Das Bundesamt für Cybersicherheit BACS berichtet wöchentlich über Phishing-Angriffe per E-Mail, Ransomware, die per E-Mail verbreitet wird, oder Spam, der im besten Fall nur E-Mail-Postfächer verstopft. Kleine und mittlere Unternehmen sind beliebte Ziele für Cyberkriminelle. Einerseits, weil sie in der Regel weniger gut geschützt sind als grosse Unternehmen, andererseits, weil ihnen internes Cybersicherheits-Know-how fehlt. Deshalb ist die E-Mail-Sicherheit die Achillesferse im Sicherheitsdispositiv vieler KMU in der Schweiz.
Das muss nicht sein: KMU können ihre geschäftskritische E-Mail-Kommunikation und damit Ihre sensiblen Daten mit wenigen Massnahmen wirksam schützen.
Bedrohung verstehen: So greifen Cyberkriminelle an
Für viele Unternehmen sind E-Mails der wichtigste Kommunikationskanal. Deshalb nutzen Cyberkriminelle am liebsten das E-Mail-Postfach, um in ein IT-System einzudringen und Schaden anzurichten. Die häufigsten Bedrohungsszenarien:
- Phishing: Bei dieser Betrugsmasche verschicken Cyberkriminelle gefälschte E-Mails, um die Empfänger dazu zu verleiten, vertrauliche Informationen wie Passwörter oder Kreditkartendaten preiszugeben. Die E-Mails sehen oft täuschend echt aus und scheinen von einem vertrauenswürdigen Absender zu stammen. Lesen Sie hier, wie Sie sich vor Phishing schützen.
- Malware: Cyberkriminelle verschicken Schadsoftware per E-Mail. Ein Klick auf einen Anhang oder Link genügt, damit sie auf das System zugreifen, es sperren oder Daten löschen, stehlen und verkaufen können. Oft verlangen sie ein Lösegeld, um das System oder die Daten wieder freizugeben.
Lesen Sie hier, wie Sie sich vor Ransomware schützen. - Spam: Mit Junk-Mails überfluten und blockieren Cyberkriminelle E-Mail-Postfächer und beeinträchtigen so die Produktivität der Empfänger. Oft sind die Massen-E-Mails Phishing-Versuche oder sie enthalten Malware. Deshalb ist Spam ein Risiko für die E-Mail-Sicherheit.
- Betrug: Cyberkriminelle verschicken E-Mails mit falschen oder manipulierten Rechnungen. Beim Rechnungsmanipulationsbetrug verschicken sie zum Beispiel eine alte Rechnung mit einer neuen IBAN-Nummer oder bitten, das Geld in Zukunft auf ein anderes Konto zu überweisen. Sie arbeiten mit Social-Engineering-Tricks und beziehen sich beispielsweise auf die bisherige E-Mail-Kommunikation.
Die Konsequenzen – von Datenlecks über finanzielle Verluste und Betriebsausfälle bis hin zu Reputationsschäden – können für Unternehmen existenzbedrohend sein. Unabhängig von ihrer Grösse. Lesen Sie hier, wie Sie sich vor Hackerangriffen schützen.
E-Mail-Sicherheit: technische Schutzmassnahmen
Technische Schutzmassnahmen sind ein wichtiger Bestandteil einer ganzheitlichen Sicherheitsstrategie. Mit diesen Massnahmen schützen KMU ihre E-Mail-Konten und damit ihre Daten wirksam:
- Passwörter: Starke Passwörter sind die erste Verteidigungslinie im Sicherheitsdispositiv und schützen vor unbefugtem Zugriff auf das E-Mail-Konto. Ein sicheres Passwort ist mindestens 12 Zeichen lang, vielfältig (Gross- und Kleinbuchstaben, Zahlen und Sonderzeichen), zufällig, einmalig und individuell. Testen Sie hier, wie sicher Ihr Passwort ist.
