Inhaltsverzeichnis:
- 1 Implementieren Sie eine mehrschichtige Sicherheitsstrategie
- 2 Verwenden Sie einen Cloud-basierten Dienst zum Filtern von E-Mails
- 3 E-Mail mit TLS verschlüsseln
- 4 Achten Sie auf Spoofing-Angriffe
- 5 Konfigurieren Sie Ihren E-Mail-Server richtig
- 6 Schulung der Benutzer zur Vermeidung von Phishing-Angriffen
Video: Sofort Luzide Träume haben - Die Effektivste Technik (November 2024)
E-Mail war schon immer eine Schwachstelle für die IT-Sicherheit. Es ist ein allgegenwärtiges Werkzeug für die meisten Unternehmen, nicht nur für die grundlegende Kommunikation, sondern auch für das E-Mail-Marketing. Das macht es zu einem süßen Angriffsvektor für Hacker. Laut dem Cybersecurity-Unternehmen Valimail sind 6, 4 Milliarden der täglich versendeten E-Mails gefälscht. Es wird auch berichtet, dass jedes Jahr 1 Billion Phishing-E-Mails gesendet werden.
Laut Stu Sjouwerman, Gründer und CEO von KnowBe4, einem Unternehmen, das Schulungen zum Thema Sicherheitsbewusstsein anbietet, ist E-Mail der Angriffsvektor Nr. 1, mit dem ein Hacker einen Computer angreifen kann.
"E-Mail-Sicherheit ist ein lustiges Tier. Jeder in der Firma muss sie haben, wenn er mit der Außenwelt kommuniziert, aber E-Mail ist eine massive Angriffsfläche", sagte Sjouwerman. "Es wurde geschaffen, um anzukommen; es wurde nicht geschaffen, um sicher zu sein."
Wir haben mit Sicherheitsexperten gesprochen, um einige Tipps zu erhalten, wie kleine bis mittelständische Unternehmen (SMBs) mit der E-Mail-Sicherheit umgehen sollten. Basierend auf diesen Diskussionen sollten Sie die folgenden sechs Schritte ausführen, um die E-Mail-Sicherheit Ihres Unternehmens zu gewährleisten.
-
4 Achten Sie auf Spoofing-Angriffe
Achten Sie auf E-Mail-Spoofing-Angriffe, bei denen sich Hacker als andere E-Mail-Benutzer tarnen, um Daten oder Geld zu stehlen oder Malware zu verbreiten. Auch wenn ein CEO an seinem Schreibtisch sitzt, erhalten die Mitarbeiter möglicherweise eine E-Mail, dass der Manager nicht in der Stadt ist und eine Überweisung benötigt. Dies ist laut Sjouwerman ein Beispiel für einen E-Mail-Spoofing-Angriff."Wir müssen so und so 100.000 Dollar auf Bankkonten überweisen", sagte Sjouwerman. "Es sieht alles so aus, als käme es vom CEO. Das ist im Moment endemisch. Es passiert die ganze Zeit, besonders bei KMUs."
Sjouwerman empfiehlt, sich an den CEO (oder die Mitarbeiter des CEO) zu wenden, um herauszufinden, ob die Führungskraft die E-Mail wirklich gesendet hat. Dieser Schritt kann einem Unternehmen die Verlegenheit ersparen, der Geldanfrage eines Hackers nachzugeben.
1 Implementieren Sie eine mehrschichtige Sicherheitsstrategie
Als Teil einer mehrschichtigen Strategie sollten Sie es vermeiden, sich auf ein einzelnes Sicherheitsprodukt zu verlassen. Eine "Monokultur" entsteht, wenn mehrere Sicherheitsplattformen fehlen. Wenn Sie nur ein Sicherheitsprodukt verwenden, kann es für bestimmte Sicherheitslücken anfällig werden, so David Corlette, Director of Product Management bei Vipre, einer Cybersicherheitsfirma, die Vipre Email Security Cloud, eine Plattform für Bedrohungsinformationen, anbietet. Vipre verwaltet den E-Mail-Fluss von und zu einem Unternehmen und scannt und bereinigt dabei Nachrichten, bevor sie ein Unternehmensnetzwerk erreichen.
Corlette merkte an, dass es bei so vielen Sicherheitsanbietern auf dem Markt besser ist, mit mehr als einer Plattform zu arbeiten. Obwohl Sie sich auf zusätzliche Funktionen eines einzigen Produkts wie Bitdefender GravityZone Elite oder Kaspersky Endpoint Security Cloud verlassen können, benötigen Sie laut Corlette noch andere Produkte, um diese ergänzende Sicherheitsebene aufzubauen.
"Wir sind definitiv an diesem Konzept der geschichteten Sicherheit interessiert. Wir haben Schichten in Bezug auf unser traditionelles Scannen", sagte Corlette. "Dann machen wir unsere verhaltensorientierte Bedrohung, wenn Kunden sich dafür entscheiden."
Corlette empfahl auch eine Schutzschicht am Endpunkt. Wenn eine Bedrohung einen E-Mail-Scan auf Serverebene durchläuft, kann ein Endpoint-Sicherheitsprodukt sie dennoch abfangen, sagte er. (Bildnachweis: Statista)
Anmerkung der Redaktion: J2 Global, die Firma, die Vipre besitzt, besitzt auch Ziff Davis und PCMag.com.
