IT-Spezialisten haben mittlerweile durchgesetzt, dass Netzwerke gegen Eindringlinge von außen durch Firewalls abgeschottet werden. Doch nur wenige Firmen kümmern sich um den Schutz der Inhalte. Dabei ist beispielsweise die Geheimhaltung von Spezifikationen für die Einführung eines neuen Produkts eine Frage der Unternehmensexistenz. Sickert doch etwas durch, ist oft nicht einmal absichtlicher Verrat im Spiel, denn rasch können Anwender ein vertrauliches Dokument versehentlich per E-Mail an Nichtautorisierte versenden.
Bild: Photodisc
Nicht so spektakulär, aber ähnlich brisant: Rabatt- und Preisstaffeln. Sie werden in der Regel heute nicht mehr über Rundfaxe versendet, sondern an einen bestimmten E-Mail-Verteiler. Was aber, wenn eine Anfrage per E-Mail eintrifft, der Versender sich als Vorgesetzter oder wichtiger Kunde ausgibt und Preise oder Rabatte erfragt? Eine Untersuchung der IDC hat gezeigt, dass 95 Prozent der Befragten den Ursprung einer elektronischen Nachricht nicht in Frage stellen, die den Anschein hat, dass sie von der Geschäftsleitung oder einem Manager des Unternehmens kommt. Angreifer haben so leichtes Spiel, wenn sie mit fingierten Absendeadressen Geschäftsgeheimnisse ausspionieren.
Wie sensibel E-Commerce-Daten mitunter sind, illustriert die Affäre um die Miles & More-Konten der Lufthansa. Gezielt wurden Daten aus einem Unternehmen der Presse zugänglich gemacht. Vermutlich erfolgte der Datentransfer per E-Mail. In solchen Fällen ist es letztlich egal, ob die Weitergabe der Daten vorsätzlich, fahrlässig oder unbeabsichtigt geschah.
Haftung für Geschäftsgeheimnisse
Bereits seit 1998 haften alle Vorstände und Geschäftsführer gemäß dem Gesetz zur Kontrolle und Transparenz im Unternehmen (KonTraG) persönlich für Schäden, die beispielsweise durch die freiwillige oder unfreiwillige Preisgabe von Geschäftsgeheimnissen, Bilanzen oder Verträgen verursacht wurden. Dem muss auch im elektronischen Kommunikationsprozess Rechnung getragen werden.
Die Sicherheit von Inhalten bedingt definierte Abläufe im Unternehmen. Ein Regelwerk, die Sicherheits-Policy, legt fest, was in einem Unternehmen erlaubt ist und was nicht. Die Policy beschreibt beispielsweise, welche Inhalte per E-Mail an Außenstehende versendet werden dürfen sowie welche Beschränkungen beim E-Mail-Verkehr beziehungsweise der Internet-Nutzung generell gelten. Idealerweise entsteht so eine Policy im Dialog mit den Anwendern, denn sie müssen schließlich die Sicherheitsvorschriften verstehen und beherzigen.
Was nützen die besten Firewalls, wenn Mitarbeiter - aus Versehen oder mutwillig - geheime Dokumente per E-Mail aus dem Unternehmensnetz schleusen, wenn über elektronische Post Viren eingeschleppt werden oder Spam-Mails die Messaging-Server überfluten? Content-Security-Systeme als Ergänzung zu bestehenden Schutzeinrichtungen sollen die Mail-Kommunikation in Firmen sicherer machen. Ein Regelwerk legt dabei fest, welche Angestellten welche Dateien empfangen und versenden dürfen.
Softwarelösungen für Content-Security setzen die Policy um. Sie analysieren ein- und ausgehende E-Mails und bestimmen nach der Prüfung, ob die Nachricht das Unternehmen verlassen beziehungsweise an den Empfänger im Unternehmen gelangen darf.
Eine solche Lösung muss abgestufte Berechtigungen zulassen, und zwar nicht nur nach Unternehmensstandorten und Abteilungen, sondern auch individuelle Einstufungen für einzelne Mitarbeiter. Danach darf beispielsweise die Marketing-Abteilung auch Videos und hochauflösende Bilddateien empfangen und senden.
Schnittstellen zu Unternehmensverzeichnissen erleichtern es dem Verwalter der Content-Security-Umgebung, eine Vielzahl von Anwendern einzubinden beziehungsweise die Konfiguration aktuell zu halten. Wechselt beispielsweise ein Mitarbeiter die Abteilung oder werden Unternehmensteile neu organisiert, genügt die einmalige Korrektur im Verzeichnis, denn die Sicherheitssoftware passt die Policies idealerweise automatisch an.
