360° IT-Sicherheit: E-Mail-Sicherheit

In unserer Reihe zur IT-Sicherheit gehen wir in dieser Ausgabe näher auf das Thema E-Mail-Sicherheit ein. Besonders im geschäftlichen Bereich sind E-Mails mit die beliebteste Kommunikationsform. Aber auch bei Angreifern erfreut sich die elektronische Post großer Beliebtheit. Die kürzlich als „Efail“ bekannt gewordene Sicherheitslücke zielt sogar darauf ab, mit PGP und S/MIME verschlüsselte E-Mails mitzulesen.

Bei E-Mail-Sicherheit kommt es auf drei Bereiche an:
  • die Architektur des E-Mail-Clients muss sicher sein
  • die Anbindung an den E-Mail-Server muss geschützt sein
  • der Austausch von Informationen muss sicher sein


Ergänzung des E-Mail-Clients


Damit der E-Mail-Client sicher ist, muss er um folgende Programme ergänzt werden: Virenschutz zur Prüfung auf Schadprogramme, Anti-Spam-Software, die unerwünschte E-Mails erkennt und aussortiert sowie Anti-Phishing-Software, die Angriffe abwehrt, bei denen vertrauliche oder persönliche Daten abgefangen werden. Die Aktualität der Filter muss gewährleistet sein.


Sichere Anbindung des E-Mail-Servers


Für eine sichere Anbindung des E-Mail-Servers sollte auf SSL-verschlüsselte Verbindungen geachtet werden. Das umfasst die Verbindung des Clients mit dem Server via IMAP, POP3, HTTPS oder proprietäre Protokolle (siehe z.B. Outlook). Zusätzlich kann die Sicherheit durch Nutzung eines externen Mailfilters gegen Spam, Viren und Phishing-Mails deutlich erhöht werden.

E-Mail-Verschlüsselung


Um den Austausch von Informationen sicher zu gestalten, sollten die Inhalte verschlüsselt werden. Auch wenn durch „Efail“ Schwachstellen bei der Verschlüsselung offengelegt wurden, ist eine Verschlüsselung zum sicheren Senden/Empfangen und um Manipulation auszuschließen dennoch sinnvoll. E-Mails haben generell nur „Postkarten-Status“ und können grundsätzlich mitgelesen werden. Darüber hinaus kommt es auf die Sicherheit des genutzten E-Mail-Programms an sowie auf die vorgenommenen Einstellungen.

Als sicherster Umgang bei mit PGP und S/MIME verschlüsselten E-Mails gilt derzeit die externe Entschlüsselung sowie die Deaktivierung des Empfangs von HTML-Mails und das Nachladen externer Inhalte. So kann das Ausspähen des Klartextes weitestgehend verhindert werden.

Eine einfachere Möglichkeit der Verschlüsselung ist die Einrichtung von E-Mail-Gateways. Dabei werden standardmäßig alle E-Mails nach fest definierten Richtlinien verschlüsselt, werden aber im Postfach des Mitarbeiters im Klartext gespeichert.

Eine Übersicht inklusive Bewertung der Verschlüsselungsmethoden finden Sie hier.

Auch eine Transportverschlüsselung mittels Transport Layer Security erhöht den Schutz und stellt neben der Ende-zu-Ende-Verschlüsselung eine weitere Hürde für den Angreifer dar. Eine Selbstverständlichkeit ist es, das Postfach mit einem Passwort vor unbefugtem Zugriff zu sichern.

Mitarbeiter sensibilisieren


Unabhängig von den technischen Lösungen sollten Unternehmen eine Richtlinie für die Mitarbeiter zum Umgang mit E-Mails herausgeben. Denn Absender von Spam- und Phishing-Mails profitieren von der Unwissenheit und Neugierde der Menschen und nutzen diese zum Beispiel für einen Identitätsdiebstahl. Die Nachrichten sehen heute hochprofessionell aus und sind nur schwer von anderen offiziellen E-Mails zu unterscheiden.

Einfache Grundregeln wie zum Beispiel keine Mails von unbekannten Absendern öffnen, keine unbekannten Anhänge/Links anklicken und keine vertraulichen Daten eingeben verhindern bereits eine Vielzahl der Angriffe. Verdächtige Mails sollten an die IT-Abteilung weitergegeben werden, damit Inhalt, Anhänge, Bilder und eingebettete URLs genauer untersucht werden können.

InfraNet berät Sie gerne zu allen Fragen der E-Mail-Sicherheit: von Spam- und Virenschutz über Verschlüsselung bis zur Archivierung. Wir setzen für Sie komfortable Lösungen nach Ihren Anforderungen und abgestimmt auf Ihr Unternehmen um.