2 Verwenden Sie einen Cloud-basierten Dienst zum Filtern von E-Mails
Viele KMUs verwenden Cloud-E-Mails von Google G Suite oder Microsoft Office 365. Um Ihren E-Mail-Dienst zu schützen, sollten Sie über ein E-Mail-Gateway verfügen, mit dem Sie eingehende und ausgehende E-Mails filtern können. E-Mail-Gateways schützen E-Mails durch eine Kombination aus Spam-Filtern, Firewalls und Erkennungsmodulen vor Hackern. Sie steuern den Fluss von E-Mails, die im Netzwerk eines Unternehmens ein- und ausgehen. Indem Sie E-Mails über ein E-Mail-Gateway wie Vipre weiterleiten, können Sie die eingehende Überprüfung von E-Mails aktivieren. Eine Cloud-Plattform hält Sicherheitspatches auf dem neuesten Stand.
"Wir durchsuchen verschiedene Anti-Spam-, Anti-Phishing- und Anti-Malware-Engines nach bekannten schädlichen Anhängen und bekannten schädlichen Links, aber auch nach gängigen Spam- und Phishing-Mustern", so Corlette.
Wenn ein Dienst wie Vipre eine E-Mail kennzeichnet, sendet er dem Benutzer eine Nachricht mit der Aufschrift "Folgendes haben wir unter Quarantäne gestellt", sagte Corlette. Auf einer Cloud-E-Mail-Sicherheitsplattform werden mehrere Engines für Anhänge ausgeführt, wenn sie eingehen. Es wird einen böswilligen Virus abfangen, aber wenn es sich um eine neue Bedrohung handelt, mit der eine Sicherheitsplattform nicht vertraut ist, kann sie dem Benutzer durchdringen. Wenn Vipre einen E-Mail-Anhang als potenziell schädlich erkennt, kann die Plattform den Anhang in einer Sandbox-Umgebung ablegen, um das Verhalten zu testen.
3 E-Mail mit TLS verschlüsseln
Da E-Mails für vertrauliche Geschäftskommunikation verwendet werden, sollten Sie Ihre Nachrichten nach Möglichkeit verschlüsseln, um das Abhören zu verhindern. Sie können das TLS-Sicherheitsprotokoll (Transport Layer Security) verwenden, um E-Mails auf Plattformen wie Google S Suite und Microsoft Office 365 zu verschlüsseln. Mit TLS können Sie einen sicheren Kanal für die Kommunikation von einem Netzwerk zu einem anderen einrichten, sodass nur der Absender und der Empfänger auf das Protokoll zugreifen können Mitteilungen.Sjouwerman empfiehlt, dass Unternehmen TLS aktiviert lassen. Damit die E-Mail wirklich verschlüsselt wird, müssen sowohl der Absender als auch der Empfänger TLS aktivieren. Wenn beide Parteien TLS nicht aktivieren, kann die Nachricht abprallen oder abgelehnt werden. beim
5 Konfigurieren Sie Ihren E-Mail-Server richtig
Eine Möglichkeit, E-Mails korrekt zu konfigurieren, besteht darin, die domänenbasierte Nachrichtenauthentifizierung, Berichterstellung und Konformität (DMARC) ordnungsgemäß einzurichten, so Sjouwerman. Mit diesem Protokoll können Sie eingehende E-Mails überprüfen, um sicherzustellen, dass Nachrichten legitim sind. Es kann Unternehmen dabei helfen, sich vor E-Mails zu schützen, bei denen die Absender sich wie oben beschrieben als Einzelpersonen ausgeben.
Die Konfiguration Ihres Spamfilters ist auch ein wichtiger Schritt zum Schutz Ihrer E-Mails. Laut Sjouwerman liegt die Ausfallrate eines durchschnittlichen Spam-Filters zwischen einem und sieben Prozent.
6 Schulung der Benutzer zur Vermeidung von Phishing-Angriffen
E-Mail-Schulungen sind ein wichtiger Bestandteil der Cybersicherheitsstrategie eines Unternehmens. In größeren Unternehmen erhalten Sie wahrscheinlich regelmäßig oder beim Eintritt in das Unternehmen eine Einladung zu Cybersicherheitsschulungen.
Ein wesentlicher Bestandteil des Trainings ist, dass Sie lernen, E-Mail-Anhänge nur dann zu öffnen, wenn Sie einen erwarten. Tatsächlich mag es wie gesunder Menschenverstand erscheinen, aber es ist einfach, sich einem Phishing-Angriff, dem Versuch, Daten, Benutzeranmeldeinformationen oder Kreditkartennummern zu stehlen, zu entziehen und sich ihm hinzugeben. Wenn Sie keinen Anhang erwartet haben, bestätigen Sie mit den Absendern, dass sie ihn senden möchten.
"Wenn Sie nicht nach 40 Anhängen gefragt haben, öffnen Sie sie nicht", sagte Sjouwerman. "Das muss in jeden Zentimeter ihres Lebens eingearbeitet werden, denn auch PDFs können bösartig sein."
Von Zeit zu Zeit erhalten Benutzer die Nachricht, dass Sie auf diesen Link klicken und 500 US-Dollar erhalten. Die Nachrichten können durch den Spam-Filter rutschen und in Ihrem Posteingang landen, und Menschen könnten in diese Falle tappen. Wie Sjouwerman sagte: "Jedes kleine Unternehmen, das ein paar hundert Riesen in der Bank hat, ist ein Ziel." Sie haben möglicherweise nicht die Zeit und das Geld, um Mitarbeiter wie größere Unternehmen zu schützen. Daher ist die Schulung der Mitarbeiter zur Überwachung von E-Mail-Bedrohungen der Schlüssel.
Möchten Sie mehr über E-Mail-Sicherheit erfahren? Mach mit bei der Diskussionsgruppe auf LinkedIn und Abfrage Branchenexperten und PCMag Redakteure.
