GFI: 10 Tipps für den sicheren Umgang mit Emails
Downloads
Die Email ist nach wie vor der Hauptgrund für die Kompromitierung von Netzwerken und die Hauptursache für Datenlecks von Unternehmen. Es gibt aber ein paar einfache Möglichkeiten, wie man wichtige Werte und Ressourcen schützen kann, die in Zusammenhang mit Emails stehen.
1. Intelligente Passwörter
Die meisten Email Accounts sind durch Passwörter gesichert, die schwächer sind als die Oberarmmuskeln von Tour de France Radrennfahrern. Einfache Passwörter sind auch einfach zu merken – und werden zudem auf dem eigenen Gerät gespeichert. Und genau so gehen die meisten Nutzer vor.
Ein besserer Ansatz ist die Vorgabe eines Email-Regelwerkes, welches die Nutzung komplexer Passwörter mit regulären Änderungen und einer expliziten Geheimhaltung fordert. Und das vorschreibt, dass die Nutzer NICHT dieselben Passwörter für ihre Email-Accounts und geschäftlichen Applikationen oder sonstigen Netzwerkressourcen verwenden dürfen. Wenn nämlich doch ein Email Account „geknackt“ werden sollte, dann sind wenigstens noch die anderen Netzwerkressourcen relativ sicher.
2. Blockieren Sie unerwünschte Datenverluste
Emails sind einer der Hauptgründe für Datenverluste. Die Daten, die auf diesem Wege ein Netzwerk verlassen, können Kreditkartennummern, Sozialversicherungsnummern oder persönliche medizinische Informationen sein.
Der erste Schritt für Unternehmen sollte die Aufstellung und gezielte Durchsetzung eines entsprechenden Regelwerkes sein, das sicherstellt, das keine sensiblen Daten mehr – egal ob absichtlich oder unabsichtlich – das Unternehmensnetzwerk mehr verlassen können.
Das ist aber nicht genug. Sie sollten zudem eine IT-Sicherheitslösung einsetzen, die in der Lage ist, nach Schlüsselwörtern in sensiblen Daten zu suchen und diese Daten dann vor einem ungesicherten Verlassen des Netzwerkes schützt. Diese Suche nach Schlüsselwörtern sollte nicht auf den Text begrenzt sein, sondern auch die Suche in Betreffzeilen, Anhängen wie auch den Adressfeldern beinhalten.
3. Spam bereits „in den Anfängen“ stoppen
Spam ist nicht nur extrem nervig, sondern – viel schlimmer – ein massives Sicherheitsproblem. Über drei Prozent aller Spam Emails transportieren nämlich Malware.
Und Spam Nachrichten stören auch die Produktivität der Nutzer. Wenn Sie nur 5 Spam Nachrichten am Tag erhalten und sich nur 30 Sekunden mit jeder dieser Spam Emails beschäftigen, dann sind das nach einer Studie von Ferris Research 15 Stunden pro Jahr (!) die Sie zeitlich verlieren.
4. Kontrollieren Sie die Inhalte durch Filterung und Überwachung
Ihre IT-Abteilung und das obere Management wissen bestimmt, dass Daten mit das wertvollste Gut des Unternehmens sind. Einige dieser Daten sind sogar noch wertvoller wie andere – beispielweise Finanzdaten, Kundendaten oder Informationen über zukünftige Produkte oder Strategien. All diese Daten können marktverändernd sein, wenn sie in die falschen Hände gelangen.
Obwohl die meisten Mitarbeiter von Unternehmen der Meinung sind, dass die wirkliche Bedrohung der IT-Sicherheit nur von Hackern von außerhalb kommt, hat die Praxis bewiesen, dass die Bedrohung durch Insider viel heimtückischer und gefährlicher ist. Und mit dem Senden und Empfangen von Emails wissen die meisten Endwender gar nicht, dass sie selbst die Ursache dieser Bedrohung sind.
Die Überwachung der Inhalte von Emails kann IT-Sicherheitsverantwortlichen dabei helfen, die meisten dieser Probleme zu lösen und das Unternehmen durch das Blockieren „unerwünschter“ Nachrichten aus der Gefahrenzone zu bringen.
5. Vernichten Sie Malware
Es gibt Malware in verschiedensten Arten und Formen, die nicht einfach verschwindet. Stattdessen wird sie mehr und mehr und immer gefährlicher. Täglich sind neue und vor allem neuartige Attacken festzustellen. Und es ist nicht nur so, dass Sie mit den Tausenden von neuen Schwachstellen fertig werden müssen, sondern sie haben sich selbst auch vor dem Ausnützen von gänzlich unbekannten Schwachstellen (Zero Day Exploits) zu schützen.
Analog zum Schutz vor Spam sollten Sie verschiedene Anti-Malware Engines in ihrem Netzwerk einsetzen.
6. Verhindern Sie Datenschutzverletzungen
Aus dem jährlichen Verizon Data Breach Investigation Report war gerade erst zu entnehmen, dass Hacker ihre eSpionage-Aktivitäten vor allem mittels Email-Attacken starten. Die meisten davon gelten der industriellen eSpionage. Diese Attacken werden immer besser vorbereitet – meist von organisierten Cyberkriminellen oder sogar getrieben von Regierungen. Ergreifen Sie entsprechende IT-Security Maßnahmen.
