Durchschnittlich 26 E-Mails landen pro Tag in den E-Mail-Posteingängen von Berufstätigen – die E-Mail-Sicherheit unter KMU-Mitarbeitenden nimmt damit eine zentrale Rolle für die übergreifende IT-Sicherheit eines Unternehmens ein.
Sowohl beruflich als auch privat sind E-Mails ein immer wichtigeres Kommunikationsmittel. Eine Studie des deutschen Digitalverbandes zeigt, dass sich die durchschnittliche Anzahl beruflich empfangener E-Mails in den letzten 10 Jahren von 11 auf 26 pro Tag erhöht hat. Mit dieser steigenden Anzahl E-Mails nehmen auch die Cyberangriffe zu – unter anderem auch in Form von betrügerischen Phishing-Mails. In KMU spielt damit innerhalb der IT-Sicherheit vor allem auch die E-Mail Security von Mitarbeitenden eine immer wichtigere Rolle.
Was sind Phishing-Mails?
Phishing ist eine der häufigsten und erfolgreichsten Angriffsmethoden auf die IT Security von KMU. Übersetzt heisst Phishing «Angeln»: Ein Cyberbetrüger wirft einen Köder aus, um an persönliche Daten von KMU-Mitarbeitenden zu kommen. Es gibt verschiedene Formen von Phishing-Attacken und sie entwickeln sich stetig weiter. Am häufigsten treten sie in Form von Massen-E-Mails auf, welche Mitarbeitende auf eine vermeintlich vertrauenswürdige Internetseite locken – dort fordern Cyberkriminelle die Nutzenden auf, persönliche Zugangsdaten oder Bankdaten preiszugeben. Kommen sie dieser Aufforderung nach, kann der Angreifer die Identität seines Opfers bei den jeweiligen Internet-Diensten übernehmen und bringt damit die Cybersicherheit des gesamten Unternehmens in Gefahr.
Neben dem klassischen Massenversand zielen sogenannte Spear-Phishing-Attacken mit persönlichen E-Mails gezielt auf genau definierte Einzelpersonen oder Kleingruppen ab. Beim Whale-Phishing wiederum stehen Manager und CEOs im Fokus der Betrüger.
13 Tipps, um die E-Mail-Sicherheit zu erhöhen
Sicherheitsverantwortliche von KMU können die IT Security bei E-Mails in ihrem Unternehmen mit ein paar einfachen, aber gezielten Massnahmen deutlich steigern. Folgende 13 Tipps zeigen auf, wie sich Sicherheitslücken durch geregelte Login-Prozesse, durch das Sensibilisieren von Mitarbeitenden sowie mit einer vorausschauenden Vorbereitung reduzieren lassen.
Mit starken Login-Daten und Malware-Blockern Einfallstore schliessen
Viele E-Mail-Betrüger verfolgen in erster Linie das Ziel, die Login-Daten von Mitarbeitenden abzufangen. Vier technische und prozessuale Vorkehrungen können ihnen dieses Unterfangen deutlich erschweren.
1. Implementieren und Durchsetzen von Passwort Richtlinien
Passwörter können Cyberbetrügern Türen öffnen- oder eben auch schliessen. Eine unternehmensweite Passwort-Richtlinie dient dabei als wertvolle Orientierungshilfe: Sie unterstützt die Angestellten bei der Wahl eines sicheren und klug definierten Passworts und fördert damit aktiv die IT-Sicherheit im Unternehmen. Dies gilt nicht nur ausschliesslich für die E-Mail-Sicherheit sondern für die Cybersicherheit von KMU im Allgemeinen
2. Vermeiden von identischen Logins
Neben der Art des Passworts ist auch das Handling des Passworts zentral für die E-Mail Security. Mitarbeitende sollten für die unterschiedlichen Softwareprogramme des Unternehmens jeweils ein eigenes Passwort nutzen. Im Fall eines erfolgreichen Datendiebstahls lässt sich das Ausmass des potenziellen Schadens damit deutlich eingrenzen.
3. Mehrfaktor-Authentisierung ermöglichen
Das Risiko durch eine erfolgreiche Phishing-Attacke Daten zu verlieren oder fremdgesteuert zu werden, nimmt mit einer implementierten Mehrfaktor-Authentisierung (MFA oder auch Zwei-Faktor-Authentisierung 2FA) ab. Zwei voneinander unabhängige Login-Schritte, etwa über einen separaten SMS Code oder eine App auf dem Mobiltelefon, erschweren den Datendiebstahl und die Verwundbarkeit von Unternehmen sinkt.
4. Aktivieren von Malwareschutz und Pop-Up-Blockern
Technisch lässt sich die IT Security in KMU durch einen wirkungsvollen Malwareschutz und das Blockieren von automatischen Downloads steigern. Diese automatisierte Abwehr zieht eine Vielzahl betrügerischer E-Mails aus dem Verkehr, noch bevor diese bei den Zielpersonen ankommen.
Mitarbeitende sensibilisieren – Wachsamkeit fördern
In Bezug auf die IT-Sicherheit in KMU, ist das Personal ein entscheidender Risikofaktor. An regelmässigen Schulungen lernen Mitarbeitende Techniken kennen, wie sie Phishing-E-Mails identifizieren und ihre persönliche E-Mail-Sicherheit erhöhen:
5. Gegenkontrolle des E-Mail-Absenders
Phishing-E-Mails stammen oft von unbekannten oder rätselhaften E-Mail-Absendern. Es lohnt sich also, die Absenderadresse des E-Mails aufmerksam zu prüfen: Endungen wie «.ch.a» oder «.com.kc», eine wahllose Zusammenstellung von Buchstaben oder öffentliche Domainnamen (z. Bsp. gmail / hotmail / live) können auf unseriöse E-Mail-Absender hinweisen.
