E-Mail-Sicherheit im Zeichen der Compliance
Das Kommunikationsmedium E-Mail ist in vielerlei Hinsicht zu einer unternehmenskritischen Anwendung geworden. Vom ersten Kundenkontakt über die Vertragsanbahnung sowie Auftragsannahme bis hin zur ständigen Erreichbarkeit für Geschäftspartner – die Bedeutung der E-Mail als geschäftliches Kommunikationsmittel steigt unaufhörlich. Spam, Phishing, Viren und Wirtschaftsspionage gingen mit dieser Entwicklung einher. Sie bestimmen heute das Bild des Internets und stellen Unternehmen vor ungeahnte Herausforderungen in den Bereichen Datenschutz, Informations- und Netzwerksicherheit.
Im vergangenen Jahr hat auch der deutsche Gesetzgeber auf die aktuellen Gegebenheiten reagiert und zahlreiche Vorschriften für den virtuellen „Briefwechsel“ erlassen: Firmen, die die Sicherheit in der E-Mail-Kommunikation vernachlässigen, drohen nicht nur der Verlust geschäftskritischer Daten und damit verbundene Image-Schäden, sondern auch empfindliche Straf- und Bußgelder in Millionenhöhe. Hinzu kommen Schadensersatzansprüche Dritter. Hintergrund: Unternehmen haften auch in punkto Datensicherheit und –schutz vollumfänglich für die Handlungen ihrer Mitarbeiter.
Die Ausrichtung von Geschäftsprozessen im Zusammenhang mit E-Mails ist damit immer häufiger an die Einhaltung von Gesetzen und Verordnungen sowie Unternehmensrichtlinien gebunden. So müssen Unternehmen beispielsweise geschäftsrelevante E-Mails je nach Inhalt über bestimmte Zeiträume manipulationssicher aufbewahren. Auch das Wiederherstellen aus dem Archiv und Löschen von E-Mails muss gesetzlichen Vorschriften entsprechen und wird immer mehr zu einem unternehmenskritischen aber auch sicherheitsproblematischen Prozess.
So sieht das Bundesdatenschutzgesetz (BDSG) nach seinen jüngsten Änderungen beispielsweise wesentlich mehr Anspruchsgrundlagen vor, wenn jemandem durch fehlerhafte oder fahrlässige Nutzung und Aufbewahrung personenbezogener Daten Schaden entstanden ist. Besonders prekär: Die Beweislast liegt nicht beim Geschädigten, sondern beim Verursacher, der die ordnungsgemäße und sichere Handhabe der Informationen belegen muss.
Es ist somit wenig verwunderlich, dass die Einhaltung rechtlicher Vorgaben im Rahmen des E-Mail-Managements – in der Fachsprache „Compliance“ genannt – zunehmend an Bedeutung gewinnt. Die Anforderungen an entsprechende Sicherheitslösungen werden dabei immer umfassender. In der Konsequenz stieg die Nachfrage nach Software-Produkten, die Rechtssicherheit und IT-Sicherheit bei der E-Mail-Kommunikation miteinander verbinden, in den vergangenen Jahren rapide an.
Derartige Sicherheitslösungen sollten allerdings intelligent und anpassungsfähig sein. Immerhin gilt es unter¬nehmens¬spezifische E-Mail-Geschäftsprozesse zu berücksichtigen. Um dies zu realisieren, muss die E-Mail-Kommunikation eng an die Geschäftsprozesse gekoppelt und so organisiert werden, dass ein- und ausgehende E-Mails samt ihrer Anhänge auf das Einhalten von Sicherheitsvorgaben geprüft werden. Geprüfte Nachrichten lassen sich im Idealfall unterschiedlich weiterverarbeiten, zum Beispiel, automatisiert zustellen, archivieren oder aber - im Fall des Virenbefalls - in Quarantäne stellen.
Bei der Realisierung von Sicherheit in der E-Mail-Kommunikation geht es allerdings nicht nur um die Viren-, Phishing- und Spam-Bekämpfung, sondern auch um die Verschlüsselung von Informationen und darum die gesamte Verwaltung von elektronischer Post im Unternehmen (E-Mail-Management) sicher zu gestalten. Eine Sicherheitslösung muss demnach den gesamten Lebenszyklus einer E-Mail – von der Verarbeitung einer E-Mail, über die Verwaltung, bis hin zur Archivierung – abdecken und schützen. Entscheidend ist dabei die durchgängige Kopplung aller Prozess-Schritte für die ein- und ausgehende Kommunikation bis hin zur zentral gesteuerten Archivierung.
Immerhin gilt es nur relevante Nachrichten und keine Spam-Mails oder mit Viren infizierte E-Mails der Archivierung zuzuführen. Dementsprechend sollte auch die Archivierungslösung in der Lage sein, entsprechende Schädlinge oder unerwünschten Content zu identifizieren. “Unternehmen sollten beim E-Mail-Management daher von vornherein auf Gesamtlösungen setzen. Anders als Insellösungen verbinden sie die einzelnen Komponenten eines effizienten E-Mail-Managements nahtlos miteinander und schaffen so den Brückenschlag zwischen E-Mail-Sicherheit und E-Mail-Archivierung“, empfiehlt Herbert Reder, Mitglied der Geschäftsleitung beim E-Mail-Management und Compliance-Spezialisten GROUP Technologies.
