E-Mail-Sicherheit: Erfolgreiche Abwehr von Phishing-Angriffen und ereignisbasierten E-Mail-Attacken!

E-Mails sind allgegenwärtig und immer noch das wesentliche Kommunikationsmittel im Geschäftsalltag. Zeitgleich ist die elektronische Korrespondenz ein besonders beliebter Angriffsvektor für Internetkriminelle. Mittlerweile werden schon lange nicht mehr nur schlecht formulierte Spamnachrichten verschickt, sondern hochprofessionelle und scheinbar seriös wirkende Phishing-E-Mails mit Malware oder präparierte Website-Hyperlinks im Gepäck. Es lohnt sich daher, ein wirkungsvolles und vollständiges E-Mail-Sicherheitskonzept zu realisieren.

Der Geschäftsalltag ist heute gezeichnet vom E-Mail-Verkehr. Obwohl die Kommunikation in den letzten Monaten vielerorts durch verschiedene Kommunikationsmedien, Kollaborationstools und Videokonferenzen ergänzt wurde, ist die elektronische Korrespondenz für die meisten Unternehmen und deren Mitarbeiter weiterhin der entscheidende Kommunikationskanal, um mit Partnern, Lieferanten, Auftraggebern und Arbeitskollegen zu kommunizieren.

Während sich vor ein paar Jahren die tagtäglichen Informationen auf ein paar Briefsendungen und Faxe beschränkten, werden die Betriebe heute täglich von einer großen E-Mail-Flut überrollt.

Laut einer Voraussage des Forschungsinstituts Radicati Group soll sich in diesem Jahr die Anzahl der täglich versendeten E-Mails weltweit auf ganze 319 Milliarden belaufen. Bis 2025 soll sich diese Zahl voraussichtlich auf 376 Milliarden erhöhen.

Somit ist es kein Zufall, dass die überwiegenden Zahl der gelungenen Angriffe mit einer manipulierten E-Mail starten. Dabei handelt es sich längst nicht mehr um schlecht formulierte Spamnachrichten, die vor Tippfehlern strotzen, sondern um hochprofessionelle, scheinbar seriös wirkende Phishing-E-Mails, die virenverseuchte E-Mail-Anhänge oder präparierten Website-Links im Gepäck haben, um vor allem Malware-Angriffe zu starten, geschäftskritische Daten zu erlangen, Unternehmensnetzwerke zu infiltrieren und horrende Lösegeldforderungen zu stellen.

Im Netz der Datensammler

Phishing-E-Mails sind inzwischen zu einer ernsten Gefahr für die IT-Sicherheit eines Betriebes geworden. Jeden Tag erreichen rund 3,4 Milliarden betrügerische E-Mails die Postfächer weltweit.

Das Besorgniserregende daran: Da nicht alle Phishing-E-Mails im Spam-Verzeichnis landen, reicht
oftmals ein falscher Klick aus, um Internetkriminellen und gefährlicher Malware Tür und Tor ins Unternehmensnetzwerk zu öffnen – und damit Schäden in Millionenhöhe zu verursachen.

Gemäß einer aktuellen Studie des Digitalverbands Bitkom entsteht der deutschen Wirtschaft auf Grund Sabotage, Datendiebstahl oder Spionage jährlich ein Gesamtschaden von 102,9 Milliarden Euro.

Doch gibt es einige Faktoren, an denen Phishing-E-Mails erkannt werden können:

• Unbekannter Absender, kryptisch wirkende Absender-Adresse
• Anonyme, unpersönliche oder generalisierend gehaltene Anrede
• Kein Impressum; merkwürdige, unvollständige Firmenangaben
• Syntax- und Rechtschreibfehler, ungewöhnliche Wortwahl
• Abgekürzte Weblinks oder anklickbare Bilder im E-Mail-Text
• Zip-, Word- oder Excel-Dokumente im Anhang

E-Mail-Sicherheit braucht ein Konzept!

Sowohl die Menge betrügerischer Phishing-Mails wie auch die Kosten für eine Datenverletzung steigen weiter an.

Vor diesem Hintergrund ist es sinnvoll, dass Betriebe ein wirkungsvolles und ausgeklügeltes E-Mail-Sicherheitskonzept implementieren, das neben modernen und fortschrittlichen E-Mail-Sicherheitslösungen der nächsten Generation auch regelmäßige Security Awareness Schulungen der Kollegen umfasst.

