SecureMail: So verbessern KMU ihre E-Mail-Sicherheit

E-Mails bestimmen unseren Alltag. Egal, ob wir den ganzen Tag im Büro sitzen oder von früh bis spät unterwegs sind: E-Mails sind für die meisten KMU der wichtigste Kommunikationskanal. Und gerade deshalb sind sie eine beliebte Angriffsfläche für Cyberangriffe. Wie können sich KMU wirksam schützen?
Eine Frau und ein Mann schauen gemeinsam in ein Laptop

Das Bundesamt für Cybersicherheit BACS berichtet wöchentlich über Phishing-Angriffe per E-Mail, Ransomware, die per E-Mail verbreitet wird, oder Spam, der im besten Fall nur E-Mail-Postfächer verstopft. Kleine und mittlere Unternehmen sind beliebte Ziele für Cyber­kriminelle. Einerseits, weil sie in der Regel weniger gut geschützt sind als grosse Unternehmen, andererseits, weil ihnen internes Cyber­sicherheits-Know-how fehlt. Deshalb ist die E-Mail-Sicherheit die Achillesferse im Sicherheits­dispositiv vieler KMU in der Schweiz.

Das muss nicht sein: KMU können ihre geschäftskritische E-Mail-Kommunikation und damit Ihre sensiblen Daten mit wenigen Massnahmen wirksam schützen.

Bedrohung verstehen: So greifen Cyberkriminelle an

Für viele Unternehmen sind E-Mails der wichtigste Kommunikationskanal. Deshalb nutzen Cyberkriminelle am liebsten das E-Mail-Postfach, um in ein IT-System einzudringen und Schaden anzurichten. Die häufigsten Bedrohungsszenarien:

  • Phishing: Bei dieser Betrugs­masche verschicken Cyber­kriminelle gefälschte E-Mails, um die Empfänger dazu zu verleiten, vertrauliche Informationen wie Passwörter oder Kreditkartendaten preiszugeben. Die E-Mails sehen oft täuschend echt aus und scheinen von einem vertrauens­würdigen Absender zu stammen. Lesen Sie hier, wie Sie sich vor Phishing schützen.
  • Malware: Cyberkriminelle verschicken Schad­software per E-Mail. Ein Klick auf einen Anhang oder Link genügt, damit sie auf das System zugreifen, es sperren oder Daten löschen, stehlen und verkaufen können. Oft verlangen sie ein Lösegeld, um das System oder die Daten wieder freizugeben.
    Lesen Sie hier, wie Sie sich vor Ransomware schützen.
  • Spam: Mit Junk-Mails überfluten und blockieren Cyberkriminelle E-Mail-Postfächer und beeinträchtigen so die Produktivität der Empfänger. Oft sind die Massen-E-Mails Phishing-Versuche oder sie enthalten Malware. Deshalb ist Spam ein Risiko für die E-Mail-Sicherheit.
  • Betrug: Cyber­kriminelle verschicken E-Mails mit falschen oder manipulierten Rechnungen. Beim Rechnungs­manipulations­betrug verschicken sie zum Beispiel eine alte Rechnung mit einer neuen IBAN-Nummer oder bitten, das Geld in Zukunft auf ein anderes Konto zu überweisen. Sie arbeiten mit Social-Engineering-Tricks und beziehen sich beispielsweise auf die bisherige E-Mail-Kommunikation.

Die Konsequenzen – von Datenlecks über finanzielle Verluste und Betriebs­ausfälle bis hin zu Reputations­schäden – können für Unternehmen existenz­bedrohend sein. Unabhängig von ihrer Grösse. Lesen Sie hier, wie Sie sich vor Hackerangriffen schützen.

