E-Mail: bewährte Praktiken
 

Kurz gefasst

E-Mail ist eine der am meisten benutzten Kommunikationsformen im privaten und professionellen Leben. Das Tool ist einfach, schnell und kostengünstig. Trotz der Vorteile, erfordert die Verwendung Vorsichtsmaßnahmen, sowohl in der Expedition als auch beim Empfang einer Nachricht.

Zwar besteht, wenn die Organisation über einen internen Mail-Server verfügt, beim Versenden von E-Mails innerhalb einer Organisation nicht das direkte Risiko des "Mitlesens" von außen, dennoch muss man sich bewusst sein, dass die versendeten Informationen nicht bloß auf dem internen Firmenserver gespeichert werden. Sie befinden sich auch in den Mailboxen der Absender und Empfänger. Meistens werden deren Computer physisch und logistisch weniger geschützt, als die Server. Sie sind also anfälliger für Angriffe, obwohl sie eventuell die gleichen Informationen, der gleichen Klassifizierung enthalten, wie die Server.

Das Versenden von E-Mails innerhalb einer Organisation ist also oft Quelle der Verstreuung oder unsachgemäßen Verbreitung von vertraulichen oder geheimen Informationen. Diese Informationen wären besser geschützt, wenn sie an einem spezifischen und geschützten Ort gespeichert würden, mit Zugang zu Informationen gemäß ihrer Klassifizierung.

Das Problem des Informationsverlusts wird durch die Benutzung von Laptops innerhalb einer Organisation noch verstärkt.

Für die Firmensicherheit wäre es unter anderem auch notwendig, spezifische Verfahren für die  Entsorgung von EDV-Material einzuführen.

Risiken

Risiken beim Versenden von E-Mails

  • Verlust der Vertraulichkeit durch:

    • Versand von vertraulichen Daten per E-Mail (Mitlesen von außen oder Social Engineering);

    • Versand von vertraulichen Daten an den falschen Empfänger;

    • Das Beifügen weiterer Empfänger zu einer ursprünglich vertraulichen Diskussion:

    • die Tatsache, dass der Empfänger sich seine E-Mails auf ein firmen-externes Konto weiterleiten lässt, um von der "Push"-Benachrichtigung auf dem Smartphone profitieren zu können.

    • eine Verbindung zum E-Mail-Konto ohne SSL-Modus;

    • die Kompromittierung des Mail-Servers von außen oder innen (schlechter Schutz, schlechte Konfiguration, schwaches Administrator-Passwort,...)

    • das böswillige Entfernen vertraulicher Daten durch einen Mitarbeiter;

    • die böswillige Entfernung vertraulicher Daten über einen schlecht geschützten EDV-Posten (mangelnde physikalische Sicherheit von EDV-Geräten, mangelnde Zugangskontrolle, schwaches oder leicht einsehbares Passwort);

    • den Diebstahl eines Computers, der über ein E-Mail-Konto verfügt;

    • den Diebstahl eines Mail-Servers;

    • das Nicht-Respektieren der Klassifizierungs-Anweisungen von Daten;

  • Integritätsverlust durch Vervielfältigung der Versionen eines Dokuments,  verstreut über mehrere Postfächer der Firma.

Risiken beim Empfangen von E-Mails

Verhaltensmaßnahmen

  • Achten Sie darauf,  beim Beantworten von E-Mails keine vertraulichen Informationen zu verraten. Überprüfen Sie die Legitimität der Anfrage und achten Sie darauf, nicht zu viele Informationen in Ihren Antworten offen zu legen;

  • meistens werden E-Mails mit angehängten Dateien im Vorfeld angekündigt, beziehungsweise rechtfertigen die angehängten Dateien allein durch ihren Kontext. Ist dies nicht der Fall, sollten Sie äußerst vorsichtig beim Lesen der Mail sein, da Anhänge durchaus Schadprogramme enthalten können;

  • Böswillige Personen versuchen oft, menschliche Schwachstellen wie etwa Neugier, Mitleid, Angst, Geldgier oder die Libido auszunutzen. Wenn die Mail derartige Anspielungen enthält, ist es sehr wahrscheinlich, dass es sich um eine Schad-E-Mail handelt;

