Richtiges E-Mail-Management und E-Mail-Sicherheit mit SaaS - Software as a Service

• Home
• Magazin
• Know How
• Virus, Malware & Spamschutz

„E-Mails sind ein unerlässliches Tool für nahezu jedes Unternehmen, gleich welcher Größe. In vielen Unternehmen werden fast 95 Prozent aller Dokumente per E-Mail übertragen, weshalb eine robuste und sichere E-Mail-Infrastruktur von entscheidender Bedeutung ist“, sagt Nigel Stanley, Security Practice Leader bei Bloor Research. Und fügt hinzu: „Die wachsende Zahl gezielter Bedrohungen, mit denen größere Unternehmen heute konfrontiert sind, erhöht den Druck auf die IT-Sicherheitsverantwortlichen, ihren E-Mail-Verkehr in den Griff zu bekommen.“

E-Mails sind ein ideales Einfallstor für Malware – Programme wie Viren, Trojaner oder Spyware, die Software zum Absturz bringen oder beschädigen können. Nicht selten versuchen diese Programme Computer zu übernehmen, um an sensible Informationen, wie zum Beispiel Online-Banking-Passwörter, zu gelangen oder Spam-Mails zu versenden.

Hinzu kommt, dass E-Mails potenziell sensible Geschäftsdokumente sind und genau wie alle anderen Firmendokumente bestimmten Vorschriften unterliegen.

Sind persönliche und vertrauliche Informationen wie beispielsweise medizinische Daten gespeichert und werden diese unverschlüsselt an die falschen Empfänger gemailt, verletzt man in gleicher Weise den Datenschutz, als wären die Daten ausgedruckt in einem Taxi vergessen worden.

E-Mails entziehen sich in vielen Fällen den bestehenden Kontrollmechanismen. Es gibt also Risiken und Bedrohungen die abzuwehren sind. Dieser Artikel beschreibt, wie der Situation durch Einsatz einer Lösung für E-Mail-Management und E-Mail-Sicherheit Herr geworden werden kann. Solch eine Lösung wird als Service bereitgestellt und von einem Software-as-a-Service-Anbieter (SaaS) extern gehostet.

Herausforderung E-Mail-Management

„E-Mail-Management“ sollte nicht als eine Aufgabe betrachten werden, die vom allgemeinen Dokumentenmanagement getrennt ist.

Auch E-Mails sind Firmenunterlagen und müssen entsprechend behandelt werden. E-Mail-Dokumente können für ein Unternehmen genauso verbindlich sein wie ein gedruckter Vertrag. Vorschriften, die beispielsweise für persönliche Daten gelten, betreffen Daten in ausgedruckter und elektronischer Form gleichermaßen.

Leider besteht vielfach die Tendenz, mit elektronischer Post nachlässig umzugehen. Eine E-Mail-Management-Technologie kann dazu beitragen, die Einhaltung von „Good Practice“-Richtlinien und -Verfahrensweisen zu einer Selbstverständlichkeit zu machen. Dies setzt voraus, dass bereits, zumindest in rudimentärer Form, E-Mail-Richtlinien und -Verfahrensweisen existieren. Ein erfahrener Berater oder Technologieanbieter kann hier Hilfestellung leisten.

Außerdem sollte man sich mit den geltenden Vorschriften für E-Mails vertraut machen. Persönliche Daten in unverschlüsselten E-Mails sind nicht sicher. Beschwert sich jemand über den Umgang mit seinen persönlichen Daten, kann dies den Geschäftsbetrieb eines Unternehmens erheblich stören sowie seinem guten Ruf schädigen, überdies könnte auf das Unternehmen eine hohe Geldstrafe zukommen.

Content-Filterung

Ein wichtiger Aspekt des E-Mail-Managements ist die Filterung von Inhalten. E-Mails manuell zu kontrollieren ist nicht praktikabel, dafür kann ein regelbasiertes Programm eingesetzt werden. Es prüft die Inhalte einer E-Mail, um spezifische, benutzereigene Label, bestimmte Verfasser, Benutzerrollen, versendende Abteilungen oder Empfänger zu erfassen. Das Programm handelt entsprechend, indem es zum Beispiel eine Nachricht verschlüsselt oder gar die Übertragung verweigert. Mit einem solchen Programm können sogar potenziell pornografische Bilder entdeckt werden. Selbst wenn ein einzelnes Bild der Heuristik entgeht, kann schnell feststellt werden, wenn jemand Hunderte illegaler Bilder aus dem Internet herunterlädt.

