Proton

Heutzutage werden E-Mail-Verletzungen für Enterprise-Unternehmen immer häufiger. Es gibt jedoch zuverlässige Methoden, um E-Mail-Verletzungen zu verhindern oder deren Auswirkungen zu reduzieren.

Es sollte wirklich keine Überraschung sein, dass E-Mail-Hacks zunehmen. Da Unternehmen digital werden, werden E-Mail-Daten für Hacker zunehmend wertvoller. Während das Trendthema dieser Woche der Deloitte-Hack(neues Fenster) ist, ist dies nur der neueste in einer langen Reihe von E-Mail-Hacks. Andere frühere Opfer schließen Sony Pictures(neues Fenster), das Democratic National Committee(neues Fenster) und Yahoo Mail(neues Fenster) ein.

Angesichts dieses Trends könnte man denken, dass E-Mail-Hacks unvermeidlich sind und dass jede Organisation früher oder später gehackt werden kann. Das ist tatsächlich die richtige Denkweise und sollte die Einstellung von Sicherheitsexperten sein, wenn es um Datenverletzungen geht. Wenn sogar die NSA gehackt wurde(neues Fenster), ist es sicher anzunehmen, dass jede Organisation gehackt werden kann.

Obwohl es sich so anfühlen mag, als gäbe es keine Hoffnung für die Cybersicherheit, bietet diese Erkenntnis tatsächlich bemerkenswerte Klarheit darüber, wie wir Daten in einer zunehmend gefährlichen Umgebung schützen sollten. Erforderlich ist, das Problem auf einer anderen Ebene anzugehen und die Datensicherheit aus einer anderen Perspektive zu betrachten.

Wenn wir gezwungen sind zu akzeptieren, dass Hacks nicht verhindert werden können, liegt der Schwerpunkt der Sicherheit nicht mehr darauf, den Eindringling draußen zu halten, sondern den Schaden zu minimieren, nachdem die Sicherheitssysteme durchbrochen wurden. Wenn es um E-Mails geht, gibt es tatsächlich mehrere konkrete Schritte, die unternommen werden können, um das mit einem E-Mail-Hack verbundene Risiko erheblich zu reduzieren.

1. Nutze E-Mail mit Ende-zu-Ende-Verschlüsselung

Ende-zu-Ende-Verschlüsselung ist eine Technologie, die alle Daten verschlüsselt, bevor sie an einen Server gesendet werden, mit einem Verschlüsselungsschlüssel, den der Server nicht besitzt. Die Sicherheitsvorteile dieses Ansatzes sind klar.

Wenn alle E-Mails verschlüsselt werden, bevor sie beim Server ankommen, dann führt ein Bruch des E-Mail-Servers nicht dazu, dass sensible E-Mail-Inhalte und Anhänge durchsickern. Es ist wichtig zu beachten, dass es einen großen Unterschied zwischen Verschlüsselung und Ende-zu-Ende-Verschlüsselung gibt.

Bei der Ende-zu-Ende-Verschlüsselung hat der Server keinen Zugriff auf die Entschlüsselungsschlüssel. Das bedeutet, dass es für einen Hacker mit Zugriff auf den E-Mail-Server keine Möglichkeit gibt, die verschlüsselten E-Mails zu entschlüsseln, weil der Server selbst nicht die Entschlüsselungsschlüssel besitzt.

Bei klassischen Verschlüsselungsschemata sind die Entschlüsselungsschlüssel für den Server verfügbar, was so viel bedeutet wie das Vorhängeschloss und den Schlüssel am gleichen Ort zu platzieren, was den Vorteil eines Schlosses weitgehend zunichtemacht.

Verschlüsselung vs. Ende-zu-Ende-Verschlüsselung

In E-Mail-Systemen mit Ende-zu-Ende-Verschlüsselung sind die Entschlüsselungsschlüssel nur für Client-Systeme zugänglich, und jeder Client hat einen anderen Entschlüsselungsschlüssel, was einen großangelegten E-Mail-Kompromiss schwierig macht.

Das Risiko wird erheblich reduziert, weil ein Kompromittieren des E-Mail-Servers keine E-Mail-Inhalte durchsickern lässt. Darüber hinaus wird im Falle, dass ein Client-Gerät gehackt wird, nur ein einziger Verschlüsselungsschlüssel kompromittiert und nicht die Schlüssel des gesamten Systems, da jeder Client einen anderen Verschlüsselungsschlüssel hat.