Sein Unternehmen verfolgt mit der iQ.Suite einen solchen Ansatz. Die GROUP-Lösung beinhaltet zahlreiche integrierte Module, die unter anderem für die E-Mail-Sicherheit und einen gesetzeskonformen Umgang mit dem Kommunikationsmittel Sorge tragen. So ist beispielsweise das Modul „Wall“ in der Lage, Spam- und Phishing-Mails zu blockieren, noch bevor sie den Anwender erreichen. Dank einer ausgefeilten Textanalyse- und klassifizierungstechnologie werden vorab auch E-Mails sortiert und je nach Inhalt an die jeweils verantwortlichen Mitarbeiter im Unternehmen delegiert. „Wall“ unterbindet außerdem den unautorisierten Versand von Unternehmensinformationen.
Zugleich werden dank des Moduls „Watchdog“ digitale Schädlinge – darunter Viren, Trojaner und anderer Schad-Code – bereits am Posteingangsserver zuverlässig abgewehrt. Hierzu greift der „Wachhund der E-Mail-Kommunikation“ auf einen mehrstufigen Virenschutz zurück, der durch parallelen Einsatz verschiedener, leistungsfähiger Antiviren-Technologien realisiert wird.
Da im Unternehmensalltag auch der Schutz sensibler Daten eine große Rolle spielt, ist die iQ.Suite darüber hinaus mit ausgefeilten Verschlüsselungstechnologien ausgestattet.Während das Modul „Crypt“ bereits seit Jahren den Austausch verschlüsselter E-Mails zwischen Kommunikationspartnern mit identischen Verschlüsselungsmechanismen (PGP, S/MIME) ermöglicht, beschreitet nun die brandneue und erst seit Anfang 2008 auf dem Markt befindliche „WebCrypt“-Verschlüsselungslösung vollkommen neue Pfade. Bei ihr handelt es sich um eine rein webbasierte Lösung, die den Austausch verschlüsselter E-Mails von Unternehmen mit Geschäftspartnern und Kunden, die eben über keine eigene Verschlüsselungslösung verfügen, realisiert. Damit kann auch in solchen Szenarien der Datenschutz bei der Übertragung sensibler Inhalte sichergestellt werden.
Noch einen Schritt weiter in Sachen „Compliance und Sicherheit“ geht das Modul „Trailer“. Es trägt für die Einhaltung von gesetzlichen Kennzeichnungspflichten, denen auch E-Mails unterliegen, Sorge. „Trailer“ vereinheitlicht hierfür die E-Mail-Signaturen der Mitarbeiter eines Unternehmens, ergänzt sie automatisch um verbindliche, zentral definierbare Angaben wie Rechtsform, Registereintrag und –Gericht.
Abschließend noch ein kurzer Exkurs in den Bereich der E-Mail-Archivierung: Denn auch hier verfügt die iQ.Suite mit „Store“ und „Bridge“ über zwei interessante und leistungsfähige Komponenten, die vor allem die Rechtssicherheit in der E-Mail-Kommunikation von Unternehmen stärken, in dem sie den gesetzlichen Anforderungen nach der sicheren Aufbewahrung des elektronischen Briefwechsels nachkommen. So ermöglicht „Store“ die zentral gesteuerte Archivierung der E-Mail-Kommunikation zur Entlastung der Server und Nutzer-Postfächer. Anhand zentral definierter Regeln lassen sich E-Mails direkt aus den Mailboxen der Anwender archivieren und zuverlässig aufbewahren – und auf umgekehrtem Wege ebenso einfach wiederherstellen.
In Verbindung mit dem Modul iQ.Suite Bridge, das eine Anbindung an das Unternehmens-interne Archiv-System realisiert, können E-Mails serverseitig und regelbasiert sogar noch vor der Zustellung zum Endanwender archiviert werden. Die Archivierung erfolgt in jedem Fall lückenlos und manipulationssicher, so dass E-Mails jederzeit mittels Suche leicht wieder aufgefunden werden können. Virenverseuchte und werbelastige E-Mails werden dabei zuverlässig erkannt und natürlich nicht archiviert.
Fazit: E-Mail-Sicherheit ist in Zeiten wachsender Bedrohungen für die elektronische Korrespondenz von vitalem Interesse. Der bloße Einsatz von Insellösungen wie Virenschutz-Software oder Spam-Blockern ist schon längst nicht mehr ausreichend, um den Anforderungen seitens des Gesetzgebers zu entsprechen und die auf E-Mail basierenden Geschäftsprozesse flächendeckend sicher zu gestalten. Lösungen wie die iQ.Suite bieten hierfür die passende Antwort, da sie die Gesamtheit der technischen, organisatorischen und rechtlichen Anforderungen erfassen und im Rahmen eines zentralen E-Mail-Managements abbilden können.
© 2012 FEiG & PARTNER