6. Kritische Analyse der Inhalte
Selbst wenn ein E-Mail optisch einen vertrauten Eindruck macht, ist Vorsicht angebracht. Für Betrüger ist es eine Leichtigkeit, Mails zu fälschen. Oftmals nutzen Phishing-E-Mails den Aspekt der Dringlichkeit, um Mitarbeitende unter Zeitdruck zu stellen und zu einer unüberlegten Handlung zu bewegen. Auch Rechtschreibfehler und Verlinkungen auf eine zweifelhafte Website-URL geben Hinweise auf potenzielle Betrugsmaschen – das Kontrollieren der Internetadresse durch Platzieren des Mauszeigers auf dem verlinkten Wort, ohne dieses anzuklicken, offenbart dem Leser das wahre Ziel der Verlinkung.
7. Anhänge vor dem Öffnen prüfen
In E-Mail-Anhängen platzieren Cyberbetrüger oft versteckte Viren und Programmierungen, die sich nach dem Öffnen autonom installieren und die Systeme beschädigen. Selbst bei bekannten Absendern ist das leichtfertige Öffnen von Anhängen mit unüblichen Endungen (.exe / .msi / .jar) nicht zu empfehlen – ihre Mailadresse könnte bereits gehackt und damit im Besitz eines Cyberkriminellen sein.
8. Seriosität der Webseite sicherstellen
Sichere Webseiten starten in der Regel mit «https» und werden vom Browser mit einem kleinen Vorhangschloss-Symbol neben der Adresszeile als sicher gekennzeichnet. Fehlen diese Merkmale, handelt es sich wahrscheinlich um eine betrügerische Webseite. Bei Unsicherheiten ist es ratsam, vor der Eingabe von Daten einen IT-Experten einzubeziehen.
9. Suchmaschinen nutzen
Zu vielen Betrugsmaschen sind online bereits Informationen und Warnhinweise zu finden. Bei Verdachtsfällen lassen sich die Angaben des fragwürdigen E-Mails rasch über die Suchmaschinen überprüfen. Allerdings ist nicht garantiert, dass es sich um eine sichere E-Mail handelt, wenn keine Angaben dazu im Internet zu finden sind.
Vorbereitung ist der beste Schutz
Cyberangriffe entwickeln sich ständig weiter und selbst mit umfangreichen Vorsichtsmassnahmen ist die E-Mail-Sicherheit stets einem gewissen Restrisiko ausgesetzt. Führungspersonen in KMU sollten dies berücksichtigen und sich frühzeitig auf einen Cyberangriff vorbereiten.
10. Wahl eines sicheren E-Mail-Anbieters
Die Cybersicherheit ist ein wichtiges Thema – die Wahl des richtigen E-Mail-Anbieters ist dabei eine Schlüsselentscheidung. Renommierte E-Mail-Programme verfügen in der Regel sowohl hohe Sicherheitsvorkehrungen als auch gute Verschlüsselungsoptionen und haben damit bedeutende Vorteile gegenüber der günstigeren Freeware.
11. Regelmässiges Aktualisieren von Sicherheitssystemen
Firewalls und Antivirusprogramme erfordern regelmässige Aktualisierungen und die korrekten Einstellungen, damit sie die IT-Sicherheit bestmöglich schützen. Die interne IT-Abteilung oder bei deren Fehlen ein externer IT-Spezialist mit Erfahrung bei der E-Mail Security kann KMU entlasten, indem er die Wartung sämtlicher Sicherheitssysteme gewährleistet.
12. Regelmässige Awareness-Trainings für die Mitarbeitenden
Mit regelmässigen Phishing-Test-E-Mails und Awareness-Trainings für die Mitarbeitenden lassen sich Lücken in der IT Security entdecken und Führungspersonen erhalten einen Einblick in die Gefährdungslage ihres Unternehmens. Für Mitarbeitende sind Test-Mails ein gutes Mittel der Selbstkontrolle.
13. Einen Notfallplan erstellen und einstudieren
Ein erfolgreicher Cyberangriff kann den gesamten Betriebsablauf des Unternehmens für Tage oder Wochen blockieren – eine schnelle Reaktion ist daher notwendig. Sicherheitsverantwortliche und Führungspersonen sollten daher frühzeitig die Grundsätze eines «Disaster Recovery Plans» (DRP) definieren. Der DRP hält Massnahmen, Schritte und Verantwortlichkeiten fest, damit im Falle eines Cyberangriffs keine wertvolle Zeit verloren geht.
Fazit: E-Mail Security benötigt hohe Aufmerksamkeit
E-Mails haben sich zum wichtigsten Kommunikationsmittel im beruflichen Alltag entwickelt. Folglich greifen auch Cyberbetrüger oft und gerne auf E-Mails zurück, um sich Zugang zu Systemen und Daten von KMU zu verschaffen. Eine gute Prävention, ein vertrauensvoller Mail-Anbieter, aktualisierte Sicherheitssysteme und aufmerksame Mitarbeitende gehören zu den wichtigsten Massnahmen, mit welchen sich ein Unternehmen vor E-Mail-Betrügern schützen kann. Ein professioneller IT-Partner mit Erfahrung in E-Mail-Sicherheit und Kompetenzen rund um die sichere E-Mail-Infrastruktur steht einem KMU bei der Umsetzung dieser Tipps unterstützend zur Seite.
Titelbild: Pixabay