Freilegen
E-Mail-Bedrohungen
E-Mails sind extrem anfällig. Kein großes Unternehmen, kein kleines Unternehmen oder Politiker kann garantieren, dass seine E-Mails sicher sind.
91% der Einbrüche werden per E-Mail begangen.
Angesichts der inhärenten Schwächen ist es nicht schwer zu verstehen, warum Cyberkriminelle ständig E-Mails für WannaCry-, Petya- und Lazarus-Angriffe verwenden, um die Infrastruktur der Opfer zu durchdringen.
Rechtskonformität und
Grobe Fahrlässigkeit
€20
Million oder bis zu 4% des jährlichen weltweiten Umsatzes als Geldstrafe, je nachdem, welcher von beiden am höchsten ist.
147
Die durchschnittliche Zahl der aktiven Klagen gegen Unternehmen ist bemerkenswert (für mehr als 1 Milliarde US-Dollar in den USA).
Die falsche Wahl der Sicherheitslösungen kann zu hohen Bußgeldern, Freiheitsstrafen und Gerichtsverfahren führen.
WICHTIG
DSGVO-Konformität
Unternehmen können nach der neuen EU DSGVO (Allgemeine Datenschutzverordnung) wegen Nichteinhaltung des Schutzes personenbezogener Daten mit schweren Strafen (bis zu 20 Mio. €) rechnen.
Unternehmen sind verpflichtet, das Prinzip der "Privacy by Design" (Artikel 25) einzuhalten und müssen die Regulierungsbehörden benachrichtigen, wenn ein Datenverstoß stattfindet. Das kann buchstäblich jedes Mal passieren, wenn ein Mitarbeiter eine reguläre E-Mail über ein gemeinsames SMTP sendet. Neue DSGVO-Vorschriften erhöhen SMTP- und E-Mail-Probleme auf Vorstandsetagen in Ländern, die DSGVO-Gesetze akzeptieren (Die Europäische Union, Australien und andere).
SMTP
E-Mail ist von Natur aus unsicher, da sie gemäß SMTP (Simple Mail Transfer Protocol) gesendet und empfangen wird.
Dieses Protokoll sendet E-Mail-Inhalte und -Anhänge in unverschlüsseltem Plain-Text über das öffentliche Internet, und dieses Protokoll wird immer noch zum Senden sensibler Daten verwendet.
Dies ist eine der größten Herausforderungen für den Datenschutz, die Datensicherheit und die Einhaltung von DSGVO, HIPAA, GLBA und SOX.
Netzwerk
Jede vertrauliche E-Mail und ihre Anhänge werden als unverschlüsselter Text über unverschlüsselte Mail-Relais von Drittanbietern (Public Internet) übertragen.
Selbst wenn eine Verbindung durch HTTPS mit SSL/TLS geschützt war, können alle übertragenen Daten entschlüsselt und beim ISP (Internet Service Provider) oder Mobilfunkbetreibern in Flughäfen und Cafés gespeichert/geändert werden.
Zusätzliche Verschlüsselung beseitigt die Risiken auch nicht vollständig, da die Nachricht noch für die Kryptoanalyse gesammelt werden kann.
SMTP-Server und -Clients kommunizieren in der Regel im Klartext über das Internet. In vielen Fällen läuft diese Kommunikation über einen oder mehrere Router, die nicht von beiden Unternehmen kontrolliert oder vertraut werden, P. Hoffman, Internet Mail Consortium, RFC 3207.
Mensch
Menschliches Versagen ist immer das schwächste Glied in einem ansonsten sicheren Umfeld eines Unternehmens. Mit der zunehmenden Komplexität von IT-Infrastrukturen und -Software können die Kosten für menschliches Versagen ausreichen, um das gesamte Unternehmen zu entlasten.
SMTP- und SSL-Schwachstellen in Kombination mit menschlichen Fehlern bergen nahezu unbegrenzte Risiken für Datenschutzverletzungen. Es ist nicht verwunderlich, dass 91% der Angriffe mit E-Mail beginnen.
Wolken
Einige Unternehmen, die Cloud-Infrastrukturen nutzen oder auf Cloud-Infrastrukturen migrieren wollen, haben verständlicherweise Bedenken, sensible Daten preiszugeben und die Kontrolle über das Zugriffsmanagement zu verlieren.
Viele sind besorgt über "Big Brother" in den Ländern, in denen Daten gespeichert sind.
Bedrohung
Bedrohungen durch bestehende Lösungen
Obwohl viele Lösungen behaupten, bestimmte E-Mail-Bedrohungen zu lösen, gibt es zahlreiche Sicherheits- und Compliance-Lücken, die vor dem Einsatz solcher Lösungen verstanden werden sollten.
01
/ 07
Fehlende Verschlüsselung
Die Daten eines Unternehmens können in einem unverschlüsselten Zustand gespeichert werden.
Bußgelder, Strafen und Ligalaktionen
Gegen Executive Officers
Nach vielen bestehenden Vorschriften könnten die leitenden Angestellten eines Unternehmens persönlich mit Geldstrafen belegt und wegen Nichteinhaltung inhaftiert werden.
DSGVO - Bis zu 20 Millionen Euro oder 4% des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist.
SOX - Bis zu 5 Millionen Dollar Geldstrafe, und Verantwortliche können wegen Nichteinhaltung mit bis zu 20 Jahren Gefängnis rechnen.
HIPAA - Bis zu 250.000 US-Dollar pro Vorfall und Verantwortliche können wegen Nichteinhaltung mit bis zu 10 Jahren Gefängnis rechnen.
GLBA - Führungskräfte können für jeden Verstoß mit einer Geldstrafe von bis zu 10.000 US-Dollar belegt werden und wegen Nichteinhaltung mit bis zu 5 Jahren Gefängnis rechnen.
Ignorieren von E-Mail-Bedrohungen
Hat Konsequenzen
Cyberangriffe, Datenschutzverletzungen und Lecks haben die Karriere vieler Top-Manager beendet. Immer wieder kündigen Schlagzeilen an, dass ein weiterer Top-Manager seine Position wegen einer Unterschätzung der Schwere bestehender E-Mail-Bedrohungen verloren hat.
Bedrohung
Wichtigste
E-Mail-Bedrohungen
Schwachstellen im E-Mail-Protokoll
Keine echte Verschlüsselung
Öffentliches Internet
Menschliches Versagen
Rechtskonformität
Keine Schlüsselbeteiligung
Cyberangriffe
ZEIT
QUELLE
ZIEL
ANGRIFF
