In einem Vortrag auf dem World Economic Forum in Davos im Jahr 2004 sagte Bill Gates, das Problem mit Spam-E-Mails werde sich spätestens 2006 erledigt haben. Bessere Filter und erweiterte Sicherheitsfunktionen in E-Mail-Programmen und Betriebssystemen wie Windows würden der Flut von unerwünschten Werbebotschaften ein Ende machen. Heute, fünf Jahre später ist klar, dass es sich um eine der größten Fehleinschätzungen handelte, die der Gründer und damalige Chef von Microsoft jemals traf. Nach Angaben des IT-Sicherheitsunternehmens Symantec stieg im Oktober 2009 der Anteil der Spam-E-Mails am gesamten Aufkommen der elektronischen Post auf mehr als 87 Prozent. In der Vorweihnachtszeit, traditionell ein Höhepunkt der Spam-Welle, erreicht der Anteil sogar 95 bis 97 Prozent.

Doch Spam ist nur ein Punkt, der im Rahmen von E-Mail-Sicherheit eine Rolle spielt. Nach übereinstimmender Einschätzung aller IT-Sicherheitsfirmen ist die E-Mail immer noch die wichtigste Waffe im Arsenal von Cyber-Kriminellen. Mittlerweile enthalten nach Angaben von IT-Sicherheitsfirmen wie Trend Micro, Symantec, McAfee und Kaspersky etwa zwei bis 4,5 Prozent der dubiosen Werbebotschaften Schadsoftware: von Viren über Trojaner, Software zum Mitschneiden der Tastatureingaben von Usern (Key-Logger) bis hin zu Links, die den Nutzer auf Malware-verseuchte Web-Seiten führen sollen.

1. Verfassen Sie Ihre E-Mails knapp und präzise.
Alles was mehr als zwei Seiten umfasst, gehört in eine angehängte Datei.

2. Überprüfen Sie Rechtschreibung und Grammatik.
In den meisten E-Mail-Systemen gibt es entsprechende Funktionen. Da dies bekannt ist, werden entsprechende Fahrlässigkeiten übel genommen. Fehler suggerieren: Der Autor hat sich entweder für mich keine Zeit genommen oder er ist ein Schlendrian.

3. Beantworten Sie E-Mails schnell.
Reaktionsschnelligkeit ist einer der entscheidenden Vorteile von elektronischer Post. Vor allem auf erwartete Messages sollte zügig geantwortet werden. Wenn man nicht gerade extrem beschäftigt ist, sollte man den Posteingang mehrmals täglich checken. Allerdings ist es nicht nötig, die automatische Benachrichtung (Auto Notify) zu jeder eingehenden E-Mail zu aktivieren - das lenkt zu sehr von der Arbeit ab.

4. Gehen Sie sparsam mit der Funktion "Antwort an alle" um.
Es besteht die Möglichkeit, die Nachricht an eine Gruppe zu versenden, aus der sich vielleicht nur ein Prozent der Beteiligten dafür interessiert. Der Effekt ist vergleichbar mit einer Fahrt in einem öffentlichen Verkehrsmittel, in dem man gezwungen ist, dem Handygespräch eines Unbekannten zuzuhören. Wer ohne Notwendigkeit allen antwortet, erzeugt außerdem jede Menge elektronischen Müll. Insbesondere, wenn Anhänge mitgeschickt werden, führt das unnötige Versenden an große Verteiler zu Ressourcenproblemen.

5. Sorgen Sie dafür, dass Ihre E-Mail einfach lesbar ist.
Experton empfiehlt, die E-Mail in einem Stil zu verfassen, der einem schriftlichen Dokument (zum Beispiel Geschäftsbrief) gleicht. Grußformel und Unterschrift (Automatische Signatur) sind selbstverständlich. Außerdem sind kurze Sätze sowie - bei längeren Texten - Absätze zu empfehlen.

6. Halten Sie sich an die rechtlichen Bestimmungen für den E-Mail-Verkehr.
In Deutschland gilt seit Anfang 2007 eine neue Rechtsprechung, der zufolge im Anhang Pflichtangaben über das Unternehmen (Rechtsform, Sitz, Registergericht, Geschäftsführung) vorgeschrieben sind. Außerdem kann es manchmal nützlich sein, Angaben zu Urheberrecht, Vervielfältigung oder sonstige Rechtsklauseln anzuhängen. Im Übrigen sollten Unternehmen Regeln für den E-Mail-Verkehr formulieren (E-Mail-Policy), die regelmäßig zu verbreiten sind, damit auch neue Mitarbeiter auf dem Laufenden gehalten werden.

