So sichern Sie Ihre geschäftlichen E-Mails, ohne die Arbeit zu verlangsamen

Eine überzeugend aussehende Rechnung geht von einem bekannten Lieferanten ein. Die Bankverbindung hat sich geändert, der Ton ist dringlich und nur eine Person ist befugt, die Zahlung zu genehmigen. Diese eine Nachricht kann zu einer kostspieligen Überweisung, offengelegten Kundendaten oder einem kompromittierten Konto führen. Zu wissen, wie man geschäftliche E-Mails absichert, ist daher nicht nur eine Aufgabe der IT-Abteilung. Es ist ein praktischer Bestandteil des Schutzes des Cashflows, des Rufs und des täglichen Betriebs.

In kleinen und mittelständischen Unternehmen werden per E-Mail Angebote vereinbart, Gehaltsdaten ausgetauscht, Kundengespräche geführt und Passwörter zurückgesetzt. Die Sicherheitsmaßnahmen müssen streng genug sein, um Angreifer abzuwehren, aber gleichzeitig so sinnvoll gestaltet sein, dass die Mitarbeiter ihre Arbeit weiterhin erledigen können. Der beste Ansatz besteht darin, zuverlässige Technologie mit klaren Prozessen und einem Support zu kombinieren, den die Mitarbeiter auch tatsächlich nutzen können.

So sichern Sie Ihre geschäftlichen E-Mails: Beginnen Sie mit der Identitätsprüfung

Die meisten erfolgreichen E-Mail-Angriffe knacken keine ausgeklügelte Verschlüsselung. Sie nutzen ein wiederverwendetes Passwort, einen unbedachten Klick oder einen Login aus, der nie richtig geschützt war. Beginnen Sie bei den Konten selbst.

Jeder Mitarbeiter sollte über ein eigenes E-Mail-Konto verfügen. Gemeinsame Posteingänge können für Adressen wie „sales@“ oder „accounts@“ nützlich sein, doch der Zugriff sollte bestimmten Benutzern gewährt werden, anstatt über ein gemeinsames Passwort weitergegeben zu werden. Wenn jemand die Position wechselt oder das Unternehmen verlässt, können Sie seinen Zugriff sofort entziehen und gleichzeitig die geschäftliche Korrespondenz erhalten.

Verwenden Sie lange, einzigartige Passwörter, die von einem seriösen Passwort-Manager generiert und gespeichert werden. Eine leicht zu merkende Phrase kann ebenfalls geeignet sein, darf jedoch nicht vorhersehbar sein oder bei anderen Diensten wiederverwendet werden. Sollte es bei einer externen Website zu einem Sicherheitsverstoß kommen, können wiederverwendete Anmeldedaten Kriminellen einen direkten Zugang zu geschäftlichen E-Mail-Konten verschaffen.

Die Multi-Faktor-Authentifizierung sollte für jedes Konto verpflichtend sein, insbesondere für Administratoren, Mitarbeiter der Finanzabteilung und alle Personen, die Zugriff auf Kundendaten haben. Eine Authentifizierungs-App oder ein Hardware-Sicherheitsschlüssel sind in der Regel eine sicherere Wahl als ein per SMS versendeter Code. SMS sind zwar besser als gar kein zweiter Authentifizierungsfaktor, können jedoch durch SIM-Swap-Betrug ausgenutzt werden.

Richten Sie Wiederherstellungsmethoden sorgfältig ein. E-Mail-Adressen, Telefonnummern und Sicherheitscodes für die Wiederherstellung können zu einer Hintertür werden, wenn sie veraltet sind oder von einem ehemaligen Mitarbeiter kontrolliert werden. Bewahren Sie Sicherheitscodes in einem geschützten Passwort-Tresor des Unternehmens auf und überprüfen Sie die Wiederherstellungsdaten bei jeder Änderung der Zuständigkeiten.

Schütze die Domain hinter jeder Nachricht

Ihre Domain ist die Identität Ihres Unternehmens in jeder E-Mail, die Sie versenden. Ist sie nicht geschützt, können Angreifer sich als Ihr Unternehmen ausgeben, betrügerische Anfragen an Kunden senden oder das Vertrauen in Ihren Namen untergraben.