Doch auch wenn diese Programme vieles ermöglichen, rät Webroot, eine nicht zu komplizierte Lösung einzusetzen, da ansonsten hohe Test- und Wartungskosten entstehen. Es ist am besten, die Content-Filterung anfangs im „Information only“-Modus laufen zu lassen. Erst wenn sicher ist, dass das Programm einwandfrei arbeitet, sollten zur Blockade von Nachrichten übergegangen werden. Ein wichtiges Problem ist, dass die für die Content-Filterung zuständigen Mitarbeiter eventuell sensible E-Mails zu sehen bekommen könnten. Durch die Nutzung einer gehosteten SaaS-Managementlösung, die von einem „vertrauenswürdigen Dritten“ angeboten wird, lassen sich einige solcher Risiken beseitigen. Die Lösung von Webroot kann beispielsweise Regeln implementieren, die lediglich für den Geschäftsführer, jedoch für keinen anderen Mitarbeiter des Unternehmens sichtbar sind.

Der problematischste Aspekt der Content-Filterung ist jedoch ihr „Big Brother“-Beigeschmack. Schlecht implementiert, kann eine solche Lösung die Stimmung unter den Mitarbeitern beeinträchtigen. Es ist wichtig, dass die Mitarbeiter eines Unternehmens im E-Mail-Management geschult werden und ihnen schon vor der Implementierung verdeutlicht wird, weshalb Content-Filterung notwendig ist. Falls beispielsweise nur eine einzige Person kinderpornografische Inhalte auf Fimenservern speichert, könnte dies die Arbeitsplätze sämtlicher Mitarbeiter gefährden. Das Wissen solcher Fakten bei dem Mitarbeiter führt sicherlich zur Befürwortung und Unterstützung des gesamten Personals. Bevor jedoch die E-mails von Mitarbeitern gelesen werden, sollten diese auf jeden Fall gewarnt werden. Außerdem ist es ratsam die „Beschäftigungsbedingungen“ zu überprüfen, um sicherzugehen, dass diese eine Mail-Überwachung abdecken.

Abwehr von Malware

Neben der Filterung von Inhalten sollte E-Mail-Management auch der Abwehr von Malware-Bedrohungen dienen. Malware ist ein genereller Begriff für nicht autorisierte Programme, die den Computer schädigen oder darauf abgespeicherte Informationen stehlen können.

Ursprünglich wurden Viren entwickelt, um Computer zu schädigen und ihren Autoren eine gewisse Berühmtheit einzubringen. Solche Viren stellen nur eine elementare Bedrohung dar. Sie geben ihre Anwesenheit zu erkennen und können dadurch leicht entfernt werden. Inzwischen sind Viren und ähnliche Programme jedoch so konstruiert, dass sie versteckt bleiben. Immer öfter werden sie von Kriminellen, anstatt von relativ harmlosen Vandalen, entwickelt. Diese Schädigungsprogramme zerstören einen Computer nicht, sondern überwachen beispielsweise die Tastatureingaben, um Passwörter für Online-Banking zu erfassen.

Solche Trojaner sind schwerer zu entdecken. Durch die Unterstützung externer Malware-Experten können auch die neuesten und gravierendsten, aber auch ältere Trojaner erkannt werden. Da Trojaner leicht modifizierbar sind und die Aktualisierung der Malware-Erkennungslogik Zeit erfordert, ist es ratsam mehrere Erkennungs-Engines laufen zu lassen und eine „Defence-in-Depth“-Strategie zu implementieren. Die Erkennungs-Engines sollten unbedingt von Experten ausgewählt und bedient werden, da diese manchmal miteinander kollidieren. „Defence in Depth“ bedeutet, dass auch eine Anti-Malware-Software auf dem PC installiert ist, obwohl E-Mails etc. extern überprüft werden. Für den Fall, dass doch Malware vordringt ist man damit zusätzlich abgesichert.

Vertraulichkeit und Attribution

Ein grundlegendes Verfahren im Rahmen des E-Mail-Managements ist die Verschlüsselung. Die Vertraulichkeit von Daten kann nur gewährleistet werden, wenn sensible Daten mittels starker, dem Branchenstandard entsprechender Verschlüsselung geschützt werden. Informationen bei der Übertragung über das Internet zu verschlüsseln, ist eine essentielle Maßnahme, weil E-Mails auf jedem Server der Welt landen können und jeder Administrator sie sehen kann. Eine Verschlüsselung allein reicht jedoch nicht aus. Der unternehmensinterne Umgang mit äußerst sensiblen Informationen ist ebenfalls nicht unbedenklich. Aus diesem Grund ist zusätzlich eine optionale Verschlüsselung von Desktop zu Desktop ratsam.

Verschlüsselte Daten können unwiederbringlich verloren gehen, falls der Schlüssel abhanden kommt. Schlüsselmanagement ist daher wichtig: Experten können Hilfestellungen zu den entsprechenden Verfahrensweisen sowie zur Datenrückgewinnung geben. Webroot rät davon ab, eine gewöhnliche Verschlüsselungssoftware selbst herunterzuladen und zu implementieren. Diese Arbeit solltet in jedem Fall von Experten mit einer speziellen Sicherheitsausbildung durchgeführt werden. Auch Verschlüsselung wird als SaaS angeboten.

