ProtonBlog
Per RSS abonnieren

3 wichtige Schritte, um E-Mail-Hacking zu verhindern

diese Seite teilen

Heutzutage werden E-Mail-Verletzungen für Enterprise-Unternehmen immer häufiger. Es gibt jedoch zuverlässige Methoden, um E-Mail-Verletzungen zu verhindern oder deren Auswirkungen zu reduzieren.

Es sollte wirklich keine Überraschung sein, dass E-Mail-Hacks zunehmen. Da Unternehmen digital werden, werden E-Mail-Daten für Hacker zunehmend wertvoller. Während das Trendthema dieser Woche der Deloitte-Hack(new window) ist, ist dies nur der neueste in einer langen Reihe von E-Mail-Hacks. Andere frühere Opfer schließen Sony Pictures(new window), das Democratic National Committee(new window) und Yahoo Mail(new window) ein.

Angesichts dieses Trends könnte man denken, dass E-Mail-Hacks unvermeidlich sind und dass jede Organisation früher oder später gehackt werden kann. Das ist tatsächlich die richtige Denkweise und sollte die Einstellung von Sicherheitsexperten sein, wenn es um Datenverletzungen geht. Wenn sogar die NSA gehackt wurde(new window), ist es sicher anzunehmen, dass jede Organisation gehackt werden kann.

Obwohl es sich so anfühlen mag, als gäbe es keine Hoffnung für die Cybersicherheit, bietet diese Erkenntnis tatsächlich bemerkenswerte Klarheit darüber, wie wir Daten in einer zunehmend gefährlichen Umgebung schützen sollten. Erforderlich ist, das Problem auf einer anderen Ebene anzugehen und die Datensicherheit aus einer anderen Perspektive zu betrachten.

Wenn wir gezwungen sind zu akzeptieren, dass Hacks nicht verhindert werden können, liegt der Schwerpunkt der Sicherheit nicht mehr darauf, den Eindringling draußen zu halten, sondern den Schaden zu minimieren, nachdem die Sicherheitssysteme durchbrochen wurden. Wenn es um E-Mails geht, gibt es tatsächlich mehrere konkrete Schritte, die unternommen werden können, um das mit einem E-Mail-Hack verbundene Risiko erheblich zu reduzieren.

1. Nutze E-Mail mit Ende-zu-Ende-Verschlüsselung

Ende-zu-Ende-Verschlüsselung ist eine Technologie, die alle Daten verschlüsselt, bevor sie an einen Server gesendet werden, mit einem Verschlüsselungsschlüssel, den der Server nicht besitzt. Die Sicherheitsvorteile dieses Ansatzes sind klar.

Wenn alle E-Mails verschlüsselt werden, bevor sie beim Server ankommen, dann führt ein Bruch des E-Mail-Servers nicht dazu, dass sensible E-Mail-Inhalte und Anhänge durchsickern. Es ist wichtig zu beachten, dass es einen großen Unterschied zwischen Verschlüsselung und Ende-zu-Ende-Verschlüsselung gibt.

Bei der Ende-zu-Ende-Verschlüsselung hat der Server keinen Zugriff auf die Entschlüsselungsschlüssel. Das bedeutet, dass es für einen Hacker mit Zugriff auf den E-Mail-Server keine Möglichkeit gibt, die verschlüsselten E-Mails zu entschlüsseln, weil der Server selbst nicht die Entschlüsselungsschlüssel besitzt.

Bei klassischen Verschlüsselungsschemata sind die Entschlüsselungsschlüssel für den Server verfügbar, was so viel bedeutet wie das Vorhängeschloss und den Schlüssel am gleichen Ort zu platzieren, was den Vorteil eines Schlosses weitgehend zunichtemacht.

Verschlüsselung vs. Ende-zu-Ende-Verschlüsselung

In E-Mail-Systemen mit Ende-zu-Ende-Verschlüsselung sind die Entschlüsselungsschlüssel nur für Client-Systeme zugänglich, und jeder Client hat einen anderen Entschlüsselungsschlüssel, was einen großangelegten E-Mail-Kompromiss schwierig macht.

Das Risiko wird erheblich reduziert, weil ein Kompromittieren des E-Mail-Servers keine E-Mail-Inhalte durchsickern lässt. Darüber hinaus wird im Falle, dass ein Client-Gerät gehackt wird, nur ein einziger Verschlüsselungsschlüssel kompromittiert und nicht die Schlüssel des gesamten Systems, da jeder Client einen anderen Verschlüsselungsschlüssel hat.

