Im ersten Teil der Kommunikationssicherheit habe ich über Nachrichtenhygiene geschrieben, also darüber, wie wir unsere E-Mail-Domänen besser vor Missbrauch schützen und die Zustellbarkeit unserer Nachrichten verbessern können. In diesem zweiten Abschnitt wird erläutert, was zu beachten ist, um den eingehenden E-Mail-Verkehr und gleichzeitig unsere Benutzer vor schädlichen Nachrichten zu schützen.
Angriffsmethoden entwickeln sich weiter
Einige der heutigen E-Mail-Angriffe sind äußerst raffiniert ausgeführt, und jeder von uns kann ihnen zum Opfer fallen. Die typischeren Angriffe auf Organisationen sind sogenannte BEC – Business Email Compromise – Angriffe, bei denen sich der Angreifer als Mitarbeiter derselben Organisation oder als Geschäftspartner ausgibt. Im schlimmsten Fall wurde das E-Mail-Konto eines Geschäftspartners oder Kollegen kompromittiert, wodurch es für den Benutzer sehr schwierig wird zu erkennen, mit wem er tatsächlich kommuniziert.
Eine weitere verbreitete Methode ist der „Fake Email Forward“, bei dem der Angreifer eine gefälschte E-Mail-Kette erstellt hat, die echte E-Mail-Adressen und gefälschte vereinbarte Zahlungsanweisungen usw. enthält. Danach sendet der Angreifer die Nachricht an einen ahnungslosen Benutzer, um Maßnahmen zu veranlassen. Es gibt unzählige Beispiele für Angriffe! Die Methoden sind immer raffinierter geworden. Auch die künstliche Intelligenz erschwert die Abwehrarbeit, weshalb die Wachsamkeit natürlich erhöht werden muss.
Fünf Grundpfeiler für die Sicherung der Kommunikation
Was können Organisationen heute tun, um sich besser zu schützen? Ich habe im Folgenden kurz fünf Bereiche zusammengefasst, aus denen sich das Gesamtkonzept zur Minimierung von Sicherheitsbedrohungen und Risiken für eine Organisation zusammensetzt. Diese Zusammenfassung ist keineswegs vollständig, bietet Ihnen aber möglicherweise Anregungen und eine Vergleichsbasis für den aktuellen Zustand Ihrer Organisation.
Strategie
Alles beginnt mit der Strategie. Ohne sie agieren wir reaktiv und leider oft zu spät. In der Strategie werden unter anderem definiert und gesteuert:
- Gesetzgebung und Standards: Welche möglichen Anforderungen an unsere Organisation gestellt werden. ISO 27001, NIS2 usw.
- Richtlinie für technischen Schutz
- Reaktionsplan bei Sicherheitsvorfällen
- Wiederherstellungs- und Kontinuitätspläne
- Mitarbeiterschulung: Wie die Implementierung der Informationssicherheit bei den Endbenutzern sichergestellt wird
- Kontinuierliche Überwachung und Kennzahlen: Wie Benutzer beispielsweise möglichst einfach erkannte Sicherheitsbedrohungen oder -vorfälle melden können
- Sicherheitskultur: Wie Benutzer in die gemeinsamen Sicherheitsbemühungen der Organisation eingebunden werden
Die Entwicklung der Sicherheitsstrategie ist ein kontinuierlicher Prozess, der regelmäßig überprüft und bei Bedarf aktualisiert werden muss. Darüber hinaus muss sie Teil des Risikomanagements der Organisation sein, von der Führungsebene an engagiert und kontinuierlich überwacht werden.
Technische Schutzmaßnahmen
Benutzerschulung
Dies ist vielleicht sogar der wichtigste Punkt, der in der Strategie berücksichtigt werden sollte. Regelmäßige gezielte Schulungen, in denen aktuelle allgemeine Sicherheitsbedrohungen behandelt werden. Es gibt hervorragende Dienste auf dem Markt, die Mikroschulungen zur Informationssicherheit anbieten. Es ist wichtig, die Endbenutzer regelmäßig über Phishing-Nachrichten und andere Sicherheitsbedrohungen auf dem Laufenden zu halten. Es sollte jedoch darauf geachtet werden, dass das Schulungsmaterial so gestaltet ist, dass es verständlich vermittelt werden kann.
Prozesse
Prozesse beschreiben die Handlungsprinzipien für verschiedene Situationen. Sie dienen als Leitfaden, wie wir in verschiedenen Situationen sowie in Bezug auf Kommunikation und Nachrichtenübermittlung vorgehen. Beispiele hierfür sind, wie in der Organisation ein Prozess beschrieben ist, um per E-Mail eingegangene Zahlungsverkehrsänderungsanfragen zu verifizieren. Wie die Identität einer Person bei Bedarf überprüft werden sollte. Und wie wir generell bei Sicherheitsvorfällen vorgehen.
Berichterstattung und Überwachung
Berichterstattung und Überwachung sind in vielen Organisationen möglicherweise in den Hintergrund getreten. Endbenutzer sollten in den Mittelpunkt gerückt und dazu angehalten werden, Sicherheitsvorfälle zu beobachten und zu melden. Im Hinblick auf Phishing- und schädliche Nachrichten bedeutet dies beispielsweise, im M365-Dienst eine Schaltfläche zum Melden von E-Mails für Benutzer in der Outlook-Client-Software bereitzustellen. Eine Möglichkeit, dies anzugehen, ist die Einrichtung eines Teams-Kanals, in dem Benutzer Vorfälle melden und gleichzeitig andere in der Organisation darüber informieren können. Die Aufgabe der IT-Abteilung ist es, die Berichterstattung aktiv zu verfolgen und bei Bedarf Änderungen an Vorschriften, Schulungen oder Anweisungen vorzunehmen.