7. Antworten Sie niemals auf Spam.
Eigentlich eine Binsenweisheit, und doch ein immer wieder gemachter Fehler. Viele Spammer statten ihre Nachricht mit einer Opt-out-Funktion aus, indem die Mail im Betreff-Feld vorgeblich mit "unsubscribe" abbestellt werden kann. Für manche Spam-Programme, die für den automatischen Versand des elektronischen Mülls sorgen, bedeutet eine solche Antwort: Der Adressat ist da, er kann mehr Spam in Empfang nehmen.

8. Nutzen Sie Blindkopien, um Dritte zu informieren.
So bleibt der Verteilerkreis im Unklaren darüber,wer die Nachricht noch erhalten hat.

9. Formulieren Sie den Betreff aussagekräftig.
Nur so ragt die Botschaft aus der Fülle der Spam-Mitteilungen heraus, die heute die meisten Postfächer füllen.

10. Keep it simple.
Es gibt heute viele Möglichkeiten, E-Mails aufzuhübschen (Emoticons, Bilder etc.). Versender sollten vorsichtig damit umgehen, da nicht jedes Mail-Programm damit fertig wird und außerdem Ressourcen verschwendet werden. Zudem sind Emoticons mitunter mit Spyware infiziert. Deshalb: Nichts von unbekannten Quellen herunterladen!

11. Nutzen Sie die Features moderner E-Mail-Programme.
Rückruf: Eine E-Mail, die fehlerhaft oder ohne Anhang versandt wurde, wird zurückgerufen. Sparsam verwenden, lieber Botschaften noch einmal genau checken, bevor sie verschickt werden. Oft werden E-Mails schnell geöffnet und lassen sich nicht mehr zurückrufen. <br/><br/> Automatische Antwort: Die Out-of-Office-Funktion ist wirklich nützlich und sollte angewendet werden! Allerdings sollte man sie schnell deaktivieren, wenn man wieder im Büro ist.<br/><br/> Wiederversenden: Manchmal erreichen E-Mails nie den Adressaten, etwa weil der Mail-Server ausfällt. Mit der Resend-Funktion lassen sie sich umstandslos ein zweites Mal verschicken. Vor dem Versand in die Betreffzeile eine Bemerkung wie "zweiter Versuch" einfügen.<br/><br/>Übermittlungsbestätigung: Nice to have, aber nicht zwingend nötig. Funktioniert auch nicht mit jedem E-Mail-System. <br/><br/>Lesebestätigung: Ebenfalls nice to have.

12. Nutzen Sie E-Mails um Gespräche und Diskussionen anschließend zu bestätigen.
Elektronische Post bietet die Chance, sehr schnell Gesprächsergebnisse aus Konferenzen oder Telefonaten zu protokollieren. So lassen sich für alle Beteiligten die Ergebnisse sichern, bezüglich geplanter Maßnahmen sind alle auf demselben Stand. Was schriftlich fixiert wurde, wird von den Beteiligten ernster genommen.

13. Verlassen Sie sich bei dringenden Informationen nicht auf E-Mail.
Dazu lieber das Telefon benutzen. Es gibt keine Garantie, dass eine E-Mail gelesen wird. Oft wird die Nachricht übersehen, die Lektüre wird vertagt oder die Botschaft wird als vermeintlicher Spam gelöscht.

14. Nutzen Sie E-Mails nicht für unangebrachte Kommunikation.
E-Mail für die Verbreitung von Spam zu missbrauchen, ist nicht nur ein Ärgernis, sondern möglicherweise auch noch illegal. Und: In den meisten Fällen kann der Absender schnell ermittelt werden.

Ein weiterer klassischer Schwachpunkt von E-Mail-Infrastrukturen ist nach Angaben des Bundesamts für Sicherheit in der Informationstechnik (BSI), dass Anwender, speziell aus dem Mittelstand, allzu oft auf das Verschlüsseln wichtiger Nachrichten verzichten. Das macht es Angreifern leichter, E-Mails mit Unternehmensinformationen abzufangen.

