[datensicherheit.de, 15.02.2021] Die Radicati Group prognostiziert, dass sich 2021 die Anzahl der täglich versendeten E-Mails weltweit auf 319,6 Milliarden belaufen wird – bis 2024 soll sich diese Zahl voraussichtlich auf 361,6 Milliarden erhöhen. Insbesondere im beruflichen Umfeld zählten E-Mails als favorisierte Kommunikationsmethode. Umso wichtiger sei es, ausreichende Sicherheitslevel zu gewährleisten – was durch E-Mail-Anhänge allerdings nicht gegeben sei, warnt in seiner aktuellen Stellungnahme István Lám, „CEO“ und Mitbegründer von Tresorit, und benennt sieben Gründe, weshalb Unternehmen besser keine E-Mails mit Anhängen versenden sollten, inklusive beigefügter Graphik“

E-Mails im Betriebsalltag als favorisierter Kommunikationskanal

E-Mails seien deshalb so gefragt, „sind sie doch länderübergreifend und ohne Bindung an ein bestimmtes Programm nutzbar“. Daher müssten diese vor Eingriffen von Dritten geschützt werden, betont Lám. Auch sensible oder vertrauliche Daten würden häufig per E-Mail versandt.
Dies berge besondere Risiken, da die Kontrolle über die Anlagen verloren gehe und diese schnell in falsche Hände geraten könnten. Lám führt nachfolgend sieben gute Gründe auf, „warum Unternehmen auf Dauer auf den Versand von Bildern, Verträgen, Präsentationen und anderen Dokumenten per Mail verzichten sollten“.

1. E-Mails sind unwiderruflich – ob richtig oder falsch adressiert
„Stress, Termindruck oder kurz vor dem Feierabend, so gut wie jeder Büromitarbeiter kennt wohl die Situation, noch schnell in Eile eine E-Mail versenden zu müssen.“ Doch dabei sei gerade Vorsicht geboten, denn schnell könnten E-Mails an den falschen Empfänger gehen.
Auch wenn es oftmals mit einer kurzen Richtigstellung getan sein mag, könne dieser Fehler jedoch mit sensiblen Anhängen zu massiven Problemen führen. „Verträge und vertrauliche Unterlagen falsch zu versenden, muss im schlimmsten Falle sogar an den Vorgesetzten und betroffene Geschäftspartner gemeldet werden und kann Geldstrafen nach sich ziehen, gerade in Hinblick auf die Datenschutzgrundverordnung.“
Deshalb sei es wesentlich sicherer, in E-Mails lediglich Links mit Dateien zur Ansicht oder zum Download zu versenden, bei denen die Berechtigungen zum Zugriff jederzeit wieder entzogen werden könnten.

2. Fehlende Kontrolle über die Informationen im Zeitverlauf
„Ist eine per Mail verschickte Datei einmal beim Empfänger angekommen, verfügt dieser über die Kontrolle über die Datei. Nicht nur im Falle des Versands von falschen Dateien, sondern auch im Hinblick auf die Kontrolle der Informationen ist das suboptimal.“
Der Zugriff könne durch den Absender nicht zeitlich eingeschränkt werden. Cloud-Dienste (wie z.B. Tresorit) ließen dagegen den Nutzer ein Ablaufdatum des Links definieren und den Zugriff somit kontrollieren.
„Sind Dokumente nach einer bestimmten Zeit nicht mehr aktuell oder nur zeitweise für den Empfänger bestimmt, beispielsweise während eines Projektes, lässt sich der Zugriff dadurch einfach einschränken.“

