Suchen

Ein Plädoyer für cloud-basierte E-Mail-Services E-Mail-Sicherheit aus der Cloud

Autor / Redakteur: Doug Barney, Senior Research Analyst, GFI Software / Florian Karlstetter

Immer mehr E-Mail-Systeme werden in die Cloud migriert, wodurch sie sich flexibler verwalten und skalieren lassen. Außerdem ermöglicht das einen ortsunabhängigen Zugriff und erweist sich als wirtschaftlicher. Dies gilt insbesondere für Microsoft Exchange, für das Anwender in der Regel auf leistungsfähigere Hardware und Speicherkomponenten aufrüsten müssen.

Firmen zum Thema

Cloud-basierte Services zum Schutz, Ausfallsicherung und Archivierung von E-Mails.
Cloud-basierte Services zum Schutz, Ausfallsicherung und Archivierung von E-Mails.
(Bild: GFI Software)

Gehostete Exchange-Dienste wie Office 365 stellen dagegen oft die bessere Lösung dar, da sich Nutzer um Hardware-Upgrades keine Gedanken machen müssen.

Auf einem Hosting-Ansatz basieren auch Dienste, die E-Mails mit unterstützen, darunter Sicherheits- und Überwachungslösungen. Tatsächlich ziehen es viele Unternehmen mit On-Premise E-Mail-Installationen vor, Support-Software in der Cloud zu betreiben.

Einem vor kurzem veröffentlichten Bericht der Radicati Group zum Markt der Messaging-Plattformen zufolge ist die Cloud die Zukunft der E-Mail-Sicherheit. „Anfangs waren Cloud-basierte geschäftliche E-Mail-Dienste insbesondere für kleinere Unternehmen mit eingeschränkten Ressourcen und geringeren Bedenken zur Datensicherheit in der Cloud attraktiv. Obwohl die Sicherheit empfindlicher Daten weiterhin einen wichtigen Faktor für Großunternehmen bildet, setzen Unternehmen aller Größen immer mehr auf die Cloud“, heißt es bei Radicati.

Es gibt viele Gründe dafür, auf die E-Mail-Sicherheit aus der Cloud zu vertrauen. Um effektiv zu sein, müssen Sicherheitslösungen immer auf dem aktuellsten Stand sein und den gesamten IT-Bestand abdecken. Am Unternehmensstandort betriebene Tools erfüllen diese Kriterien oft nicht, da ihre Scanning-Engines veraltet sind oder das Patchen der Sicherheits-Software ausbleibt. Insbesondere gilt dies für Antivirus- und Anti-Malware-Software. Der große Vorteil der Cloud besteht darin, dass Antiviren-Engines stets aktuell gehalten und auf Remote-Systeme angewandt werden können.

Die Virus-Gefahr ist so groß wie nie zuvor. Der Grund: das sogenannte Internet of Things (IoT), das zu einer Explosion von IP-Geräten geführt hat. Die Heimautomatisierung, Machine-to-Machine- und andere Ansätze zur Gerätevernetzung haben einen neuen Gefahrenherd namens „ThingBots“ hervorgebracht. Kürzlich übernahm ein einziger ThingBot über 100.000 Kleingeräte, über die dann über 750.000 Phishing- und Spamnachrichten versandt wurden.

Zwei weitere, in der Cloud besonders effektive, Services, sind Archivierungs- und Continuity-Lösungen. Diese sind besonders wichtig für Unternehmen, die Compliance-Anforderungen erfüllen müssen. Aber auch für andere Unternehmen lohnt sich der Einsatz. Diese gehosteten Services bieten unter anderem folgende Vorteile:

  • Verbesserung der Endanwender- und IT-Produktivität
  • Steigerung der Netzwerksicherheit
  • Steigerung der Systemleistung
  • Erfüllung von Compliance-Anforderungen
  • Sicherung des geistigen Eigentums Ihres Unternehmens durch Vorbeugung von Datenlecks und Hacks

Die Sicherheit hat weiterhin die höchste Priorität und umfasst den Kampf gegen Viren und Spamnachrichten, welche oft mit Viren infiziert sind. E-Mail-Sicherheit in der Cloud ist nicht nur aktueller und in der standortübergreifenden Bereitstellung einfacher, sondern weitaus leichter zu verwalten und zu unterstützen, wodurch sich der Zeitaufwand für die IT reduziert.

