder OneDrive zu speichern mit automatischer Metadaten-Kennzeichnung für eine vollständige Klassifizierung und Compliance.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.
