10 Best Practices für die Sicherheit von geschäftlichen E-Mails

Was ist E-Mail-Sicherheit für Unternehmen?

E-Mail-Sicherheit für Unternehmen ist ein recht weit gefasster Begriff, umfasst jedoch sämtliche Maßnahmen, die Unternehmen zum Schutz ihrer E-Mail-Systeme, -Netze und -Daten vor Cyberbedrohungen durchführen. Da jeden Tag neue, immer raffiniertere Hacker-Techniken zum Einsatz kommen, müssen Unternehmen die sich entwickelnde Cyber-Sicherheitslandschaft im Auge behalten und ihre Sicherheitstools und -strategien entsprechend anpassen.

Die E-Mail-Sicherheit in Großunternehmen betrifft dabei eine viel größere Anzahl von E-Mail-Nutzern, Infrastrukturen und Daten als die E-Mail-Sicherheit in kleinen Unternehmen. Doch auch wenn die Größe von Unternehmen komplexe, zuverlässige und skalierbare Sicherheitslösungen erfordert – ein sicheres Online-Verhalten ist ein universeller Schutz und schützt Mitarbeiter unabhängig davon, wo sie arbeiten.

Was versteht man unter einem Business Email Compromise (BEC)?

BEC ist eine Art von Cyberkriminalität, bei der sich Betrüger als vertrauenswürdige Geschäftskontakte wie CEOs oder Lieferanten ausgeben, um Mitarbeitende zur Überweisung von Geld oder der Herausgabe sensibler Informationen zu verleiten. Diese Betrugsversuche sind oft das Ergebnis sorgfältiger Recherche und von Social Engineering, mit dem Ziel, die Opfer möglichst überzeugend zu täuschen.

Laut dem FBI hat BEC-Betrug Unternehmen seit 2016 weltweit über 26 Milliarden US-Dollar gekostet, und die Bedrohung nimmt weiter zu. Besonders anfällig sind kleine Unternehmen, da diese nicht über die Ressourcen oder die Expertise verfügen, um solche Angriffe aufzuspüren und entsprechend abzuwehren.

Zum Opfer eines BEC-Betrugs wurde beispielsweise Ruben Rivera, Direktor der Industrial Development Company in Puerto Rico. Er überwies ungewollt 2,6 Millionen US-Dollar auf ein fingiertes Bankkonto. In einem anderen Fall wurde Ubiquiti Networks Inc., ein in San José ansässiger Hersteller leistungsstarker Netzwerktechnologien, im Zuge eines BEC-Angriffs um 46,7 Millionen US-Dollar betrogen.

Da der E-Mail-Verkehr auch in Zukunft ein integraler Bestandteil der Geschäftskommunikation bleiben wird, müssen Unternehmen wachsam bleiben und proaktiv Maßnahmen ergreifen, um sich gegen BEC-Angriffe zu schützen. Das betrifft alle Arten von Unternehmen: E-Mail-Sicherheit ist für kleine Unternehmen genauso wichtig wie für große Konzerne.

Warum ist E-Mail-Sicherheit so wichtig?

E-Mails sind zu einem integralen Bestandteil unseres digitalen Lebens geworden und funktionieren fast wie ein virtueller Ausweis, mit dem wir uns online identifizieren und für Dienste anmelden können. Weil E-Mails eine der beliebtesten Methoden der Online-Kommunikation sind, enthalten sie sensible Informationen über uns. Erhalten Kriminelle darauf Zugriff, so können sie andere Online-Konten des Nutzers übernehmen, seine vertraulichen Daten stehlen und ernsthafte finanzielle Schäden und Reputationsschäden verursachen. Aus diesem Grund sind E-Mails so häufig das Ziel von Cyberkriminellen. Laut dem Data Breach Investigations Report von Verizon werden 94 % aller Malware über E-Mails verbreitet. Die Risiken und die Häufigkeit von E-Mail-Malware-Angriffen machen die E-Mail-Sicherheit zu einem entscheidenden Faktor, vor allem im geschäftlichen Umfeld.

Phishing ist die größte Bedrohung für die E-Mail-Sicherheit

Phishing ist eine Art von digitalem Betrug, der besonders häufig in E-Mails zu finden ist. Es handelt sich um eine Form des Social Engineering, bei der ein Hacker versucht, einen Mitarbeitenden davon zu überzeugen, dass eine E-Mail von einer vertrauenswürdigen Quelle stammt. Solche E-Mails enthalten in der Regel eine Handlungsaufforderung: Sie sind also fast eine Art von Marketing. Allerdings enthalten Phishing-Aufforderungen in der Regel einen schädlichen Link oder führen dazu, das vertrauliche Unternehmensdaten an Außenstehende geleitet werden.