Gewährleistung von E-Mail-Compliance mit Cloud-Archivierung

Compliance mag zunächst zwar nur die großen Industrieländer wie Deutschland und die USA betreffen. Aber auf der ganzen Welt bestehen Hunderte von Compliance-Regeln. Die gute Nachricht ist, dass sich die Compliance schon durch wenige übergreifende Maßnahmen herstellen lässt. Im Falle von E-Mails besteht die Hauptsorge darin, E-Mails so lange sicher und geschützt zu halten, wie von den Compliance-Regeln gefordert. Bei vielen Regeln müssen die E-Mails in ihrer Originalfassung und vollständig aufbewahrt werden. Dies ist nicht nur eine Empfehlung, sondern eine Vorschrift, deren Verletzung Geld- oder sogar eine mögliche Gefängnisstrafe mit sich führen kann.

Zur Erfüllung dieser Compliance-Anforderungen ist die Archivierung unvermeidlich. Ebenfalls dient sie der Sicherheit und dem Schutz des Unternehmens. Früher stellte die Archivierung ein komplexes Unterfangen dar, das die Installation und Wartung zusätzlicher Hardware wie etwa optischer Discs voraussetzte. Archivbänder sind dabei aufgrund ihrer Zerbrechlichkeit nicht für eine umfassende Archivierung geeignet.

Hier kann die Cloud weiterhelfen, denn die gesamte Hardware und ein großer Teil des Verwaltungsaufwands kann in diese ausgelagert werden.

Doch nicht alle Cloud-Tools sind gleichwertig. Cloud-E-Mail-Archivierungsanbieter sollten über geeignete Verschlüsselungsverfahren wie AES 256-Bit verfügen, die auf alle Nachrichten angewandt werden sollten. Bei der Verschlüsselung mit privaten Schlüsseln lässt sich sicherstellen, dass nur das eigene Unternehmen auf alle Nachrichten zugreifen kann. Schließlich sollten Unternehmen es auch erwägen, ihre E-Mails im schreibgeschützten Format in der Cloud zu speichern. Auf diese Weise lassen sich diese nicht manipulieren und bleiben dabei durchsuchbar und für Audits verfügbar, falls konkrete Nachweise gefragt sind. Ein weiterer Aspekt der E-Mail-Archivierung unabhängig von der Compliance besteht in der Festlegung von Aufbewahrungszeiträumen und Richtlinien gemäß der jeweiligen Geschäftsanforderungen.

Der Bedarf nach Schutz

Trotz neuer Geräte wie Smartphones und Tablets und vielen neuen Anwendungen ist die E-Mail weiterhin der beliebteste und leichteste Weg für Hacker, in das Netzwerk einzudringen. Diese Angriffe können in Form von durch E-Mails übertragenen Viren oder durch Phishing-Attacken erfolgen. E-Mails sind nicht nur als relativ direkter Weg ins Netzwerk anfällig, sondern auch aufgrund ihrer Verbreitung und häufigen Nutzung. Wenn sich Eindringlinge Zugang zum E-Mail-Konto verschaffen, können diese leicht das Adressbuch auffinden und mit ein wenig Schnüffelei Links zu Social-Media-Konten finden. So tut sich die ideale Gelegenheit zum Identitätsdiebstahl auf.

Spam: Nervig und gefährlich

Endanwender nehmen Spam nicht immer so ernst, wie sie es eigentlich tun sollten. Diesen Fehler machen manchmal auch äußerst erfahrene IT-Profis. Doch Spam ist mehr als ein Ärgernis. Das größere Problem besteht darin, dass sich Malware durch Spam direkt oder mithilfe von Anhängen übertragen lässt und Cyber-Kriminelle mit Phishing-Links an Kreditkarteninformationen und andere persönliche Daten herankommen.

Laut dem 2013 Microsoft Security Intelligence Report sind mehr als 75 Prozent der über das Internet versandten E-Mail-Nachrichten unerwünscht. Damit werden nicht nur die Posteingänge der Empfänger und die Ressourcen von E-Mail-Dienstanbietern belastet, sondern es wird auch eine Umgebung geschaffen, in der sich per E-Mail versandte Malware-Angriffe und Phishing-Versuche vervielfältigen. E-Mail-Anbieter, soziale Netzwerke und andere Online-Communitys haben den Kampf gegen Spam, Phishing und andere E-Mail-Bedrohungen zu ihrer obersten Priorität erklärt.