Mittelstand unterschätzt Gefahren

Im Gegensatz zu Großunternehmen sind sich kleinere Betriebe oft der Gefahren nicht bewusst, die durch einen unzureichenden Schutz der elektronischen Kommunikation drohen. "Oft nutzen sie nicht einmal einen Proxy-Server, um den Datenverkehr aus dem Internet zu filtern", sagt Oliver Pifferi, Projekt-Manager und IT-Sicherheitsexperte beim Systemhaus Kriehn.net aus Bottrop. "Das ist geradezu fahrlässig." Einem mittelständischen Unternehmen, das seinen E-Mail-Verkehr gegen Angriffe absichern möchte, stehen drei Alternativen zur Wahl:

• E-Mail-Server und Client-Rechner in Eigenregie verwalten und entsprechende Schutzmaßnahmen treffen.

• Gehostete E-Mail-Sicherheitslösungen verwenden. Dabei greift der Anwender auf Hard- und Software zurück, die bei einem IT-Service-Provider stehen.

• E-Mail-Server und Sicherheitslösungen werden beim Anwender installiert. Den Betrieb und das Management dieser Systeme übernimmt jedoch ein externer Dienstleister, Stichwort Managed Service.

Der Eigenbetrieb: Produkte gibt es zuhauf

Der klassische Ansatz, auf den hierzulande immer noch viele Firmen zurückgreifen, besteht darin, E-Mail-Server und die dazugehörigen Sicherheitssysteme in Eigenregie zu betreiben. Der Vorteil dieser Lösung ist, dass der Anwender zu jeder Zeit die Kontrolle über den elektronischen Nachrichtenverkehr hat. Das hat allerdings seinen Preis: Das Unternehmen muss den Server und die entsprechende Messaging-Software anschaffen, etwa Microsoft Exchange oder Lotus Domino. Hinzu kommen die Kosten für Sicherheitssysteme, speziell ein E-Mail-Gateway. Solche Gateways stehen in zwei Versionen zur Auswahl, als Hardware-Appliance oder als Softwarelösung, die auf einem Server installiert wird.

Neben etablierten IT-Security- und Netzwerkfirmen wie Check Point, Cisco, F-Secure, Kaspersky, McAfee, Symantec oder Trend Micro bieten viele kleinere Unternehmen solche Gateways an. Dazu gehören Alt-N ("Security Gateway"), Astaro ("Mail Gateway"), Barracuda Networks ("Spam & Virus Firewall"), M86 ("Mail Marshal") oder Underground 8 ("AS Communication Gateway"). Viele dieser Systeme verwenden als Betriebssystem eine Linux-Version.

Aktuelle Gateways kombinieren mehrere Sicherheitsfunktionen. Sie dienen als Proxy, bieten teilweise einen Viren-, Spyware- und Spam-Schutz und stellen einen Content-Filter bereit. Dieser analysiert nicht nur elektronische Nachrichten auf Schadsoftware, sondern prüft auch den normalen Internet-Verkehr. Ist zudem ein Application-Level-Gateway (ALG) integriert, kann der IT-Administrator den Internet-Verkehr auf Anwendungsebene kontrollieren, also beispielsweise Peer-to-Peer-Verbindungen blockieren.

Nicht nur den E-Mail-Server im Auge behalten

Wichtig ist, dass nicht nur der E-Mail- oder Messaging-Server abgesichert ist. Oft wird übersehen, dass die Client-Rechner eine Security-Software benötigen. Diese sollte folgende Funktionen bieten:

• Spam-Filter;

• Anti-Phishing-Funktion;

• Virenschutz sowie

• Personal-Firewall.

Leider nehmen es gerade kleinere und mittelständische Firmen aus Kostengründen mit dem Schutz der Client-Rechner nicht allzu genau: "Auch der Mittelstand spürt die Folgen der Wirtschaftskrise", so Jan Hichert, Geschäftsführer der IT-Sicherheitsfirma Astaro. "Das ist der Grund, weshalb immer mehr Unternehmen auf Consumer-Produkte zurückgreifen, um ihre IT-Umgebungen abzusichern." Diesen Paketen fehlt beispielsweise eine Management-Konsole, mit deren Hilfe ein Systemverwalter die Programme auf den Clients zentral verwalten kann. Zudem können sie keine Security-Policies auf- und durchsetzen. Die Regelwerke sind wiederum notwendig, um beispielsweise den Schmuggel von Unternehmensinformationen via E-Mail zu unterbinden. Das ist ein Sicherheitsrisiko, das oft unterschätzt wird.

