Ratgeber E-Mail-Security

Rundum-Sicherheit für E-Mails

19.03.2013
Von  und
Thomas Bär, der seit Ende der neunziger Jahre in der IT tätig ist, bringt weit reichende Erfahrungen bei der Einführung und Umsetzung von IT-Prozessen im Gesundheitswesen mit. Dieses in der Praxis gewonnene Wissen hat er seit Anfang 2000 in zahlreichen Publikationen als Fachjournalist in einer großen Zahl von Artikeln umgesetzt. Er lebt und arbeitet in Günzburg.
Frank-Michael Schlede arbeitet seit den achtziger Jahren in der IT und ist seit 1990 als Trainer und Fachjournalist tätig. Nach unterschiedlichen Tätigkeiten als Redakteur und Chefredakteur in verschiedenen Verlagen arbeitet er seit Ende 2009 als freier IT-Journalist für verschiedene Online- und Print-Publikationen. Er lebt und arbeitet in Pfaffenhofen an der Ilm.

Data Loss Prevention (DLP): Wie gehen die Nachrichten raus?

Wer über sichere E-Mail redet, muss die Frage beantworten, auf welchen Wegen Informationen grundsätzlich seine Firma verlassen können. Dies ist ein Thema, das weit über die Sicherheit der zum Einsatz kommenden E-Mail-Anwendungen hinausgeht und häufig unter dem Begriff DLP für "Data Loss Prevention" behandelt wird. Wie häufig sind sich dabei die verschiedenen Quellen und Hersteller nicht wirklich einig darüber, wofür die drei Buchstaben DLP genau stehen: Neben der Erklärung als "Data Leak Prevention" werden aber auch die Begriffe "Data Leakage Prevention" oder "Data Loss Prevention" als Erklärung verwendet. Einige Fachleute setzen dann diese Begriffe synonym ein, während andere einen Unterschied machen, ob Daten mit Vorsatz entwendet werden (Data Loss) oder ob sie unbemerkt beziehungsweise versehentlich aus dem Firmennetz abhandenkommen (Data Leak).

Unter den vielen Kanälen, auf denen Informationen verloren gehen, die entscheidend für die Sicherheit und/oder den Geschäftserfolg einer Firma sein können, nimmt die E-Mail eine herausragende Stellung ein: Das reicht von der Nachricht, die unabsichtlich an den falschen Empfänger geschickt wird, bis zu der gerade in großen Firmen beliebten Unsitte, mittels "Reply-to-all" zu antworten - wobei schnell ein Empfänger auf die Liste gelangt, der diese eine Nachricht nicht erhalten durfte. Weitere Probleme entstehen schnell dadurch, dass Anwender ihrer Nachrichten mit vertraulichen Informationen an ihre private Mail-Adresse weiterleiten, die sich vielleicht sogar bei einem Webmail-Anbieter befindet, ohne die daraus entstehenden Konsequenzen für die Sicherheit zu beachten.

Diese Probleme treten aus vielen Gründen auf: Einer besteht darin, dass in vielen Unternehmen zwar die eingehende E-Mail sehr genau durch ein spezielles E-Mail-Sicherheitssystem untersucht wird, ausgehende Nachrichten aber weitgehend ungehindert das Firmennetzwerk verlassen können. So können dann auch Anhänge, die eigentlich nur für den internen Gebrauch gedacht sind, schnell in falsche Hände gelangen. Selbst wenn der ausgehende E-Mail-Verkehr auf solche Probleme untersucht wird, benutzen die meisten Firmen doch den Port 80, um die Verbindung zum Internet zu gewährleisten. Das heißt aber auch, dass Mitarbeiter über diese Art der Verbindung einen Webmail-Account verwenden können, so dass auf diese Weise wiederum wichtige und sicherheitsrelevante Informationen unbemerkt die Firma verlassen können.