natali_mis - stock.adobe.com

Die E-Mail-Sicherheit im Unternehmen verbessern

E-Mails sind nicht ohne Grund ein besonders beliebter Angriffsvektor, funktioniert diese Taktik doch nach wie vor ganz erfolgreich. Unternehmen sollten sich entsprechend absichern.

Blickt man einige Jahre zurück, dann ließen sich die Best Practices in Sachen E-Mail-Sicherheit schnell zusammenfassen: Vertrauen Sie E-Mail einfach nicht, denn E-Mail ist ein nicht authentifizierter, unzuverlässiger Nachrichtenkanal. Genau genommen, ist dies alles immer noch der Fall und Empfehlungen für die E-Mail-Sicherheit lauten kaum anders als 20 Jahre zuvor: Verwenden Sie starke Passwörter, blockieren Sie Spammer, vertrauen Sie keinen zu gut klingenden Angeboten und stellen Sie auch Nachrichten von vertrauenswürdigen Unternehmen immer in Frage.

Längst sind die Anforderungen für Best Practices der E-Mail-Sicherheit bei Mitarbeitern viel komplexer geworden. E-Mail ist im Laufe der Zeit zu einer immer umfangreicheren Anwendung geworden. Nachrichten können versteckte Links zu präparierten Websites enthalten, Code transportieren oder Anhänge mitbringen, die ihrerseits Schadsoftware für komplexere Angriffe im Gepäck haben können.

E-Mail-Sicherheit im Unternehmen

Mitarbeiter, die im eigenen Interesse die E-Mail-Sicherheit verbessern wollen, haben hierzu einige Optionen. Ein Gutteil der Verantwortung zur Verbesserung der E-Mail-Sicherheit liegt allerdings beim Arbeitgeber. Kommen im Unternehmen beispielsweise veraltete E-Mail-Clients oder auch E-Mail-Server zum Einsatz, dann haben Mitarbeiter nur selten die Möglichkeit, darauf Einfluss zu nehmen.

Geht es um Lösungen wie Inhaltsfilterung von E-Mails und starke Authentifizierung, dann fallen die Entscheidungen hierüber meist auf Geschäftsführungsebene. Dabei lässt sich die E-Mail-Sicherheit durch einen unternehmensweiten Einsatz von DMARC, SPF und DKIM erheblich erhöhen. Werden der Validierungsmechanismus SPF (Sender Policy Framework), DKIM (DomainKeys Identified Mail) und DMARC (Domain-based Message Authentication, Reporting and Conformance) in Kombination eingesetzt, kann ein Unternehmen E-Mail-Bedrohungen wie Spoofing, Spam und Phishing weitaus souveräner begegnen.

Die Mitarbeiter selbst sind allerdings auch ein wichtiger Faktor, um die E-Mail-Sicherheit zu verbessern. Best Practices in Sachen E-Mail-Sicherheit konzentrieren sich auf Themen wie starke Authentifizierung und Security-Schulungen, um Kontenübernahmen und erfolgreiche Phishing-Angriffe bestmöglich zu reduzieren.

E-Mail-Sicherheit: Best Practices für Mitarbeiter

Die bewährten Verfahrensweisen für die E-Mail-Sicherheit bei Mitarbeitern lassen sich relativ einfach zusammenfassen:

  • Verwenden Sie sichere Passwörter für eine starke Authentifizierung
  • Nutzen Sie soweit möglich Multifaktor-Authentifizierung
  • Nehmen Sie Schulungen in Sachen Security Awareness und Phishing ernst.
  • Seien Sie bei Öffnen von Anhängen und Links stets sehr achtsam 

Auf Infrastrukturebene liegt es am Unternehmen, den bestmöglichen Schutz vor E-Mail-Bedrohungen zu gewährleisten. Unternehmen können ihre Mitarbeiter unterstützen, in dem Lösungen wie Multifaktor-Authentifizierung, DMARC sowie E-Mail-Scanner und -Filter zum Einsatz kommen.

Starke Passwörter für eine sichere Authentifizierung

Wie bei allen Zugängen ist die Verwendung starker Passwörter, die nicht in mehreren Diensten genutzt werden, ein erheblicher Sicherheitsfaktor. Eine solide Passwortstrategie kann Angreifer abwehren, die mit Wörterbuchangriffen versuchen, schwache Passwörter zu knacken. Ob der regelmäßige Passwortwechsel die Sicherheit erhöht, ist hingegen mehr als umstritten (siehe auch Passwortregeln auf den Prüfstand stellen). Im Zweifel gilt es, hinsichtlich der Wechselfrequenz und der Neigung der Anwender bei häufiger Wechselpflicht nur Variationen desselben Passworts zu verwenden, abzuwägen.