- 2FA (oder MFA): Die Zwei-Faktor-Authentifizierung stellt eine zusätzliche Sicherheitsebene dar. Um E-Mails abzurufen, wird neben dem Passwort der zweite Faktor benötigt, zum Beispiel ein Sicherheitscode auf dem Smartphone. Dadurch wird der Zugriff für Cyberkriminelle massiv erschwert. Lesen Sie hier, wie Sie Ihr Netzwerk und Ihre Daten mit 2FA und MFA schützen.
- Verschlüsselung: E-Mails, die beispielsweise mit PGP (Pretty Good Privacy) oder S/MIME verschlüsselt werden, können nur vom richtigen Empfänger geöffnet und gelesen werden. Es gibt auch benutzerfreundliche Dienste wie das in der Schweiz und in Deutschland entwickelte und DSGVO-konforme SEPPmail.
- Sicheres Format: Versenden und empfangen Sie E-Mails ausschliesslich in sicheren Formaten und vermeiden Sie beispielsweise HTML-E-Mails. Denn Cyberkriminelle verstecken im HTML-Code gerne bösartige Links oder ausführbaren Malware-Code.
- Bildanzeige: Externe Inhalte wie Bilder in HTML-E-Mails können bösartigen Code automatisch laden und ausführen. Deaktivieren Sie deshalb die Anzeige externer Inhalte in Ihrem E-Mail-Programm.
E-Mail-Sicherheit: Mitarbeitende sensibilisieren und schulen
Der Mensch ist oft das schwächste Glied im Sicherheitsdispositiv. Deshalb sind Sensibilisierung und Schulung der Mitarbeitenden mindestens ebenso wichtig wie technische Schutzmassnahmen. Gut informierte Mitarbeitende minimieren die Risiken von Cyberangriffen deutlich. Sie müssen deshalb regelmässig darin geschult werden, wie sie betrügerische E-Mails erkennen, verdächtige Nachrichten identifizieren und angemessen reagieren, damit kein Schaden entsteht. Mögliche Schulungsthemen:
- Gefälschte Rechnungen: Die Mitarbeitenden lernen, wie sie gefälschte Rechnungen erkennen und vermeiden, auf betrügerische Zahlungsaufforderungen hereinzufallen.
- CEO Fraud: Die Mitarbeitenden lernen, wie Betrüger vorgehen, die sich beispielsweise als CEO ausgeben, wie sie solche Betrugsversuche erkennen und wie sie diese am besten melden.
- Phishing-E-Mails: Die Mitarbeitenden lernen, wie sie Phishing-E-Mails erkennen, und werden für die besonderen Merkmale dieser Angriffsvariante sensibilisiert.
Anhänge und Links: Die Mitarbeitenden lernen, wie sie Anhänge oder Links in E-Mails in ihrer Arbeit sicher handhaben und so das Risiko einer Malware-Infektion minimieren. - Datenschutz: Die Mitarbeitenden lernen, wie personenbezogene Daten gemäss dem Bundesgesetz über den Datenschutz und der Datenschutz-Grundverordnung der Europäischen Union verarbeitet, gespeichert und geschützt werden müssen, damit sie nicht in die falschen Hände geraten.
Tipp
Zurich bietet Unternehmen Sensibilisierungstrainings an. In fünf E-Learning-Modulen und einer Phishing-Simulation werden die Mitarbeitenden für Cyberrisiken sensibilisiert. Sie lernen unter anderem, wie sie betrügerische E-Mails erkennen und die E-Mail-Sicherheit im Unternehmen steigern können. Der Kurs ist für Unternehmen mit einer Cyberversicherung «Basic», «Optimum» oder «Premium» für bis zu 100 Mitarbeitende kostenlos.
