E-Mail-Sicherheit: 5 Tipps zur Anpassung an NIS2

5. Februar 2025
| Keine Kommentare
E-Mail-Sicherheit: 5 Tipps zur Anpassung an NIS2
Anzeige

Beitrag teilen

E-Mail-Sicherheit nimmt eine zentrale Rolle für die Cybersicherheit des ganzen Unternehmens ein. Denn E-Mail ist nicht nur der wichtigste Kommunikationskanal in Organisationen, sondern auch einer der häufigsten Angriffsvektoren von Kriminellen.

Mit der NIS-2-Richtlinie will die EU die Cybersicherheit wichtiger und besonders wichtiger Einrichtungen stärken. Derzeit arbeiten die Mitgliedsstaaten daran, die Direktive in nationales Recht zu überführen. In Deutschland erfolgt das über das NIS-2-Umsetzungsgesetz, das im März 2025 in Kraft treten soll. Unternehmen wird dringend empfohlen, die Sicherheitsmaßnahmen für ihre E-Mail-Infrastruktur zu überprüfen, um die Compliance sicherzustellen. Denn der Kommunikationskanal Nummer eins ist die häufigste Eintrittspforte für Cyberangriffe. Artikel 21 der Richtlinie fordert „geeignete und verhältnismäßige technische, operative und organisatorische Maßnahmen, um Risiken für die Sicherheit der Netz- und Informationssysteme zu beherrschen und die Auswirkungen von Sicherheitsvorfällen zu verhindern oder möglichst gering zu halten.“ Was das für die E-Mail-Umgebung bedeutet, zeigen die folgenden fünf Tipps von Romana Staringer, Senior Account Manager E-Mail Security bei Retarus.

Anzeige

1. Etablieren eines erweiterten E-Mail-Schutzes

Die meisten Unternehmen haben bereits einen Basisschutz für ihre E-Mail-Umgebung. Dazu zählen Virenscanner und Phishing-Filter, die gefährliche E-Mails herausfiltern, bevor sie zugestellt werden. Doch damit lässt sich nur ein Teil der Bedrohungen abfangen. Denn Cyberkriminelle entwickeln laufend neue Malware-Varianten, die von signaturbasierten Security-Systemen nicht erkannt werden, solange noch keine passenden Erkennungsmuster vorliegen. Außerdem sehen wir vermehrt Social Engineering-Attacken wie CEO-Fraud, die ihre Opfer austricksen und dazu bringen, hohe Geldsummen zu überweisen oder sensible Daten preiszugeben. Solche Betrugsmaschen arbeiten meist mit nahezu perfekt gefälschten E-Mails, die für herkömmliche Phising-Filter nur schwer von harmlosen Nachrichten zu unterscheiden sind.

Um die Risiken für immer raffiniertere Cyberangriffe zu minimieren, brauchen Unternehmen erweiterten E-Mail-Schutz. Dazu zählen zum Beispiel KI-gestützte Analysen, die in der Lage sind, gefälschte Absender- und Domain-Adressen zu identifizieren. Wichtig ist zudem Time of Click Protection – eine Technologie, die alle in E-Mails enthaltenen Links überprüft und Aufrufe dahinter liegende Websites gegebenenfalls blockiert. Um neuartige Malware zu erkennen, sind darüber hinaus Sandbox-Analysen unverzichtbar, die E-Mails mit verdächtigen Anhängen auf bedrohliches Verhalten untersuchen.

