E-Mails sind für die geschäftliche Kommunikation unverzichtbar, stellen aber ein alarmierend anfälliges Paradoxon dar. Erstaunliche 91 % aller Cyberangriffe beginnen mit einer Phishing-E-Mail. Und die wirkt heutzutage oft so glaubwürdig, dass sie selbst Fachleute täuschen kann. Gefälschte Absenderadressen, schädliche Anhänge und irreführende URLs sind die Ausgangspunkte für Datenlecks, Rufschädigung und Betrugsfälle im Wert von Millionen.
In GlobalSigns aktuellem Trust.ID Talk Podcast begrüßte Host Michelle Davidson den E-Mail-Sicherheitsexperten Stefan Cink, Entwickler von NoSpamProxy und langjähriger Fürsprecher für einen intelligenteren Schutz des Posteingangs. Seine Botschaft war klar:
„Das Problem sind nicht nur clevere Angreifer, sondern auch vermeidbare Fehler von Unternehmen, die gewisse Feinheiten der E-Mail-Sicherheit übersehen.“
Die Illusion der Perfektion – Vorsicht vor Lücken
Stefan wies auf eine Tatsache hin, die man bei der Suche nach Lösungen leicht aus den Augen verliert: Kein Sicherheitssystem ist perfekt. Es wird immer Lücken, winzige Angriffspunkte, die nicht bemerkt werden, oder kurze Verzögerungen geben, die Angreifer ausnutzen können. Deshalb ist ein „Plan B“ unerlässlich. Wenn beispielsweise Malware über einen Word-Anhang übertragen wird, kann eine Strategie darin bestehen, die Datei erst in ein PDF-Dokument umzuwandeln und dann an den Nutzer weiterzuschicken. So kann der Empfänger den Inhalt sicher als Vorschau anzeigen, während das E-Mail-Gateway im Hintergrund gründlichere Prüfungen durchführt. Wird kurz darauf eine Bedrohung erkannt, kann die E-Mail blockiert werden, bevor sie den Posteingang des Nutzers erreicht.
Die Reputation ist alles – die richtigen Überprüfungsmethoden helfen
Bei der E-Mail-Sicherheit wird am häufigsten die Leichtigkeit übersehen, mit der E-Mail-Adressen gefälscht werden können. Theoretisch kann jeder eine E-Mail versenden, die aussieht, als stamme sie von Ihrem CEO. Und ohne Sicherheitsvorkehrungen werden die Empfänger den Unterschied nicht bemerken.
Protokolle wie SPF, DKIM, und DMARC dienen als Schutzschild für Ihre Reputation. Mit ihnen können die Empfänger sicherstellen, dass Ihre E-Mails tatsächlich von Ihnen stammen und nicht von jemandem, der sich mit böswilligen Absichten als Sie ausgibt. Die Überprüfungen dienen nicht nur der Echtheitsprüfung, sondern sie stellen auch ein Signal für Verantwortlichkeit dar. Und in einer Zeit, in der die Posteingänge mit Unwichtigem überflutet werden, ist Vertrauen die wichtigste Währung.
Firewalls für Dateien – Nutzen Sie bei Anhängen eine umgekehrte Logik
Einen Aspekt haben viele Sicherheitsteams bisher kaum berücksichtigt: Bei E-Mails konzentrieren sich die meisten Systeme darauf, Makros oder ausführbare Dateien sowie bestimmte Arten von Anhängen zu blockieren. Das ähnelt der Arbeitsweise herkömmlicher Firewalls, bei denen Regelsätze außer dem ausdrücklich zugelassenen Datenverkehr alles blockieren. Warum sollte man also nicht das Paradigma umkehren und standardmäßig nur die Anhangstypen zulassen, die für Ihr Unternehmen unverzichtbar sind – und alles andere blockieren? Diese kleine Änderung kann die Risiken erheblich verringern.
Sicherheit mit Weitblick
Wenn Sie Ihre E-Mail-Strategie überdenken, sollten Sie diese als Schichten betrachten. Bei der E-Mail-Sicherheit geht es nicht nur um das Abfangen von Bedrohungen, sondern auch um vorausschauendes Handeln. Dabei sind Klarheit, Konsistenz und Kontrolle das Ziel, sei es bei der Integration von Reputationsprotokollen, dem schnellen Konvertieren risikobehafteter Dateiformate oder der Neugestaltung der Regeln für Dateianhänge. Die Gegner mögen hartnäckig sein, aber das gilt auch für unsere Fähigkeit zur Weiterentwicklung.