Der Nachteil einer selbst gemanagten E-Mail-Sicherheitslösung liegt auf der Hand: Anschaffung und Betrieb der Systeme kosten Geld und Zeit. Die IT-Abteilung muss geschulte Mitarbeiter abstellen, die sich um diese Geräte kümmern. Gerade für kleinere Unternehmen ist das problematisch.

Gehostete Lösungen für den Mittelstand

"Seitdem die IT-Budgets nicht mehr steigen, verzeichnen wir ein steigendes Interesse an gehosteten E-Mail-Lösungen", sagt Jörg Heckwolf, Solution Manager IT-Security beim Systemhaus Controlware. In gehosteten E-Mail-Sicherheitslösungen steht die Hard- und Software beim Service-Provider. Er ist dafür zuständig, dass die Systeme stets auf dem neuesten Stand sind und dass aktuelle Malware-Signaturen eingespielt sowie Spam-Quellen geblockt werden. Alle E-Mails, die ein Unternehmen sendet oder empfängt, werden über die Server des Dienstanbieters geleitet und dort überprüft. Diese Systeme stehen in der Regel in Rechenzentren des Providers.

Die Anbieterszene für Hosted-E-Mail-Security hat sich in den vergangenen zwei Jahren enorm vergrößert. Spezialanbieter wie Messagelabs, Postini oder Retarus haben Konkurrenz von den Herstellern von Antivirus- und Anti-Spam-Software bekommen. Zu den bekanntesten Firmen aus diesem Bereich zählen Symantec, das sich Messagelabs einverleibte, Trend Micro, McAfee und Kaspersky. Die Anbieter bauen auf Basis von Software-as-a-Service-Modellen (SaaS) und Messaging-Services ihre Produktspektren aus, um schrumpfende Margen im Geschäft mit Sicherheitssoftware auszugleichen.

Anwender verlieren Know-how

Für Mittelständler haben solche Dienste einen gewissen Reiz: "Gehostete E-Mail-Sicherheitsdienste machen die Kosten transparent", erläutert Controlware-Manager Heckwolf. "Das gefällt den Finanzchefs." In der Regel wird ein solcher Service auf Basis der betreuten Anwenderzahl abgerechnet. Pro Arbeitsplatz fallen je nach Umfang der genutzten Dienstleistungen ungefähr zwischen zwei und fünf Euro im Monat an.

In diesem Modell müssen sich Anwender weder um die Anschaffung noch den Betrieb der E-Mail-Security-Infrastruktur kümmern. Die Kosten sind kontrollierbar und kalkulierbar, weil feste Monats- oder Jahresgebühren vereinbart wurden. Sollte die Zahl der Anwender zunehmen oder durch Entlassungen schrumpfen, lässt sich der Servicevertrag mit dem Anbieter relativ einfach anpassen. Es entstehen keine versteckten Kosten durch unter- oder überdimensionierte Hardware oder ungenutzte Softwarelizenzen.

Doch der Ansatz hat auch Nachteile: Der Anwender wird in einem gewissen Maß von seinem Service-Provider abhängig. "Ein schneller Anbieterwechsel funktioniert in der Regel nicht", warnt Heckwolf. Im Outsourcing von E-Mail-Sicherheitsservices sei es wichtig, dass die Rahmenbedingungen in einem Service-Level-Agreement (SLA) fixiert sind. Diese Vereinbarung legt fest, welche Dienstgüte ein Service-Provider zu liefern hat, also wie viel Prozent der Spam-E-Mails erkannt werden müssen, wie lange die Reaktionszeit bei Problemen sein darf und welches E-Mail-Aufkommen gefiltert wird. Es gibt jedoch keine Garantie, dass dieser Vertrag alle Aspekte beinhaltet und von Anwendern professionell abgewickelt wird. Mitunter muss hier Lehrgeld gezahlt werden.

