DsiN-Blog

Der IT-Sicher­heitsblog für den Mit­tel­stand

Themen

Tipp des Monats

Machen Sie in nur zehn Minuten den IT-Sicher­heits­check von Deutschland sicher im Netz. Der Test liefert Hand­lungs­emp­feh­lungen, mit denen Sie die eigene IT-Sicher­heitslage ver­bessern können.

News­letter

Um neue Bei­träge regel­mäßig zu erhalten, können Sie hier unseren News­letter abon­nieren:

Hand­lungs­bedarf „E-Mail-Sicherheit“ unge­brochen

Bernd Feuchter E-Mail-Sicherheit

Gebets­müh­len­artig wird seit Jahren über die man­gelnde Sicherheit im E-Mail-Verkehr berichtet. Selbst Snowden und NSA konnten bisher nichts daran ändern. Nun folgt ein erneuter Versuch durch die „Allianz für Cyber­si­cherheit“.

 

 

Es muss sich um eine Form von Lethargie handeln. Anders ist die Reiz­barkeit der Ent­scheider bei diesem Thema bei gleich­zei­tigen Ermü­dungs­er­schei­nungen in der Umsetzung der IT-Lan­d­­schaft schwer zu erklären.
 
Ja, es gibt immer wieder neue und scheinbar größere Her­aus­for­de­rungen für die CIOs der Unter­nehmen. Aller­dings sollten die Ent­scheider nicht ver­gessen, dass die E-Mail-Kom­­mu­­ni­­kation immer noch Bestandteil der neuen Arbeits­formen ist, die sich durch Cloud, BYOD oder Social Media ent­wi­ckelt haben. Die „Allianz für Cyber­si­cherheit“ startet nun einen erneuten Versuch, Nutzer und Ver­ant­wort­liche zu akti­vieren.

Dabei geht es nicht nur um die fast schon abge­dro­schenen Begriffe wie Ver­füg­barkeit, Inte­grität, Authen­ti­zität oder Ver­trau­lichkeit. Dennoch ein paar Anmer­kungen dazu: Nichts wirkt unpro­fes­sio­neller, als nach Umstellung der Geschäfts­kor­re­spondenz auf E-Mail längere Zeit nicht erreichbar zu sein — oder zugeben zu müssen, dass Angreifer einen Firmen-E-Mail¬-Account für ihre Zwecke miss­brauchen konnten.  Es hin­ter­lässt eben­falls einen Bei­geschmack, auf eine gefälschte Mail her­ein­zu­fallen.

Es geht auch um ein Stück Selbst­kon­trolle der Wirt­schaft, der Unter­nehmen. Zu einer Zeit, in der genau diese auf dem Prüf­stand steht und kurz davor ist, von einer staat­lichen Lösung abgelöst zu werden.

Der Teufel steckt im Detail

Die Selbst­kon­trolle schützt die Unter­nehmen! Das sollte sich jeder vor Augen führen: Unzu­läng­lich­keiten und kleine Fehler werden (noch) nicht an die große Glocke gehängt. Auch größere Sicher­heits­vor­komm­nisse werden in einer gemil­derten Weise behandelt. Dafür muss natür­liche etwas ange­boten, etwas getan werden. Und dies in natür­liche nicht so einfach und selbst­ver­ständlich wie das Ver­senden einer E-Mail. Damit dies für den Nutzer einfach funk­tio­niert, muss der tech­nische und orga­ni­sa­to­rische Rahmen passen. Damit tragen natürlich die klei­neren Unter­nehmen eine größere Last, als die großen mit einer eigenen IT-Abteilung.

Bei der Imple­men­tierung eines E-Mail Systems sind nicht nur auf­grund der oben genannten Sicher­heits­as­pekte weit mehr Dinge fest­zu­legen, als nur der Schutz vor Malware:
E-Mails können bei­spiels­weise als Han­dels­briefe im Sinne des HGB gelten und müssen als solche auch ent­spre­chend behandelt werden. Daher sind auch für diese Kom­mu­ni­ka­ti­onsform sind internen Rege­lungen fest­zu­legen.