Es gibt mehrere Möglichkeiten für eine Organisation, Ende-zu-Ende-Verschlüsselung zu implementieren. Eine Möglichkeit besteht darin, alle Mitarbeiter darin zu schulen, PGP zu verwenden, ein System für Ende-zu-Ende-E-Mail-Verschlüsselung. Ein modernerer Weg ist die Verwendung eines E-Mail-Anbieters wie Proton Mail, der bereits PGP integriert hat. Der Vorteil von Proton Mail ist, dass die Verschlüsselung automatisch erfolgt und für den Nutzer vollkommen transparent ist, was bedeutet, dass keine Schulung der Endnutzer oder komplexes Schlüsselmanagement erforderlich ist.

Dies ist tatsächlich der Ansatz, den viele Unternehmen mit sensiblen Sicherheitsanforderungen gewählt haben, und Proton Mail wird heute von vielen Organisationen im Rechts-, Gesundheits-, Finanz- und Medienbereich verwendet. Bekannte Medien, die jetzt Proton Mail nutzen, um vertrauliche Quellen zu schützen, sind unter anderem Huffington Post(neues Fenster), das Magazin Foreign Policy(neues Fenster), NJ.com(neues Fenster) und viele andere.

Anfang dieses Jahres wurde Proton Mail HIPAA-konform(neues Fenster) und für Unternehmen geeignet, und kann nun als direkte Alternative zu Microsoft Exchange, Microsoft 365 oder Google Workplace dienen. Ende-zu-Ende-Verschlüsselung allein reicht jedoch nicht aus, um vollständigen Schutz vor E-Mail-Hacks zu gewährleisten.

2. Schütze oder beschränke Administrator-Konten

Obwohl Ende-zu-Ende-Verschlüsselung vor einem E-Mail-Server-Einbruch schützt, bietet sie begrenzten Schutz gegen die Kompromittierung eines Administrator-Kontos.

Generell können Administratoren auf verschiedene Weisen kompromittiert werden, einschließlich Insider-Bedrohungen, Nachlässigkeit oder sogar gezielte Hacking-Angriffe durch Phishing-Kampagnen. In den meisten Organisationen können bei Kompromittierung eines E-Mail-Administrators alle E-Mail-Konten gehackt werden.

Um sich gegen diese Bedrohung zu schützen, empfehlen wir, Administrator-Konten stark zu schützen oder einzuschränken. Einige Möglichkeiten zum Schutz von Administrator-Konten umfassen Folgendes:

  • Erlaube das Anmelden bei Administrator-Konten nur von bestimmten gesicherten Computern, die nicht für andere Zwecke verwendet werden, um das Risiko einer Infektion zu verringern.
  • Entferne die gesicherten Computer niemals vom Firmengelände, um das Risiko eines Systemdiebstahls zu reduzieren. Stelle sicher, dass dieser Computer eine vollständige Festplattenverschlüsselung verwendet.
  • Aktiviere immer die Zwei-Faktor-Authentifizierung für Administrator-Konten (dies wird von Proton Mail unterstützt).
  • Speichere Administrator-Passwörter nicht auf Systemen mit Netzwerkzugang. Bewahre sie stattdessen auf Papier oder auf Systemen auf, die luftdicht abgeschottet sind und keine Verbindung zum Internet herstellen können. Erlaube nicht, dass Administrator-Passwörter von Administratoren vom Firmengelände entfernt werden.
  • Wende die Zwei-Personen-Regel an, bei der das Administrator-Passwort und das Zweitfaktor-Gerät von zwei verschiedenen Personen aufbewahrt werden.

Diese Schritte können die Angriffsfläche, die deine Organisation verteidigen muss, erheblich reduzieren. Wenn es nicht machbar ist, Administrator-Konten so stark zu verteidigen, ist das Nächstbeste, Administrator-Konten stark einzuschränken.

Protons sichere Geschäfts-E-Mail(neues Fenster) bietet eine integrierte Möglichkeit, Administrator-Konten einzuschränken, indem zwei Arten von Benutzerkonten unterstützt werden. Wenn du Proton Mail für deine Organisation verwendest, können Konten als “privat” gekennzeichnet werden. Ein Konto, das auf “privat” gesetzt ist, hat zusätzlichen Schutz, da der Inhalt dieses Kontos für E-Mail-Administratoren unlesbar ist.

Selbst wenn ein Administrator-Konto kompromittiert wird, bleiben die Inhalte von “privaten” Konten sicher. Daher können höchst sensible Konten (wie Konten, die von Führungskräften oder der Personalabteilung verwendet werden) vor Schurkenadministratoren oder kompromittierten Administratoren sicher gehalten werden.