Fernwartung statt Do-it-yourself

Einen guten Kompromiss zwischen einer Inhouse-Lösung und dem Outsourcing der gesamten Messaging-Infrastruktur inklusive der Sicherheitskomponenten sind gemanagte E-Mail-Dienste (Managed Services). Dieser Ansatz ist vor allem für Anwender interessant, die die Kontrolle über ihre E-Mail-Server und Security-Gateways behalten möchten.

Die Hardware, also E-Mail-Server, Proxy-Systeme und Gateways, stehen in diesem Fall beim Anwender. Ein externer Service-Provider ist für den Betrieb und die Verwaltung der Lösung zuständig. Das hat für den Nutzer den Vorteil, dass die IT-Abteilung von dieser Aufgabe entlastet wird. Einen solchen Service bietet etwa das Systemhaus Kriehn an. Mitarbeiter der Firma überwachen die E-Mail-Server und Sicherheitssysteme bei den Anwendern via Fernverbindung (Remote Access).

Managed Services vom Systemhaus

"Diese Lösung ermöglicht es uns, über eine zentrale Management-Konsole aus der Ferne die Systeme der Anwender zu überprüfen, Patches oder neue Software einzuspielen und den Status der Lizenzen zu kontrollieren", sagt Oliver Pifferi. Umgekehrt meldet die Lösung dem Systemhaus, wenn groß angelegte Angriffe auf E-Mail-Server und Client-Rechner von Kunden laufen. Die Fachleute der Firma können dann Gegenmaßnahmen einleiten.

Ein weiterer Vorteil dieses Ansatzes: Der Anwender hat die Möglichkeit, die Dienstleistung bei seinem Haus-und-Hof-IT-Lieferanten zu ordern. Firmen wie Symantec, McAfee, Trend Micro und andere forcieren derzeit bei ihren Partnerfirmen das Modell "Managed Services". So erhalten auch kleine Systemhäuser oder DV-Fachhändler die Möglichkeit, einen E-Mail-Sicherheitsdienst bereitzustellen. Die Kosten einer solchen Lösung bewegen sich etwa im Rahmen von Hosted-Services.

Nachteilig können Managed-E-Mail-Services sein, wenn Anwender - ähnlich wie bei gehosteten Angeboten - Know-how nach außen geben, also vom Dienstleister abhängig werden. Hinzu kommt, dass die Hersteller von E-Mail-Security-Produkten derzeit gerade kleine Systemhäuser als Anbieter solcher Dienstleistungen rekrutieren. Nicht jedes dieser Unternehmen dürfte jedoch der Aufgabe gewachsen sein. Setzt ein Anwender auf einen gemanagten E-Mail-Service, sollte er daher Faktoren wie Dienstgüte und Reaktionszeiten der Support-Abteilung in einem detaillierten Service-Level-Agreement festschreiben.

Schreiben Sie weniger E-Mails
Jede geschriebene elektronische Nachricht provoziert eine oder mehrere Antworten. Weniger, dafür durchdachter und pointierter formulierte E-Mails rufen weniger Nachfragen hervor.

Formulieren Sie eine klare Betreffzeile
Eindeutige Betreffzeilen helfen allen. Der Empfänger weiß mit einem Blick, worum es geht, der Absender formuliert auch für sich selbst klar sein Anliegen.

Keine Kritik in einer E-Mail
Auch sachlich gemeinte Verbesserungsvorschläge kommen per E-Mail vermutlich falsch an. Das persönliche Gespräch schafft schneller Klarheit und ist in den meisten Fällen weniger verletzend.

Feste Lesezeiten einhalten
Deaktivieren Sie alle akustischen und optischen Signale für eingehende Nachrichten. Die erste Stunde am Morgen sollten Sie für wichtige Aufgaben verwenden und keinesfalls für scheinbar witzige Ketten-Mails von Kollegen. Idealerweise sollten Sie nur dreimal täglich Nachrichten lesen und beantworten.

E-Mails am besten gleich bearbeiten
Am effektivsten ist es, E-Mails nur dann zu lesen, wenn man auch zum Antworten kommt. Die "Sofort-Regel" spart Zeit.

Richten Sie ein Ablagesystem ein
Bearbeitete und beantwortete E-Mails sollten Sie möglichst sofort ablegen. Ins Posteingangsfach gehören nur neu angekommene und ungelesene Nachrichten.

