Die Zahl der im vergangenen Jahr versendeten Spam-Mails schätzt Aberdeen auf 62 Billionen, eine Zahl mit 12 Nullen. Wie hoch der mutmaßliche Schaden durch Spam sowie Malware, Trojaner oder Phishing-Versuche ist, weiß auch Aberdeen nicht. Dunkelziffern und Schamgrenzen, über erfolgreiche Angriffe zu sprechen, sind zu hoch.
Aber je mehr E-Mail zum unverzichtbaren Kommunikationsmittel von Organisationen und Unternehmen wird, desto interessanter wird das Medium auch für Hacker. Wer das nicht beachtet, so Aberdeen im Report Safer Email, riskiert bei Angriffen nichts weniger als Schaden für sein Unternehmen und die Vernichtung des guten Rufs.
Hacker werden schlauer und ihre Angriffe zunehmend resistent gegen Abwehrversuche. Zudem, so Aberdeen übereinstimmend mit anderen Sicherheits-Experten: Die Zahl der Angriffe aus dem Unternehmen nimmt zu, weil ehemalige Mitarbeiter wertvolle Daten stehlen oder Malware bewusst und mit der Absicht zu schaden Tür und Tor öffnen.
In seinem jährlich erscheinenden E-Mail-Report untersucht die Aberdeen Group die Aktivitäten der Klassenbesten. Das sind Unternehmen, die signifikant mehr und besser gegen E-Mail-Missbrauch vorgehen als ihre Mitbewerber. Sie konnten im vergangenen Jahr Produktivitätsverluste minimieren sowie Spam-Aufkommen, die Kosten für Desaster-Recovery und Fälle von Datenverlusten deutlich reduzieren.
Solche Datenverluste durch Phishing und Malware zählen für 43 Prozent der von Aberdeen Befragten immerhin zu den Top-Gründen für Sicherheitsmaßnahmen. 40 Prozent verzeichnen Produktivitätsverluste durch Angriffe, dicht gefolgt von 39 Prozent, die Ausfallzeiten zu beklagen haben.
Die Klassenbesten
Aber was machen die Klassenbesten nun anders als der Durchschnitt und erst Recht im Vergleich mit den Schlafmützen aus der letzten Bank? Sie erhöhen der Umfrage von Aberdeen zufolge über die Jahre den Schutz ihrer Mitarbeiter vor unerwünschten E-Mails (Spam) und vor Angriffen durch den Posteingang.
Zudem verhindern solche Unternehmen die ungewollte Verbreitung von lästigen oder infizierten E-Mails. Erfolg versprechend ist es offenbar auch, Policies im Unternehmen einzuführen, die verbindlich den Umgang mit sicherheitskritischen Mails regeln.
Und wenn das eigene Know-how an Grenzen stößt, ist es offenbar eine gute Idee, diese Aufgabe an externe Sicherheitsunternehmen auszulagern.
Wer demnächst mit der Bemerkung "Eins vor mit Mappe" auch zu den Klassenbesten gehören möchte, sollte den folgenden Ratschlägen von Aberdeen folgen.
Tipps für Hinterbänkler
Führen Sie in Ihrem Unternehmen endlich Antiviren-Programme sowie Anwendungen zum Schutz vor Würmern, Trojanern und Malware ein. Die Klassenbesten haben das zu 100 Prozent getan, bei den Schlafmützen nur zu 75 Prozent. Es gibt keine Ausnahmen für einzelne Rechner.
Schulen Sie Ihre Anwender im Umgang mit E-Mails. Auch wenn Schutz-Software die meisten Angriffe abwehrt: Immer wieder gelangen Schadprogramme und Spams über unerfahrene Mitarbeiter ins Unternehmen.
Implementieren Sie eine Strategie zur Data Loss Prevention. Damit verhindern Sie, dass wertvolle Firmendaten Ihr Unternehmen unautorisiert verlassen oder zerstört werden.
Tipps fürs Mittelfeld
Wer die Basics bereits hinter sich gebracht hat, sollte mit folgenden Schritten weitermachen.
Bauen Sie Filter in Ihre E-Mail-Programme ein, die Anhänge auf Malware untersuchen. Nur 58 Prozent des Durchschnitts machen das, im Gegensatz zu 71 Prozent der Musterschüler.
E-Mail- und Web-Security gehören zusammen. Viele Schad-Mails sind für sich genommen harmlos, verweisen aber auf Internetseiten mit Malware. Daher ist es wichtig, dass Schutzprogramme auch die Links in E-Mails prüfen und unsichere Seiten aussortieren. Idealerweise, so Aberdeen, schafften es solche E-Mails gar nicht erst in den Posteingang.
Implementieren Sie Anti-Phishing, Anti-Spyware sowie Programme, die das Ausspähen von Passwörtern verhindern. Angriffe durch Phishing werden immer ausgefuchster, und der Datenverlust durch solche Attacken nimmt zu. Geeignete Anwendungen können diese Gefahren mindern.
Tipps für die Klassenbesten
Auch die besten können noch was lernen, selbst wenn sie alle Hausaufgaben bereits erledigt haben.
Verhelfen Sie der Cloud zum Durchbruch, rät Aberdeen. Verwenden Sie entweder eine cloud-basierte oder eine Hybrid-Lösung inklusive cloud-basierter E-Mail-Sicherheit. Damit stellen Sie sicher, dass E-Mail-Angriffe und Spam außerhalb Ihres Netzwerks pariert werden. Damit bleibt Malware draußen und Ihre Daten bleiben da.
Scannen Sie ausgehende E-Mails nach sensiblen Daten. Daten in Präsentationen, Word-Dokumenten, Excel-Tabellen oder Patientenakten enthalten solche vertraulichen Daten oder sind sogar durch Verordnungen und Gesetze vor unautorisiertem Mitlesen geschützt. Ohne aktive Bemühungen, den Datenabfluss zu verhindern, wird man solche Versuche nicht unterbinden können.
Daten klassifizieren und Policies einführen
Erstellen Sie Berichte über den Umgang mit Daten in Ihrem Unternehmen. Organisationen müssen ihre Daten klassifizieren und Policies einführen, die den Zugriff auf sensible Daten begrenzen. Die Berichte dienen dazu, das Verständnis für unterschiedliche Klassen von Daten zu erhöhen und flexibel zu regeln, wer auf welche Daten zugreifen darf.
Für den Report hat die Aberdeen Group zwischen April und Mai 2009 den Gebrauch, die Erfahrung und die Absichten von rund 130 Unternehmen untersucht, die sich mit dem Thema E-Mail-Sicherheit beschäftigen. Befragt wurden vor allem IT-Leiter oder -Mitarbeiter sowie leitende Manager. Die meisten Teilnehmer stammen aus den USA (62 Prozent) sowie aus den Regionen Asia-Pacific und EMEA (je 19 Prozent).