E-Mail-Sicherheit = technische Massnahmen + Sensibilisierung + Schulung
Das Ganze ist mehr als die Summe seiner Teile. Einzelne Massnahmen wirken, entfalten ihre ganze Kraft aber erst im Zusammenspiel. Mit den richtigen Massnahmen können selbst kleine oder mittlere Unternehmen ihre E-Mail-Sicherheit mit relativ geringem Aufwand steigern. Dazu gehören beispielsweise die Verwendung starker Passwörter und die Zwei-Faktor-Authentifizierung für E-Mail-Konten, die Verschlüsselung von E-Mails, die Beschränkung auf sichere Formate sowie die Sensibilisierung und regelmässige Schulung der Mitarbeitenden. Zusätzlich sollten KMU auch Datenschutzrichtlinien einführen und ihre Systeme laufend auf verdächtige Aktivitäten überwachen.
Schätzen Sie jetzt, wie wenig eine Cyberversicherung für Ihr Unternehmen kostet, oder vereinbaren Sie eine Beratung. Unsere Expertinnen und Experten empfehlen Ihnen massgeschneiderte Sicherheitslösungen für Ihr Unternehmen.
FAQ: Technische Fragen zur E-Mail-Sicherheit für KMU
Was ist der Unterschied zwischen Cloud-E-Mail und einem lokalen E-Mail-Server?
Cloud-E-Mail
- Vorteile: Cloud-E-Mail-Dienste sind skalierbar, bieten automatische Updates und regelmässige Sicherheits-Patches. Sie sind oft kosteneffizienter und bieten eine hohe Verfügbarkeit sowie Redundanz. Bei vielen Anbietern muss man sich auch nicht selbst um die E-Mail-Backups oder -Archivierung kümmern.
- Nachteile: Abhängigkeit von Drittanbietern und/oder Internetverbindungen. Es können Datenschutzbedenken bestehen, da Daten ausserhalb der eigenen Kontrolle gespeichert werden.
- Sicherheit: Cloud-Anbieter implementieren oft starke Sicherheitsmassnahmen und E-Mail-Filter, um schädliche E-Mails zu erkennen. Dennoch ist es wichtig, die Datenschutzbestimmungen und Sicherheitspraktiken zu überprüfen.
Lokaler E-Mail-Server
- Vorteile: Vollständige Kontrolle über Daten und Sicherheitsinfrastruktur und bessere Anpassungsmöglichkeiten an spezifische Unternehmensanforderungen.
- Nachteile: Höhere Kosten und höherer Aufwand für die Wartung und den Betrieb. Es werden eigene IT-Ressourcen und Fachkenntnisse benötigt.
- Sicherheit: Regelmässige Wartung, Sicherheitsupdates sowie Backups, um sicherzustellen, dass die Systeme vor Bedrohungen geschützt sind. Zusätzlich sollte eine E-Mail-Sicherheitslösung implementiert werden, die eingehende E-Mails auf Bedrohungen untersucht.
Welche Verschlüsselungsmethoden sind am sichersten?
- PGP (Pretty Good Privacy) bietet eine starke Ende-zu-Ende-Verschlüsselung für E-Mails.
- S/MIME (Secure Multipurpose Internet Mail Extensions) verwendet digitale Zertifikate, um E-Mails zu verschlüsseln und zu signieren.
- SEPPmail ist ein benutzerfreundlicher Verschlüsselungsdienst für sichere E-Mail-Kommunikation.
Wie erkenne ich externe E-Mails?
Externe E-Mails können durch spezifische Hinweise im Betreff wie «Extern» identifiziert werden. Mit Mechanismen wie SPF (Sender Policy Framework) kann die Echtheit des Absenders überprüft und das Risiko von Phishing reduziert werden.
Wie erkenne ich kompromittierte E-Mail-Konten und wie reagiere ich darauf?
Kompromittierte E-Mail-Konten erkennen Sie häufig daran, dass Sie ungewöhnliche oder verdächtige E-Mails von bekannten Absendern erhalten. Achten Sie auf einen ungewohnten Schreibstil, ungewöhnliche Anhänge und Links oder Sendezeiten ausserhalb der üblichen Bürozeiten. Im Zweifelsfall rufen Sie den (vermeintlichen) Absender lieber einmal zu viel als einmal zu wenig an, um die Echtheit der Nachricht zu überprüfen.
Was sind digitale Signaturen und wie helfen sie?