Löschen Sie großzügig
E-Mails löschen wirkt befreiend, selbst wenn der Speicherplatz Ihres E-Mail-Accounts besonders groß ist.

Buchtitel: Wenn E-Mails nerven
Die Ratschläge wurden dem Buch "Wenn E-Mails nerven" von Günter Weick und Wolfgang Schur entnommen. (Zusammengestellt von Ingrid Weidner)

Unified Communications fördert Hosting

Neue Entwicklungen in den Bereichen E-Mail, Messaging und Unified Communications (UC) rücken das Thema "E-Mail-Security" weiter in den Mittelpunkt, und in diesem Zuge gewinnen Hosting-Dienste für den E-Mail- und Messaging-Betrieb an Bedeutung. Der Trend wird von Anbietern gefördert. Microsoft bietet etwa mit der Online-Version von Exchange eine Alternative zu Exchange-Servern, die der Anwender im eigenen Haus betreibt. Der Service ist an Mittelständler gerichtet und kostet etwa 3,50 Euro pro Benutzer und Monat.

Alternativen gibt es von Google (Google Apps - rund 50 Dollar pro Nutzer im Jahr), IBM (Live iNotes) und Cisco Systems (Webex Mail). Wer auf solche Angebote zurückgreift, ordert E-Mail-Sicherheit im Paket. Für Mittelständler, die auf den eigenen E-Mail-Server im Rechnerraum verzichten können, ist dies eine verlockende Option. (jha)

Tabelle: Anbieter von Hosted-E-Mail-Security-Diensten

Anbieter von Hosted-E-Mail-Security-Diensten (Auswahl)

Anbieter	Service	Charakteristika
Antispameurope	Spam- und Virusfilter	Deutscher Anbieter; Anwender benötigt keine Hard- und Software; Nachrichten vom Kunden-Mail-Server werden durch das Data Center des Anbieters geschleust; auch Appliance für Vor-Ort-Betrieb verfügbar.
Cisco Systems	Cisco Ironport Managed E-Mail-Security	Software as a Service (SaaS); beim Anwender werden Sicherheits-Gateways der Cisco-Tochter Ironport installiert; integrierter Virenschutz von Sophos und McAfee.
Eleven	Expurgate ASP und Expurgate Inhouse	Deutscher Anbieter; Produkte als Service und als Inhouse-Lösung erhältlich; Anti-Spam- und Antivirus-Funktion.
Google	Google Postini Service	Anwender muss keine Hard- oder Software installieren; schützt vor Spam, Viren, Phishing, Denial-of-Service- (DoS) und Directory-Harvest-Angriffen (DHA); E-Mail-Verschlüsselung.
Kaspersky Lab	Kaspersky Hosted E-Mail Security	Der Dienst wird in Rechenzentren von Kaspersky betrieben; auch in Deutschland gibt es ein Data Center; reputationsgestütztes Filterverfahren.
McAfee	McAfee E-Mail Security Service	E-Mail-Policies für unterschiedliche Nutzergruppen möglich; User benötigt E-Mail-Server (im Haus oder beim ISP).
Retarus	Retarus Managed E-Mail Services	Deutscher Anbieter; Antivirus-, Anti-Spam- und E-Mail-Verschlüsselungsfunktion; SaaS; firmenspezifische Black- und White-Lists.
Symantec	Messagelabs Hosted E-Mail Antivirus	Spam- und Virenschutz; Content-Kontrolle, inklusive Analyse von Bilddateien; ergänzende Angebote: E-Mail-Continuity, Verschlüsselung, Schutz von Instant-Messaging-Programmen.
Trend Micro	Trend Micro Interscan Messaging Hosted Security	Standardversion (für E-Mails mit Attachments bis zu 10 MB) und Advanced-Ausgabe (50-MB-Attachments); Content-Filter integriert.
Webroot	Webroot Security Software as a Service	Verbindet E-Mail-Security mit Verschlüsselung und Archivierung von Nachrichten; Policies für einzelne Benutzergruppen möglich; Compliance-Funktionen (Audit-Trails).
Websense	Websense Hosted E-Mail Security	Speziell auf kleinere und mittelständische Firmen zugeschnitten; Management durch Nutzer über ein Web-Portal.