Baseline Requirements sind mittlerweile geschäftskritisch
Da E-Mail-Bedrohungen immer hartnäckiger und leichter zugänglich werden, ist der Verzicht auf grundlegende Sicherheitsmaßnahmen so, als würde man die Haustür offen lassen und hoffen, dass niemand hereinkommt. Podcast-Gast Stefan Cink brachte das auf den Punkt:
„Cyberkriminelle müssen weder Firewalls noch VPNs überwinden. Sie brauchen nur eine E-Mail mit dem richtigen Köder, um im Posteingang ihrer Zielgruppe zu landen.“
So erschreckend effizient sind E-Mail-basierte Angriffe geworden. Sie sind direkt, täuschend einfach und äußerst wirkungsvoll.
In Deutschland beispielsweise haben die zuständigen Behörden Mindestanforderungen für die E-Mail-Sicherheit veröffentlicht, die für Unternehmen jeder Größe zugänglich sind. Diese Leitlinien helfen Unternehmen bei der Festlegung klarer Grundsätze für die Authentifizierung, Verschlüsselung und die allgemeine Verteidigung. Solche Standards sind jedoch nur dann wirksam, wenn sie angemessen umgesetzt werden. Zu oft betrachten Unternehmen sie eher als Empfehlungen statt als Notwendigkeiten.
Die Implementierung grundlegender Maßnahmen wie der Protokolle SPF, DKIM und DMARC hilft bei der Stärkung des Vertrauens in die digitale Kommunikation und der Erfüllung von Compliance-Anforderungen. Zudem nimmt sie Angreifern ihren einfachsten Angriffspunkt weg. In Branchen wie dem Finanzwesen und dem Gesundheitswesen, in denen die gesetzlichen Rahmenbedingungen immer strenger werden, ist der Verzicht auf solche Maßnahmen nicht nur riskant, sondern er kann sogar rechtswidrig sein.
Authentifizierung und Verschlüsselung sind mehr als nur Schlagworte
Solche grundlegenden Schutzmaßnahmen haben Auswirkungen auf das gesamte E-Mail-Ökosystem. Durch eine ordnungsgemäße Authentifizierung können E-Mails, die angeblich von Ihrem Unternehmen stammen, genau überprüft werden. Die Verschlüsselung schützt sensible Inhalte vor Abfang- oder Manipulationsversuchen. Solche Cybersicherheitsfunktionen sind mittlerweile obligatorisch geworden.
Falls Ihr Unternehmen seine E-Mail-Compliance-Anforderungen länger nicht überprüft hat, ist jetzt der richtige Zeitpunkt dafür. Und wenn die Vorschriften sich ändern, passen die Angreifer sich an, und die Sicherheitsmaßnahmen von gestern richten gegen die Taktiken von morgen nicht mehr aus.
Die drei Säulen des Vertrauens in E-Mails
Betrachten Sie SPF, DKIM und DMARC als die drei Säulen zur E-Mail-Authentifizierung. Gemeinsam dienen sie als digitale Nachverfolgungskette, die überprüft, woher eine E-Mail stammt, was darin steht und ob sie auf ihrem Weg manipuliert wurde.
Angreifer können längst problemlos überzeugende E-Mails versenden, die aussehen, als kämen sie von Ihrer Domain. Deshalb müssen Domaininhaber aktiv Einträge veröffentlichen, die angeben, welche Server berechtigt sind, E-Mails in ihrem Namen zu versenden.
- Sender Policy Framework - SPF ist wie eine Whitelist. Es teilt den empfangenden Servern mit, welche IP-Adressen im Namen Ihrer Domain E-Mails versenden dürfen. Wenn jemand eine E-Mail von einer nicht in der Liste enthaltenen Absenderadresse sendet, wird diese markiert.
- DomainKeys Identified Mail - KIM versieht den Inhalt Ihrer E-Mail mit einer digitalen Signatur und gewährleistet so die Unversehrtheit des Nachrichtentextes. Wenn ein Angreifer also heimlich versucht, eine Rechnung zu manipulieren oder bösartige Links einzufügen, kann diese Manipulation erkannt werden. Für Transaktions-E-Mails – wie Rechnungen, Bestellungen und vertrauliche interne Dokumente – ist DKIM daher ein absolutes Muss.
- Domain-based Message Authentication, Reporting and Conformance - DMARC hält alles andere zusammen. Mit diesem Protokoll können Domain-Inhaber festlegen, was geschehen soll, wenn SPF- oder DKIM-Prüfungen fehlschlagen – also ob die E-Mail in Quarantäne verschoben oder abgelehnt werden soll. Wenn eine E-Mail beide Prüfungen nicht besteht, ist sie vermutlich gefälscht und sollte nicht in Ihr Netzwerk gelangen.