E-Mail-Sicherheit: technische Schutzmassnahmen

Technische Schutzmassnahmen sind ein wichtiger Bestandteil einer ganzheitlichen Sicherheitsstrategie. Mit diesen Massnahmen schützen KMU ihre E-Mail-Konten und damit ihre Daten wirksam:

  • Passwörter: Starke Passwörter sind die erste Verteidigungs­linie im Sicherheitsdispositiv und schützen vor unbefugtem Zugriff auf das E-Mail-Konto. Ein sicheres Passwort ist mindestens 12 Zeichen lang, vielfältig (Gross- und Kleinbuchstaben, Zahlen und Sonderzeichen), zufällig, einmalig und individuell. Testen Sie hier, wie sicher Ihr Passwort ist.
  • 2FA (oder MFA): Die Zwei-Faktor-Authenti­fizierung stellt eine zusätzliche Sicherheitsebene dar. Um E-Mails abzurufen, wird neben dem Passwort der zweite Faktor benötigt, zum Beispiel ein Sicherheit­scode auf dem Smartphone. Dadurch wird der Zugriff für Cyberkriminelle massiv erschwert. Lesen Sie hier, wie Sie Ihr Netzwerk und Ihre Daten mit 2FA und MFA schützen.
  • Verschlüsselung: E-Mails, die beispiels­weise mit PGP (Pretty Good Privacy) oder S/MIME verschlüsselt werden, können nur vom richtigen Empfänger geöffnet und gelesen werden. Es gibt auch benutzer­freundliche Dienste wie das in der Schweiz und in Deutschland entwickelte und DSGVO-konforme SEPPmail.
  • Sicheres Format: Versenden und empfangen Sie E-Mails aus­schliesslich in sicheren Formaten und vermeiden Sie beispiels­weise HTML-E-Mails. Denn Cyberkriminelle verstecken im HTML-Code gerne bösartige Links oder ausführbaren Malware-Code.
  • Bildanzeige: Externe Inhalte wie Bilder in HTML-E-Mails können bösartigen Code automatisch laden und ausführen. Deaktivieren Sie deshalb die Anzeige externer Inhalte in Ihrem E-Mail-Programm.

E-Mail-Sicherheit: Mitarbeitende sensibilisieren und schulen

Der Mensch ist oft das schwächste Glied im Sicherheitsdispositiv. Deshalb sind Sensibilisierung und Schulung der Mitarbeitenden mindestens ebenso wichtig wie technische Schutzmassnahmen. Gut informierte Mitarbeitende minimieren die Risiken von Cyberangriffen deutlich. Sie müssen deshalb regelmässig darin geschult werden, wie sie betrügerische E-Mails erkennen, verdächtige Nachrichten identifizieren und angemessen reagieren, damit kein Schaden entsteht. Mögliche Schulungsthemen:

  • Gefälschte Rechnungen: Die Mitarbeitenden lernen, wie sie gefälschte Rechnungen erkennen und vermeiden, auf betrügerische Zahlungs­aufforderungen hereinzufallen.
  • CEO Fraud: Die Mitarbeitenden lernen, wie Betrüger vorgehen, die sich beispielsweise als CEO ausgeben, wie sie solche Betrugs­versuche erkennen und wie sie diese am besten melden.
  • Phishing-E-Mails: Die Mitarbeitenden lernen, wie sie Phishing-E-Mails erkennen, und werden für die besonderen Merkmale dieser Angriffs­variante sensibilisiert.
    Anhänge und Links: Die Mitarbeitenden lernen, wie sie Anhänge oder Links in E-Mails in ihrer Arbeit sicher handhaben und so das Risiko einer Malware-Infektion minimieren.
  • Datenschutz: Die Mitarbeitenden lernen, wie personenbezogene Daten gemäss dem Bundesgesetz über den Datenschutz und der Datenschutz-Grundverordnung der Europäischen Union verarbeitet, gespeichert und geschützt werden müssen, damit sie nicht in die falschen Hände geraten.

Tipp

Zurich bietet Unternehmen Sensibilisierungstrainings an. In fünf E-Learning-Modulen und einer Phishing-Simulation werden die Mitarbeitenden für Cyberrisiken sensibilisiert. Sie lernen unter anderem, wie sie betrügerische E-Mails erkennen und die E-Mail-Sicherheit im Unternehmen steigern können. Der Kurs ist für Unternehmen mit einer Cyberversicherung «Basic», «Optimum» oder «Premium» für bis zu 100 Mitarbeitende kostenlos.

