Was sind die neuen Herausforderungen an die E-Mail-Sicherheit in Unternehmen?

Beim Begriff E-Mail-Sicherheit denken die meisten Nutzer zuerst an Spam-Abwehr und Firewalls. Doch Tools gegen Hacker oder aufdringliche E-Mail-Absender sind längst nicht mehr das einzige Übel, mit dem sich Anwender herumschlagen müssen. Stattdessen müssen sie beim täglichen Umgang mit E-Mails unbedingt berücksichtigen, dass die Risiken für ihre Daten nicht mehr nur von außen kommen. Genauso wichtig ist der Schutz vor Informationslecks von innen nach außen, denn dieses Risiko ist den meisten Nutzern überhaupt nicht bewusst. Hier besteht vor allem großer Aufklärungsbedarf, um Mitarbeiter für diese Risiken zu sensibilisieren.

Warum sind diese Informationslecks so gefährlich?

Die meisten Anwender wissen überhaupt nicht, dass sie mit ihren E-Mails und den damit übertragenen Anhängen teils hochvertrauliche Inhalte an möglicherweise falsche Empfänger weiterleiten. Wir schätzen, dass diese Fehler täglich hundertfach passieren. Allerdings kommen sie nur selten ans Tageslicht. Ein Beispiel dafür die erst kürzlich publik gewordenen Pannen bei diversen britischen Behörden. Dabei wurden vertrauliche Daten wie die von Kindergeldempfängern unverschlüsselt auf CDs gebrannt und per Post verschickt. Unterwegs gingen mehrere dieser Sendungen verloren und sind in der Zwischenzeit vielleicht in die falschen Hände gelangt. Die Gründe für solche Fehler sind vielfältig. Vor allem sind sie jedoch darauf zurückzuführen, dass Mitarbeiter heute eine ständig wachsende Flut von Informationen bewältigen müssen und zeitlich stark unter Druck stehen. Selbst wenn sie ihre Einschränkungen beim E-Mail-Versand umfassend kennen, können sie kaum jede E-Mail und alle angehängten Dokumente lückenlos auf sensible Inhalte überprüfen.

Gibt es darüber hinaus noch weitere Herausforderungen an die E-Mail-Sicherheit?

 

Zum einen ist dies der Umgang mit einer zunehmenden Flut von Compliance-Vorgaben. Wir erleben vor allem bei unseren Kunden aus dem Finanzsektor, dass sich die zuverlässige Durchsetzung dieser Richtlinien immer mehr in der täglichen E-Mail-Kommunikation widerspiegelt. Mitarbeiter von Banken und Versicherungen müssen beim Versand jeder E-Mail theoretisch hunderte von Richtlinien und Vertraulichkeitsstufen im Hinterkopf haben und diese auf jede Nachricht und jeden zu versendenden Text anwenden. Eine solche Vorgabe kann beispielsweise untersagen, vertrauliche Informationen während der Vorbereitungsphase eines Börsengangs an Analysten oder externe Empfänger weiterzuleiten. Viele Mitarbeiter sind sich dieser Vorgaben zwar bewusst, wenden sie jedoch im stressigen Arbeitsalltag nicht lückenlos an. Hier ist eine Technologie gefragt, die Compliance-Regeln automatisch durchsetzt und Verletzungen sofort aufzeigt. Darüber hinaus muss das Compliancegerechte Vorgehen lückenlos dokumentiert werden, damit Aufsichtsbehörden jederzeit nachvollziehen können, welche E-Mail-Inhalte wann an die entsprechenden Empfänger versendet wurden.

Ist die Verwendung kryptographischer Verfahren die einzige Möglichkeit um Vertraulichkeit, Integrität und Authentizität von elektronischen Dokumenten zu gewährleisten?

Die Verschlüsselung von Informationen ist auf jeden Fall eine wichtige Maßnahme, um sensible elektronische Dokumente zu schützen. Allerdings ist Verschlüsselungstechnologie nicht in allen Fällen die richtige Lösung. Hier müssen Nutzer abwägen, welche Anforderungen sie mit ihren Sicherheitsmaßnahmen erfüllen wollen. Bei manchen Dokumenten und Empfängern genügt es, vertrauliche Inhalte einfach vor dem Versenden anzuzeigen, sodass die Anwender selbst entscheiden können, welchen Nutzern sie bestimmte E-Mails und Anhänge weiterleiten. Manche Richtlinien wie beispielsweise Bankvorschriften können es jedoch notwendig machen, vorher definierte Arten von Inhalten vor dem Versenden zu blockieren, zu löschen oder zu schwärzen. Beispiele dafür sind Kontodaten oder Versicherungsnummern von Angestellten. Diese Informationen dürfen in den meisten Fällen einfach nicht in die Hände externer Empfänger gelangen, sondern nur an die entsprechenden Angestellten selbst geschickt werden.

Was sind die zukünftigen Trends?

Mitarbeiter kommunizieren nicht nur häufiger über E-Mails und versenden damit auch öfter vertrauliche Informationen, die kritisch für das Unternehmen sind. Sie werden darüber hinaus immer mobiler. Kaum ein Mitarbeiter geht heute noch ohne Laptop, Black-Berry oder USB-Stick aus dem Haus, wenn er Kunden oder Partner besucht. Unterwegs zu arbeiten ist zu einem essentiellen Bestandteil der Unternehmenskultur geworden und daran sollte sich auch die Sicherheitsstrategie eines Unternehmens anpassen. Denn es kann unterwegs schnell passieren, dass mobile Geräte in Bahn oder am Flughafen liegen gelassen und vergessen oder sogar gestohlen werden. Sind darauf dann sensible Daten gespeichert, können diese ohne große Hürden in die falschen Hände gelangen. Passwörter helfen hier als Schutz nicht umfassend genug weiter, weil sie mit den richtigen Hacker-Programmen problemlos geknackt werden können. Deshalb geht der Trend hin zu vollständigen und individualisierbaren Sicherheitslösungen. Unternehmen müssen sich damit auseinander setzen ob sie wollen oder nicht.

Umfassende Sicherheit für mobile Kommunikation wird also ein wichtiges Thema. Welche Trends sehen Sie noch?

 

Neben der umfassenden Sicherheit für mobile Geräte wird es zunehmend wichtiger, auch Echtzeit-Kommunikation zu schützen. Voice-over-IP-Überwachung ist hier schon länger im Gespräch. Vergessen wird allerdings häufig Instant Messaging. Viele Mitarbeiter nutzen diese Services laufend neben ihrer Arbeit und können mit MSN, AIM oder Skype problemlos größere Dateien verschicken, ohne dass dies in der Sicherheitsstrategie des Unternehmens berücksichtigt wird. Hier steckt noch großer Nachholbedarf, denn die meisten Security-Technologien haben dieses Problem noch nicht im Blick.

 

Frank Bickerle, Sales Director Central Europe beim Sicherheitsanbieter Workshare
www.workshare.com

 

• Verwandte Themen
• „Z1 Appliance SMA V“: Zertificon virtualisiert E-Mail-Verschlüsselungslösung