E-Mail-Sicherheit: Kommunikation ohne Risiko

iStock_000018143963XSmall

Die Kommunikation per E-Mail ist mit Gefahren für Ihre Datensicherheit verbunden. Doch Sie sind diesen Bedrohungen nicht schutzlos ausgeliefert. Mit einfachen Abwehrmaßnahmen und umsichtigem Verhalten können Sie das Risiko auf ein Minimum reduzieren.

Hier lauern die Gefahren

Die Nutzung von E-Mails gehört zum Unternehmensalltag, doch nicht immer herrscht Klarheit über die damit verbundenen Risiken für die Datensicherheit und den Datenschutz. E-Mails werden sehr häufig als Übertragungsmedium für Schadsoftware genutzt, die als Dateianhang mitgesendet wird. Zu einer ebenso großen Bedrohung haben sich Phishing-Mails entwickelt, bei denen die Empfänger dazu gebracht werden sollen, vertrauliche Informationen (Passwörter, PINs etc.) preiszugeben.

Bei der Nutzung von E-Mails vergessen die meisten Anwender zudem, dass ohne zusätzliche Schutzmaßnahmen die hierüber übertragenen Informationen jederzeit mitgelesen oder sogar manipuliert werden können. Niemand käme auf den Gedanken, wichtige vertrauliche geschäftliche oder persönliche Informationen per Postkarte zu verschicken. Bei der E-Mail gibt es derartige Bedenken bei den meisten Anwendern nicht.

Eine weitere Gefahr für Ihre Daten: Interne Informationen können per E-Mail leichter das Unternehmen verlassen oder es werden Informationen an Empfänger versendet, die diese gar nicht erhalten sollten.

Schutz vor gefährlichen E-Mail-Anhängen

Es gibt verschiedene andere Übertragungswege für Schadprogramme, doch die Übertragung per E-Mail-Dateianhang ist immer noch sehr weit verbreitet. Dabei machen sich die Versender oftmals den Umstand zunutze, dass die Schadsoftware auch in scheinbar harmlosen Dokument-Dateien (PDF oder auch Word- oder Excel-Dateien) versteckt werden kann.

Der wichtigste Schutz vor Viren, Trojanern, Spyware etc. ist daher ein Antiviren-Programm, das die meisten bekannten Schädlinge identifizieren und den Zugriff auf die Anhänge blockieren kann.

Tipp:
Allerdings kann eine Antiviren-Lösung keinen perfekten Schutz bieten. Mindestens ebenso wichtig ist es für die Datensicherheit, dass die Nutzer nach wie vor skeptisch bleiben und unverlangt zugesandte Dateianhänge nicht einfach so öffnen. Auch vermeintlich harmlose Links in E-Mails sollten im Zweifelsfall nicht angeklickt werden, denn auch über die hiermit verknüpften Webseiten oder Dokumente kann die Schadsoftware übertragen werden.

 

Schutz vor Phishing-Mails

Beim Phishing geht es den Angreifern meist darum, sich in den Besitz von sensiblen Daten zu bringen. Besonders begehrt sind Zugangsdaten wie z. B. Passwörter oder Kreditkartendaten bzw. PINs und TANs für das Online-Banking. Beim klassischen Phishing werden die E-Mail-Empfänger unter einem frei erfundenen Vorwand aufgefordert, diese Daten in ein Webformular einzugeben. Das landet dann bei den Angreifern, die mit diesen Angaben anschließend die Online-Identität des Opfers einnehmen können.

Phishing-Mails sind mittlerweile sehr professionell verfasst. Wer z. B. eine Mail mit dem Betreff "Deutsche Telekom AG - Ihre Rechnung 17216588 vom 20.05.2014" in perfektem Layout mit magenta-farbenenTelekom-Logo erhält, kommt nicht unbedingt auf die Idee, dass der Absender betrügerische Absichten hat.

Ähnlich wie beim Versand von verseuchten Anhängen wird in den Mails ein Druck aufgebaut, mit dem der Empfänger zum Anklicken eines Links bzw. dem Öffnen des Anhangs gebracht werden soll. Dies kann etwa durch Forderungen ("Ihr Zahlungsrückstand beläuft sich auf xx EUR") oder durch positive Anreize ("Sie haben zuviel Steuern gezahlt") erfolgen.

Tipp:
Zwar bieten viele Programme inzwischen Phishing-Filter, jedoch arbeiten diese noch nicht so zuverlässig, wie es notwendig wäre. Noch mehr als beim Schutz vor verseuchten E-Mail-Anhängen sind daher die Nutzer gefordert, sich durch ein umsichtiges Verhalten vor derartigen Angriffen zu schützen. Entsprechende Aufklärung und Schulungsmaßnahmen zu Datenschutz und Datensicherheit sind daher besonders wichtig.

 

Schutz vor Spam

Spam-Mails sind im Grunde kein Sicherheitsrisiko. Andererseits erfolgen Phishing-Attacken und die Verteilung von Schadprogrammen oft ebenfalls über massenhaft in Umlauf gebrachte E-Mails. Damit diese gefährlichen E-Mails gar nicht erst im Posteingang der Anwender landen, sollten daher in jedem Fall effektive Spam-Filter eingesetzt werden.