3. Sicherheitsrisiken durch fehlenden Kennwortschutz
Eines der größten Probleme, die sich durch die Nutzung von E-Mails zum Versand von Dateien ergebe, sei die fehlende Sicherheit: „E-Mails werden häufig unverschlüsselt versandt und sind dadurch leichte Beute für Hacker-Angriffe.“
Selbst die Europäische Kommission habe in einer Pressemeldung vor Phishing-Mails während der „Corona-Pandemie“ gewarnt. E-Mails seien also besonders seit der Krise und dem zunehmenden Arbeiten aus dem Home-Office ein besonders beliebtes Angriffsziel – so auch Anhänge und sensible Firmendaten, die eine erhebliche Summe an Geld einbringen könnten.
„Unverschlüsselte E-Mails haben in gewisser Weise nicht nur geringe, sondern im Zweifel gar keine Sicherheitsstandards – Links zum Teilen von Dateien bieten hingegen eine weitaus höhere Sicherheit.“ In Kombination mit Ende-zu-Ende-Verschlüsselung seien Daten so gut wie nicht einsehbar und könnten sicher mit externen Parteien geteilt werden, welche über das Kennwort und den entsprechenden Schlüssel verfügten.

4. Zustellungsfehler durch Spamfilter
„Wer kennt es nicht: Eine wichtige E-Mail, zum Beispiel von einem Kunden, wird nicht erhalten und das Fehlen des Mailings fällt erst nach einiger Zeit auf. Der häufigste Grund: Anhänge sind ein Rotes Tuch für Spamfilter.“
In der Folge werde die gesamte E-Mail als Gefahrenquelle markiert und geblockt. Ob ZIP-Files oder PDF-Anhänge – häufig erreichten solche E-Mails den Empfänger gar nicht erst und beide Parteien seien sich bis zur Nachfrage dessen nicht einmal darüber bewusst.
Zusätzlich maximiere ein Anhang die Dateigröße einer E-Mail enorm. Viele Filter blockierten eine E-Mail auch schon alleine aufgrund der Größe und unabhängig von ihrem Inhalt. Ein Link hingegen vergrößere E-Mails nicht und lasse sich einfach in den Text integrieren.

5. Begrenzte Dateigröße
Eine begrenzte Dateigröße stelle nicht nur bei Spamfiltern ein Problem dar, sondern auch ganz generell sei das Teilen von größeren Dateien problematisch.
„Häufig ist die Dateigröße bei E-Mail-Servern auf fünf bis zehn MB begrenzt, teilweise sogar weniger. Besonders bei Video-Material, größeren Präsentationen oder einer größeren Anzahl an Bildern versenden viele Nutzer noch immer mehrere Mails hintereinander, um dem Empfänger alle Dateien zukommen lassen zu können.“ Eine Methode, die schnell unübersichtlich werde und bei allen Parteien zur Verwirrung führe.
Die Nutzung von Cloud-Lösungen zum kollaborativen Arbeiten schränke die Dateigröße nicht ein und erlaube es jegliche Art von Unternehmensdaten umfassend zu teilen.

6. Eingeschränkter lokaler Speicherplatz
E-Mail-Postfächer seien in ihrer Standardversion oft auf ein GB Speicherplatz eingestellt und auf fünf GB erweiterbar – Speicherplatz, welcher durch Anhänge besonders schnell ausgelastet sein könne.
Die E-Mails samt Anhängen stapelten sich im Speicher und beeinflussten gegebenenfalls sogar die Performance des Programms. „Um die Mailings löschen zu können, werden Anhänge also lokal auf dem eigenen PC abgespeichert. Was das Postfach aufräumt, löst allerdings das eigentliche Problem nicht, denn auch der lokale Speicher des Unternehmensrechners ist schnell ausgereizt.“
Für Unternehmen, die ein hohes Dateiaufkommen haben und diese auch mit Geschäftspartnern oder Kunden teilen, sei die Arbeit ohne eine Cloud-Lösung daher praktisch unmöglich.

7. Fehlende Empfangsbestätigungen und Öffnungsverfolgung
„Im Büroalltag ist es ein großer Vorteil, stets zu sehen, ob verschickte Dateien angekommen sind und angesehen wurden. Lesebestätigungen bei E-Mails bieten zwar die Chance zu überprüfen, ob der Kontakt die Nachricht gelesen hat, allerdings nicht, ob die angehängte Datei geöffnet wurde.“
Zudem seien diese relativ unpopulär und kämen relativ selten zum Einsatz. Zudem bleibe bei E-Mail-Anhängen unklar, „wer alles die Datei letztlich zu Gesicht bekommt und ob sie innerhalb des Empfänger-Unternehmens geteilt wurde“. Bei auftretenden Problemen könnte der Absender einer Datei demnach nicht belegen, ob der Empfänger die Datei empfangen und geöffnet hat.
Spezielle Tools für die Zusammenarbeit könnten hingegen z.B. Benachrichtigungen senden, „sobald die über einen Link versandte Datei heruntergeladen wurde und zeigen, wer das Dokument angesehen hat“. Dies sorge bei allen Beteiligten für mehr Sicherheit im Umgang mit Dokumenten und in der Zusammenarbeit.

