DsiN-Blog

Der IT-Sicher­heitsblog für den Mittelstand

Themen

Tipp des Monats

Machen Sie in nur zehn Minuten den IT-Sicher­heits­check von Deutschland sicher im Netz. Der Test liefert Hand­lungs­emp­feh­lungen, mit denen Sie die eigene IT-Sicher­heitslage ver­bessern können.

News­letter

Um neue Bei­träge regel­mäßig zu erhalten, können Sie hier unseren News­letter abonnieren:

Hand­lungs­bedarf „E‑Mail-Sicherheit“ ungebrochen

Bernd Feuchter E-Mail-Sicherheit

Gebets­müh­len­artig wird seit Jahren über die man­gelnde Sicherheit im E‑Mail-Verkehr berichtet. Selbst Snowden und NSA konnten bisher nichts daran ändern. Nun folgt ein erneuter Versuch durch die „Allianz für Cybersicherheit“.

 

 

Es muss sich um eine Form von Lethargie handeln. Anders ist die Reiz­barkeit der Ent­scheider bei diesem Thema bei gleich­zei­tigen Ermü­dungs­er­schei­nungen in der Umsetzung der IT-Lan­d­­schaft schwer zu erklären.
 
Ja, es gibt immer wieder neue und scheinbar größere Her­aus­for­de­rungen für die CIOs der Unter­nehmen. Aller­dings sollten die Ent­scheider nicht ver­gessen, dass die E‑Mail-Kom­­mu­­ni­­kation immer noch Bestandteil der neuen Arbeits­formen ist, die sich durch Cloud, BYOD oder Social Media ent­wi­ckelt haben. Die „Allianz für Cyber­si­cherheit“ startet nun einen erneuten Versuch, Nutzer und Ver­ant­wort­liche zu aktivieren.

Dabei geht es nicht nur um die fast schon abge­dro­schenen Begriffe wie Ver­füg­barkeit, Inte­grität, Authen­ti­zität oder Ver­trau­lichkeit. Dennoch ein paar Anmer­kungen dazu: Nichts wirkt unpro­fes­sio­neller, als nach Umstellung der Geschäfts­kor­re­spondenz auf E‑Mail längere Zeit nicht erreichbar zu sein — oder zugeben zu müssen, dass Angreifer einen Firmen-E-Mail¬-Account für ihre Zwecke miss­brauchen konnten.  Es hin­ter­lässt eben­falls einen Bei­geschmack, auf eine gefälschte Mail her­ein­zu­fallen.

Es geht auch um ein Stück Selbst­kon­trolle der Wirt­schaft, der Unter­nehmen. Zu einer Zeit, in der genau diese auf dem Prüf­stand steht und kurz davor ist, von einer staat­lichen Lösung abgelöst zu werden.

Der Teufel steckt im Detail

Die Selbst­kon­trolle schützt die Unter­nehmen! Das sollte sich jeder vor Augen führen: Unzu­läng­lich­keiten und kleine Fehler werden (noch) nicht an die große Glocke gehängt. Auch größere Sicher­heits­vor­komm­nisse werden in einer gemil­derten Weise behandelt. Dafür muss natür­liche etwas ange­boten, etwas getan werden. Und dies in natür­liche nicht so einfach und selbst­ver­ständlich wie das Ver­senden einer E‑Mail. Damit dies für den Nutzer einfach funk­tio­niert, muss der tech­nische und orga­ni­sa­to­rische Rahmen passen. Damit tragen natürlich die klei­neren Unter­nehmen eine größere Last, als die großen mit einer eigenen IT-Abteilung.

Bei der Imple­men­tierung eines E‑Mail Systems sind nicht nur auf­grund der oben genannten Sicher­heits­aspekte weit mehr Dinge fest­zu­legen, als nur der Schutz vor Malware:
E‑Mails können bei­spiels­weise als Han­dels­briefe im Sinne des HGB gelten und müssen als solche auch ent­spre­chend behandelt werden. Daher sind auch für diese Kom­mu­ni­ka­ti­onsform sind internen Rege­lungen festzulegen.