Und wie jeder andere Werbetreibende nutzen auch Hacker kreative Techniken, um die Konversionsrate ihrer Betrügereien zu erhöhen. Je trügerischer die E-Mail ist, desto höher ist die Konversionsrate. Deshalb sind Phishing-E-Mails manchmal nur schwer zu erkennen. Dies zeigt, wie wichtig das Thema E-Mail-Sicherheit für Unternehmen ist. Beispiele für Phishing-E-Mails sind:

• Kontoverifizierungsbetrug. Eine Phishing-E-Mail könnte etwa so aussehen: „Aufgrund einer aktuellen Sicherheitsbedrohung möchten wir Sie bitten, Ihr Konto zu verifizieren, indem Sie sich über den unten stehenden Link anmelden. Wenn Sie dies nicht tun, wird Ihr Konto dauerhaft deaktiviert.“

• Betrug mit gefälschten Rechnungen. Hacker können E-Mails mit Inhalten wie dem folgenden versenden: „Leider haben wir noch keine Zahlung für unsere Leistungen feststellen können. Bitte verwenden Sie den unten stehenden Link, um die Transaktion abzuschließen.“

• Spear-Phishing. Spear-Phishing ist eine ausgeklügeltere und individuell zugeschnittene Form des Phishings, bei der die Hacker intensivere Nachforschungen zu Ihrem Unternehmen anstellen. Ein Mitarbeiter kann zum Beispiel eine E-Mail erhalten, die aussieht, als stamme sie von einem bestimmten Kollegen, und die ihn auffordert, eine bestimmte Website zu besuchen oder Informationen preiszugeben.

Bewährte Verfahren für die Sicherheit von Geschäfts-E-Mails

Wenn Sie einem Phishing-Betrug zum Opfer fallen, kann dies zu Datenlecks führen und Ihre Rechner mit Schadsoftware infizieren. Ergreifen Sie geeignete Maßnahmen zum Schutz Ihres E-Mail-Verkehrs, damit Ihr Unternehmen gegen Phishing-Angriffe und andere Formen der Internetkriminalität gewappnet ist:

1. Führen Sie Schulungen zum Thema Phishing durch

E-Mails werden in der Regel durch Nachlässigkeit und mangelndes Wissen der Mitarbeitenden missbraucht. Die erste Methode, die Cybersicherheit von E-Mails zu erhöhen, besteht daher darin, das Bewusstsein für die Hauptbedrohung zu schärfen: Phishing. Schulen Sie alle Beschäftigten gründlich zum Thema Schutz vor E-Mail-Bedrohungen, damit sie Phishing-Versuche erkennen und vermeiden können. Die wichtigsten Verhaltensweisen, die hier behandelt werden sollten, sind:

• Sich mit den wichtigsten Phishing-Methoden vertraut machen

• Misstrauisch sein bei ungewöhnlichen Anfragen

• Niemals auf beliebige Links, die Sie per E-Mail erhalten, klicken

Wenn Ihre Angestellten mit den entsprechenden Sicherheitsvorkehrungen vertraut sind, sinkt die Wahrscheinlichkeit, das Ihr Unternehmen Opfer von Phishing-Angriffen wird, drastisch. Ganz allgemein wird die Sicherheit Ihres geschäftlichen E-Mail-Verkehrs erhöht.

2. Schulung der Mitarbeitenden im Umgang mit E-Mail-Anhängen und verdächtigen E-Mail-Links

E-Mail-Anhänge und verdächtige Links sind die häufigsten Methoden, die Cyberkriminelle verwenden, um bösartige Software zu verbreiten. Wenn Sie gute E-Mail-Sicherheits-Praktiken in Ihrem Unternehmen etablieren möchten, sollten Sie sicherstellen, dass Ihre Beschäftigten diese hinterhältigen Praktiken kennen und diese in realen Situationen erkennen können. Mit etwas Zeit und viel Übung wird Ihr Team ein Gefühl für verdächtige E-Mail-Links und -Anhänge entwickeln, was den potenziellen Angriffsvektor beträchtlich verringern und Ihre allgemeine Sicherheitslage deutlich verbessern sollte.