Ja zur E-Mail-Kommunikation – aber mit Sicherheit!

Schnell, unkompliziert, effizient: „Wegen ihrer großen Vorteile werden E-Mails sicher noch für einige Zeit ein beliebter Kommunikationskanal bleiben.“ Umso wichtiger sei es, die Sicherheit der damit versendeten Dateien zu erhöhen – und jederzeit die Kontrolle über alle Informationen zu behalten, betont Lám in seinem Fazit.
Durch die Arbeit mit Content-Collaboration-Plattformen werde dies gewährleistet. „Gerade in Zeiten, in denen ein beträchtlicher Teil der Büromitarbeiter aus dem Home-Office arbeitet, ist es für Unternehmen zentral, ihren Angestellten solche Tools an die Hand zu geben, um optimale Arbeitsbedingungen zu schaffen und Fehlerquellen oder Sicherheitslücken zu minimieren.“

Weitere Informationen zum Thema:

statista, Quelle: The Radicati Group, März 2020
Prognose zur Anzahl der täglich versendeten und empfangenen E-Mails weltweit von 2020 bis 2024

[datensicherheit.de, 30.03.2016] Verbraucher denken bei „Hacks“ und Datenpannen zuerst oft an Online-Anbieter und IT-Firmen; dabei belegen zahlreiche Beispiele, dass es jedes Unternehmen treffen kann – egal aus welcher Branche. Hacker und Datendiebe haben es nicht immer nur auf Kundendaten abgesehen, sondern oft auch auf Finanzdaten, Strategiepapiere, Patente und Konstruktionspläne, aber auch auf das Preismanagement oder Personaldaten, und manchmal auch einfach nur darauf, möglichst großen Schaden anzurichten. Die Folgen solcher Angriffe reichen von kleineren PR-Krisen über Insolvenz bis hin zu lebensgefährlichen Systemstörungen und können dabei nicht nur das Unternehmen selbst, sondern auch Mitarbeiter, Geschäftspartner oder Kunden treffen. Das Sicherheitsteam von Tresorit gibt in einer aktuellen Aussendung Hinweise zu typischen Schwachstellen in Büroabläufen und zu deren Abhilfe.

Handhabung vertraulicher Daten als E-Mail-Anhang

Es kommt häufig vor, dass im stressigen Büroalltag eine E-Mail den falschen Empfänger erreicht oder vertrauliche Firmendokumente im Posteingang des eigenen Smartphones gelesen werden, zu dem z.B. auch „fragwürdigen Fitness-Apps“ Zugriff auf Daten gewährt wird. Es gebe viele Wege, ein E-Mail-Account zu hacken; die wichtigsten Schutzmaßnahmen seien bekannt – gutes Passwort, Zwei-Stufen-Verifizierung, Vermeidung von Logins auf fremden Geräten. Trotzdem lasse sich mehr tun, betont Tresorit:
Anstelle des Anhangs sollte lediglich ein Link zu einem geschützten Cloud-Server oder ein passwortgeschützer, verschlüsselter Downloadlink versendet werden – so lasse sich sicherstellen, dass Dokumente nur von Personen geöffnet werden können, für die sie bestimmt sind. Wer keinen Zugriff auf den sicheren Server hat, könne auch nichts mit der gehackten oder fehlgeleiteten E-Mail anfangen.

