Warum Ihr Unternehmen eine E-Mail-Sicherheitsrichtlinie haben sollte

Immer mehr Geschäftsleute nutzen Messaging-Plattformen wie Slack, Google Workspace und Microsoft Teams, aber die E-Mail wird nicht verschwinden - bei weitem nicht. Im Jahr 2020 wurden täglich etwa 306,4 Milliarden E-Mails gesendet und empfangen, und diese Zahl wird bis 2025 voraussichtlich auf über 376,4 Milliarden tägliche E-Mails ansteigen. [i]

Alle diese E-Mails zusammen stellen ein sehr großes Ziel für Angreifer dar, weshalb Unternehmen über eine E-Mail-Sicherheitsrichtlinie verfügen müssen. Ein weiterer Grund, warum E-Mails eine so große Bedrohung darstellen: Menschen. Es gibt zwar viele technologische Lösungen zur Bekämpfung von E-Mail-Bedrohungen, aber es genügt ein einziger Mitarbeiter, der auf eine sorgfältig gestaltete Phishing-E-Mail antwortet, um finanziellen, rufschädigenden und regulatorischen Schaden anzurichten.

Im Jahr 2020 war die E-Mail weiterhin der beliebteste Angriffsvektor, der im jährlichen State of Email Security Report von Mimecast identifiziert wurde.[ii] Sie wird verwendet, um Unternehmen in drei kritischen Bereichen zu infizieren: am Rande Ihres Netzwerks (wo Malware, Viren und Impersonation blockiert werden müssen), innerhalb des Randes (wo sich diese verbreiten können, wenn sie nicht blockiert werden) und außerhalb des Randes (wo Ihre Marken und Domänen gefälscht werden können, um Kunden und Partner zu betrügen).

Darüber hinaus "erforschen und testen Cyber-Bedrohungsakteure und -Gruppen ständig neue Taktiken, Techniken und Verfahren", so der Bericht. All dies hat dazu geführt, dass 60 % der für den Bericht befragten IT-Entscheidungsträger glauben, dass es unvermeidlich oder wahrscheinlich ist, dass sie im kommenden Jahr von einem E-Mail-Angriff betroffen sein werden.

Diese Angriffe werden mit hohen Kosten verbunden sein. Das FBI hat die Kompromittierung von Geschäfts-E-Mails zu "einem der finanziell schädlichsten Online-Verbrechen" erklärt. ... Es wird die Tatsache ausgenutzt, dass so viele von uns auf E-Mails angewiesen sind, um Geschäfte zu tätigen - sowohl privat als auch beruflich." [iii]

Gründe, warum Ihr Unternehmen eine E-Mail-Sicherheitsrichtlinie braucht

Eine E-Mail-Sicherheitsrichtlinie ist ein offizielles Dokument, in dem beschrieben wird, wie das E-Mail-System des Unternehmens genutzt werden sollte und wie nicht. E-Mail-Sicherheitsrichtlinien sind wichtig, um eine positive und produktive Kommunikation zu fördern und gleichzeitig das Unternehmen vor Haftungsansprüchen, Datenverlusten, Ausfallzeiten, Ruf- und Markenschäden und vielem mehr zu schützen.

Was ist in einer E-Mail-Sicherheitsrichtlinie enthalten?

Der genaue Wortlaut und Inhalt einer E-Mail-Sicherheitsrichtlinie hängt von einer Vielzahl von Faktoren ab, darunter die Größe des Unternehmens, die Branche und die Art der Daten, die das Unternehmen speichert (z. B. gesundheitsbezogene Daten, personenbezogene Daten und Kreditkarteninformationen). Es gibt jedoch einige allgemeine Richtlinien dafür, was in E-Mail-Sicherheitsrichtlinien enthalten sein sollte.

• Eine Erklärung, dass das Unternehmen Eigentümer aller Kommunikationen innerhalb des E-Mail-Systems des Unternehmens ist
• Erklärung, wofür die Mitarbeiter verantwortlich sind, einschließlich der Lektionen, die sie während der Sicherheitsschulung gelernt haben (z. B. auf E-Mails zu achten, bei denen es sich möglicherweise um Phishing handelt)
• Wie - und an wen - Sie verdächtige und/oder beleidigende E-Mail-Nachrichten melden können
• Wie Mitarbeiter die Firmen-E-Mails nutzen können und wie nicht - zum Beispiel eine E-Mail-Sicherheitsrichtlinie, die es Mitarbeitern verbietet, geschäftliche E-Mails für private Zwecke zu nutzen
• Spezifische Inhalte, die in der geschäftlichen E-Mail-Kommunikation niemals toleriert werden, wie z. B. beleidigende Sprache, rassistische Kommentare, Cybermobbing, Offenlegung vertraulicher Informationen oder Passwörter und andere Anmeldedaten
• Bestimmte Arten/Größen von Inhalten, die zulässig sind und nicht zulässig sind (z. B. ZIP-Dateien oder sehr große Anhänge)
• Informationen darüber, wie und wie oft die E-Mail-Sicherheitsrichtlinien aktualisiert werden
• Informationen darüber, wie und wie lange E-Mails aufbewahrt werden
• Konkrete Konsequenzen für die Nichteinhaltung der in der E-Mail-Sicherheitsrichtlinie festgelegten Richtlinien