    • Bei böswilligen E-Mails unterscheidet man zwischen Hoaxes, Phishing, Spear-Phishing (sehr gezielte Art von Phishing), Nigerianer, Schadcodes, Spam;

  • Vergewissern Sie sich, dass eine Mail, die vorgibt, von einer bestimmten Person zu sein, auch wirklich dem Schreibstil dieser Person entspricht. Die verwendete Sprache, Schreibstil, Rechtschreibung etc. können Indizien sein. Wenn Sie irgendwelche Zweifel haben, ist es wahrscheinlich eine bösartige E-Mail;

  • klicken Sie niemals auf Links in E-Mails, deren Absender Sie nicht kennen, oder die einen schädlichen Eindruck machen. Es könnte sich dabei um Phishing handeln, oder um einen Link auf eine gefälschte Webseite;

  • antworten Sie nicht auf suspekte E-Mails. Eine Antwort Ihrerseits bestätigt nur, dass Ihre Mail-Adresse aktiv ist und steigert ihren Wert für Betrüger.

Organisatorische Maßnahmen

  • Schulung der Mitarbeiter hinsichtlich Klassifizierung der Daten und damit verbundene Regeln;

  • Schulung der Mitarbeiter hinsichtlich der Risiken, die mit Social Engineering einhergehen;

  • versuchen Sie, jedes Verfahren, welches das Anhängen von Dateien erfordert, zu unterbinden;

  • falls Sie verpflichtet sind, die angehängten Dateien zu öffnen:

    • warten Sie 4 Tage, bis zum  Öffnen der angehängten Dateien. Diese Zeitspanne erhöht die Wahrscheinlichkeit, dass das Antivirenprogramm ein Schadprogramm entdeckt. Tatsächlich dauert es mindestens 3 bis 4 Tage bis ein neues Virus aufgespürt und der Signaturen-Datenbank der Antivirenprogramme hinzugefügt werden konnte.

    • Statten Sie die Computer, mit denen angehängte Dateien geöffnet werden, mit weniger verbreiteten (und deshalb weniger gefährdeten) Betriebssystemen aus, wie zum Beispiel "Linux";

    • rufen Sie den Absender einer suspekten E-Mail an und fragen Sie ihn, ob er Ihnen wirklich diese Mail geschickt hat. Setzen Sie ihn über die Gründe in Kenntnis, die Sie dazu veranlasst haben, seine  E-Mail  als  verdächtig einzustufen;

    • vermeiden Sie E-Mails auf kritischen, da unentbehrlichen, Werten (Rechnern) zu öffnen, beziehungsweise auf Rechnern, die Zugang zu vertraulichen Informationen haben.

Anwendbare Sicherheitsleitlinien

Technische Maßnahmen

  • Halten Sie Ihr Antivirenprogramm immer auf dem neusten Stand. Normalerweise lädt er automatisch die Updates herunter;

  • Benutzen Sie auf dem Mail-Server ein anderes Antivirenprogramm als auf den Arbeitsposten. Dies erhöht die Wahrscheinlichkeit, Schadprogramme zu entdecken. Kein Antivirenprogramm entdeckt mehr als 80% der existierenden Schadprogramme;

  • arbeiten Sie nicht auf einer Arbeitsstation, wenn Sie im Administrator-Modus angemeldet sind. Schadprogramme, die auf diesen Posten ausgeführt werden, eignen sich Ihre Administratorenrechte an und erhalten so Zugriff auf  alle Konten des Computers;

  • aktivieren Sie den Spam-Filter in Ihrem E-Mail-Programm;

  • Verschlüsseln Sie den Inhalt Ihrer Laptops;

  • Befolgen Sie die Anweisungen zur  Entsorgung von Material, wie Servern, Computern und Mobiltelefonen;

  • greifen Sie für Ihre Web-Mail-Lösungen auf starke Authentifikationsmittel zurück (OTP, LuxTrust);

  • greifen Sie für Ihre Web-Mail-Lösungen nur auf Verbindungen zurück, die durch SSL gesichert sind.