Experten zufolge sind über drei Prozent von Spam-Nachrichten mit Malware infiziert. Selbst virenfreier Spam ist ein Problem. Nehmen wir einmal an, dass es jeden Tag nur fünf Spamnachrichten in einen Posteingang schaffen, und der Nutzer nur 30 Sekunden mit jeder davon verbringt. Geht es nach Ferris Research, verschwendet er so 15 Stunden pro Jahr.

Der Spam-Schutz in der Cloud bietet gewisse Vorteile. Wenn sich der Spam-Filter in der Cloud befindet, schaffen es die wertlosen Nachrichten nie in das Netzwerk, werden nie auf den Servern gespeichert und die Malware kann sich so nicht verbreiten. Neben der Bandbreitenersparnis bei nicht weitergeleiteten Spamnachrichten wird auch Speicherplatz gespart.

Zusätzliche Vorteile bieten sich für an Compliance-Regeln gebundene Unternehmen, die zur Speicherung sämtlicher eingehender Nachrichten verpflichtet sind. Da es sich bei 90 Prozent der E-Mails um Spam handelt, archivieren sie zum Großteil völlig unnütze Nachrichten. Mit dem Filtern von Spam in der Cloud können sie die Archivierung des Datenmülls vermeiden.

Die Cloud und E-Mail-Datenlecks

Datenlecks, bei denen Endanwender die Quelle des Lecks darstellen, sind ein wachsendes Problem. E-Mails stellen dabei eines der größten Lücken dar. Diese abhanden gekommenen Daten führen oft zu vielen Schäden, da sie Kreditkartennummern, medizinische Informationen oder vertrauliche Unternehmenspläne und -inhalte umfassen. Ein gehosteter E-Mail-Überwachungsservice in der Cloud, der mithilfe von Schlüsselwörtern nach solchen Daten Ausschau hält, könnte einem Unternehmen hier den Hals retten. Und da er in der Cloud betrieben wird, lässt sich dieser Schutz ebenfalls leicht für Remote Offices und mobile sowie Telecommuting-Mitarbeiter anwenden. Natürlich sollte dieser Service nicht nur Schlüsselwörter in den E-Mails, Anhängen und im Betreff finden, sondern auch die Adresse scannen können.

Die E-Mail-Überwachung ist ebenfalls effektiv bei der Erkennung und Unterbindung von Mitarbeiter-Fehlverhalten. Ähnlich wie bei den Datenlecks entstehen auch durch solches Fehlverhalten Kosten. Außerdem ergeben sich strafrechtliche Konsequenzen, wenn E-Mails im gesetzeswidrigen Sinne verwendet werden, und Zivilklagen, wenn Nutzer das Mail-System des Unternehmens beispielsweise zur sexuellen Belästigung verwenden. Die Überwachung wird zunehmend unverzichtbar, da Gerichte immer öfter der Ansicht sind, dass Unternehmen für ihre E-Mails selbst die Verantwortung tragen.

Der Autor: Doug Barney, Director of IT Research bei GFI Software.
Der Autor: Doug Barney, Director of IT Research bei GFI Software.
(Bild: GFI Software)
E-Mail-Hacks haben nicht selten weitreichende Folgen, da sie Spionage unterstützen, sowohl von staatlicher Seite wie auch von der Konkurrenz. Das hat der jährliche Verizon Data Breach Investigations Report festgestellt. „Im Verlaufe dieses Prozesses verbreiten sich Angreifer in den Systemen im Netzwerk, verbergen ihre Aktivitäten hinter Systemprozessen, suchen die gewünschten Daten und rufen sie ab, und exportieren sie dann aus der Umgebung des Anwenders heraus“, schreiben die Autoren. Damit ist es klar, dass die E-Mail-Sicherheit stets aktuell gehalten und auf das gesamte Unternehmens-Mail-System angewandt werden muss, einschließlich auf die von Mitarbeitern genutzten Web-Mail-Dienste. Die Cloud ist der effizienteste und umfassendste Weg zur Erfüllung dieser Anforderungen.

(ID:42759818)