Emails sichern – Ein kleiner Leitfaden für sichere Email

Die meisten werden nicht überrascht sein, dass E-Mails das Hackerziel Nummer 1 sind, um vertrauliche Unternehmensdaten und Informationen auszuspähen. Noch beunruhigender ist allerdings, dass vor allem kleine und mittelständische Unternehmen ins Visier von Hackern geraten. Allein in den ersten sechs Monaten des vergangenen Jahres verzeichneten Unternehmen mit maximal 250 Mitarbeitern doppelt so viele Cyberangriffe – mit einem durchschnittlichen wirtschaftlichen Schaden von mehr als 188.000 US-Dollars. Laut einer Studie des CSIS (Center for Strategic and International Studies) beläuft sich der Gesamtschaden für die US-Wirtschaft auf 100 Mrd. US-Dollar jährlich.

Das ist auch einer der Gründe, warum der Hackerangriff auf Sony im Jahr 2014 so viel Aufsehen erregte. Viele Unternehmen fragen sich seitdem, wie sie eine solche Gefahr abwenden können. Wenn schon ein so großer Konzern mit einem ausgeklügelten Sicherheitssystem angegriffen wird, was kann dann ein kleines oder mittelständisches Unternehmen mit begrenzten Ressourcen gegen Hacker ausrichten?

Kein Grund zur Panik! Es gibt verschiedene Wege zu sicheren E-Mails und einem sicheren Unternehmen. Da ein Unternehmen nur so sicher ist wie das schwächste Glied in der Sicherheitskette, kommt es darauf an, die Mitarbeiter in die Sicherheitsstrategie einzubeziehen. Hier die sieben Schritte im Überblick:

  1. Cybersicherheit zügig planen und umsetzen. Mit Strategien für sichere Websites, Zahlungsformationen und Daten geht dieser Plan weit über die Standardsicherheit von E-Mails hinaus. Eines der wichtigsten Themen auf der Agenda bleibt aber die E-Mail-Sicherheit. Die US-Behörde FCC (Federal Communications Commission) hat mit Small Biz Cyber Planner 2.0 ein praktisches Werkzeug entwickelt, das Ihnen die Umsetzung eines eigenen Plans erleichtert.
  2. E-Mail-Verschlüsselung integrieren. Die E-Mail-Verschlüsselung hilft, persönliche Informationen vor Hackerangriffen zu schützen. Verschlüsselte E-Mails dürfen nur von befugten Nutzern geöffnet und gelesen werden. Je nach Ihren Anforderungen in puncto Sicherheit und Bedienkomfort kommen verschiedene Verschlüsselungsmethoden in Frage. Beispielsweise können Sie eine Zusatzsoftware herunterladen oder kaufen und diese mit Microsoft Outlook kombinieren. Oder Sie installieren ein E-Mail-Zertifikat wie PGP (Pretty Good Privacy). In diesem Fall teilen Sie einen gemeinsamen Schlüssel mit jeder Person, die Ihnen eine E-Mail schickt, und verwenden einen privaten Schlüssel zur Entschlüsselung empfangener E-Mails. Eine weitere einfache Lösung ist ein verschlüsselter E-Mail-Dienst eines Drittanbieters. Office 365 bietet sofort einsatzbereite Verschlüsselungsoptionen wie S/MIME und die Office 365-Nachrichtenverschlüsselung. Schon in wenigen Schritten sind diese Dienste einsatzbereit.
  1. Sichere Kennwörter festlegen. Der Arbeitscomputer und das E-Mail-Programm jedes Mitarbeiters müssen durch ein Kennwort geschützt sein. Es empfiehlt sich, diese Kennwörter alle drei Monate zu erneuern. Wenn ein Mitarbeiter sein Kennwort ändert, können Sie zudem eine mehrstufige Authentifizierung anfordern. Die sichersten Kennwörter umfassen mindestens 12 Zeichen und eine Kombination aus Ziffern, Sonderzeichen, Klein- und Großbuchstaben. Kennwörter sollten nicht zu nahe liegend (z. B. Geburtstage, Namen der Kinder), aber trotzdem einprägsam sein. Vermeiden Sie beispielsweise die Kennwörter, die 2014 zu den meistverwendeten unsicheren Kennwörtern gekürt wurden: "password" und "123456". Außerdem ist davon abzuraten, dass Mitarbeiter dasselbe Kennwort für mehrere Konten oder Websites nutzen. Eine große Arbeitserleichterung bringen ein Kennwort-Manager oder SSO (Single Sign-On). Um Codes, Bankverbindungen, E-Mail-Kennwörter, PINs und andere Kontoinformationen an einem Ort zu speichern, können kleine Unternehmen nützliche Lösungen wie CommonKey, LastPass und Password Genie verwenden. Woher wissen Sie, ob Ihr Kennwort ausspioniert wurde? Registrieren Sie sich bei Watchdog-Diensten wie PwnedList oder Breach Alarm. Diese Dienste überwachen offengelegte Kennwörter und melden automatisch, wenn eine Ihre E-Mail-Adressen gefährdet ist.
  2. Richtlinie zur Aufbewahrung von E-Mails durchsetzen. Bitten Sie Ihre Mitarbeiter, nicht arbeitsrelevante E-Mails zu löschen, und legen Sie eine Compliance-Richtlinie fest. In vielen Unternehmen gilt eine Aufbewahrungszeit von 60 bis 90 Tagen. Danach werden die E-Mails entweder automatisch archiviert oder nach einer bestimmten Frist dauerhaft gelöscht. Manche Mitarbeiter vergessen einfach, nicht relevante E-Mails zu löschen. Daher ist es sinnvoll, immer wieder auf die Notwendigkeit dieser Maßnahme hinzuweisen.
  3. Sicheren Umgang mit E-Mails schulen. Ihre Mitarbeiter haben einen entscheidenden Anteil an der Sicherheit Ihrer E-Mails. Daher sollten sie wissen, wie sie sich richtig verhalten und vor welchen E-Mails Vorsicht geboten ist. Einer InfoSight-Studie zufolge geben fast die Hälfte aller Unternehmen weniger als 1 Prozent ihres Sicherheitsbudgets für Schulungen zur Sicherheitsprävention aus. Gleichzeitig beklagen 64 Prozent der Unternehmen finanzielle Verluste aufgrund von Sicherheitslecks, und 85 Prozent hatten schon einmal Probleme mit Computerviren. Wäre es da nicht ratsam, eine überschaubare Summe in Schulungen zu investieren, um größere Schäden durch Hackerangriffe abzuwehren?