Anzeige

Jetzt Newsletter abonnieren

Einmal im Monat die besten News von B2B CYBER SECURITY lesen



Mit Klick auf „Anmelden“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden. Weitere Informationen finde ich in unserer Datenschutzerklärung. Nach dem Anmelden erhalten Sie zuerst eine Bestätigungsmail, damit keine anderen Personen Ihnen etwas ungewolltes bestellen können.
Aufklappen für Details zu Ihrer Einwilligung
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung. Sie können jederzeit den Newsletter wieder abbestellen. Einen entsprechenden Link finden Sie im Newsletter. Nach einer Abmeldung werden Ihre Daten in kürzester Zeit gelöscht. Eine Wiederherstellung ist nicht möglich. Falls Sie den Newsletter erneut haben möchten, ordern sie diesen einfach neu. Verfahren Sie auch so, wenn Sie eine andere E-Mail-Adresse für Ihren Newsletter nutzen möchten. Wenn Sie den auf der Website angebotenen Newsletter beziehen möchten, benötigen wir von Ihnen eine E-Mail-Adresse sowie Informationen, welche uns die Überprüfung gestatten, dass Sie der Inhaber der angegebenen E-Mail-Adresse und mit dem Empfang des Newsletters einverstanden sind. Weitere Daten werden nicht bzw. nur auf freiwilliger Basis erhoben. Für die Abwicklung der Newsletter nutzen wir Newsletterdiensteanbieter, die nachfolgend beschrieben werden.

CleverReach

Diese Website nutzt CleverReach für den Versand von Newslettern. Anbieter ist die CleverReach GmbH & Co. KG, Schafjückenweg 2, 26180 Rastede, Deutschland (nachfolgend „CleverReach“). CleverReach ist ein Dienst, mit dem der Newsletterversand organisiert und analysiert werden kann. Die von Ihnen zwecks Newsletterbezug eingegebenen Daten (z. B. E-Mail-Adresse) werden auf den Servern von CleverReach in Deutschland bzw. Irland gespeichert. Unsere mit CleverReach versandten Newsletter ermöglichen uns die Analyse des Verhaltens der Newsletterempfänger. Hierbei kann u. a. analysiert werden, wie viele Empfänger die Newsletternachricht geöffnet haben und wie oft welcher Link im Newsletter angeklickt wurde. Mit Hilfe des sogenannten Conversion-Trackings kann außerdem analysiert werden, ob nach Anklicken des Links im Newsletter eine vorab definierte Aktion (z. B. Kauf eines Produkts auf dieser Website) erfolgt ist. Weitere Informationen zur Datenanalyse durch CleverReach-Newsletter erhalten Sie unter: https://www.cleverreach.com/de/funktionen/reporting-und-tracking/. Die Datenverarbeitung erfolgt auf Grundlage Ihrer Einwilligung (Art. 6 Abs. 1 lit. a DSGVO). Sie können diese Einwilligung jederzeit widerrufen, indem Sie den Newsletter abbestellen. Die Rechtmäßigkeit der bereits erfolgten Datenverarbeitungsvorgänge bleibt vom Widerruf unberührt. Wenn Sie keine Analyse durch CleverReach wollen, müssen Sie den Newsletter abbestellen. Hierfür stellen wir in jeder Newsletternachricht einen entsprechenden Link zur Verfügung. Die von Ihnen zum Zwecke des Newsletter-Bezugs bei uns hinterlegten Daten werden von uns bis zu Ihrer Austragung aus dem Newsletter bei uns bzw. dem Newsletterdiensteanbieter gespeichert und nach der Abbestellung des Newsletters aus der Newsletterverteilerliste gelöscht. Daten, die zu anderen Zwecken bei uns gespeichert wurden, bleiben hiervon unberührt. Nach Ihrer Austragung aus der Newsletterverteilerliste wird Ihre E-Mail-Adresse bei uns bzw. dem Newsletterdiensteanbieter ggf. in einer Blacklist gespeichert, sofern dies zur Verhinderung künftiger Mailings erforderlich ist. Die Daten aus der Blacklist werden nur für diesen Zweck verwendet und nicht mit anderen Daten zusammengeführt. Dies dient sowohl Ihrem Interesse als auch unserem Interesse an der Einhaltung der gesetzlichen Vorgaben beim Versand von Newslettern (berechtigtes Interesse im Sinne des Art. 6 Abs. 1 lit. f DSGVO). Die Speicherung in der Blacklist ist zeitlich nicht befristet. Sie können der Speicherung widersprechen, sofern Ihre Interessen unser berechtigtes Interesse überwiegen. Näheres entnehmen Sie den Datenschutzbestimmungen von CleverReach unter: https://www.cleverreach.com/de/datenschutz/.

Auftragsverarbeitung

Wir haben einen Vertrag über Auftragsverarbeitung (AVV) zur Nutzung des oben genannten Dienstes geschlossen. Hierbei handelt es sich um einen datenschutzrechtlich vorgeschriebenen Vertrag, der gewährleistet, dass dieser die personenbezogenen Daten unserer Websitebesucher nur nach unseren Weisungen und unter Einhaltung der DSGVO verarbeitet.