Prüfung aller Attachments
E-Mails sind mitunter komplex. Da gibt es den Header, den der Anwender meist nicht sieht. Der eigentliche Textbereich (auch „Body“ genannt) enthält häufig einen Verweis auf einen Dateianhang (Attachment), manchmal sind aber auch HTML-Seiten, Links und Scripts in das Feld eingebettet. Die Attachments können Textdateien, Dokumente mit Formatierungen, Excel-Dateien, Datenbankauszüge, ausführbare Files oder Bilddateien sein. Daher müssen Content-Security-Systeme in der Lage sein, nicht nur den eigentlichen Text der E-Mail, sondern auch die Attachments zu öffnen und zu analysieren. Zweckmäßigerweise stößt die Software dann auch gleich die Prüfung durch den Virenscanner an.
Systemfunktionen und Wirkungsweise eines Content-Security-Systems. (Quelle Clearswift)
Neben Viren und Würmern bereiten den Firmen aber auch unerwünschte Textnachrichten Sorgen. Einige Content-Sicherheitssysteme durchstöbern den Mail-Inhalt nach Stichworten, um gegebenenfalls den Inhalt der Botschaft schließen zu können, etwa per E-Mail versendete Angebote von Porno-Sites. Darüber hinaus ist hier eine Kontextprüfung angebracht, die zum Beispiel Mails über Brustkrebs nicht als sexuelle Belästigungen einstuft. Dies leisten Lösungen, die den Kontext nicht nur nach Wörtern und Wendungen absuchen, sondern das Ergebnis gewichten. Ebenso ließe sich so feststellen, ob eine Nachricht möglicherweise Geschäftsgeheimnisse enthält, die besser nicht die Firmengrenzen verlassen sollten. Die Gewichtung der Wörter und Wendungen legt der Anwender in der Policy fest. Wenn beispielsweise automatisch erkannt werden soll, ob eine E-Mail über das Thema „Familie“ handelt, könnte der Anwender den Worten
„Vater“ und „Mutter“ die Gewichtung 4, dem Wort „Kind“ die Gewichtung 2 geben. Erst ab einem Schwellenwert von 10, wenn also mindestens diese drei Begriffe auftauchen, würde das Content-Security-System eine Nachricht in diese Kategorie einordnen.
Wird eine E-Mail als nicht Policy-konform eingestuft, weil sie vertrauliche Daten birgt, an einen nicht geeigneten Empfänger gerichtet ist oder sogar sexuelle oder rassistische Beleidigungen enthält, wird sie geblockt. Dabei können die betreffenden Botschaften - unabhängig davon, ob es sich um ein- oder ausgehende Mails handelt - an den Absender zurückgesendet oder mit einem Kommentar weitergeleitet werden. Ferner wäre der Verwalter in der Lage, die herausgefilterten E-Mails in Quarantäneverzeichnis zu überführen, wo sie einer eingehenden Überprüfung unterzogen werden. Oder das System löscht ganz einfach solche Nachrichten. Auch in diesen Fällen legt die Policy fest, welches Vorgehen jeweils Anwendung finden soll, die Content-Security-Software ist dabei nur noch die ausführende Instanz.
Ein weiteres nützliches Feature ist das Einfügen von Hinweisen, dass ausgehende E-Mails auf Viren geprüft wurden, sowie eines Textes über den Haftungsausschluss der Geschäftsleitung.
Spam-Blocker
Mittlerweile sind die Mail-Server von Firmen von zahlreichen Gefahren bedroht: Mit Denial-of-Service-Attacken und Mail-Bombing etwa versuchen Hacker, Messaging-Systeme von Unternehmen lahm zu legen. Zudem werden Angestellte zunehmend mit Spam-Mails (unerwünschte Botschaften) belästigt. Spam hält Mitarbeiter von der Arbeit ab und belastet zudem die Kapazität der Server.
Auch hier können Content-Security-Produkte helfen. Anhand tagesaktueller Listen der Spam-Versender filtern die Systeme störende Mails heraus. Dies ist insbesondere wichtig, um erwünschte Massensendungen wie Newsletters von den unerwünschten zu trennen und ohne großen Aufwand den Überblick über den eigenen Mail-Account zu behalten. Darüber hinaus erkennen manche Lösungen eigenständig auch Spam-Mails und schlagen das Sperren solcher Sendungen vor.