    Die folgenden Verhaltensmaßregeln könnten bereits hilfreich sein:

    • Öffnen Sie niemals Links oder Anlagen unbekannter Absender.
    • Antworten Sie nicht auf E-Mails, in denen Sie zur Kennwortänderung oder Preisgabe persönlicher Daten aufgefordert werden – so offiziell der Absender auch erscheinen mag.
    • Aktualisieren Sie laufend Antiviren- und Anti-Spy-Software auf Ihrem Computer.
    • Verschlüsseln Sie vertrauliche E-Mails vor dem Senden.
    • Senden und empfangen Sie keine persönlichen E-Mails über Ihre dienstliche E-Mail-Adresse.
    • Leiten Sie E-Mails nicht automatisch an E-Mail-Systeme von Drittanbietern weiter.

    In einigen Unternehmen haben sich simulierte Phishing-Kampagnen, Spear-Phishing-E-Mails und Cyberbedrohungen bewährt. Auf diese Weise wird ein gewünschtes Sicherheitsverhalten eingeübt und belohnt.

    Office 365 bietet kontextgebundene Hilfe, um unbedachtes Handeln zu verhindern, und empfiehlt DLP-Richtlinien (Verhinderung von Datenverlust), um den Benutzer vor unsicheren Freigaben zu warnen und Produktivitätseinbrüche zu vermeiden. Außerdem können sich Unternehmen mit Exchange Online Advanced Threat Protection gegen neue, komplexe Bedrohungen schützen.

  4. Strenge Regeln für die Nutzung firmeneigener Mobilgeräte durchsetzen. Wenn Ihre Mitarbeiter Firmen-E-Mails über ein firmeneigenes oder privates Mobilgerät senden und empfangen, sind folgende Schritte einzuhalten: Daten verschlüsseln, Gerät per Kennwort schützen und genehmigte Sicherheitsanwendungen installieren, damit Hacker nicht über öffentliche WLANs in Geräte eindringen. Office 365 bietet die integrierte Verwaltung mobiler Geräte. Dieser Dienst schützt Ihre Daten durch bedingten Zugriff, Geräteverwaltung und das Remotelöschen von Unternehmensdaten auf Mobilgeräten.
  5. Häufige Fehler bei der E-Mail-Sicherheit vermeiden. Neben den bereits erwähnten Risiken lauern aber auch andere Gefahren in E-Mails. Beachten Sie die folgenden Regeln:
    • Verwenden Sie die E-Mail-Verschlüsselung auf allen Computern. Die Verschlüsselung von E-Mails ist nur sinnvoll, wenn sie konsequent angewendet wird.
    • Lassen Sie Computer, die nicht mit einem Sperrkennwort geschützt sind, niemals unbeaufsichtigt. Verlangen Sie von allen Mitarbeitern, ihren Computer zu sperren, bevor sie den Schreibtisch verlassen (und sich per Kennwort wieder anzumelden). Mithilfe durchdachter E-Mail-Richtlinien können kleine Unternehmen viele Probleme bereits im Vorfeld vermeiden. Beziehen Sie Mitarbeiter in Ihre Sicherheitsüberlegungen ein, und belohnen Sie deren Engagement für eine sichere Informationsumgebung. Wenn alle an einem Strang ziehen, sind Mitarbeiter-, Kunden- und Geschäftsdaten in E-Mails bestmöglich geschützt.

Informationen zum Autor

Das Wachstumscenter-Team unterstützt Sie nach Kräften bei der Gründung und Führung Ihres Unternehmens.

Erste Schritte mit Microsoft 365

Die vertrauten Office-Anwendungen, ergänzt durch Werkzeuge und Dienste für die bessere Zusammenarbeit. Damit Sie praktisch jederzeit und überall produktiver arbeiten.

Jetzt kaufen
Verwandte Inhalte
Business Tech

Geistiges Eigentum in Gefahr – wie Sie Ihr Unternehmen wirksam schützen

Weitere Informationen
Business Tech

Kundendaten – Innovationen und Verletzung der Privatsphäre

Weitere Informationen
Business Tech

Sechs ideale Aufgaben für die Cloud – Cloud-Speicher und mehr

Weitere Informationen
Business Tech

Hackerangriff – Sechs Methoden für mehr Gerätesicherheit

Weitere Informationen

Die Inhalte im Wachstumscenter ersetzen keine steuerliche oder finanzstrategische Beratung. Bitte wenden Sie sich an Ihren Steuer- oder Finanzberater, um Ihre individuelle Situation zu besprechen.