2. Verschlüsseln von sensiblen E-Mails

Artikel 21, Absatz 2d der NIS-2-Direktive fordert Maßnahmen zur Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zwischen den einzelnen Einrichtungen. Auf E-Mail übertragen bedeutet das: Sie sollten die Kommunikation mit Ihren Zulieferern und Partnern absichern. Dafür eignet sich Verschlüsselung. Absatz 2h NIS-2 schreibt explizit Konzepte und Verfahren für den Einsatz von Kryptographie vor.

In der Praxis scheitert E-Mail-Verschlüsselung jedoch häufig an einer aufwendigen Administration der Schlüssel, an einer umständlichen Bedienung und daran, dass Kommunikationspartner keine Verschlüsselung nutzen und somit verschlüsselten E-Mails nicht lesen können. Gefragt ist daher eine Lösung, die ausgehende Mails mit nur einem Klick direkt im E-Mail-Client verschlüsselt, ohne dass sich der Absender mit technischen Details oder der Schlüsselverwaltung auskennen muss. Möglich wird das durch ein Secure E-Mail-Gateway, das alle gängigen kryptographischen Standards unterstützt. Empfänger ohne eigene Verschlüsselungslösung werden idealerweise über ein sicheres Webmail-Postfach eingebunden, über das sie die verschlüsselten Nachrichten lesen können.

3. Immer eine Notfall-Kommunikation einplanen

Artikel 21, Absatz 2c der NIS-2-Richtlinie fordert Maßnahmen zur Aufrechterhaltung des Betriebs, Absatz 2j gesicherte Notfall-Kommunikationssysteme. Für den E-Mail-Bereich bedeutet das: Sie brauchen einen Plan B, falls Ihre E-Mail-Infrastruktur durch einen Cyberangriff außer Kraft gesetzt wird. Wie können Sie dafür sorgen, dass die Mitarbeitenden in so einem Fall weiterhin in der Lage sind, Nachrichten zu versenden und zu empfangen?

In der Praxis haben sich Lösungen für E-Mail-Continuity bewährt, die im Hintergrund einen externen, unabhängigen und sicheren Webmail-Service bereithalten. Im Krisenfall können Sie sofort auf die Notfallinfrastruktur umschalten. Wichtig dabei ist, dass der Service vom Anbieter mit vorprovisionierten Postfächern zur Verfügung gestellt wird. Denn nur mit den E-Mails der vergangenen Wochen sowie den gespeicherten Kontaktdaten können Sie im Notfall wirklich nahtlos weiter kommunizieren.

4. Untersuchung von bereits zugestellten E-Mails

Artikel 21, Absatz 2b schreibt Maßnahmen zur Bewältigung von Sicherheitsvorfällen vor. Um solche Maßnahmen treffen zu können, müssen Sie in der Lage sein, Cyberangriffe schnell zu erkennen und zu untersuchen. Dafür ist es wichtig, die Eintrittspforte zu bestimmen und die Empfänger bereits zugestellter Schad-E-Mails schnell zu identifizieren. Möglich wird das über eine spezielle Patient-Zero-Detection-Technologie, die bereits beim E-Mail-Empfang einen digitalen Fingerabdruck aller Attachments erzeugt, in einer Datenbank speichert und dann kontinuierlich mit neuen Erkenntnissen aus der Malware-Forschung abgleicht. Sobald eine potenziell gefährliche Nachricht im Postfach eines Anwenders erkannt wird, kann diese – je nach Konfiguration – automatisch gelöscht oder in Quarantäne verschoben werden.

5. Die Forensik verbessern

Artikel 23 der NIS-2-Richtlinie definiert strenge Meldepflichten. Betroffene Unternehmen müssen einen erheblichen Cybervorfall innerhalb von 24 Stunden bei der zuständigen Aufsichtsbehörde melden, nach 72 Stunden einen Folgebericht einreichen und nach einem Monat einen Abschlussbericht, der eine detaillierte Beschreibung enthält. Um diese Vorgaben zu erfüllen, brauchen Sie schnell Zugriff auf relevante Daten. Daher ist es wichtig, Security-Informationen aus der E-Mail-Umgebung in übergreifenden Sicherheitssystemen wie einem SIEM (Security Information and Event Management) zu sammeln und auszuwerten. Eine entsprechende Lösung sollte die Daten in Form von Events in Echtzeit über eine geschützte Schnittstelle bereitstellen.