E-Mail-Sicherheit = technische Massnahmen + Sensibilisierung + Schulung

Das Ganze ist mehr als die Summe seiner Teile. Einzelne Massnahmen wirken, entfalten ihre ganze Kraft aber erst im Zusammen­spiel. Mit den richtigen Massnahmen können selbst kleine oder mittlere Unter­nehmen ihre E-Mail-Sicherheit mit relativ geringem Aufwand steigern. Dazu gehören beispiels­weise die Verwendung starker Passwörter und die Zwei-Faktor-Authentifizierung für E-Mail-Konten, die Verschlüsselung von E-Mails, die Beschränkung auf sichere Formate sowie die Sensibilisierung und regelmässige Schulung der Mitarbeitenden. Zusätzlich sollten KMU auch Datenschutz­richtlinien einführen und ihre Systeme laufend auf verdächtige Aktivitäten überwachen.

Schätzen Sie jetzt, wie wenig eine Cyberversicherung für Ihr Unternehmen kostet, oder vereinbaren Sie eine Beratung. Unsere Expertinnen und Experten empfehlen Ihnen massgeschneiderte Sicherheitslösungen für Ihr Unternehmen.

Frau mit Laptop

Cyberversicherung für KMU in der Schweiz
Regelmässig berichten die Medien über Cyberangriffe. Was wir lesen oder hören ist nur die Spitze des Eisbergs. Besonders gefährdet sind kleine und mittlere Unternehmen, weil sie als leichte Opfer gelten. Darum sollten sie sich auf Cyberattacken vorbereiten und vor finanziellen Risiken schützen.

FAQ: Technische Fragen zur E-Mail-Sicherheit für KMU

Was ist der Unterschied zwischen Cloud-E-Mail und einem lokalen E-Mail-Server?

Cloud-E-Mail

  • Vorteile: Cloud-E-Mail-Dienste sind skalierbar, bieten automatische Updates und regelmässige Sicherheits-Patches. Sie sind oft kosten­effizienter und bieten eine hohe Verfüg­barkeit sowie Redundanz. Bei vielen Anbietern muss man sich auch nicht selbst um die E-Mail-Backups oder -Archivierung kümmern.
  • Nachteile: Abhängigkeit von Drittanbietern und/oder Internet­verbindungen. Es können Datenschutz­bedenken bestehen, da Daten ausserhalb der eigenen Kontrolle gespeichert werden.
  • Sicherheit: Cloud-Anbieter implementieren oft starke Sicherheits­massnahmen und E-Mail-Filter, um schädliche E-Mails zu erkennen. Dennoch ist es wichtig, die Datenschutz­bestimmungen und Sicherheits­praktiken zu überprüfen.

Lokaler E-Mail-Server

  • Vorteile: Vollständige Kontrolle über Daten und Sicherheits­infrastruktur und bessere Anpassungs­möglichkeiten an spezifische Unternehmens­anforderungen.
  • Nachteile: Höhere Kosten und höherer Aufwand für die Wartung und den Betrieb. Es werden eigene IT-Ressourcen und Fachkenntnisse benötigt.
  • Sicherheit: Regelmässige Wartung, Sicherheits­updates sowie Backups, um sicherzustellen, dass die Systeme vor Bedrohungen geschützt sind. Zusätzlich sollte eine E-Mail-Sicherheits­lösung implementiert werden, die eingehende E-Mails auf Bedrohungen untersucht.

Welche Verschlüsselungsmethoden sind am sichersten?

  • PGP (Pretty Good Privacy) bietet eine starke Ende-zu-Ende-Verschlüsselung für E-Mails.
  • S/MIME (Secure Multipurpose Internet Mail Extensions) verwendet digitale Zertifikate, um E-Mails zu verschlüsseln und zu signieren.
  • SEPPmail ist ein benutzerfreundlicher Verschlüsselungsdienst für sichere E-Mail-Kommunikation.

Wie erkenne ich externe E-Mails?

Externe E-Mails können durch spezifische Hinweise im Betreff wie «Extern» identifiziert werden. Mit Mechanismen wie SPF (Sender Policy Framework) kann die Echtheit des Absenders überprüft und das Risiko von Phishing reduziert werden.

Wie erkenne ich kompromittierte E-Mail-Konten und wie reagiere ich darauf?