Warnung vor dem Teilen von Accounts

Eine große Sicherheitslücke in Unternehmen sind Passwörter; vor allem dann, wenn sich mehrere Kollegen ein Passwort für einen Zugang teilen. Denn oftmals seien geteilte Passwörter auch simpler als sie sein sollten und würden auch nicht zwangsläufig geändert, wenn z.B. ein Praktikant das Unternehmen verlässt. Sicherheitsforscher haben laut Tresorit herausgefunden, dass bei Millionen von gestohlenen Daten das am häufigsten verwendete Passwort „123456“ sei.
Eine erste Schutzmaßnahme gegen diese Schwachstelle sei natürlich, Passwörter nicht öffentlich zugänglich zu machen und komplexer zu gestalten. Zudem sei es ratsam, den Zugang zu Firmenkonten lediglich auf diejenigen Kollegen zu beschränken, die diesen auch tatsächlich zur täglichen Arbeit benötigen. Unternehmen sollten zudem in eigene Lizenzen für jeden Mitarbeiter investieren, der Zugang zu einem Dienst benötigt, denn Sparen werde sonst schnell zum Sicherheitsrisiko.

Vertraulichkeitsstufen einführen!

Vertrauen in die eigenen Mitarbeiter sei gut und wichtig, und in jeder E-Mail Viren, Trojaner oder Phishing zu vermuten, würde das Tagesgeschäft jedes Unternehmens zum Erliegen bringen. Es könne in vielen Fällen indes helfen, so Tresorit, Vertraulichkeitsstufen für verschiedene Dokumente und Informationen einzuführen. Denn wenn alles „streng vertraulich“ sei, nehme es bald niemand mehr ernst. Wenn jedoch festgelegt sei, dass ab bestimmten größeren Transaktionsvolumen oder für bestimmte Kennzahlen zusätzliche Vorsicht geboten sein müsse, blieben Vorsichtsmaßnahmen praktikabel.
Außerdem sei es notwendig, bei den Mitarbeitern die Sensibilität für bestimmte Sicherheitsrisiken zu schulen. Wenn dem Team gezeigt werde, wie schnell eine E-Mail-Adresse im Namen anderer aufgesetzt werden könne, würden auch weniger arglos wichtige Informationen an scheinbar private E-Mail-Adressen bekannter Klienten gesendet oder Dateianhänge aus diesen E-Mails geöffnet. Der Datenaustausch mit Diensten auf Basis einer zweistufigen Identitätsverifizierung aller Beteiligten schaffe ebenfalls Abhilfe.

Ausscheiden von Mitarbeitern als Risiko für die Datensicherheit

Eine Sicherheitsschwachstelle, die oft nicht ausreichend bedacht wird, ist der Weggang von Mitarbeitern, denn nicht immer trennen sich die Wege von Unternehmen und Arbeitnehmern einvernehmlich. Dies, so warnt Tresorit, bringe Daten, auf welche diese ehemaligen Mitarbeiter Zugriff hatten, in Gefahr. Gehe der Kollege auch noch direkt zur Konkurrenz, könnten sensible Unternehmensinterna wie Produktentwicklungen oder auch Marktstrategien dort sehr interessant werden. Auch hierzu könne es helfen, Datenzugriff für die Mitarbeiter auf das jeweils notwendige Maß zu beschränken. Cloud-Lösungen für die Datenverwaltung, die digitale Rechteverwaltung (DRM) ermöglichen, könnten Unternehmen dabei unterstützen. DRM bedeute zum Beispiel, dass das Speichern von Kopien, Screenshots, Drucken oder das Öffnen von bürofremden Geräten blockiert werden könne. Zugangsrechte könnten dann auch noch nachträglich entzogen werden. Dies sollte fester Teil der Abwicklung eines Arbeitsverhältnisses in jeder Personal- und IT-Abteilung sein.
Unternehmen sollten zudem unbedingt prüfen, wie ihre Dienstleister mit sensiblen Daten umgehen und gegebenenfalls auf die Einführung vergleichbarer Sicherheitsmaßnahmen pochen. Dies gelte übrigens auch bei der Wahl des Cloud-Anbieters. Sichere Dienste verschlüsselten alle Daten mit Ende-zu-Ende-Verschlüsselung so, dass selbst die Administratoren des Drittanbieters keinen Zugriff auf die betreffenden Dateien hätten.