YB - stock.adobe.com

E-Mail-Sicherheit: Gründe für eine Security-Richtlinie

Es gibt viele gute Gründe, die für eine sorgsam aufgebaute E-Mail-Security-Policy sprechen: Sie kann Datenverluste verhindern und vertrauliche Informationen besser absichern.

Selbst in Anbetracht der enormen Fortschritte bei Collaboration-Lösungen, die auf Voice-over-IP (VoIP), Videokonferenzen, Instant Messaging (IM) oder Gruppen-Chats setzen, sind und bleiben E-Mails in den meisten Firmen das beliebteste Mittel zur Kommunikation.

Das haben auch die meisten Cyberangreifer gemerkt. Wie schon in den vergangenen Jahren werden sie ihre Phishing- und Ransomware-Kampagnen deshalb weiterhin vor allem auf Basis von E-Mail-Nachrichten durchführen. In ihrem Fokus steht meist der Diebstahl von vertraulichen Informationen oder die Verschlüsselung von geschäftsrelevanten Daten. Nicht selten müssen sich die betroffenen Unternehmen dann mit einem Erpressungsversuch auseinandersetzen. Die Sicherheit der betrieblichen E-Mail-Kommunikation ist deshalb auch in Zukunft von besonders hoher Priorität für alle mit dem Thema IT-Sicherheit befassten Teams.

Lassen Sie uns im Folgenden einen Blick auf das Thema E-Mail-Security-Richtlinien werfen und auf die Gründe eingehen, warum Sie ebenfalls eine solche Policy benötigen. Dabei gehen wir auch auf die wichtigsten Inhalte ein, die sie enthalten sollte. Ergänzend stellen wir Tipps vor, die Ihnen dabei helfen, eine eigene E-Mail-Security-Policy zu erstellen und im Unternehmen einzuführen.

Warum Unternehmen eine E-Mail-Security-Richtlinie benötigen

Obwohl es E-Mails bereits seit Jahrzehnten gibt, neigen manche Anwender immer noch zu riskanten Gewohnheiten, wenn es um ihre Nutzung geht. Viele unterschätzen die Gefahren, die mit der E-Mail-Kommunikation einhergehen. Nicht selten glauben sie auch heute noch an das Mantra „mir wird schon nichts passieren“.

Jeder E-Mail-Nutzer sollte sich der potenziellen Gefahren der Technik bewusst sein. So können darüber nicht nur vertrauliche Daten gestohlen werden. Schnell ist auch ein hoher finanzieller Schaden entstanden. Jedes Unternehmen sollte daher Leitlinien definieren, in denen festgelegt ist, wie E-Mails genutzt, aber auch wie sie nicht genutzt werden dürfen.

Für IT-Verantwortliche ist die Erstellung einer E-Mail-Security-Richtlinie eine zentrale Maßnahme zur Risikovermeidung. Sie sollte aber so formuliert werden, dass sie kurz und bündig gehalten und einfach zu verstehen ist. Sie darf also nur genau die Informationen enthalten, die die Mitarbeiter tatsächlich benötigen, um ihre persönliche Verantwortung für eine sichere Kommunikation zu verstehen. So sollte sie auch jedes falsche Gefühl von Sicherheit zerstreuen, dass der eine oder andere Nutzer noch pflegt.

Was in einer E-Mail-Security-Richtlinie enthalten sein sollte

Eine E-Mail-Security-Richtlinie muss so aufgesetzt werden, dass alle Mitarbeiter – also sowohl die technisch versierten als auch die nicht versierten – ihre Ziele verstehen können. Außerdem sollte in einfachen Worten dargelegt werden, welche Verantwortung sie als Nutzer beim Umgang mit E-Mails im beruflichen Alltag haben und an wen sie sich bei Fragen oder Problemen wenden können.

Eine E-Mail-Security-Policy sollte die folgenden sieben Aspekte enthalten:

  1. Einen allgemein gehaltenen Überblick über die Ziele und den Umfang der Richtlinie.
  2. Informationen aus rechtlicher Sicht, die sich mit dem geistigen Eigentum der Daten in E-Mails sowie den Themen Datenschutz und Privatsphäre befassen.
  3. Details über die technischen Maßnahmen des Unternehmens zum Schutz und zum Backup der E-Mails.
  4. Die Erwartungen des Unternehmens an seine Angestellten in Bezug auf die Nutzung, aber auch auf einen unerwünschten Missbrauch des E-Mail-Systems.
  5. Informationen über geeignete Sicherheitsmaßnahmen für E-Mails sowie über potenzielle Gefahren wie Malware, Spam und Phishing und zu riskantem Verhalten, die allesamt zum Verlust oder zum Diebstahl von Daten führen können.
  6. Tipps, wie sich der Nutzer und das Unternehmen am besten vor Sicherheitsgefahren beim Senden und Empfangen von E-Mails schützen können.
  7. Hinweise darauf, wo die Mitarbeiter weitere Informationen zum Thema E-Mail-Sicherheit finden und an wen sie sich mit sicherheitsrelevanten Fragen bei der E-Mail-Nutzung wenden können.