Fazit: Unternehmen müssen Konzepte für E-Mail-Sicherheit entwickeln

NIS-2-konforme E-Mail-Sicherheit bedeutet mehr als ein- und ausgehende Nachrichten lediglich zu prüfen. Unternehmen müssen die gesamte E-Mail-Infrastruktur betrachten und Konzepte sowohl für die Prävention, die Bedrohungserkennung als auch die Bewältigung von Cyberangriffen entwickeln. Darüber hinaus tragen Früherkennung und Schadensbegrenzung zu dem übergeordneten Ziel der Verbesserung der Cyber-Sicherheitslage in der EU bei. Daher empfiehlt es sich, eine integrierte Lösung zu wählen, die alle wichtigen E-Mail-Security-Funktionen unter einer Plattform vereint und modular bereitstellt. So können Unternehmen Management-Aufwand reduzieren und ihre bestehende Security-Infrastruktur ganz nach Bedarf ergänzen.

Mehr bei Retarus.de

 

Über Retarus

Retarus steuert mit exzellenten Lösungen und Services, intelligenter Infrastruktur und patentierten Technologien „Made in Germany“ die Kommunikation für Unternehmen weltweit. Die State-of-the-Art-Technologien, hochverfügbaren Rechenzentren und die innovative Cloud Messaging Plattform von Retarus liefern dafür maximale Sicherheit, höchste Performance und Business Continuity.

Passende Artikel zum Thema

EDR-Killer sind eine ernsthafte Bedrohung

EDR-Killer sind bösartige Tools, die die EDR-Software kompromittierter Systeme ausschalten. Dadurch werden sie anfällig für weitere Bedrohungen. Die Gefahr von ➡ Weiterlesen

NIS2 – so trägt eine SaaS-Infrastruktur dazu bei

Nach Schätzungen sind bis zu 40.000 deutsche Unternehmen von der NIS2 in Zukunft betroffen. Die Richtlinie soll die Cyber-Resilienz und ➡ Weiterlesen

Zero-Trust-Architektur – Chancen & Risiken

Vertrauen ist gut, Kontrolle ist besser: Die Zero-Trust-Architektur stellt klassische Sicherheitsmodelle auf den Kopf, indem sie jeden Zugriff prüft – ➡ Weiterlesen

DeepSeek und Qwen sind die Werkzeuge von Hackern

Kriminelle nutzen zunehmend DeepSeek und Qwen aus. Mithilfe von Jailbreaking-Techniken erstellen sie ihre bösartigen Inhalte, um Finanz- und Informationsdiebstahl zu ➡ Weiterlesen

Passkeys: Effiziente Verwaltung unterstützt CISOs

Neue Managementlösung für Sicherheits-Passkeys unterstützt Organisationen bei der sicheren Authentifizierung. Sie bietet der IT vollständige Kontrolle über den gesamten Lebenszyklus ➡ Weiterlesen

Das sind die wichtigsten Sicherheitslücken und Angriffstechniken

Die Zahl der gemeldeten Sicherheitslücken ist 2024 um 38 Prozent gestiegen. Mit der steigenden Abhängigkeit von Software-Systemen vergrößert sich auch ➡ Weiterlesen

DORA: So bewältigen Finanzunternehmen die Herauforderungen

Der Digital Operational Resilience Act (DORA) wurde verabschiedet, um den zunehmenden Cyberbedrohungen in in der Finanzbranche zu begegnen und die ➡ Weiterlesen

NIS-2 ist gescheitert – Abwarten ist trotzdem keine Option

Während andere EU-Staaten längst klare Vorgaben für NIS-2 geschaffen haben, ist die Umsetzung in Deutschland vorerst gescheitert. Das bedeutet: Teile ➡ Weiterlesen

 

PR-Meldungen
, ,