3. Multi-Faktor-Authentifizierung aktivieren

Sie können Ihr Konto sicherer vor Hackern machen, indem Sie Ihr Smartphone mit Ihrer E-Mail-Adresse verknüpfen. Selbst wenn Fremde Passwörter zu Ihren E-Mail-Konten erfahren, können diese dann nur Schaden anrichten, wenn sie auch Zugriff auf das Gerät haben, mit dem das Konto verknüpft ist. Bei allen wichtigen Geschäftskonten, nicht nur bei E-Mail-Konten, sollte die Multi-Faktor-Authentifizierung aktiviert werden.

4. Nutzen Sie keine E-Mails in öffentlichen WLAN-Netzwerken

Öffentliche WLAN-Netzwerke bergen enorme Risiken für die E-Mail-Sicherheit. Wenn sie unverschlüsselt sind (was häufig der Fall ist), kann sich jede beliebige Person mit demselben Netzwerk verbinden. Man weiß nie, ob nicht vielleicht ein Hacker darunter ist.

Wenn ein Hacker Ihre Verbindung mit einem unverschlüsselten öffentlichen WLAN-Netzwerk abfängt, während Sie sich in einem E-Mail-Konto anmelden, kann er Ihr E-Mail-Passwort stehlen. Am besten sollten Sie sich ganz von öffentlichen WLAN-Netzwerken fernhalten, aber wenn eine Verbindung mit einem solchen WLAN-Netzwerk notwendig ist, übertragen Sie darüber niemals wichtige Daten.

5. Verwenden Sie geschäftliche E-Mail-Konten nicht für private Zwecke und umgekehrt

Die meisten Bürobeschäftigten verfügen heutzutage über eine geschäftliche E-Mail-Adresse. Einige Mitarbeitende geraten in Versuchung, die neue E-Mail-Adresse für all ihre Anmeldungen zu verwenden. Bei einem neuen Streaming-Dienst registrieren? Warum dafür nicht die brandneue geschäftliche E-Mail-Adresse verwenden? Alle anderen machen es doch auch so, oder?

Dies mag im ersten Moment nach einer tollen Idee klingen. Doch die Verwendung Ihrer geschäftlichen E-Mail-Adresse für private Zwecke und umgekehrt kann ein erhebliches Sicherheitsrisiko für Sie als Privatperson und für Ihr Unternehmen darstellen.

Erstens erleichtert die Verwendung einer geschäftlichen E-Mail-Adresse für private Online-Aktivitäten die Erstellung eines Profils. Dies wiederum könnte Spear-Phishing begünstigen – eine gezielte Phishing-Kampagne – oder andere zielgerichtete Cyberangriffe.

6. Geschäftliche E-Mails verschlüsseln

Die Verschlüsselung von geschäftlichen E-Mails mithilfe einer speziellen E-Mail-Sicherheitssoftware ist eine hervorragende Möglichkeit, Hacker abzuwehren. Die Verschlüsselung stellt sicher, dass nur der jeweilige Absender und Empfänger E-Mails lesen können. Falls ein Hacker die WLAN-Verbindung oder das E-Mail-Konto eines Mitarbeitenden abhört, erhält er keinen Einblick in sensible Daten.

7. Richten Sie E-Mail-Sicherheitsprotokolle ein

E-Mail-Sicherheitsprotokolle sind immens wichtig, da sie eine zusätzliche Sicherheitsebene für Ihre digitale Kommunikation bilden. Solche Protokolle wurden entwickelt, um die Sicherheit Ihrer E-Mails zu gewährleisten, wenn sie über Webmail-Dienste über das Internet übertragen werden. Ohne die Hilfe von E-Mail-Sicherheitsprotokollen können böswillige Akteure die Kommunikation auf relativ einfache Weise abfangen. Bitte machen Sie sich mit den drei gängigsten E-Mail-Sicherheitsprotokollen vertraut und aktivieren Sie diese für eine sicherere Kommunikation.

• Transport Layer Security (TLS): TLS – der Nachfolger des SSL-Protokolls (Secure Sockets Layer) – verschlüsselt E-Mail-Nachrichten, wenn sie zwischen Mailservern übertragen werden. Dadurch wird es für Hacker wesentlich schwieriger, die Kommunikation abzufangen und abzuhören.

• Domain Keys Identified Mail (DKIM): DKIM fügt E-Mails eine digitale Signatur hinzu, die es den empfangenden Mailservern ermöglicht, die Authentizität von Nachrichten zu überprüfen. Damit werden die Server des Unternehmens vor Phishing-Versuchen und manipulierten E-Mails geschützt.