Am besten schützen Spam-Filter, die bereits auf den Mail-Servern installiert sind und Spam-Mails blockieren, noch bevor die Anwender sie überhaupt zu Gesicht bekommen. Insbesondere bei potenziell gefährlichen Phishing-Mails und virenverseuchten E-Mails ist diese Filterung angeraten.

Tipp:
Allerdings lassen sich nicht immer unerwünschte Spam-Mails und reguläre E-Mails klar voneinander trennen, denn zumindest in einigen Fällen hängt dies auch von der Beurteilung durch die Nutzer selbst ab. Hierbei können dann Filter auf den Client-Rechnern nützlich sein, die durch die Nutzer selbst justiert werden können.

 

Vertraulichkeit durch Verschlüsselung und Signatur

E-Mail ist im Grunde alles andere als eine vertrauenswürdige Kommunikationsform. Absenderadressen sind einfach zu fälschen und die Nachrichten können auf dem Übertragungsweg mitgelesen oder sogar verändert werden. Allerdings gibt es schon seit langem recht einfache Möglichkeiten, derartige Manipulationen zu verhindern und damit den Datenschutz zu gewährleisten.

Mit S/MIME und PGP stehen 2 Techniken zur Verfügung, die einerseits eine zuverlässige Verschlüsselung ermöglichen, sodass nur der Adressat eine E-Mail lesen kann und andererseits eine Art von digitaler Unterschrift erlauben, sodass der Empfänger kontrollieren kann, ob die Nachricht tatsächlich vom angegebenen Absender stammt.

Tipp:
Für den Einsatz im geschäftlichen Umfeld empfiehlt sich S/MIME, bei dem die Identität der Teilnehmer durch unabhängige Instanzen (CAs – Certification Authorities) überprüft wird. Zudem unterstützen populäre E-Mail-Programme diese Technik bereits, sodass die Nutzung sehr einfach möglich ist.

 

Schutz vor unerwünschter Datenweitergabe

Aus Sicht des Unternehmens besteht schließlich auch noch die Gefahr, dass via E-Mail Daten nach außen gelangen, die dort nichts zu suchen haben. Dies kann passieren, indem Mitarbeiter in böser Absicht Dateien bzw. Informationen auf diesem Wege verschicken.

In den meisten Fällen werden solche Informationslecks jedoch gar nicht bewusst geöffnet, sondern aus Versehen werden z. B. falsche Dateianhänge an externe Adressaten geschickt. Oder es werden Inhalte irrtümlicherweise an Personen gesendet, die diese Informationen gar nicht bekommen sollen. Hierzu reicht schon ein falscher Klick auf eine Empfängergruppe aus.

Tipp:
Vor derartigen Datenlecks können DLP-Systeme schützen, mit denen die Weitergabe sensibler Daten blockiert werden kann. Allerdings sind diese Systeme recht aufwendig zu implementieren und da hiermit die Aktivitäten der Mitarbeiter weitreichend überwacht werden, sind sie auch aus datenschutzrechtlicher Sicht nicht unproblematisch. Schulung und Sensibilisierung der Mitarbeiter für Datenschutz und Datensicherheit sind dagegen deutlich unproblematischere Maßnahmen.

 

De-Mail: Rechtssichere und vertrauliche Kommunikation

Um eine sichere, vertrauliche und nachweisbare elektronische E-Mail-Kommunikation im  Rechts- und Geschäftsverkehr zu gewährleisten, wurde der Postfach- und Versanddienst De-Mail eingeführt. Der Gesetzgeber hat die rechtlichen und technischen Vorgaben im De-Mail-Gesetz festgelegt, der eigentliche Versand wird von zertifizierten Providern angeboten.

Letztlich sollen die Vorteile der E-Mail  – schnelle Übermittlung bei geringen Kosten – genutzt werden, ohne dass die Risiken – keine vertrauliche Übertragung und unzureichende Authentizitätsüberprüfung – der Teilnehmer hingenommen werden müssen. 

Tipp:
Abgesehen von der schnellen und sicheren Kommunikation sollen De-Mail-Dienste Rationalisierungsmöglichkeiten und ein erhebliches Einsparungspotenzial für Unternehmen bieten. Neben dem günstigeren Porto reduzieren sich auch Bearbeitungs- und Aufbewahrungskosten.


Rund 3 Jahr nach Inkraftreten des De-Mail-Gesetzes (Mai 2011) wird die De-Mail nur sehr zögerlich genutzt. Angebote gibt es von den Anbietern Deutsche Telekom (T-Systems), United Internet (Web.de und GMX) und Mentana Claimsoft GmbH. Die Deutsche Post bietet mit ihrem E-Postbrief ein eigenes Format an.

Kommentare (0)

Diesen Beitrag kommentieren
iPad_Buehne_Expertengespraech_300x300