Themen
Tipp des Monats
Machen Sie in nur zehn Minuten den IT-Sicherheitscheck von Deutschland sicher im Netz. Der Test liefert Handlungsempfehlungen, mit denen Sie die eigene IT-Sicherheitslage verbessern können.
Newsletter
Um neue Beiträge regelmäßig zu erhalten, können Sie hier unseren Newsletter abonnieren:
Handlungsbedarf „E‑Mail-Sicherheit“ ungebrochen
Gebetsmühlenartig wird seit Jahren über die mangelnde Sicherheit im E‑Mail-Verkehr berichtet. Selbst Snowden und NSA konnten bisher nichts daran ändern. Nun folgt ein erneuter Versuch durch die „Allianz für Cybersicherheit“.
Es muss sich um eine Form von Lethargie handeln. Anders ist die Reizbarkeit der Entscheider bei diesem Thema bei gleichzeitigen Ermüdungserscheinungen in der Umsetzung der IT-Landschaft schwer zu erklären.
Ja, es gibt immer wieder neue und scheinbar größere Herausforderungen für die CIOs der Unternehmen. Allerdings sollten die Entscheider nicht vergessen, dass die E‑Mail-Kommunikation immer noch Bestandteil der neuen Arbeitsformen ist, die sich durch Cloud, BYOD oder Social Media entwickelt haben. Die „Allianz für Cybersicherheit“ startet nun einen erneuten Versuch, Nutzer und Verantwortliche zu aktivieren.
Dabei geht es nicht nur um die fast schon abgedroschenen Begriffe wie Verfügbarkeit, Integrität, Authentizität oder Vertraulichkeit. Dennoch ein paar Anmerkungen dazu: Nichts wirkt unprofessioneller, als nach Umstellung der Geschäftskorrespondenz auf E‑Mail längere Zeit nicht erreichbar zu sein — oder zugeben zu müssen, dass Angreifer einen Firmen-E-Mail¬-Account für ihre Zwecke missbrauchen konnten. Es hinterlässt ebenfalls einen Beigeschmack, auf eine gefälschte Mail hereinzufallen.
Es geht auch um ein Stück Selbstkontrolle der Wirtschaft, der Unternehmen. Zu einer Zeit, in der genau diese auf dem Prüfstand steht und kurz davor ist, von einer staatlichen Lösung abgelöst zu werden.
Der Teufel steckt im Detail
Die Selbstkontrolle schützt die Unternehmen! Das sollte sich jeder vor Augen führen: Unzulänglichkeiten und kleine Fehler werden (noch) nicht an die große Glocke gehängt. Auch größere Sicherheitsvorkommnisse werden in einer gemilderten Weise behandelt. Dafür muss natürliche etwas angeboten, etwas getan werden. Und dies in natürliche nicht so einfach und selbstverständlich wie das Versenden einer E‑Mail. Damit dies für den Nutzer einfach funktioniert, muss der technische und organisatorische Rahmen passen. Damit tragen natürlich die kleineren Unternehmen eine größere Last, als die großen mit einer eigenen IT-Abteilung.
Bei der Implementierung eines E‑Mail Systems sind nicht nur aufgrund der oben genannten Sicherheitsaspekte weit mehr Dinge festzulegen, als nur der Schutz vor Malware:
E‑Mails können beispielsweise als Handelsbriefe im Sinne des HGB gelten und müssen als solche auch entsprechend behandelt werden. Daher sind auch für diese Kommunikationsform sind internen Regelungen festzulegen.
Gerade bei mobilen Geräten besteht darüber hinaus die Gefahr, dass durch laxe Handhabung Zugriff auf das interne Netzwerk genommen werden kann. Gerne wird vergessen, wie frei nutzbare Ressourcen zum Risiko werden können: „Kann ein Angreifer den Datenverkehr mitlesen, hat er sofort Zugriff auf alle unverschlüsselten Daten. Synchronisiert sich beispielsweise Ihr Smartphone über eine unverschlüsselte Verbindung mit dem Mail-Server, sind nicht nur die E‑Mails lesbar, sondern auch Ihr E‑Mail-Account inklusive Passwort.“
BYOD, also Nutzung privater Geräte im Firmenumfeld, stellt hinsichtlich Verfügbarkeit und Integrität auch im E‑Mail-Verkehr für die Administration eine große Herausforderung dar. Kein Wunder also, wenn die etablierte E‑Mail-Kommunikation in einer Form ohne Vertraulichkeit und Authentizität belassen wird, die etabliert – wenn auch nicht wirklich sicher – ist.
Dass Spam nicht nur ein zeitfressendes Ärgernis ist wissen all diejenigen, die sich im Umfeld von „Großen Ereignissen“ kultureller oder sportlicher Natur, Malware via Spam zugezogen haben. Mit ca. 80% Anteil am E‑Mail-Aufkommen ist Spam einer der Kostentreiber. Unabhängig davon wer dies letztlich durchführt, ist das Dokument „Handlungsempfehlungen für Internet-Service-Provider“ im Rahmen der aktuellen Aktion der Allianz für Cybersicherheit eine gute Quelle, um sich in einfacher Sprache ein Bild über vernünftige Anforderungen zu machen.
Relevant für das Unternehmen als Mailversender sind auch weitere Maßnahmen, wie beispielsweise Anforderungen des Datenschutz für Serverbetreiber oder die hilfreiche Signatur von der eigenen Unternehmens-Mails, um echte Mails von inzwischen sehr guten gefälschten Mails zu unterscheiden.
Fazit:
Und wieder eine neue Aktion zur E‑Mail-Sicherheit – und ja, es ist notwendig! Wer glaubt, er habe nichts zu verbergen bzw. nichts, was den Aufwand für den Schutz lohnt, der möge auf den Seiten des Zoll einmal zum Thema Plagiate nachlesen. Den Wert einer Sache bestimmt hier nicht der Anbieter aus Deutschland – und es geht nicht immer um HiTec. Tonabnehmer für Vinyl sind ebenso betroffen wie Hersteller von Zahnbürste oder Toilettenbürste. Da E‑Mail eine zentrale Rolle im Geschäftsverkehr einnimmt, sollte deren Rolle neu bewertet und entsprechende Maßnahmen abgeleitet und finanziert werden.
Bild: fotomek / Fotolia.com
Bernd Feuchter beschäftigt sich seit 1997 im Hause DATEV mit IT-Themen, anfangs im Produkt- und Service-Management für unterschiedliche DATEV IT-Lösungen. Nach seinem Studium zum Informatik-Betriebswirt (VWA) kümmert er sich seit 2004 um die Kommunikation zu Sicherheitsthemen und die übergreifende Vermarktung der entsprechenden Sicherheitsprodukte bei DATEV. Daneben ist er seit 2006 für DATEV eG als Referent für “Sicherheitsthemen im Unternehmensalltag” tätig; seine Spezialität sind Vorträge mit Live-Demos und –Hacking.
Für DATEV sind Datenschutz und Datensicherheit seit Gründung des Unternehmens zentrale Elemente in der Geschäftspolitik. Daher engagiert sich DATEV mit dem Blog für mehr IT-Sicherheit im Mittelstand.
Neueste Kommentare