Hier arbeiten drei Domain-Kontrollmechanismen zusammen: SPF, DKIM und DMARC. Das klingt zwar technisch, doch ihr Zweck ist ganz einfach. SPF identifiziert die Server, die zum Versenden von E-Mails für Ihre Domain berechtigt sind. DKIM fügt einen signierten Nachweis hinzu, dass eine Nachricht während der Übertragung nicht verändert wurde. DMARC teilt den empfangenden Systemen mit, wie sie vorgehen sollen, wenn eine Nachricht diese Prüfungen nicht besteht, und liefert gleichzeitig Berichte über versuchte Missbrauchsversuche.

Die Reihenfolge ist entscheidend. Listen Sie zunächst alle legitimen Absenderquellen auf, darunter Ihren E-Mail-Host, Website-Formulare, Ihr Rechnungsstellungssystem, Ihre CRM-Plattform und Ihr Newsletter-Tool. Konfigurieren Sie anschließend SPF und DKIM für jede dieser Quellen korrekt. Führen Sie schließlich DMARC im Überwachungsmodus ein, damit Sie sehen können, was in Ihrem Namen versendet wird, bevor Sie schrittweise zur Quarantäne oder Ablehnung übergehen.

Eine strenge DMARC-Richtlinie bietet zwar einen wirksamen Schutz, doch wenn man sie übereilt einführt, kann dies dazu führen, dass legitime Nachrichten von einem vergessenen System blockiert werden. Dies ist einer jener Fälle, in denen eine sorgfältige Umsetzung besser ist als eine schnelle Abhakübung. Führen Sie ein Verzeichnis aller Dienste, die unter Ihrer Domain E-Mails versenden, und aktualisieren Sie es, sobald eine neue Plattform eingeführt wird.

Die Sicherheit einer Domain hängt auch davon ab, wer die Registrierung und die DNS-Einstellungen verwaltet. Beschränken Sie den Zugriff auf eine kleine Anzahl vertrauenswürdiger Administratoren, setzen Sie auch hier eine Multi-Faktor-Authentifizierung ein und stellen Sie sicher, dass Verlängerungsbenachrichtigungen an eine überwachte Geschäftsadresse und nicht an den Posteingang eines einzelnen Mitarbeiters gesendet werden. Eine abgelaufene oder gekaperte Domain kann den E-Mail-Verkehr vollständig lahmlegen.

Bedrohungen herausfiltern, bevor sie die Mitarbeiter erreichen

Eine gute E-Mail-Filterung reduziert die Anzahl gefährlicher Nachrichten, die Nutzer prüfen müssen. Sie sollte eingehende und ausgehende E-Mails auf Spam, Phishing-Versuche, schädliche Anhänge, verdächtige Links und bekannte Malware überprüfen. Besondere Aufmerksamkeit verdient dabei die Überprüfung von Anhängen: Office-Dokumente mit Makros, passwortgeschützte Archive und unerwartete ausführbare Dateien sind gängige Übertragungswege für Angriffe.

Die Filterung ist nicht unfehlbar. Eine Nachricht kann technische Prüfungen bestehen und dennoch betrügerisch sein, da sie von einem echten, gehackten Konto stammt. Deshalb sollte Ihr System Warnzeichen sichtbar machen, wie beispielsweise Kennzeichnungen für externe Absender und eindeutige Warnmeldungen bei „Lookalike“-Domains.

Bei Dateitypen mit hohem Risiko sollten Sie in Erwägung ziehen, deren Zustellung zu blockieren oder sie einem kontrollierten Prüfungsverfahren zu unterziehen. Die richtige Richtlinie hängt davon ab, wie Ihr Unternehmen funktioniert. Ein Architekturbüro muss möglicherweise große technische Dateien austauschen; eine Lohnbuchhaltung hat hingegen möglicherweise keinen Grund, ausführbare Anhänge zu erhalten. Wenden Sie Einschränkungen entsprechend dem tatsächlichen Bedarf an und prüfen Sie dann Ausnahmen, anstatt die Regel für alle zu lockern.

Auch der Schutz beim Versand ist wichtig. Wenn ein Konto kompromittiert wird, kann die Überwachung ungewöhnlicher Versandmuster den Schaden begrenzen, bevor Tausende von Phishing-Nachrichten Ihre Domain verlassen. Außerdem trägt dies dazu bei, Ihre Reputation als Absender zu schützen, die darüber entscheidet, ob legitime Nachrichten Ihre Kunden erreichen.

