Quelle: InfoTrust Newsletter 01/2012

Autor: Roman Ackle, CTO InfoTrust

 

Das E-Mail-Aufkommen in Unternehmen ist heute kaum mehr wirtschaftlich zu bewältigen. Über 80 Prozent des gesamten E-Mail-Verkehrs sind mittlerweile Spam. 20 Prozent dieser Spam-Nachrichten enthalten Malware oder Links zu schädlichen Webinhalten. Hinzu kommen immer wieder neue, ausgeklügelte E-Mail-Bedrohungen, die die Sicherheit eines Unternehmens, beziehungsweise der geschäftskritischen Daten, gefährden. Neben dem hohen Sicherheitsrisiko stellt unser täglicher E-Mail-Verkehr aber auch ein grosses Produktivitätsrisiko dar. Ein User verbringt inzwischen mehr als 20 Stunden pro Woche mit dem Schreiben und Beantworten der digitalen Nachrichten. Zwar verlagert sich die Unternehmenskommunikation immer mehr in Richtung innovativer Social-Media- oder Social-Business-Lösungen. Basierend auf neuartigen Kollaborationstechnologien machen diese Lösungen die Informationen persönlicher, unmittelbarer und vor allem kostengünstig zugänglich. Diese neue Art des Informationszugangs wird das Arbeiten und Zusammenarbeiten in den nächsten Jahren immer mehr prägen. Noch ist dies aber Zukunftsmusik und die E-Mail bleibt, trotz vieler Nachteile und Risiken für das Unternehmen, ein unverzichtbares Kommunikationsmedium,um grosse Informations- beziehungsweise Datenmengen schnell und unkompliziert von A nach B zu bewegen.

 

E-Mail-Sicherheitslösungen haben im Umfeld der IT-Security also noch lange nicht ausgedient – sie müssen heute und in den nächsten Jahren noch einer Vielzahl moderner Herausforderungen gerecht werden und dabei die Mitarbeiter, die Kommunikationsprozesse und die eingesetzten Technologien in Einklang bringen.

 

Sichere E-Mail-Kommunikation mit neuen Alleskönnern

 

Die Motivation hinter den E-Mail-Attacken hat sich in den letzten Jahren stark verändert. Die bereits erwähnten Spam-Mails und andere schädliche E-Mails, die dafür berüchtigt sind, wertvolle, produktiv einsetzbare Zeit zu rauben, richten schon seit vielen Jahren grosse Schäden in Unternehmen an. Hinter der neuen Generation von E-Mail-Angriffen stecken heute meist kriminelle Organisationen auf der Suche nach verwertbaren Informationen, mit denen sich beim Verkauf erfahrungsgemäss hohe finanzielle Gewinne erzielen lassen. Mittlerweile auch immer stärker verbreitet sind die sogenannten Social-Engineering-Attacken, bei denen geschultes Personal das Umfeld des Unternehmens ausspioniert, sogar falsche Identitäten vortäuscht, um an die geheimen Informationen zu gelangen. Signaturbasierte Verteidigungsmechanismen sind bei dieser Art Angreifer wirkungslos.  

 

So unterschiedlich die Angriffsszenarien im Bereich der E-Mail-Kommunikation sind, so viele unterschiedliche Lösungen gibt es auch. Und genau hier liegt das Problem. Viele Unternehmen haben für die verschiedenen Verteidigungsziele, wie beispielsweise Viren, Spam oder Data Leakage Prevention (DLP) jeweils Einzellösungen, wie eben eine Anti-Virus-, eine Anti-Spam- oder eine DLP-Lösung, im Einsatz. Hinzu kommt, dass diese Teillösungen häufig noch von unterschiedlichen Herstellern stammen und damit unabhängig voneinander entwickelt und immer wieder skaliert wurden. Viele dieser Produkte entsprechen auch nicht dem neusten Stand der Technik. Und mit der Anzahl eingesetzter Lösungen potenziert sich natürlich auch der Wartungs- und Pflegeaufwendungen für die IT-Administratoren. Schwierig wird es auch im Supportfall, wenn mehrere Hersteller in ein Problem involviert sind.  