Es gibt mehrere Möglichkeiten für eine Organisation, Ende-zu-Ende-Verschlüsselung zu implementieren. Eine Möglichkeit besteht darin, alle Mitarbeiter darin zu schulen, PGP zu verwenden, ein System für Ende-zu-Ende-E-Mail-Verschlüsselung. Ein modernerer Weg ist die Verwendung eines E-Mail-Anbieters wie Proton Mail, der bereits PGP integriert hat. Der Vorteil von Proton Mail ist, dass die Verschlüsselung automatisch erfolgt und für den Nutzer vollkommen transparent ist, was bedeutet, dass keine Schulung der Endnutzer oder komplexes Schlüsselmanagement erforderlich ist.

Dies ist tatsächlich der Ansatz, den viele Unternehmen mit sensiblen Sicherheitsanforderungen gewählt haben, und Proton Mail wird heute von vielen Organisationen im Rechts-, Gesundheits-, Finanz- und Medienbereich verwendet. Bekannte Medien, die jetzt Proton Mail nutzen, um vertrauliche Quellen zu schützen, sind unter anderem Huffington Post(new window), das Magazin Foreign Policy(new window), NJ.com(new window) und viele andere.

Anfang dieses Jahres wurde Proton Mail HIPAA-konform(new window) und für Unternehmen geeignet, und kann nun als direkte Alternative zu Microsoft Exchange, Microsoft 365 oder Google Workplace dienen. Ende-zu-Ende-Verschlüsselung allein reicht jedoch nicht aus, um vollständigen Schutz vor E-Mail-Hacks zu gewährleisten.

2. Schütze oder beschränke Administrator-Konten

Obwohl Ende-zu-Ende-Verschlüsselung vor einem E-Mail-Server-Einbruch schützt, bietet sie begrenzten Schutz gegen die Kompromittierung eines Administrator-Kontos.

Generell können Administratoren auf verschiedene Weisen kompromittiert werden, einschließlich Insider-Bedrohungen, Nachlässigkeit oder sogar gezielte Hacking-Angriffe durch Phishing-Kampagnen. In den meisten Organisationen können bei Kompromittierung eines E-Mail-Administrators alle E-Mail-Konten gehackt werden.

Um sich gegen diese Bedrohung zu schützen, empfehlen wir, Administrator-Konten stark zu schützen oder einzuschränken. Einige Möglichkeiten zum Schutz von Administrator-Konten umfassen Folgendes:

  • Erlaube das Anmelden bei Administrator-Konten nur von bestimmten gesicherten Computern, die nicht für andere Zwecke verwendet werden, um das Risiko einer Infektion zu verringern.
  • Entferne die gesicherten Computer niemals vom Firmengelände, um das Risiko eines Systemdiebstahls zu reduzieren. Stelle sicher, dass dieser Computer eine vollständige Festplattenverschlüsselung verwendet.
  • Aktiviere immer die Zwei-Faktor-Authentifizierung für Administrator-Konten (dies wird von Proton Mail unterstützt).
  • Speichere Administrator-Passwörter nicht auf Systemen mit Netzwerkzugang. Bewahre sie stattdessen auf Papier oder auf Systemen auf, die luftdicht abgeschottet sind und keine Verbindung zum Internet herstellen können. Erlaube nicht, dass Administrator-Passwörter von Administratoren vom Firmengelände entfernt werden.
  • Wende die Zwei-Personen-Regel an, bei der das Administrator-Passwort und das Zweitfaktor-Gerät von zwei verschiedenen Personen aufbewahrt werden.

Diese Schritte können die Angriffsfläche, die deine Organisation verteidigen muss, erheblich reduzieren. Wenn es nicht machbar ist, Administrator-Konten so stark zu verteidigen, ist das Nächstbeste, Administrator-Konten stark einzuschränken.

Protons sichere Geschäfts-E-Mail(new window) bietet eine integrierte Möglichkeit, Administrator-Konten einzuschränken, indem zwei Arten von Benutzerkonten unterstützt werden. Wenn du Proton Mail für deine Organisation verwendest, können Konten als “privat” gekennzeichnet werden. Ein Konto, das auf “privat” gesetzt ist, hat zusätzlichen Schutz, da der Inhalt dieses Kontos für E-Mail-Administratoren unlesbar ist.

Selbst wenn ein Administrator-Konto kompromittiert wird, bleiben die Inhalte von “privaten” Konten sicher. Daher können höchst sensible Konten (wie Konten, die von Führungskräften oder der Personalabteilung verwendet werden) vor Schurkenadministratoren oder kompromittierten Administratoren sicher gehalten werden.

Natürlich ist der beste Ansatz, von vornherein keinen kompromittierten Administrator zu haben, was uns zum dritten Schritt führt, um deine Organisation vor E-Mail-Hacks zu schützen.