Geben Sie den Mitarbeitern eine Vorgehensweise für verdächtige Nachrichten an die Hand

Mitarbeiterschulungen sind am effektivsten, wenn sie zielgerichtet, kurz und wiederholt durchgeführt werden. Den Mitarbeitern einfach nur zu sagen, sie sollen „vorsichtig sein“, ist keine Sicherheitsmaßnahme. Geben Sie ihnen einen einfachen Weg, verdächtige E-Mails zu melden, und machen Sie deutlich, dass es jederzeit in Ordnung ist, wenn versehentlich eine harmlose Nachricht gemeldet wird.

Bringen Sie Ihre Teams bei, vorsichtig zu sein, wenn in einer E-Mail um Geld, Zugangsdaten, vertrauliche Informationen oder eine Änderung der Bankverbindung eines Lieferanten gebeten wird. Der angezeigte Name des Absenders ist kein Identitätsnachweis. Ebenso wenig wie ein Logo, eine vertraute Signatur oder ein Nachrichtenverlauf, der echt wirkt. All dies können Angreifer nachahmen.

Die Überprüfung sollte über einen separaten, vertrauenswürdigen Kanal erfolgen. Rufen Sie beispielsweise einen Lieferanten unter einer Nummer an, die bereits in den Unternehmensunterlagen vermerkt ist, und nicht unter der in der E-Mail angegebenen Nummer. Bei Zahlungsänderungen sollten Sie eine zweite Person hinzuziehen, die sowohl die Anfrage als auch die Angaben überprüft. Das mag zwar langsamer erscheinen als eine sofortige Antwort, ist aber weitaus schneller als die Rückforderung von Geldern nach einer betrügerischen Überweisung.

Phishing-Simulationen können nützlich sein, wenn sie konstruktiv durchgeführt werden. Das Ziel besteht darin, Muster zu erkennen und das Urteilsvermögen zu verbessern – und nicht darin, jemanden in Verlegenheit zu bringen, der auf den Link geklickt hat. Zeigen Sie reale Beispiele, aus denen sensible Informationen entfernt wurden, erklären Sie die Hinweise und passen Sie die Schulung an die Bereiche an, in denen Ihr Team am stärksten gefährdet ist.

Zugriff einschränken und die Wiederherstellbarkeit von geschäftlichen E-Mails gewährleisten

Nicht jeder benötigt Zugriff auf jedes Postfach, jedes Archiv oder jede Verteilerliste. Nutzen Sie rollenbasierte Zugriffsrechte, damit die Mitarbeiter ihre Aufgaben erfüllen können, ohne über unnötige Berechtigungen zu verfügen. Postfächer der Finanzabteilung, der Personalabteilung und der Führungskräfte erfordern oft strengere Kontrollen, da sie Informationen enthalten, die für Betrug oder Identitätsdiebstahl missbraucht werden können.

Überprüfen Sie die Zugriffsrechte regelmäßig, nicht erst nach einem Vorfall. Überprüfen Sie die Berechtigungen für delegierte Postfächer, die Mitglieder von gemeinsamen Posteingängen, Weiterleitungsregeln und Administratorkonten. Angreifer, die sich Zugriff auf ein Postfach verschaffen, richten häufig versteckte Weiterleitungsregeln ein, damit sie die Konversationen auch nach einer Passwortänderung weiterhin lesen können.

Die automatische externe Weiterleitung sollte grundsätzlich deaktiviert sein, sofern kein eindeutiger geschäftlicher Grund dafür vorliegt. Falls sie zugelassen ist, sollte sie für Administratoren sichtbar sein und überwacht werden. Die Weiterleitung vertraulicher Korrespondenz an private E-Mail-Konten birgt ein Risiko für den Datenschutz und die Geschäftskontinuität, selbst wenn die ursprüngliche Absicht lediglich in einer harmlosen Erleichterung bestand.

