One-Stop-Shop für E-Mail-Sicherheit verbessern:Risiko-Portfolio gehört verbreitert
24. März 2023Microsoft 365 hat sich seit der Einführung vor rund einem Jahrzehnt deutlich weiterentwickelt. Heute hat die Cloud-basierte Plattform einen riesigen Marktanteil. Laut Gartner beherrscht Microsoft etwa 90 Prozent des Marktes, wobei Google Workspace den Rest abdeckt. Angesichts der Tatsache, dass sowohl die Software von Microsoft als auch die Kundendaten in der Cloud gespeichert sind, verwundert es nicht, dass Angreifer versuchen, bestehende Schwachstellen auszunutzen.
45 Prozent aller Datenschutzverletzungen sind inzwischen Cloud-basiert, und Microsoft 365 ist (zusammen mit weiteren Cloud-Plattformen) inzwischen zu einem der Hauptziele für solche Angriffe avanciert. 82 Prozent aller Datenschutzverletzungen gehen auf menschliches Versagen, den Diebstahl von Zugangsdaten oder Social Engineering (z. B. Phishing) zurück. Social Engineers kontaktieren ihr Ziel in der Regel per E-Mail und geben sich dabei als vertrauenswürdige Quelle aus.
Als Reaktion auf die sich vergrößernde Angriffsfläche und die Auswirkungen von Datenschutzverletzungen auf seine Kunden, hat Microsoft seine Bemühungen um mehr Sicherheit, einschließlich des Outlook-E-Mail-Client, verstärkt. Produkte wie Defender, Teil von Microsofts E3-Version von M365, bieten Anti-Spam- und Antiviren-Funktionen sowie einen guten Grundschutz.
Das höherpreisige E5-Angebot geht bei der E-Mail-Sicherheit noch einige Schritte weiter und schützt vor Bedrohungen, die beispielsweise von Smartphones und anderen anfälligen Endgeräten ausgehen. Unternehmen, die die integrierten E-Mail-Sicherheitsfunktionen von Microsoft nutzen, verfolgen damit vier grundlegende Ziele:
- Ihr Unternehmen vor externen Bedrohungen wie Malware, Spam, Ransomware oder Spyware-Angriffen zu schützen,
- ein- und ausgehende Daten sichern,
- die Postfächer der Mitarbeiter schützen, ohne die Produktivität zu beeinträchtigen sowie
- Datenschutz- und Sicherheitsvorgaben gewährleisten und den Ruf der Marke schützen.
Es geht besser als das One-Stop-Shop-Prinzip
E-Mail-Sicherheit nach diesem Prinzip ist gut, kommt aber bei fortschrittlichen E-Mail-Sicherheitsbedrohungen an ihre Grenzen. „Gut“ ist hier leider nicht gut genug. Integrierte E-Mail-Sicherheits-Lösungen einzusetzen ist für viele Unternehmen die Norm. Das ist absolut legitim, denn das Blockieren gängiger E-Mail-Bedrohungen ist mit den erwähnten Microsoft-Funktionen problemlos möglich. Allerdings sollte man ein Verständnis dafür entwickeln, dass diese Funktionen nicht ausreichen, wenn es an ausgefeilte Bedrohungen via E-Mail geht. Sonst entstehen gefährliche Lücken.
Selbst wenn bestehende Tools rund 80 Prozent der bis dato bekannten Angriffe und Risiken abwehren, die verbleibenden 20 Prozent unbekannter oder unerkannter Risiken haben ausreichend Potenzial eine Infrastruktur zu zerstören. Dazu zählen gezielte Ransomware- und Spyware-Angriffe, die in der Lage sind, herkömmliche Abwehrmechanismen zu umgehen.
Zu den externen Risiken kommt der menschliche Faktor. Fehler, wie z. B. die fehlerhafte Zustellung von E-Mails oder auch Fehlkonfigurationen, können die integrierte E-Mail-Sicherheitslösung unwirksam machen. Menschliches Versagen ist für 13 Prozent der Datenschutzverletzungen verantwortlich.