3. Schütze Endnutzer durch gute Richtlinien und Schulungen

Sicherheit ist nur so stark wie das schwächste Glied, und selbst wenn du eine starke technische Sicherheit durch die Ende-zu-Ende-Verschlüsselung von Proton Mail hast, wird das menschliche Risiko immer bestehen bleiben.

Dies muss durch eine Kombination aus Richtlinien und Schulungen gemindert werden. Ein Beispiel für eine Richtlinienentscheidung, die die Sicherheit einer Organisation verbessern kann, ist die verpflichtende Einführung der Zwei-Faktor-Authentifizierung, wie wir es in unserer Organisation handhaben.

Schulungen sind ebenso wichtig. In unserer Organisation erhalten alle neuen Mitarbeiter, unabhängig von ihrer Position, am ersten Arbeitstag einen detaillierten Sicherheitsleitfaden, den sie lesen und verstehen müssen.

Dieser Leitfaden enthält auch eine Liste empfohlener Software von Anbietern, die als sicher gelten. Wir führen auch schnell und konsequent Patches durch.

Schulungen sollten auch mit technischen Maßnahmen kombiniert werden. Heutzutage stellen Spear-Phishing-Kampagnen per E-Mail eine der gefährlichsten Bedrohungen für Organisationen dar.

Phishing-Kampagnen sind mittlerweile so ausgefeilt, dass selbst erfahrene Administratoren kompromittiert werden können. Um dem entgegenzuwirken, bietet Proton Mail eine Reihe fortschrittlicher Anti-(new window)Phishing(new window)-Funktionen(new window), die bei keinem anderen E-Mail-Dienst zu finden sind. Das gibt Organisationen, die Proton Mail nutzen, eine viel bessere Chance, sich gegen ausgefeilte Phishing-Angriffe zu wehren.

Abschließende Gedanken

Sicherheit ist schwierig und wenn uns die Geschichte eines gelehrt hat, dann dass es keine hundertprozentige Sicherheit gibt. Das bedeutet, dass wir die Herangehensweise von Organisationen an die Cybersicherheit grundlegend überdenken müssen.

Technologische Fortschritte wie die einfach zu nutzende Ende-zu-Ende-Verschlüsselung machen es möglich, auch in einer Welt, in der wir davon ausgehen, dass jeder gehackt werden kann, eine gute Sicherheit zu gewährleisten. Indem du die hier dargelegten Sicherheitsmaßnahmen ergreifst, kannst du sicherstellen, dass deine Organisation besser auf die risikoreichere Zukunft vorbereitet ist.

Hier kannst du ein kostenloses sicheres E-Mail-Konto von Proton Mail bekommen.

Wir bieten auch einen kostenlosen VPN-Dienst(new window) an.

Proton Mail und Proton VPN werden durch Gemeinschaftsbeiträge finanziert. Wenn du unsere Entwicklungsarbeit unterstützen möchtest, kannst du auf einen kostenpflichtigen Tarif(new window) upgraden. Vielen Dank für deine Unterstützung!

Schütze deine Privatsphäre mit Proton
Kostenloses Konto erstellen

Verwandte Artikel

en
Google is one of the biggest obstacles to privacy. The Big Tech giant may offer quick access to information online, but it also controls vast amounts of your personal or business data. Recently, more people are becoming aware of the actual price you
What to do if someone steals your Social Security number
en
If you’re a United States citizen or permanent resident, you have a Social Security number (SSN). This number is the linchpin of much of your existence, linked to everything from your tax records to your credit cards. Theft is a massive problem, whic
compromised passwords
en
  • Grundlagen der Privatsphäre
How do passwords become compromised?
Compromised passwords are a common issue and probably one of the biggest cybersecurity threats for regular people. How do passwords get compromised, and is there anything you can do to prevent it? * What does compromised password mean? * How do pa
Is WeTransfer safe?
en
  • Grundlagen der Privatsphäre
Is WeTransfer safe?
WeTransfer is a popular service used by millions worldwide to send large files. You may have wondered if it’s safe or whether you should use it to share sensitive files. We answer these questions below and present a WeTransfer alternative that may su
what is a dictionary attack
en
  • Grundlagen der Privatsphäre
What is a dictionary attack?
Dictionary attacks are a common method hackers use to try to crack passwords and break into online accounts.  While these attacks may be effective against people with poor account security, it’s extremely easy to protect yourself against them by usi
Datenpannen sind zunehmend alltäglich. Immer wenn du dich für einen Online-Dienst anmeldest, gibst du persönliche Informationen preis, die für Hacker wertvoll sind, wie E-Mail-Adressen, Passwörter, Telefonnummern und mehr. Leider sichern viele Online