Aufbewahrung und Datensicherung erfordern einen durchdachten Plan. Aufbewahrungsrichtlinien tragen dazu bei, Daten für rechtliche, vertragliche oder betriebliche Zwecke aufzubewahren, während Datensicherungen im Falle einer versehentlichen Löschung, eines Ransomware-Angriffs oder einer fehlgeschlagenen Migration eine Wiederherstellungsmöglichkeit bieten. Dabei handelt es sich um miteinander verbundene, aber unterschiedliche Schutzmaßnahmen. Vergewissern Sie sich, welche Daten Ihre E-Mail-Plattform aufbewahrt, wie lange diese aufbewahrt werden und ob Administratoren bei Bedarf einzelne Nachrichten und Postfächer wiederherstellen können.

Behalten Sie den Überblick über Geräte und Verbindungen

Ein E-Mail-Konto ist nur so sicher wie die Geräte, mit denen darauf zugegriffen wird. Halten Sie Laptops, Mobiltelefone, Browser und E-Mail-Anwendungen auf dem neuesten Stand. Verwenden Sie Bildschirmsperren, Geräteverschlüsselung und Zugriffskontrollen für firmeneigene Geräte. Wenn die Nutzung privater Geräte erlaubt ist, legen Sie die Mindeststandards klar fest und stellen Sie sicher, dass Geschäftsdaten gelöscht werden können, wenn der Zugriff endet.

Öffentliche WLAN-Netze sind nicht automatisch unsicher, aber hier sollte man keine Abstriche machen. Die Mitarbeiter sollten verschlüsselte Verbindungen nutzen, unbekannte Captive-Portale meiden und Zertifikatswarnungen niemals ignorieren. Für vertrauliche Arbeiten können je nach Ihrem allgemeinen Netzwerkdesign eine verwaltete Verbindung und ein ordnungsgemäß konfiguriertes VPN angebracht sein.

Die Protokollierung ist ebenso wichtig. Bewahren Sie Anmelde-, Weiterleitungs-, Verwaltungs- und Nachrichtenverfolgungsprotokolle lange genug auf, um verdächtige Aktivitäten untersuchen zu können. Warnmeldungen zu unmöglichen Reisen, wiederholten fehlgeschlagenen Anmeldeversuchen, neuen Regeln für den Posteingang und ungewöhnlichen Administratoraktionen können eine versteckte Kompromittierung in einen beherrschbaren Vorfall verwandeln.

Machen Sie sich bereit für die Botschaft, die ankommt

Selbst umsichtige Unternehmen erhalten überzeugende Phishing-Nachrichten. Entscheidend ist, wie schnell und besonnen sie darauf reagieren. Erstellen Sie ein Vorfallprotokoll, bevor es benötigt wird. Darin sollte festgelegt sein, wer ein Konto deaktivieren, Sitzungen zurücksetzen, bösartige Weiterleitungsregeln entfernen, nach ähnlichen Nachrichten suchen und mit betroffenen Kunden oder Partnern kommunizieren darf.

Üben Sie den Ablauf gemeinsam mit den Verantwortlichen aus den Bereichen Finanzen, IT und Management. Eine kurze Übung deckt Lücken auf, wie zum Beispiel Unklarheiten darüber, wem die E-Mail-Domain gehört oder wo die Zugangsdaten für Notfälle aufbewahrt werden. Außerdem gibt sie den Mitarbeitern die Erlaubnis, Probleme schnell weiterzuleiten, anstatt zu versuchen, ein ernstes Problem alleine zu lösen.

Für luxemburgische Unternehmen können lokal verwaltete E-Mail-Systeme und Infrastruktur einen entscheidenden Unterschied machen, wenn ein Vorfall eine direkte Untersuchung erfordert. Visual Online verbindet Fachwissen in den Bereichen Unternehmensvernetzung und Hosting mit hauseigenen, mehrsprachigen Mitarbeitern, die sich so lange um ein Problem kümmern, bis es gelöst ist.

E-Mail-Sicherheit lässt sich nicht dadurch gewährleisten, dass man ein Produkt kauft und es dann vergisst. Überprüfen Sie Ihre Konten, Domain-Einstellungen und Meldeverfahren im Zuge der geschäftlichen Veränderungen. Die nächste verdächtige Nachricht könnte jene sein, die eine Schwachstelle aufdeckt – oder jene, die Ihr Team erkennt, meldet und stoppt, bevor sie zu einem geschäftlichen Problem wird.