Compliance bei der Geschäfts-E-Mail

E-Mail: Mehr Sicherheit durch klare Regeln und DLP

Der sichere E-Mail-Austausch beginnt bei der Erstellung der Nachrichten. Klare Vorgaben für den Verfasser einer E-Mail erhöhen die Sicherheit und erleichtern die Einhaltung der Compliance. Ein nachgeschaltetes DLP-System spürt Schwachstellen bei den eigenen Mitarbeitern auf.

Die E-Mail ist längst zur tragenden Säule beim IT-Einsatz geworden. Einem Ausfall des E-Mail-Systems wird oftmals ein größerer Einfluss auf die geschäftlichen Tätigkeiten zugeschrieben, als dies für die traditionellen Geschäftsapplikationen und deren dahinterliegende Datenbanken gilt. Allerdings ist die Absicherung des E-Mail-Systems keine einfache Aufgabe. Die Techniken, Vorgaben und Regularien beim Umgang mit E-Mail passen nicht in das gewohnte Schema der programmierten Applikationen und Datenbanken.

Um beispielsweise eine Bestellung mit einer Geschäftsapplikation zu erfassen, existieren klare Vorgaben, Erfassungsmasken, Geschäftsabläufe, Vorschriften und Techniken zur Aufbewahrung und Sicherung der Daten. Die Bearbeitung der Bestelldaten erfolgt ausschließlich durch vorher fest programmierte Bearbeitungsmasken. Was wo zu stehen hat und in welchen Format eine Bestellung gespeichert, gedruckt, weitergeleitet oder gelöscht wird, ist lange vorher durch die Designer und Entwickler der Applikation in Code gegossen. Der Ablauf kann durch den stets authentifizierten Benutzer auch nicht verändert werden.

Die Situation bei der E-Mail-Nutzung könnte gegensätzlicher kaum sein. Eine E-Mail ist meist im Freitextformat formuliert, jeder Nutzer kann sie nach Gutdünken aufbauen. Dies macht eine nachfolgende rechnergestützte Bearbeitung schwierig. Auch die weitere Bearbeitung ist, im Gegensatz zu den Geschäftsapplikationen, oft nicht definiert. Wer darf die E-Mail sehen, weiterleiten oder löschen? Wo und wie lange wird sie gespeichert? Welche Inhalte muss eine E-Mail aufweisen, dass sie für geschäftsrelevante Entscheidung herangezogen werden kann? All diese Fragen sind bei der E-Mail-Nutzung nicht definiert.

Da E-Mails immer mehr zu den Trägern von Geschäftsprozessen werden, treten hier Konflikte auf. In den Bemühungen um Compliance muss man die E-Mail-Nutzung regelkonform (compliant) machen. Dies umfasst den gesamten Prozess, von der Erstellung einer E-Mail über ihren Transport und die Auslieferung beim Empfänger bis zur nachfolgenden Archivierung

Unsere dreiteilige Artikelserie zur E-Mail-Sicherheit richtet sich nach den chronologischen Abläufen. Sie beginnt bei der sicheren E-Mail-Erzeugung und beschäftigt sich im zweiten Teil mit den Sicherungsmaßnahmen auf Empfängerseite. Der dritte Teil widmet sich der Absicherung des E-Mail-Systems selbst.

Artikelserie

Teil 1: Regeln für das sichere Erstellen von E-Mails

Teil 2: Regeln und technische Schutzmaßnahmen beim E-Mail-Empfang

Teil 3: Sichere Infrastruktur für E-Mail-Systeme