Schritt für Schritt eine E-Mail-Security-Richtlinie erstellen

Auch wenn jedes Unternehmen und jede damit zusammenhängende Firmenkultur einzigartig sind, gilt dies nicht für E-Mail-Security-Richtlinien. Der Grund dafür ist einfach: Die verwendeten Technologien und Risiken sind weitgehend identisch, egal wie groß ein Unternehmen, in welcher Branche es tätig ist oder welchen digitalen Reifegrad es erreicht hat. Natürlich gibt es trotzdem Unterschiede darin, wie Ihre Richtlinie formuliert sein sollte. Es hängt zum Beispiel viel von der Zielgruppe ab, für die sie geschrieben wird. Die Besonderheiten liegen also im Detail. Der im Folgenden Schritt für Schritt beschriebene Prozess hilft Ihnen daher bei der Erstellung einer eigenen E-Mail-Security-Richtlinie:

  1. Starten Sie mit einer bereits existierenden Vorlage für Ihre E-Mail-Security-Richtlinie. So bietet etwa das Bundesamt für Sicherheit in der Informationstechnik (BSI ) mit seinem IT-Grundschutz-Werk viele Informationen und Vorlagen, die Sie für Ihre Zwecke verwenden können. Auch beim amerikanischen SANS Institute finden Sie Templates, die Sie als Blaupausen für Ihre eigenen Security-Richtlinien nutzen können. Einige dieser Vorlagen befassen sich auch mit dem sicheren Einsatz von E-Mails in Unternehmen.
  2. Passen Sie die ausgewählte Vorlage nun an Ihre Bedürfnisse an. Auf Basis der Firmenkultur in Ihrem Unternehmen, der Größe und dem digitalen Reifegrad sollten die Autoren der Richtlinie die Vorlage nach den Bedürfnissen und Anforderungen des Unternehmens ausrichten. Dabei müssen bei erforderlichen Änderungen der Messaging-Systeme auch die Auswirkungen auf die Endnutzer berücksichtigt werden.
  3. Stellen Sie sicher, dass die ausgewählten Security-Lösungen und -Einstellungen für Ihr E-Mail-System an den definierten Richtlinien ausgerichtet sind. Es gibt eine Vielzahl geeigneter E-Mail-Security-Tools, die Sie integrieren können, um Ihre Anwender vor Gefahren zu schützen. Beispiele dafür sind Spam-Filter, Sandboxen, Lösungen zum Schutz vor Malware und zur Ver- und Entschlüsselung der Nachrichten. Die Lösungen müssen auf Basis der schriftlich festgelegten Richtlinien eingerichtet werden.
  4. Stellen Sie einen Plan auf, wie die Nutzer die Vorgaben akzeptieren können. Jede Form von Richtlinien muss eine Möglichkeit bieten, damit die Mitarbeiter und Nutzer bestätigen können, dass sie sie gelesen haben und damit einverstanden sind. Meist ist dafür eine Unterschrift am Ende der Richtlinie vorgesehen. Außerdem sollte kontrolliert werden, ob die Mitarbeiter auch wirklich an angebotenen Schulungsmaßnahmen zur E-Mail-Sicherheit teilnehmen.
  5. Entwickeln Sie nicht nur Prozesse zum Training der Mitarbeiter, sondern auch zur Incidence Response (Vorfallsreaktion). So sollten Prozeduren definiert werden, die die Anwendung der Security-Maßnahmen beim Senden und Empfangen von E-Mails sicherstellen. Auch sollte geregelt werden, wie möglichst schnell auf Fragen der Anwender oder auf sicherheitsrelevante Vorfälle reagiert werden kann.

Eine eigene Sicherheitsrichtlinie für E-Mails implementieren

Abhängig vom digitalen Reifegrad eines Unternehmens gibt es wesentliche Unterschiede bei der Einführung und Nutzung von E-Mail-Security-Richtlinien. IT-Abteilungen mit einem umfangreichen Erfahrungsschatz wird die Kommunikation mit den Kollegen meist leichter fallen, da die meisten Mitarbeiter in einem solchen Unternehmen schon vergleichbare Sicherheitsrichtlinien kennen und bereits früher akzeptiert haben.

Jüngere Firmen mit einer eher lockereren Startup-Mentalität werden dagegen meist etwas vorsichtiger vorgehen und daher mehr Zeit aufbringen müssen, um für die Einhaltung ihrer Sicherheitsrichtlinien zu sorgen. Die Durchführung regelmäßiger Sicherheitstrainings, deren Teilnahme vorgeschrieben ist, hat sich gerade in Umgebungen als sehr erfolgreich erwiesen, in denen es viele Nutzer gibt, die sich nicht streng an Sicherheitsrichtlinien halten. Wenn es dort überhaupt schon welche gibt.

Erfahren Sie mehr über Anwendungs- und Plattformsicherheit

ComputerWeekly.de
Close