Steigende Akzeptanz dank der Branchenriesen
Diese Protokolle gibt es zwar schon seit Jahren, aber ihre Verbreitung hat erst dank der Durchsetzung durch große Anbieter wie Microsoft, Google und Yahoo stark zugenommen. Wenn Sie heute E-Mails an einen Microsoft-Posteingang ohne SPF und DKIM senden, werden sie möglicherweise gar nicht zugestellt. Die großen Anbieter drängen Unternehmen im Prinzip dazu, sich um dieses Thema zu kümmern – und das zeigt Wirkung.
Für die Unternehmen geht es nicht nur um Sicherheit, sondern auch um die Zustellbarkeit. Ohne SPF, DKIM und DMARC können E-Mails im Spam-Ordner landen – oder gar nicht ankommen.
APIs und ein Mythos, den wir beseitigen müssen
Diese Protokolle bilden das architektonische Rückgrat für die Vertrauenswürdigkeit von E-Mails, aber erst neue Tools wie API-Konnektoren sorgen für mehr Flexibilität, Reaktionsfähigkeit und Präzision. Stefan Cink erklärt, dass NoSpamProxy stark auf etablierte Standards setzt und weniger auf API-Schnittstellen zu E-Mail-Anbietern, da sich diese häufig ändern. APIs spielen jedoch weiterhin eine entscheidende Rolle bei der synchronen Kommunikation und der Bedrohungserkennung in Echtzeit.
Beispielsweise ermöglichen APIs den sofortigen Erhalt digitaler Zertifikate von vertrauenswürdigen Zertifizierungsstellen wie GlobalSign. Dadurch können Lösungen zur E-Mail-Optimierung die Zertifikatsbereitstellung automatisieren, ohne den Verwaltungsaufwand für die Administratoren zu erhöhen. Und für Unternehmen mit cloudbasierten Systemen zur Bedrohungsüberwachung ermöglichen APIs eine blitzschnelle Malware-Erkennung, indem Nachrichten bereits beim Eintreffen am E-Mail-Gateway gescannt werden.
Verschlüsselung muss nicht einschüchternd sein
Verschlüsselung wird oft so behandelt, als sei sie Kryptografie-Spezialisten oder Compliance-Beauftragten vorbehalten. Man muss aber nicht die mathematischen Grundlagen des Algorithmus verstehen, sondern lediglich wissen, welcher Ansatz am besten zu dem jeweiligen Unternehmen passt.
- Eine Gateway-basierte Verschlüsselung reicht in der Regel für die alltägliche Geschäftskommunikation aus, beispielsweise für die Bereiche Vertrieb, Marketing und Support. In diesem Modell verwaltet das Gateway die Zertifikate zentral und versieht ausgehende Nachrichten mit S/MIME-Signaturen, mit denen die Empfänger die Echtheit des Absenders überprüfen können. Das ist einfach, skalierbar und eignet sich besonders für Branchen mit hohem Compliance-Bedarf.
- Bei der Client-basierten Verschlüsselung müssen Zertifikate lokal auf jedem Gerät gespeichert werden, von dem aus ein Nutzer E-Mails versenden könnte. Das bedeutet eine größere Herausforderung für IT-Teams, insbesondere in BYOD-Umgebungen, in denen jeder sein eigenes Gerät mitbringt und die Kontrolle über die Endgeräte nahezu unmöglich wird. Diese Methode kann aber für besonders sensible Aufgabenbereiche erforderlich sein, beispielsweise für Ärzte, die mit personenbezogenen Gesundheitsdaten umgehen. Für die meisten Organisationen bietet jedoch die Gateway-basierte Verschlüsselung das richtige Gleichgewicht zwischen Sicherheit und Verwaltbarkeit.
Der größte Irrglaube in Bezug auf E-Mail-Sicherheit ist, dass die Implementierung der Verschlüsselung zu kompliziert ist. In der Praxis ist die Verschlüsselung mit der richtigen Lösung – beispielsweise NoSpamProxy in Verbindung mit der automatisierten Zertifikatsbereitstellung über GlobalSign – für den Endnutzer nahezu unsichtbar und für den Administrator unglaublich einfach zu handhaben. Nach der Konfiguration werden die Zertifikate automatisch in das Gateway übertragen – und der Schutz wird zu einem festen Bestandteil des Systems.
Jeder Posteingang verdient etwas Besseres
E-Mails sind vielleicht nie absolut sicher, aber sie können weitaus vertrauenswürdiger werden. Durch die Kombination von grundlegenden Protokollen, Echtzeit-Erkennung, flexibler Verschlüsselung und intelligentem Anbieter-Support können Unternehmen die Kontrolle über ihre Posteingänge zurückgewinnen – ohne die Nutzer zu überfordern.
Erfahren Sie, wie VMCs Ihre E-Mail-Kommunikation optimieren können