Wie man eine wirksame E-Mail-Sicherheitsrichtlinie erstellt

Es gibt zwei verschiedene Denkweisen bei der Erstellung einer E-Mail-Sicherheitsrichtlinie, so Joshua Douglas, Vice President of Threat Intelligence bei Mimecast. Einige Organisationen entwickeln eine Richtlinie auf der Grundlage der Technologie und der Prozesse, die ein Unternehmen hat. Der effektivere Ansatz ist jedoch, eine Richtlinie zu entwickeln, die auf den Schutzbedürfnissen des Unternehmens basiert. "Sie sollten berücksichtigen, wie die Sicherheit des Unternehmens hergestellt werden soll und was dafür erforderlich ist", so Douglas.

Dann müssen die Unternehmen mit der oft entmutigenden Aufgabe beginnen, eine E-Mail-Sicherheitsrichtlinie zu entwickeln. Glücklicherweise müssen sie nicht ganz bei Null anfangen. Die Unternehmen können eine der vielen verfügbaren Vorlagen verwenden.

Das SANS Institute beispielsweise veröffentlicht Vorlagen für E-Mail-Richtlinien und Richtlinien für die E-Mail-Aufbewahrung,[iv] sowie andere.[v] Branchenverbände stellen ebenfalls branchenspezifische Vorlagen bereit. Unternehmen können auf diesen Vorlagen aufbauen, um ihre eigenen Richtlinien auf der Grundlage ihrer eigenen Anforderungen, einschließlich der Einhaltung von Vorschriften, zu erstellen.

Es ist wichtig, sicherzustellen, dass alle Interessengruppen bei der Entwicklung einer E-Mail-Sicherheitsrichtlinie vertreten sind. "Sie brauchen mehrere Personen am Tisch", so Douglas von Mimecast, darunter Geschäftsleiter sowie die Personal- und Rechtsabteilung. "Wenn Ihr Unternehmen reifer ist und einen CIO oder einen CISO hat, werden sie auf jeden Fall diejenigen sein, die bei all dem den Ton angeben."

Douglas merkte an, dass eine Abteilung bei der Entwicklung von E-Mail-Sicherheitsrichtlinien oft vergessen wird: das Marketing. Die Einbeziehung dieser Gruppe ist wichtig, da Marketingexperten die Anforderungen, Probleme und Bedenken im Zusammenhang mit der E-Mail-Kommunikation für die Kundenbindung und Marketingkampagnen, die Newsletter und andere E-Mails nutzen, ansprechen können.

Schließlich sollte eine E-Mail-Sicherheitsrichtlinie in eine ganzheitliche Sicherheitsstrategie einfließen. "Wenn man über E-Mail-Sicherheit nachdenkt, sollte man sie wirklich über die E-Mail hinaus ausdehnen", so Douglas. "E-Mail ist der Angriffsvektor Nr. 1, aber man sollte auch über die wichtigsten Dinge nachdenken, die man von einem allgemeinen Standpunkt der Zusammenarbeit aus schützen möchte", sagte er, was Slack, Microsoft Teams und andere Plattformen wieder ins Spiel bringt. "Unternehmen müssen sich überlegen, wie sie diese Dinge miteinander verknüpfen können.

Die Quintessenz

E-Mail ist die bevorzugte Methode von Cyber-Kriminellen, um in Unternehmensnetzwerke einzudringen und sie zu bestehlen. Gleichzeitig ist E-Mail für die meisten Unternehmen das wichtigste Kommunikationsmittel. Dieses Yin und Yang der E-Mail macht es für Unternehmen zwingend erforderlich, die

[i] "Anzahl der E-Mails pro Tag weltweit 2017-2025," Statista

[ii] "Stand der E-Mail-Sicherheit 2020," Mimecast

[iii] "Business Email Compromise," FBI

[iv] "Vorlagen für Sicherheitsrichtlinien," SANS

[v] "E-Mail-Sicherheitspolitik," Crowley