Kompromittierte E-Mail-Konten erkennen Sie häufig daran, dass Sie unge­wöhnliche oder verdächtige E-Mails von bekannten Absendern erhalten. Achten Sie auf einen unge­wohnten Schreibstil, unge­wöhnliche Anhänge und Links oder Sende­zeiten ausserhalb der üblichen Bürozeiten. Im Zweifelsfall rufen Sie den (vermeintlichen) Absender lieber einmal zu viel als einmal zu wenig an, um die Echtheit der Nachricht zu überprüfen.

Was sind digitale Signaturen und wie helfen sie?

Digitale Signaturen nutzen die Public-Key-Infrastruktur (PKI) und Domain Keys Identified Mail (DKIM), um die Echtheit und Integrität von E-Mails sicherzustellen. Sie garantieren, dass eine E-Mail tatsächlich vom angegebenen Absender stammt und während der Übertragung nicht verändert wurde.

Wie sichere ich einen lokalen E-Mail-Server?

Wenn Sie einen lokalen E-Mail-Server wie beispiels­weise Microsoft Exchange verwenden, stellen Sie sicher, dass regelmässig alle Patches und Updates installiert werden. Nutzen Sie eine demilitarisierte Zone (DMZ) für die sichere Netzwerk­segmentierung und beschränken Sie die Administrator­rechte. Planen Sie ausserdem regelmässige Backups. Lokale E-Mail-Server verfügen häufig nicht über ausreichend zuverlässige Schutz­mechanismen gegen Phishing, Spam oder Schadsoftware. Deshalb ist es sinnvoll, ergänzend eine spezialisierte Sicherheits­software zu implementieren, die eingehende E-Mails umfassend prüft und mögliche Bedrohungen frühzeitig erkennt. Fragen Sie Ihren Outsourcing- oder Managed-Service-Provider, welche E-Mail-Lösung er betreibt und hostet und wie er diese wirksam schützt.

Was ist rechtskonforme Archivierung?

Eine rechtskonforme Archivierung erfordert die sichere und nachvoll­ziehbare Speicherung von E-Mails und Daten gemäss den gesetzlichen Vorgaben. Dazu gehört die Einhaltung von Aufbewahrungs­fristen und Datenschutz­richtlinien sowie die Sicherstellung, dass die Daten im Bedarfsfall vollständig und unverändert wiederhergestellt werden können. Lesen Sie dazu die Antwort auf die Frage «Gibt es eine sinnvolle Backup-Strategie für E-Mails für KMU?» weiter unten.

Wie versendet ein KMU grosse Datenmengen sicher?

Mit diesen Diensten oder Massnahmen können grosse Datenmengen sicher versendet werden:

  • E-Mail-Dienste wie ProtonMail oder SEPPmail ermöglichen das sichere und verschlüsselte Versenden und Empfangen von E-Mails (mit oder ohne Anhang).
  • Datenübertragungsdienste wie WeTransfer Ultimate übertragen Dateien verschlüsselt und passwortgeschützt.
  • Cloud-Speicherdienste wie Dropbox Business, Google Drive oder Microsoft 365 teilen Dateien verschlüsselt und mit Zwei-Faktor-Authentifizierung.
  • Dateiübertragungsprotokolle wie das Secure File Transfer Protocol (SFTP) übertragen Daten verschlüsselt.

Gibt es eine sinnvolle Backup-Strategie für E-Mails für KMU?

Um Datenverlust zu vermeiden und die Geschäftskontinuität sicherzustellen, sind regelmässige Backups entscheidend. Hier sind einige bewährte Strategien:

  • Regelmässige Sicherungen: Erstellen Sie tägliche oder wöchentliche Backups aller E-Mails und speichern Sie diese an einem sicheren Ort.
  • Redundante Speicherorte: Sichern Sie Backups an mehreren Standorten (physisch oder in der Cloud), um sicherzustellen, dass Daten auch bei einem Standortausfall verfügbar sind.
  • Automatisierte Backup-Lösungen: Nutzen Sie Softwarelösungen, die automatische Backups durchführen und die Integrität der Sicherungen überprüfen.

Lesen Sie hier, was Sie über Backup-Konzepte und Datensicherung für Unternehmen wissen müssen.