Im Zuge dessen sollte jede E-Mail-Sicherheitsstrategie folgende Abwehrmechanismen enthalten:

1. E-Mail-Security-Gateways

Durch den Einsatz von E-Mail-Security-Gateways können Unternehmen, E-Mail-Bedrohungen wie Malware, Phishing-Nachrichten oder Junk-Emails direkt am Gateway blockieren, womit die E-Mail-Sicherheit deutlich verbessert und die Zahl erfolgreicher Angriffe spürbar verringert wird. Darüber hinaus verfügen einige E-Mail-Security-Gateways-Lösungen über Funktionen zur Data Loss Prevention (DLP), sodass unabsichtliche oder absichtliche Datenlecks über E-Mail verhindert werden.

2. Antiviren-, Antispam- und Antiphishing-Lösungen der nächsten Generation:

Unternehmen sollten ihre E-Mail-Server und E-Mail-Clients durch schützende Software-Komponenten ergänzen. Dazu gehören nebst einer zeitgemäßen Antivirensoftware und effektiven Firewall auch eine Anti-Spam- und Anti-Phishing-Lösung. Hierbei ist es entscheidend, dass die Lösungen durch kontinuierliche Aktualisierungen auf dem aktuellsten Stand gehalten werden.

3. Verschlüsselung und Signatur:

Da die Inhalte von E-Mails ohne Chiffrierung in etwa so vertraulich sind, wie der Text einer Postkarte, sollte sowohl der Versand als auch die Archivierung der E-Mails verschlüsselt werden.
• Bei der Übermittlung von E-Mails sollten standardisierte Protokolle angewendet werden, die mittels SSL/TLS (Secure Socket Layer/Transport Layer Security) durch Authentisierung und Chiffrierung gesichert sind.
• Für die Verschlüsselung des eigentlichen Inhalts von E-Mails, stehen verschiedene Methoden zur Auswahl, wie das Standardverfahren S/MIME oder das PGP (Pretty Good Privacy).
Um die Unversehrtheit der elektronischen Korrespondenz zu erreichen, sollten Betriebe digitale Signaturen einführen.

4. Interne E-Mail-Vorgabe

Die interne E-Mail-Richtlinie enthält genaue Anweisungen für die dienstliche und private E-Mail-Verwendung im Unternehmen. In der E-Mail-Vorgabe können Unternehmen z. B. verbindlich regeln, wie mit E-Mail-Anhängen umzugehen ist, welche Inhalte als „verdächtig“ einzuschätzen sind und wer für die Überprüfung fragwürdiger E-Mails zuständig ist.

5. Regelmäßige Security Awareness Schulungen

Da zielgerichtete E-Mail-Attacken wie Spear-Phishing selbst für vorsichtige Mitarbeiter nur schwer zu erkennen sind, sollten Firmen kontinuierliche Security Awareness Trainings zum Thema durchführen.

6. Phishing-Simulationen

Neben regelmäßigen Security Awareness Fortbildungen können Phishing-Simulationen durchgeführt werden, um Mitarbeiter zu testen und weiter zu sensibilisieren.

E-Mails sind Fluch und Segen gleichzeitig!

E-Mails sind aus dem Geschäftsalltag nicht mehr wegzudenken. Gleichzeitig sind sie ein besonders begehrter Angriffsvektor für Internetkriminelle. Folglich ist es ratsam, eine umfängliche E-Mail-Sicherheitsstrategie zu nutzen. Schließlich schützt ein wirksames und ein umfassend durchdachtes E-Mail-Sicherheitskonzept mit innovativen E-Mail-Sicherheitslösungen der nächsten Generation und regelmäßigen Security Awareness Trainings das Unternehmen vor Spam, Malware, Ransomware, Phishing- und Man-in-the-Middle-Angriffsversuchen.

Gerne unterstützen wir Sie als erfahrenes IT-Systemhaus bei Anliegen rund um die Themen E-Mail-Sicherheit, IT-Sicherheit und Security Awareness. Ferner unterstützen wir Sie bei der Implementierung starker E-Mail-Sicherheitslösungen. Kontaktieren Sie uns telefonisch unter 0049 8284 99690-0 oder per E-Mail unter vertrieb@esko-systems.de