Es gehört längst zum Geschäftsalltag, dass sensible Informationen von Unternehmen per E-Mail kommuniziert werden. Als Risikofaktor wird das Medium E-Mail allerdings meist nur betrachtet, wenn es um Bedrohungen von außen geht. Auch auf Anwenderebene hat man sich längst an Spam und per E-Mail versandte Malware gewöhnt.
Nach Angaben des Sicherheitsunternehmens Sophos sind 2010 fast 97 Prozent aller weltweit versandten E-Mails Spam. Dabei verbraucht die unerwünschte Post jährlich etwa 33 Milliarden Kilowattstunden Energie und kostet rund 100 Milliarden Stunden Arbeitszeit für das Sichten und Löschen.
Gegen die bekannten Bedrohungen von außen werden längst im privaten wie im geschäftlichen Umfeld die entsprechenden Gegenmaßnahmen ergriffen. Doch neben der Gefahr von außen existieren im Hinblick auf die Datensicherheit viele Risiken, die mit dem Umgang mit E-Mails in Zusammenhang stehen.
Grundsätzlich müssen Mail-Anwender folgende Punkte beachten:
• Spam, Viren und andere externe Gefahren abwehren;
• Sicherstellen der Integrität (vertraulich, authentisch, eindeutig identifizierte Kommunikationspartner);
• Vermeiden von Datenlecks (DLP);
• Nachvollziehbarkeit schaffen;
• Archivieren.
Typische Probleme im Bereich der digitalen Archivierung und Empfehlungen für die richtige Vorgehensweise bei der Archivierung von E-Mails liefert Ihnen unser Ratgeber E-Mail-Archivierung: Anforderungen und Lösungen. Welche weitreichenden Auswirkungen das Datenleck E-Mail haben kann, sei nachfolgend kurz verdeutlicht.
Informationsleck E-Mail
In letzter Zeit häufen sich die Fälle, in denen E-Mails im ursächlichen Zusammenhang mit der Veruntreuung von brisanten Firmeninformationen stehen - mit teilweise weitreichenden Folgen. So brach etwa im Vorfeld der globalen Finanzkrise bereits 2008 der Aktienkurs von Lehman Brothers ein. In Branchenkreisen heißt es, dass daran eine bekannt gewordene interne E-Mail der Development Bank of Singapore (DBS) schuld sei. Darin hatte die größte Bank Südostasiens ihre Händler angewiesen, mit der US-Investmentbank keine Geschäfte mehr zu tätigen.
Die unautorisierte Veröffentlichung vertraulicher Informationen über ein E-Mail-Leck soll auch für das Scheitern einer großen Unternehmensfusion verantwortlich gewesen sein. Angeblich hatten Käufer und Übernahmekandidat die entsprechenden Verträge schon unterschriftsreif vorgelegen - bis eine elektronische Nachricht mit den nach der Übernahme geplanten Restrukturierungsmaßnahmen in fremde Hände gelangte.
Die Studie "Outbound E-Mail and Data Loss Prevention in Today´s Enterprise 2010" (siehe Video) des amerikanischen Unternehmens Proofpoint zeigt, dass dies keine Einzelfälle sind. Der Anbieter von Security-Lösungen befragte im Sommer 2010 insgesamt 261 Entscheidungsträger in US-Unternehmen mit mehr als 1000 Mitarbeitern. 36 Prozent der Befragten gaben an, dass ihr Unternehmen in den vergangenen zwölf Monaten von der Enthüllung sensibler oder peinlicher Informationen betroffen war.
Sogar 55 Prozent sehen generell große Risiken im derzeitigen elektronischen Geschäftsverkehr, wobei sie glauben, dass eine von fünf gesendeten Mails einen rechtlich, finanziell oder richtlinienmäßig bedenklichen Inhalt enthält.
E-Mail - nur eine moderne Postkarte
"Die in E-Mails enthaltenen Informationen genießen im Normalfall höchstens die Sicherheit einer Postkarte", warnt denn auch Thomas Stürznickel, Leiter des Geschäftsbereichs Business Security bei der Secunet AG. "Dennoch wird in Unternehmen diese Gefahr beim Schutz vertraulicher Informationen häufig unterschätzt." Gegenüber dem klassischen Geschäftsbrief fehlen der E-Mail einige wesentliche Merkmale: etwa der Briefumschlag, der die Vertraulichkeit der Informationen gewährleistet, oder Unterschrift und Stempel für die Originalität sowie die Authentizität des Absenders.
Unter dem Strich ergeben sich für den IT-Verantwortlichen daraus vier Herausforderungen:
• E-Mails und Mail-Systeme müssen vor Bedrohungen von außen geschützt werden;
• die Integrität der per Mail versandten Informationen ist sicherzustellen;
• Datenlecks, die für den ungewollten Abfluss vertraulicher Informationen verantwortlich sind, sollten ausgeschlossen werden können;
• die Kommunikation muss nachvollziehbar sein, damit das Unternehmen den gesetzlichen Vorgaben entspricht.
Authentizität sicherstellen
Schwieriger als der Schutz der Mail-Umgebung vor Bedrohungen von außen (siehe Kasten) ist es, die Integrität der versandten elektronischen Post zu gewährleisten. Um sicherzustellen, dass die E-Mails beim Empfänger ungelesen und unverändert ankommen, existieren mehrere Verfahren.