Gerade bei mobilen Geräten besteht darüber hinaus die Gefahr, dass durch laxe Hand­habung Zugriff auf das interne Netzwerk genommen werden kann. Gerne wird ver­gessen, wie frei nutzbare Res­sourcen zum Risiko werden können: „Kann ein Angreifer den Daten­verkehr mit­lesen, hat er sofort Zugriff auf alle unver­schlüs­selten Daten. Syn­chro­ni­siert sich bei­spiels­weise Ihr Smart­phone über eine unver­schlüs­selte Ver­bindung mit dem Mail-Server, sind nicht nur die E-Mails lesbar, sondern auch Ihr E-Mail-Account inklusive Passwort.“

BYOD, also Nutzung pri­vater Geräte im Fir­men­umfeld, stellt hin­sichtlich Ver­füg­barkeit und Inte­grität auch im E-Mail-Verkehr für die Admi­nis­tration eine große Her­aus­for­derung dar. Kein Wunder also, wenn die eta­blierte E-Mail-Kom­­mu­­ni­­kation in einer Form ohne Ver­trau­lichkeit und Authen­ti­zität belassen wird, die eta­bliert – wenn auch nicht wirklich sicher – ist.

Dass Spam nicht nur ein zeit­fres­sendes Ärgernis ist wissen all die­je­nigen, die sich im Umfeld von „Großen Ereig­nissen“ kul­tu­reller oder sport­licher Natur, Malware via Spam zuge­zogen haben. Mit ca. 80% Anteil am E-Mail-Auf­­­kommen ist Spam einer der Kos­ten­treiber. Unab­hängig davon wer dies letztlich durch­führt, ist das Dokument „Hand­lungs­emp­feh­lungen für Internet-Service-Pro­­vider“ im Rahmen der aktu­ellen Aktion der Allianz für Cyber­si­cherheit eine gute Quelle, um sich in ein­facher Sprache ein Bild über ver­nünftige Anfor­de­rungen zu machen.

Relevant für das Unter­nehmen als Mail­ver­sender sind auch weitere Maß­nahmen, wie bei­spiels­weise Anfor­de­rungen des Daten­schutz für Ser­ver­be­treiber oder die hilf­reiche Signatur von der eigenen Unter­­nehmens-Mails, um echte Mails von inzwi­schen sehr guten gefälschten Mails zu unter­scheiden.

Fazit:

Und wieder eine neue Aktion zur E-Mail-Sicherheit – und ja, es ist not­wendig! Wer glaubt, er habe nichts zu ver­bergen bzw. nichts, was den Aufwand für den Schutz lohnt, der möge auf den Seiten des Zoll einmal zum Thema Pla­giate nach­lesen. Den Wert einer Sache bestimmt hier nicht der Anbieter aus Deutschland – und es geht nicht immer um HiTec. Ton­ab­nehmer für Vinyl sind ebenso betroffen wie Her­steller von Zahn­bürste oder Toi­let­ten­bürste. Da E-Mail eine zen­trale Rolle im Geschäfts­verkehr ein­nimmt, sollte deren Rolle neu bewertet und ent­spre­chende Maß­nahmen abge­leitet und finan­ziert werden.

Bild: fotomek / Fotolia.com

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Bernd Feuchter, DATEV eG

Bernd Feuchter beschäftigt sich seit 1997 im Hause DATEV mit IT-Themen, anfangs im Produkt- und Service-Management für unter­schied­liche DATEV IT-Lösungen. Nach seinem Studium zum Infor­matik-Betriebswirt (VWA) kümmert er sich seit 2004 um die Kom­mu­ni­kation zu Sicher­heits­themen und die über­grei­fende Ver­marktung der ent­spre­chenden Sicher­heits­pro­dukte bei DATEV. Daneben ist er seit 2006 für DATEV eG als Referent für “Sicher­heits­themen im Unter­neh­mens­alltag” tätig; seine Spe­zia­lität sind Vor­träge mit Live-Demos und –Hacking.

 

Koope­ra­ti­ons­partner

Für DATEV sind Daten­schutz und Daten­si­cherheit seit Gründung des Unter­nehmens zen­trale Ele­mente in der Geschäfts­po­litik. Daher enga­giert sich DATEV mit dem Blog für mehr IT-Sicherheit im Mit­tel­stand.

Neueste Kom­mentare