• Sender Policy Framework (SPF): SPF ermöglicht es Domaininhabern, eine Liste von Mailservern zu erstellen, die berechtigt sind, E-Mails im Namen ihrer Domain zu versenden. Wenn ein Unternehmensserver die Nachricht erhält, kann er den Absender authentifizieren, indem er dessen E-Mail-Adresse mit den SPF-Einträgen vergleicht.

8. Erhöhen Sie die Sicherheit von Endgeräten

Ergreifen Sie Maßnahmen, die die Sicherheit Ihrer Endgeräte weiter steigern. Oft besteht die einfachste und effektivste Methode, die Sicherheit der Endgeräte zu erhöhen, in der Implementierung von Sicherheitstools für den unternehmensweiten Einsatz.

Verwenden Sie ein VPN wie NordLayer, um Ihre Internetverbindung und über Ihr Unternehmensnetzwerk übertragene Daten zu verschlüsseln. Antivirensoftware ist ein weiteres Tool, das auf allen Unternehmenscomputern eingesetzt werden sollte, um eine proaktive Abwehr zu gewährleisten.

9. Passwörter nicht zu häufig ändern

Passwortmüdigkeit ist allgegenwärtig – ein durchschnittlicher Benutzer verwendet heutzutage etwa 100 Passwörter. Den Überblick über all diese Passwörter zu behalten, ist eine Herausforderung.

Die gängige Regel in Bezug auf die Passwortsicherheit besagt, dass Passwörter alle 90 Tage geändert werden sollten. Dies mag zwar nach einer vernünftigen Vorgehensweise klingen, könnte aber dazu führen, dass simplere und einfach zu knackende Passwörter verwendet werden.

Wenn Sie wissen, dass Ihre Mitarbeitenden die Passworthygiene ernst nehmen und schwer zu erratende Passwörter erstellen, und wenn keines ihrer Passwörter jemals geleakt wurde, dann sollten sie sich an die Passwörter halten, die sie bereits verwenden. Falls ein Passwort (egal wie stark es ist) geleakt oder gestohlen wird, sollte es sofort geändert werden.

10. Verwenden Sie starke Passwörter für E-Mail-Konten

Starke Passwörter sind für die Sicherheit Ihrer Konten unverzichtbar. Dennoch schützen Unternehmen ihre E-Mails oft nicht durch starke Passwörter. Wenn das auf Ihr Unternehmen zutrifft, beachten Sie bitte, dass ein einfaches Passwort auch leichter zu hacken ist, insbesondere durch Brute-Force-Angriffe. Bei Brute-Force-Angriffen versuchen Hacker das Passwort zu erraten, indem Sie ein Konto mit Tausenden von Rateversuchen bombardieren.

Um Ihre geschäftlichen E-Mails vor solchen Angriffen zu schützen, sollten Sie sicherstellen, dass jede Person in Ihrem Unternehmen ihre Passwörter sichert. Sichere E-Mail-Passwörter sind:

• lang

• kompliziert

• enthalten verschiedene Arten von Zeichen

• einzigartig (niemals von anderen Konten wiederverwendet)

Diese Punkte sind entscheidend, wenn Sie die Sicherheit Ihres Unternehmens gewährleisten wollen. Allerdings sind Passwörter, die schwer zu hacken sind, auch schwer zu merken. Niemand möchte, dass sein Konto so gut gesichert ist, dass er nicht einmal selbst darauf zugreifen kann.

Zum Glück können der Business-Passwort-Manager und der Enterprise-Passwort-Manager von NordPass hier Abhilfe schaffen. Wenn alle Mitglieder Ihres Unternehmens dies für ihre Konten verwenden, sind ihre E-Mails sicher und sie müssen sich nicht mehr den Kopf zerbrechen, um sich Passwörter zu merken.

Fazit

Die Sicherheit Ihres geschäftlichen E-Mail-Verkehrs ist nie eine Selbstverständlichkeit. Auch wenn Plattformen wie Gmail oder Outlook ihr Bestes tun, um die Sicherheit ihrer Nutzer/innen zu gewährleisten, können Sie leicht zum Opfer von Hackern werden, wenn Sie Ihr Konto nicht aktiv schützen. Wenn Sie diese 10 Best Practices für Ihre E-Mail-Sicherheit befolgen, ist die Wahrscheinlichkeit, dass Ihre geschäftlichen E-Mails gehackt werden, wesentlich geringer, da sich Hacker lieber anfälligere Opfer suchen.