Sie vereinen zum Teil mit Verschlüsselung und Signatur mehrere Schutzaspekte. Entsprechende Ansätze sind etwa Pretty Good Privacy, GNU Privacy Guard oder S/MIME. Die Identifikation des Absenders (etwa bei der Rechnungsstellung zum Vorsteuerabzug) erfolgt hierzulande durch eine qualifizierte elektronische Signatur nach dem deutschen Signaturgesetz. Zudem ist die elektronische Signatur im Rahmen des Elektronischen Abfallnachweisverfahrens seit 1. April 2010 bei der Entsorgung gefährlicher Abfälle gefordert. Ab 1. Februar 2011 soll die Pflicht auf weitere Bereiche des Entsorgungswesens ausgedehnt werden.
Insgesamt nutzen aber bislang noch wenige Unternehmen Schutzmechanismen wie Verschlüsselung oder Signatur, weshalb andere Stimmen ein radikales Umdenken in Sachen Geschäftskommunikation fordern. Sie regen an, bei der internen Kommunikation auf Wikis oder Social-Media-Enterprise-Plattformen umzusteigen, weil diese mehr Sicherheit böten. Und extern, so ihre Anregung, könnten vertrauliche Dokumente über Hilfsmittel wie Secure-FTP ausgetauscht werden.
Datenlecks verhindern
Genauso wichtig sind mittlerweile klare Regeln, welche Informationen Mitarbeiter per E-Mail kommunizieren dürfen. Bevor hier über technische Lösungen nachgedacht wird, sollte eine E-Mail-Policy erarbeitet werden, die definiert, wer welche Informationen wie per E-Mail versenden darf.
Eine Möglichkeit, technisch zu verhindern, dass vertrauliche Informationen ungewollt oder mit böser Absicht in fremde Hände geraten, sind dann Data-Loss-Prevention-Systeme. Moderne, vernünftig konfigurierte Plattformen werden von den Anwendern weniger als Bevormundung denn als Arbeitserleichterung angenommen. Anhand des Inhalts und des verwendeten Kontexts der Daten können solche Systeme, wie Secunet-Manager Stürznickel erklärt, nicht nur entscheiden, ob ein Mitarbeiter diese Informationen überhaupt versenden darf, sondern bei Bedarf auch gleich Maßnahmen zur Übertragungssicherheit - etwa eine Verschlüsselung der Mail - einleiten.
Im Schadensfall
Ist das Kind dennoch in den Brunnen gefallen - sind also Informationen in die falschen Hände geraten -, dann ist guter Rat im sprichwörtlichen Sinne teuer. Forensiker, die entsprechende Datenlecks aufspüren, berechnen pro Arbeitsplatz-PC überschlagsmäßig zwischen 2500 und 3000 Euro - Ausgaben, die Unternehmen häufig nicht erspart bleiben, wenn sie etwa im Zuge eines Rechtsstreits oder bei Schadensersatzforderungen ein so genannter E-Mail-Discovery-Request erreicht.
War dieses Ansinnen bislang eher im US-amerikanischen Rechtsraum gebräuchlich, so greifen mittlerweile auch die europäischen Kartellbehörden bei ihren Ermittlungen verstärkt auf den E-Mail-Verkehr zurück.
Dass dann in vielen Unternehmen teure Forensikarbeit anfällt, hat für Reinhold Kern, Director Computer Forensics bei Kroll Ontrack, einen einfachen Grund: "In vielen Firmen fehlt noch das Bewusstsein für die Aufbewahrung der elektronischen Kommunikation." Dabei kann ein Administrator laut Kern bereits wertvolle Vorarbeit für den Tag x leisten, indem er eine gute Speicherdisziplin praktiziert und konsequent Backups fährt. Gleichzeitig erleichtert eine solche Vorgehensweise den Nachweis von Manipulationsversuchen, wenn etwa ein Mail-Versender die Systemzeit verstellt hat, um sich ein Alibi zu verschaffen.
E-Mail-Schutz nach außen
Aus heutiger Sicht ist es noch am einfachsten, sich gegen Bedrohungen von außen abzusichern. Die IT-Industrie bietet für diese Probleme mittlerweile viele Lösungen an. Die Palette reicht von Virenscannern am Arbeitsplatz über Server-basierende Scanner, Spam-Filter, E-Mail-Firewalls und dedizierte Mail-Gateways bis hin zu Security Appliances, die den Mail-Schutz mit Intrusion Prevention und Protection verbinden. Mit der Vielfalt der Lösungen steigt aber auch die Schwierigkeit, das passende System zu finden - bei der Entscheidungsfindung ist etwa auf die Skalierbarkeit oder den E-Mail-Durchsatz zu achten.
Augenmerk sollte auch den eingesetzten Schutzmechanismen gelten: Mit welchen Verfahren (Blacklisting, Whitelisting, False-Positive-Rate, Content-basiert, signaturbasiert, codebasiert etc.) arbeiten die Produkte, um Angriffe oder Spam abzuwehren? Und last, but not least stellt sich die Frage, ob unter Management-Aspekten ein Outsourcing oder Teil-Outsourcing (etwa zur Spam-Erkennung) kostengünstiger ist als ein Betrieb inhouse. Unabhängig davon sollte der Entscheider die rechtlichen Aspekte, die sich aus einer automatischen Verarbeitung der Mails (Scannen, Spam-Filter) ergeben, nicht vergessen. Allerdings können Anwender schnell Gefahr laufen, mit dem Fernmeldegeheimnis in Konflikt zu geraten. (mje)
Dieser Artikel basiert auf einem Beitrag unserer Schwesterpublikation Computerwoche .