Digitale Signaturen nutzen die Public-Key-Infrastruktur (PKI) und Domain Keys Identified Mail (DKIM), um die Echtheit und Integrität von E-Mails sicherzustellen. Sie garantieren, dass eine E-Mail tatsächlich vom angegebenen Absender stammt und während der Übertragung nicht verändert wurde.
Welche Massnahmen sind für den Zugriff mit privaten Geräten und Smartphones notwendig?
Stellen Sie sicher, dass private Geräte und Smartphones, die auf E-Mail-Konten zugreifen, sicher konfiguriert sind. Dazu gehören regelmässige Updates, starke Passwörter, eine Zwei-Faktor-Authentifizierung sowie die Verwendung von Mobile-Device-Management-Lösungen (MDM).
Wie sichere ich einen lokalen E-Mail-Server?
Wenn Sie einen lokalen E-Mail-Server wie beispielsweise Microsoft Exchange verwenden, stellen Sie sicher, dass regelmässig alle Patches und Updates installiert werden. Nutzen Sie eine demilitarisierte Zone (DMZ) für die sichere Netzwerksegmentierung und beschränken Sie die Administratorrechte. Planen Sie ausserdem regelmässige Backups. Lokale E-Mail-Server verfügen häufig nicht über ausreichend zuverlässige Schutzmechanismen gegen Phishing, Spam oder Schadsoftware. Deshalb ist es sinnvoll, ergänzend eine spezialisierte Sicherheitssoftware zu implementieren, die eingehende E-Mails umfassend prüft und mögliche Bedrohungen frühzeitig erkennt. Fragen Sie Ihren Outsourcing- oder Managed-Service-Provider, welche E-Mail-Lösung er betreibt und hostet und wie er diese wirksam schützt.
Was ist rechtskonforme Archivierung?
Eine rechtskonforme Archivierung erfordert die sichere und nachvollziehbare Speicherung von E-Mails und Daten gemäss den gesetzlichen Vorgaben. Dazu gehört die Einhaltung von Aufbewahrungsfristen und Datenschutzrichtlinien sowie die Sicherstellung, dass die Daten im Bedarfsfall vollständig und unverändert wiederhergestellt werden können. Lesen Sie dazu die Antwort auf die Frage «Gibt es eine sinnvolle Backup-Strategie für E-Mails für KMU?» weiter unten.
Wie versendet ein KMU grosse Datenmengen sicher?
Mit diesen Diensten oder Massnahmen können grosse Datenmengen sicher versendet werden:
- E-Mail-Dienste wie ProtonMail oder SEPPmail ermöglichen das sichere und verschlüsselte Versenden und Empfangen von E-Mails (mit oder ohne Anhang).
- Datenübertragungsdienste wie WeTransfer Ultimate übertragen Dateien verschlüsselt und passwortgeschützt.
- Cloud-Speicherdienste wie Dropbox Business, Google Drive oder Microsoft 365 teilen Dateien verschlüsselt und mit Zwei-Faktor-Authentifizierung.
- Dateiübertragungsprotokolle wie das Secure File Transfer Protocol (SFTP) übertragen Daten verschlüsselt.
Gibt es eine sinnvolle Backup-Strategie für E-Mails für KMU?
Um Datenverlust zu vermeiden und die Geschäftskontinuität sicherzustellen, sind regelmässige Backups entscheidend. Hier sind einige bewährte Strategien:
- Regelmässige Sicherungen: Erstellen Sie tägliche oder wöchentliche Backups aller E-Mails und speichern Sie diese an einem sicheren Ort.
- Redundante Speicherorte: Sichern Sie Backups an mehreren Standorten (physisch oder in der Cloud), um sicherzustellen, dass Daten auch bei einem Standortausfall verfügbar sind.
- Automatisierte Backup-Lösungen: Nutzen Sie Softwarelösungen, die automatische Backups durchführen und die Integrität der Sicherungen überprüfen.
Lesen Sie hier, was Sie über Backup-Konzepte und Datensicherung für Unternehmen wissen müssen.