 

Anstelle vieler Einzelschutzmassnahmen empfehlen Security-Experten daher die schrittweise Konsolidierung der IT-Umgebung. Für die E-Mail-Sicherheit bedeutet dies die Ablösung der vielen kleinen Insellösungen durch eine funktionsstarke, zentral administrierbare E-Mail-Security-Suite, die einen übergreifenden Schutz aller ausgehenden und eingehenden Bedrohungen garantiert. Ein Unternehmen muss mit nur einer Lösung in der Lage sein, den Funktionsumfang seines E-Mail-Schutzes individuell anpassen und auf Wunsch ausbauen zu können. Einige wenige Hersteller von Security-Produkten bieten bereits eine solche umfassende Lösung an, die den Schutz vor eingehenden Bedrohungen, die Vermeidung von Datenverlust im ausgehenden E-Mail-Verkehr, Verschlüsselungsfunktionen, erweiterte Compliance-Aufgaben und die Verwaltung in einer benutzerfreundlichen Appliance verbindet – ein wirklicher Mehrwert für Unternehmen, IT-Administratoren und natürlich die Mitarbeiter.  

 

Die technische Lösung ist nicht alles

 

Wie erwähnt, setzen Datendiebe heute immer mehr auf Social-Engineering-Attacken – die mittlerweile wahrscheinlich effektivste Methode, um an Informationen oder ein Passwort zu gelangen. Sie schlägt technische Ansätze vor allem in puncto Schnelligkeit. Eine besondere Herausforderung stellt die Abwehr solcher speziellen Angriffe dar. Mit den herkömmlichen Mitteln kann sich ein Unternehmen hier nicht ausreichend verteidigen. Den wichtigsten Beitrag zur Bekämpfung von Social Engineering liefert eigentlich der betroffene, ausspionierte Mitarbeiter selbst, indem er Identität und Berechtigung des Absenders einer E-Mail zweifellos sicherstellt, bevor Daten beziehungsweise Informationen herausgegeben oder weitergeleitet werden. Bei Unklarheit über die Echtheit des Absenders sollte dieser noch einmal telefonisch kontaktiert werden, um die Authentizität der E-Mail zu überprüfen.  

 

Ein weiteres, nicht nur technisch lösbares, Problem ist die unberechtigte Weiterleitung geschäftskritischer Informationen durch die eigenen Mitarbeiter. In Umfragen zu den E-Mail-Nutzungsgewohnheiten von Arbeitnehmern bestätigen die Mitarbeiter immer wieder, dass sie bereits vertrauliche Informationen aus dem Hause ihres Arbeitgebers per E-Mail an nicht legitimierte Empfänger gesendet haben und zeigen damit, dass sie den Schutz des geistigen Eigentums nicht wirklich ernst nehmen. Mitarbeiterschulungen und Awareness-Kampagnen können helfen, die Mitarbeiter über die unternehmensinternen Vorgaben für die geschäftliche Nutzung der E-Mail-Accounts zu informieren und sie mit Blick auf mögliche Social-Engineering-Szenarien zu sensibilisieren. Ergänzend muss die eingesetzte E-Mail-Security-Lösung natürlich auch entsprechende Technologien zur Filterung und Überwachung ausgehender E-Mails bereitstellen, damit Nachrichten mit vertraulichen Inhalten das Unternehmensnetz gar nicht erst verlassen können und Verstösse gegen die E-Mail-Policies dokumentierbar sind.  

 

Der grösste Risikofaktor ist und bleibt der Mensch

 

Solange die E-Mail noch das meist eingesetzte Kommunikationsmedium für einen schnellen Informations- und Datenaustausch ist, solange müssen die Unternehmen in einen professionellen E-Mail-Schutz investieren. Der Security- Markt bietet hierfür mittlerweile Gesamtlösungen, die einen umfassenden Schutz vor eingehenden Bedrohungen sowie für ausgehende E-Mails bieten und dabei auch die Einhaltung der Compliance-Richtlinien unterstützen – und das alles mit vertretbarem administrativem Aufwand. Bei allen technischen Betrachtungen darf man aber eines nie vergessen: Der grösste Risikofaktor ist und bleibt der Mensch.