Dabei agieren Mitarbeitende weder böswillig noch fahrlässig. Genauso wenig wollen sie bewusst gegen die Informationspolitik des Unternehmens verstoßen und sensible oder geschützte Daten preisgeben. Remote Working und hybride Arbeitsmodelle, bei denen unter Umständen Geräte und private Netzwerke mit anderen geteilt werden, erhöhen den Grad der Komplexität.
Mehrschichtige E-Mail-Sicherheit
Die oben aufgeführten Überlegungen verweisen auf eine Tatsache: Wenn Sie sich ausschließlich auf integrierte E-Mail-Sicherheit verlassen, verbreitern Sie das Risiko-Portfolio und machen Ihr Unternehmen angreifbar.
Ein mehrschichtiger Ansatz verspricht nicht nur ein Plus bei Sicherheit und Compliance, sondern auch produktivere Mitarbeiter, ohne die Benutzerfreundlichkeit zu beeinträchtigen. An dieser Stelle in eine unabhängige E-Mail-Sicherheitslösung zu investieren hat Vorteile.
Wenn sensible Daten unwissentlich versendet werden, birgt das geschäftliche Risiken und gefährdet die Compliance. Diese Risiken lassen sich begrenzen, indem Mitarbeiter explizit aufgefordert werden, die Adresse des Empfängers auf ihre Richtigkeit hin zu überprüfen. Zudem stellen solche Lösungen sicher, dass das richtige Dokument angehängt wird und die darin enthaltenen sensiblen Informationen tatsächlich an den Empfänger gesendet werden dürfen.
Technische Komplexität minimieren
Herkömmliche E-Mail-Sicherheitslösungen blockieren E-Mails, nachdem der Mitarbeiter den Send Button geklickt hat. Die Durchsicht dieser blockierten ausgehenden E-Mails erfordert Zeit und Personal. Beides ist bei unterbesetzten Sicherheitsteams eher Mangelware.
Lösungen wie beispielsweise SafeSend ergänzen die gewohnte Outlook-Anzeige und warnen den Absender, wenn er versucht, etwas extern zu senden. Das produziert in der Folge deutlich weniger Aufwand.
Compliance gewährleisten
GDPR, HIPAA, SOX und unzählige weitere Vorgaben erfordern Maßnahmen, um zu verhindern, dass sensible Daten wie etwa Medizindaten oder Finanzvorgänge, versehentlich gegenüber unbefugten Dritten offengelegt werden. Firmen sollten entsprechende Scan-Funktionen nutzen, damit sensible E-Mails und Informationen nicht beim falschen Adressaten landen.
Dazu werden ausgehende E-Mails und Anhänge gescannt, so dass sensible Daten das Netzwerk nicht verlassen. Mitarbeiter können zudem Domain-Anomalien, falsche Anhänge und private Daten in Echtzeit erkennen.
Personalisierte und kostengünstige E-Mail-Sicherheit
Im besten Falle sind unabhängige E-Mail-Sicherheitslösungen besonders flexibel. Die Einstellungen sollten sich je nach Art des Unternehmens, der Abteilung oder Funktion anpassen und konfigurieren lassen. Maßgeschneiderte Sicherheit gibt es dann für einen Bruchteil der ursprünglich kalkulierten, betrieblichen Kosten.
Auch die Zahl der Fehler lässt sich senken. Letztere müssten sonst von der ohnehin chronisch überlasteten IT-Abteilung behoben werden. Stattdessen werden die Benutzer benachrichtigt, sodass sie ihre Aktionen korrigieren können, bevor sie auf „Senden“ drücken.
Schulung für mehr Sicherheitsbewusstsein
E-Mail-Sicherheitslösungen dieser Art haben noch einen erwünschten Nebeneffekt. Sie stärken nämlich über die Zeit das Sicherheitsbewusstsein. Das Tool stößt ein verändertes Verhalten an, indem es dazu motiviert, interne oder externe E-Mails vor dem Versand einmal mehr zu überdenken. Hier greifen dann E-Mail-Sicherheitslösung und Awareness Trainings ineinander und sorgen insgesamt für eine höheren Sicherheitslevel.
Oliver Paterson ist Produkt Manager bei der VIPRE Security Group.