Natürlich ist der beste Ansatz, von vornherein keinen kompromittierten Administrator zu haben, was uns zum dritten Schritt führt, um deine Organisation vor E-Mail-Hacks zu schützen.

3. Schütze Endnutzer durch gute Richtlinien und Schulungen

Sicherheit ist nur so stark wie das schwächste Glied, und selbst wenn du eine starke technische Sicherheit durch die Ende-zu-Ende-Verschlüsselung von Proton Mail hast, wird das menschliche Risiko immer bestehen bleiben.

Dies muss durch eine Kombination aus Richtlinien und Schulungen gemindert werden. Ein Beispiel für eine Richtlinienentscheidung, die die Sicherheit einer Organisation verbessern kann, ist die verpflichtende Einführung der Zwei-Faktor-Authentifizierung, wie wir es in unserer Organisation handhaben.

Schulungen sind ebenso wichtig. In unserer Organisation erhalten alle neuen Mitarbeiter, unabhängig von ihrer Position, am ersten Arbeitstag einen detaillierten Sicherheitsleitfaden, den sie lesen und verstehen müssen.

Dieser Leitfaden enthält auch eine Liste empfohlener Software von Anbietern, die als sicher gelten. Wir führen auch schnell und konsequent Patches durch.

Schulungen sollten auch mit technischen Maßnahmen kombiniert werden. Heutzutage stellen Spear-Phishing-Kampagnen per E-Mail eine der gefährlichsten Bedrohungen für Organisationen dar.

Phishing-Kampagnen sind mittlerweile so ausgefeilt, dass selbst erfahrene Administratoren kompromittiert werden können. Um dem entgegenzuwirken, bietet Proton Mail eine Reihe fortschrittlicher Anti-(neues Fenster)Phishing(neues Fenster)-Funktionen(neues Fenster), die bei keinem anderen E-Mail-Dienst zu finden sind. Das gibt Organisationen, die Proton Mail nutzen, eine viel bessere Chance, sich gegen ausgefeilte Phishing-Angriffe zu wehren.

Abschließende Gedanken

Sicherheit ist schwierig und wenn uns die Geschichte eines gelehrt hat, dann dass es keine hundertprozentige Sicherheit gibt. Das bedeutet, dass wir die Herangehensweise von Organisationen an die Cybersicherheit grundlegend überdenken müssen.

Technologische Fortschritte wie die einfach zu nutzende Ende-zu-Ende-Verschlüsselung machen es möglich, auch in einer Welt, in der wir davon ausgehen, dass jeder gehackt werden kann, eine gute Sicherheit zu gewährleisten. Indem du die hier dargelegten Sicherheitsmaßnahmen ergreifst, kannst du sicherstellen, dass deine Organisation besser auf die risikoreichere Zukunft vorbereitet ist.

Hier kannst du ein kostenloses sicheres E-Mail-Konto von Proton Mail bekommen.

Wir bieten auch einen kostenlosen VPN-Dienst(neues Fenster) an.

Proton Mail und Proton VPN werden durch Gemeinschaftsbeiträge finanziert. Wenn du unsere Entwicklungsarbeit unterstützen möchtest, kannst du auf einen kostenpflichtigen Tarif(neues Fenster) upgraden. Vielen Dank für deine Unterstützung!

Verwandte Artikel

A cover image for a blog describing the next six months of Proton Pass development which shows a laptop screen with a Gantt chart
en
Take a look at the upcoming features and improvements coming to Proton Pass over the next several months.
The Danish mermaid and the Dutch parliament building behind a politician and an unlocked phone
en
We searched the dark web for Danish, Dutch, and Luxembourgish politicians’ official email addresses. In Denmark, over 40% had been exposed.
Infostealers: What they are, how they work, and how to protect yourself
en
Discover insights about what infostealers are, where your stolen information goes, and ways to protect yourself.
Mockup of the Proton Pass app and text that reads "Pass Lifetime: Pay once, access forever"
en
Learn more about our exclusive Pass + SimpleLogin Lifetime offer. Pay once and enjoy premium password manager features for life.
A cover image for a blog announcing that Pass Plus will now include premium SimpleLogin features
en
We're changing the price of new Pass Plus subscriptions, which now includes access to SimpleLogin premium features.
Infinity symbol in purple with the words "Call for submissions" and "Proton Lifetime Fundraiser 7th Edition"
en
It’s time to choose the organizations we should support for the 2024 edition of our annual charity fundraiser.