Bei Verschlüsselung geht es jedoch nicht nur um Vertraulichkeit: So arbeitet beispielsweise Webroot aktiv an der Entwicklung umfassenderer verschlüsselungsbasierter Funktionen für künftige Releases. Generiert der Versender einer Nachricht vor dem Versenden eine einmalige Zahl aus einer Nachricht und verschlüsselt diese, kann der Empfänger dieselbe Zahl generieren und mit dem Original vergleichen. Somit lässt sich beweisen, dass die Nachricht bei der Übertragung nicht verändert wurde. Des Weiteren kann in ähnlicher Weise mittels Verschlüsselung nachgewiesen werden, dass eine Nachricht tatsächlich vom angegebenen Absender stammt. Außerdem kann die Verschlüsselung sogar zur Bestätigung für die Übermittlung einer Nachricht angewendet werden.

Was ist SaaS und wo liegen die Vorteile?

Der Pionier des SaaS-Konzepts ist die Firma Salesforce.com, die vor kurzem die Citibank als Kunden und damit 25.000 neue Nutzer gewonnen hat. Dies zeigt, dass SaaS mittlerweile ein etabliertes Modell ist.

SaaS sollte vom geschäftlichen Standpunkt aus als „E-Mail-Management-Service“ betrachtet werden. Üblich ist ein Subskriptions- oder Mietmodell. Daher muss es eine Form von Service Level Agreement geben, das als Basis für die Kundenbeziehung dient. Derzeit regeln solche SLAs nur die Verfügbarkeit, doch künftig sind komplexere Vereinbarungen zu erwarten, bei denen es um „Dienstgüte“ oder den „erbrachten Geschäftswert“ geht.

Für SaaS entscheidet man sich aus drei Gründen:

• Das Preismodell ist attraktiv und die Ein- und Ausstiegskosten sind gering.
• Die Hardware-Kosten sind niedrig: Der Anbieter hostet die Hardware und erzielt dabei Größenvorteile.
• Niedrige Verwaltungsgemeinkosten: Ein verwaltender Dienst wird abonniert und der Anbieter kann entsprechende Spezialisten engagieren und die Kosten für die besten Experten und Technologien auf alle seine Kunden verteilen.

SaaS ermöglicht schnelles und preisgünstiges E-Mail-Management, da keine Software oder Hardware gekauft werden muss. Dies macht ein Unternehmen vom Know-how der internen Mitarbeiter unabhängig. Sollten ein Kunde mit dem Service nicht zufrieden sein, kann der Service ohne großen Kostenaufwand gekündigt werden.

Vorab sollte jedoch unbedingt die Verantwortung für die Entwicklung von E-Mail-Management- und Sicherheitsrichtlinien geklärt sowie die „Zustimmung“ der Mitarbeiter zu den notwendigen Verfahren eingeholt werden. Außerdem ist es notwendig einen angemessenen Servicevertrag auszuhandeln und zu nutzen. So sollte das Abonnement beispielsweise den Zugriff auf Traffic-Statistiken und sonstige nützliche Informationen, die die SaaS-Hardware erzeugt, ermöglichen. Ein guter SaaS-Anbieter berät im Rahmen seiner Dienstleistung zu Fragen der Bereitstellung und der Richtlinien. Eventuell ist auch eine Hybrid-Lösung, teils gehostet teils intern, für die Bedürfnisse eines Unternehmens angemessener.

Und so sollten Sie vorgehen …

Zunächst sollten die „neuralgischen Punkte“ ermittelt werden, bei denen E-Mail-Management Abhilfe schaffen und in kurzer Zeit Verbesserungen bringen kann. Dies sollte es erleichtern die Unterstützung der Mitarbeiter zu gewinnen und den Erfolg zu fördern.

Wie also sollte SaaS-basiertes E-Mail-Management implementiert werden?

1. Nachdem die neuralgischen Punkte ermittelt wurden, sollte mit einem SaaS-Partner über die benötigten Dienstleistungen gesprochen werden.

2. Die Mitarbeiter sollten generell mit E-Mail-Management vertraut gemacht und ihre Unterstützung gewonnen werden. Außerdem ist es ratsam die Beschäftigungsbedingungen zu überprüfen und wenn nötig zu ändern.

3. Der Dienst sollte eingerichtet werden - Webroot rät, lediglich mit minimalen Kontrollen zu beginnen.

4. Anschließend die Kontrollen nur in dem Maß verstärken, in dem praktisches Verständnis für die Probleme gewonnen wird.

Mit SaaS sollte man sich auf diejenigen Dienste konzentrieren können, die gebraucht werden, um effektiv und gesetzeskonform operieren zu können, anstatt sich mit den technischen Einzelheiten des E-Mail-Managements beschäftigen zu müssen

Kommentare

Bitte beachten Sie unsere Informationen zum Datenschutz.

Weitere Artikel zum Thema