Gerade bei mobilen Geräten besteht darüber hinaus die Gefahr, dass durch laxe Hand­habung Zugriff auf das interne Netzwerk genommen werden kann. Gerne wird ver­gessen, wie frei nutzbare Res­sourcen zum Risiko werden können: „Kann ein Angreifer den Daten­verkehr mit­lesen, hat er sofort Zugriff auf alle unver­schlüs­selten Daten. Syn­chro­ni­siert sich bei­spiels­weise Ihr Smart­phone über eine unver­schlüs­selte Ver­bindung mit dem Mail-Server, sind nicht nur die E‑Mails lesbar, sondern auch Ihr E‑Mail-Account inklusive Passwort.“

BYOD, also Nutzung pri­vater Geräte im Fir­men­umfeld, stellt hin­sichtlich Ver­füg­barkeit und Inte­grität auch im E‑Mail-Verkehr für die Admi­nis­tration eine große Her­aus­for­derung dar. Kein Wunder also, wenn die eta­blierte E‑Mail-Kom­­mu­­ni­­kation in einer Form ohne Ver­trau­lichkeit und Authen­ti­zität belassen wird, die eta­bliert – wenn auch nicht wirklich sicher – ist.

Dass Spam nicht nur ein zeit­fres­sendes Ärgernis ist wissen all die­je­nigen, die sich im Umfeld von „Großen Ereig­nissen“ kul­tu­reller oder sport­licher Natur, Malware via Spam zuge­zogen haben. Mit ca. 80% Anteil am E‑Mail-Auf­­­kommen ist Spam einer der Kos­ten­treiber. Unab­hängig davon wer dies letztlich durch­führt, ist das Dokument „Hand­lungs­emp­feh­lungen für Internet-Service-Pro­­­vider“ im Rahmen der aktu­ellen Aktion der Allianz für Cyber­si­cherheit eine gute Quelle, um sich in ein­facher Sprache ein Bild über ver­nünftige Anfor­de­rungen zu machen.

Relevant für das Unter­nehmen als Mail­ver­sender sind auch weitere Maß­nahmen, wie bei­spiels­weise Anfor­de­rungen des Daten­schutz für Ser­ver­be­treiber oder die hilf­reiche Signatur von der eigenen Unter­­nehmens-Mails, um echte Mails von inzwi­schen sehr guten gefälschten Mails zu unterscheiden.

Fazit:

Und wieder eine neue Aktion zur E‑Mail-Sicherheit – und ja, es ist not­wendig! Wer glaubt, er habe nichts zu ver­bergen bzw. nichts, was den Aufwand für den Schutz lohnt, der möge auf den Seiten des Zoll einmal zum Thema Pla­giate nach­lesen. Den Wert einer Sache bestimmt hier nicht der Anbieter aus Deutschland – und es geht nicht immer um HiTec. Ton­ab­nehmer für Vinyl sind ebenso betroffen wie Her­steller von Zahn­bürste oder Toi­let­ten­bürste. Da E‑Mail eine zen­trale Rolle im Geschäfts­verkehr ein­nimmt, sollte deren Rolle neu bewertet und ent­spre­chende Maß­nahmen abge­leitet und finan­ziert werden.

Bild: fotomek / Fotolia.com

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Bernd Feuchter, DATEV eG

Bernd Feuchter beschäftigt sich seit 1997 im Hause DATEV mit IT-Themen, anfangs im Produkt- und Service-Management für unter­schied­liche DATEV IT-Lösungen. Nach seinem Studium zum Infor­matik-Betriebswirt (VWA) kümmert er sich seit 2004 um die Kom­mu­ni­kation zu Sicher­heits­themen und die über­grei­fende Ver­marktung der ent­spre­chenden Sicher­heits­pro­dukte bei DATEV. Daneben ist er seit 2006 für DATEV eG als Referent für “Sicher­heits­themen im Unter­neh­mens­alltag” tätig; seine Spe­zia­lität sind Vor­träge mit Live-Demos und –Hacking.

 

Koope­ra­ti­ons­partner

Für DATEV sind Daten­schutz und Daten­si­cherheit seit Gründung des Unter­nehmens zen­trale Ele­mente in der Geschäfts­po­litik. Daher enga­giert sich DATEV mit dem Blog für mehr IT-Sicherheit im Mittelstand.