7. Compliance
Viele Unternehmen aus dem Finanzbereich und dem Gesundheitswesen fallen unter Compliance-Vorgaben. Aber selbst für Unternehmen, die keine spezifischen Compliance Vorgaben erfüllen müssen, ist die freiwillige Einhaltung solcher genereller Vorgaben keine schlechte Idee, um eine wirkungsvolle IT-Sicherheit und einen guten Schutz vor Datenschutzverletzungen zu realisieren.
Compliance Regeln können schwerwiegende Konsequenzen nach sich ziehen. Denken Sie nur an den Health Insurance Portability und Accountability Act von 1996 (HIPAA) aus den USA.
Zunächst einmal kann ein Verfehlen der Compliance Vorgaben zu einem wirklichen Reputations-Problem werden. Ein Angestellter eines regionalen Krankenhauses in Memphis hat versehentlich Patientendaten per Email versendet. Dieser Fehler betraf 1.200 Patienten – und das Krankenhaus hatte daraufhin sehr lange alle Hände voll zu tun, um das Problem zu beheben. Aber es kann auch eine finanzielle Strafe nach sich ziehen. Einem Krankenhaus in Idaho wurde nur ein Laptop mit sensiblen Daten gestohlen. Die Strafe: 50.000,– US$
8. Training und bewährte Praktiken
Eine wichtige Maßnahme, um wirkungsvoll die Kommunikation via Email abzusichern, ist der Einsatz von weitreichenden „Verteidigungs-Lösungen“ wie Anti-Spam, Anti-Malware und generellen Überwachungslösungen. Trotz dieser Maßnahmen kann es dennoch zu einer erfolgreichen Attacke kommen. Diese erfolgreichen Attacken basieren oftmals auf Social Engineering Tricks der Hacker, bei denen durch Vorspielen eines persönlichen oder vertrauten Verhältnisses versucht wird, an die wertvollen Dinge / Informationen zu gelangen.
Der berühmte Ex-Hacker Kevin Mitnick trainiert mittlerweile Endanwender, damit sie nicht auf solche Hacker- und vor allem Phishing Tricks hereinfallen. Die IT-Sicherheitstrainings-Firma KnowBe4 LLC, für die Mitnick mittlerweile arbeitet, hat bereits 372 Filialen von Kunden mit über 291.000 Endanwendern trainiert.
Neben dem Training gegen Social Engineering Tricks ist das Training gegen Phishing Attacken sehr wichtig. Fast 16 Prozent aller Angestellten sind bereits einmal auf eine Phishing Attacke hereingefallen. Hier das richtige Training anzusetzen kann die Bedrohung durch Phishing um den Faktor 12 verringern. Mitnick ist der Meinung, dass ungeschulte Mitarbeiter das wirklich schwache Glied der Kette gegenüber geschulten Mitarbeitern sind, die als menschliche Firewall agieren können.
9. Kämpfen Sie gegen Phishing
Phishing ist eine äußerst effektive Angriffsart vor allem bei desinteressierten und untrainierten Mitarbeitern. Aber selbst erfahrende Email-Nutzer können auf sehr raffiniert gestaltete Attacken hereinfallen. Glauben Sie, dass dies kein wirkliches Problem ist? Über 40 Millionen Internetnutzer sind letztes Jahr Opfer von Phishing Attacken geworden – ein 90 Prozent höherer Wert als noch vor zwei Jahren.
10. Implementieren Sie umfassende IT-Sicherheitsmaßnahmen
Email Attacken können aus jeder Richtung und in verschiedenen Formen auftauchen. Die einzige Möglichkeit – neben einem Training – sich abzusichern, ist die Implementierung von umfassenden, größtenteils automatisierten IT-Sicherheitstools. Die umfasst im Minimalausbau:
- Anti-Spam
- AntiVirus und Anti-Malware
- Content Filtering
Eigentlich sollten diese Lösungen bereits bei jedem (egal ob klein oder sehr gross) Unternehmen, bei jeder Organisation und bei jeder Behörde im Einsatz sein….
Weitere Informationen zur Verbesserung der Email Sicherheit finden Sie im englischsprachigen eBook „10 things you must do about email security right now“ (hier zum Download oder im Anhang dieses Beitrags).
Quelle: GFI-Software TalkTechToMe Weblog – Autor: Doug Barney
Über GFI
GFI Software ™ (www.gfi.com) entwickelt hochqualitative IT Lösungen für kleine bis mittelgroße Unternehmen mit bis zu 1000 Nutzern. GFI ® bietet zwei herausragende Technologien an: GFI MAX ™, mit der Managed Service Provider (MSPs) den eigenen Kunden zusätzliche Dienste anbieten können, und GFI Cloud ™, mit der Unternehmen ihre eigenen IT-Teams in die Lage versetzen können, das eigene Netzwerk über die Cloud verwalten und warten zu können. GFI verfügt über einen stetig wachsenden Kundenstamm von aktuell 200.000 Unternehmen. Die Produktlinie von GFI umfasst zudem Lösungen für eine verteilte Zusammenarbeit, Netzwerksicherheit, Anti-Spam, Patch-Management, Fax, Mailarchivierung und Webüberwachung. GFI ist ein auf den Channel Vertrieb fokussiertes Unternehmen mit Tausenden von Partnern auf der ganzen Welt. Das Unternehmen ist mit unzähligen Preisen und industriellen Anerkennungen ausgezeichnet worden und zudem seit langer Zeit Microsoft ® Gold ISV Partner.