Die Wiederverwendung von Passwörtern bei unterschiedlichsten Diensten ist ein erhebliches Sicherheitsproblem. Wird eines der Systeme kompromittiert, sind auch alle anderen Zugänge des Anwenders gefährdet. Verwendet ein Anwender dasselbe Passwort auf einer schlecht geschützten Website und für sein berufliches E-Mail-Konto, dann sind die Systeme des Arbeitgebers im Zweifel auch gefährdet, unabhängig davon, wie gut diese geschützt sind. Angreifer wissen, dass es sich lohnen kann, erbeutete Zugangsdaten in anderem Kontext zu verwenden, um Zugang zu weiteren Konten zu erhalten.

Multifaktor-Authentifizierung für eine sichere Anmeldung

Der Einsatz von 2-Faktor-Authentifizierung (2FA) im Unternehmen obliegt in der Regel nicht den Mitarbeitern. Entweder hat das Unternehmen Mehr-Faktor-Authentifizierung implementiert und legt fest, dass diese verwendet wird oder es tut es nicht. Mitarbeiter können sich schützen, indem sie 2-Faktor-Authentifizierung verwenden, wo immer diese angeboten wird.

Der Einsatz von Multifaktor-Authentifizierung ist ein wichtiger Ansatz, um Konten abzusichern und die Übernahme derselben zu verhindern. Mitarbeiter, die bereits 2FA für ihre privaten Konten verwenden, sind besser darauf vorbereitet, wenn dies auch am Arbeitsplatz zum Einsatz kommt. Die Akzeptanz derlei Lösungen steigt dadurch erheblich.

Das Bewusstsein in Sachen Phishing verbessern

Immer mehr Unternehmen nutzen die Möglichkeit, ihre Mitarbeiter im Hinblick auf das Sicherheitsbewusstsein in Sachen Phishing zu schulen. Die Mitarbeiter sollten diese Schulungen als wichtige Übung betrachten. Ein entsprechendes E-Mail-Sicherheitstraining kann so gestaltet werden, dass die spezifischen Bedrohungen verschiedener Branchen und Abteilungen gezielt berücksichtigt werden.

Mitarbeiter lernen in diesen Schulungen, problematische Nachrichten zu identifizieren und bei Anhängen und Links die nötige Vorsicht walten zu lassen. Zudem können diese Schulungen genutzt werden, um die Mitarbeiter in die E-Mail-Sicherheitsstrategie des Unternehmens einzubeziehen. So können die Anwender beispielsweise nachvollziehen, welche Nachrichten von den eingesetzten Filtersystemen aussortiert werden und welche nicht.

Der richtige Umgang mit E-Mail-Anhängen

Viele Angriffe basieren auf E-Mails, die Anhänge mit Schadcode im Gepäck haben. Entsprechend präparierte Mails werden oft sehr gezielt an bestimmte Opfer gesandt. Manchmal werden derlei Anhänge von Sicherheitslösungen erkannt und blockiert, aber nicht immer. Präparierte Anhänge können sich auch an Nachrichten befinden, die augenscheinlich von vertrauenswürdigen Quellen stammen.

Ganz unabhängig vom Absender sollten Mitarbeiter mit Anhängen vorsichtig sein, auch wenn das Unternehmen entsprechende Sicherheitslösungen einsetzt. Derlei Anhänge kommen nicht immer ganz offensichtlich als ausführbare Dateien wie beispielsweise im exe-, jar- oder msi-Format. Deren Ausführung verbietet sich von selbst. Aber auch Textverarbeitungsdateien und Tabellenkalkulationen sowie PDF-Dateien können Schadcode enthalten. Mitarbeiter sollten mit jeglicher Art von Anhängen vorsichtig umgehen.

Links in E-Mail-Nachrichten

Weblinks in E-Mail-Nachrichten stellen ebenfalls ein Risiko dar. Oftmals führen diese zu einer anderen Website, als es offensichtlich aussieht. Angreifer tarnen diese Links mit bekannten Domänen, leiten den Anwender aber auf ganz andere präparierte Websites, um den Angriff fortzuführen. Anwender können beispielsweise per Mouseover kontrollieren, ob der anzeigte Link mit dem hinterlegten Link übereinstimmt. Angreifer nutzten darüber hinaus internationale Zeichensätze, um Anwender auf präparierte Websites zu locken, die augenscheinlich die Domäne einer bekannten Marke haben.

E-Mail-Sicherheit ist Unternehmenssicherheit

Wenn Unternehmen eine sichere E-Mail-Infrastruktur bereitstellen, sind Mitarbeiter die letzte Verteidigungslinie in Sachen Sicherheit. Daher sollten die Mitarbeiter Bedrohungen wie Phishing, präparierten Anhängen und bösartigen Links möglichst souverän begegnen können. Hier können entsprechende Schulungen einen ganz entscheidenden Beitrag leisten. Und nicht zuletzt sollten sich Mitarbeiter bei verdächtigen Nachrichten auf den gesunden Menschenverstand verlassen.

Nächste Schritte

So können Mitarbeiter E-Mail-Bedrohungen erkennen

Checkliste zum Thema Phishing

Wie funktioniert E-Mail-Sicherheit im Detail?

Erfahren Sie mehr über IT-Sicherheits-Management

- GOOGLE-ANZEIGEN

ComputerWeekly.de

Close